Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index der integrierten Azure-Richtliniendefinitionen für Foundry Tools. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Gießerei-Werkzeuge
| Name (Azure-Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Bereitstellungen von Cognitive Services sollten nur die zulässige Vervollständigungsinhaltsfilterung verwenden | Mindestanforderungen an die Inhaltsfilterung für Vervollständigungsinhalte bei der Modellbereitstellung innerhalb Ihrer Organisation festlegen. | Audit, deaktiviert | 1.0.0-preview |
| [Vorschau]: Cognitive Services-Bereitstellungen sollten nur die zulässige Steuerung verwenden | Mindeststufen der Inhaltsfilterung mit mehreren Schweregraden für schädliche Inhalte für Modellbereitstellungen innerhalb Ihrer Organisation festlegen. | Audit, deaktiviert | 1.0.0-preview |
| [Vorschau]: Cognitive Services-Bereitstellungen sollten nur den zulässigen Steuerungsmodus verwenden | Vorschreiben des Inhaltsfiltermodus für Modellbereitstellungen in Ihrer Organisation. | Audit, deaktiviert | 1.0.0-preview |
| [Vorschau]: Cognitive Services-Bereitstellungen sollten nur die zulässige Filterung von Eingabeaufforderungsinhalten verwenden. | Schreiben Sie Mindestebenen der Inhaltsfilterung für Promptinhalte für Modellbereitstellungen in Ihrer Organisation vor. | Audit, deaktiviert | 1.0.0-preview |
| Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln | Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. | Überprüfen, Verweigern, Deaktiviert | 2.2.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren) | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/AI/auth | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Überprüfen, Verweigern, Deaktiviert | 3.3.0 |
| Azure KI Services-Ressourcen sollten Azure Private Link nutzen. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform reduziert das Risiko von Datenlecks, indem die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet wird. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AzurePrivateLink/Overview. | Audit, deaktiviert | 1.0.0 |
| Cognitive Services-Konten müssen eine verwaltete Identität verwenden | Das Zuweisen einer verwalteten Identität zu Ihrem Cognitive Services-Konto gewährleistet eine sicherere Authentifizierung. Diese Identität wird von diesem Cognitive Services-Konto für die sichere Kommunikation mit anderen Azure-Diensten wie z. B. Azure Key Vault verwendet, ohne dass Sie Anmeldeinformationen verwalten müssen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Cognitive Services-Konten müssen kundeneigenen Speicher verwenden | Verwenden Sie den kundeneigenen Speicher, um ruhende Daten in Cognitive Services zu steuern. Weitere Informationen zum kundeneigenen Speicher finden Sie unter https://aka.ms/cogsvc-cmk. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Cognitive Services-Bereitstellungen sollten nur genehmigte Registrierungsmodelle verwenden | Einschränken der Bereitstellung von Registrierungsmodellen, um extern erstellte Modelle zu steuern, die in Ihrer Organisation verwendet werden | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Konfigurieren von Azure KI Services-Ressourcen zum Deaktivieren des lokalen Schlüsselzugriffs (lokale Authentifizierung deaktivieren) | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/AI/auth | DeployIfNotExists, deaktiviert | 1.0.0 |
| Cognitive Services-Konten konfigurieren, um lokale Authentifizierungsmethoden zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/cs/auth. | Modifizieren, Deaktivieren | 1.0.0 |
| Cognitive Services-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke auf Ihre Cognitive Services-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: https://go.microsoft.com/fwlink/?linkid=2129800. | Deaktiviert, Ändern | 3.0.0 |
| Konfigurieren Sie Cognitive Services-Konten mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, deaktiviert | 3.0.0 |
| In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. | Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten zu Untersuchungszwecken nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Event Hub | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Cognitive Services (microsoft.cognitiveservices/accounts) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.2.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Log Analytics | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Cognitive Services (microsoft.cognitiveservices/accounts) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Storage | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Cognitive Services (microsoft.cognitiveservices/accounts) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.