Azure 备份的 Azure Policy 内置定义

此页是 Azure 备份的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 备份

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:Microsoft Azure 恢复服务保管库应禁用公用网络访问 禁用公用网络访问可确保恢复服务保管库不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制恢复服务保管库的公开。 有关详细信息,请访问:https://aka.ms/AB-PublicNetworkAccess-Deny Audit、Deny、Disabled 1.0.0-preview
[预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption Audit、Deny、Disabled 1.0.0-preview
[预览版]:Azure 恢复服务保管库应使用专用链接进行备份 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints Audit、Disabled 2.0.0-preview
[预览]:备份和 Site Recovery 应为区域冗余 备份和 Site Recovery 可以配置为区域冗余或非区域冗余。 如果“standardTierStorageRedundancy”属性设置为“ZoneRedundant”,则备份和 Site Recovery 是区域冗余。 强制实施此策略有助于确保适当配置备份和 Site Recovery 来实现区域复原,从而降低在区域中断期间发生停机的风险。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:配置 Azure 恢复服务保管库以禁用公用网络访问 禁用对恢复服务保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/AB-PublicNetworkAccess-Deny 修改,已禁用 1.0.0-preview
[预览版]:在 Azure 恢复服务保管库上配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到恢复服务保管库的站点恢复资源可以降低数据泄露风险。 若要使用专用链接,必须将托管服务标识分配给恢复服务保管库。 若要详细了解专用链接,请参阅:/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints DeployIfNotExists、Disabled 1.0.0-preview
[预览]:配置恢复服务保管库以使用专用终结点进行备份 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 了解详细信息:https://go.microsoft.com/fwlink/?linkid=2187162 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:禁用 Azure 恢复服务保管库的跨订阅还原 禁用或永久禁用恢复服务保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://aka.ms/csrenhancements 修改,已禁用 1.1.0-preview
[预览]:恢复服务库必须启用不可变性 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults Audit、Disabled 1.0.1-preview
[预览版]:恢复服务保管库应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 在以下位置详细了解 Azure Site Recovery 的专用链接:https://aka.ms/HybridScenarios-PrivateLinkhttps://aka.ms/AzureToAzure-PrivateLink Audit、Disabled 1.0.0-preview
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 3.0.0
配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.3.0
配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.3.0
配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.3.0
配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.3.0
将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区。 部署恢复服务保管库的诊断设置,以便将数据流式传输到资源专有类别的 Log Analytics 工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 deployIfNotExists 1.0.2

后续步骤