Delen via

Ingebouwde Azure Policy-definities voor Azure App Service

Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure App Service. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.

De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.

Azure App Service

Naam
(Azure Portal)		 Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: App Service-plannen moeten zone-redundant zijn App Service-plannen kunnen worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundant is ingesteld op false voor een App Service-plan, is deze niet geconfigureerd voor zoneredundantie. Met dit beleid wordt de zoneredundantieconfiguratie voor App Service-plannen geïdentificeerd en afgedwongen. Controleren, Weigeren, Uitgeschakeld 1.0.0-voorbeschouwing
App Service-app-sites moeten worden geïnjecteerd in een virtueel netwerk Het injecteren van App Service-apps in een virtueel netwerk ontgrendelt geavanceerde App Service-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Controleren, Weigeren, Uitgeschakeld 1.2.0
App Service-app-sites moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de App Service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een App Service beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Audit, Uitschakelen, Weigering 1.0.0
App Service-app-sites moeten SSH uitschakelen Met Azure App Service kunt u een SSH-sessie openen naar een container die in de service wordt uitgevoerd. Deze functie moet worden uitgeschakeld om ervoor te zorgen dat SSH niet per ongeluk geopend blijft in App Service-apps, waardoor het risico op onbevoegde toegang wordt beperkt. Meer informatie vindt u op: https://aka.ms/app-service-ssh Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-app-sites moeten configuratieroutering naar Azure Virtual Network inschakelen Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. Met deze instellingen kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt en service-eindpunten privé zijn. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-app-sloten moeten end-to-end-versleuteling mogelijk maken Door end-to-end-versleuteling in te schakelen, zorgt u ervoor dat intra-cluster front-endverkeer tussen front-ends van App Service en de workers die applicatiewerkbelastingen uitvoeren, wordt versleuteld. Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Met deze instelling kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt voor al het uitgaande verkeer van de App Service-app. Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, uitgeschakeld 1.0.3
App Service-app-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, uitgeschakeld 1.0.4
App Service-app-sites moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.1
App Service-app-sites moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van bronnenlogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites mogen niet zijn geconfigureerd voor CORS, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Audit, Uitschakelen, Weigering 2.0.0
App Service-app-sites moeten een automatisch gegenereerd labelbereik voor domeinnaam opgeven Als u een automatisch gegenereerd labelbereik voor een domeinnaam voor uw app opgeeft, zorgt u ervoor dat de app toegankelijk is via een unieke URL. Zie https://aka.ms/app-service-autoGeneratedDomainNameLabelScope voor meer informatie. Audit, Uitschakelen, Weigering 1.0.0
App Service-app-sites mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites moeten een Azure-bestandsshare gebruiken voor de inhoudsmap De inhoudsmap van een app moet zich op een Azure-bestandsshare bevinden. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. Audit, uitgeschakeld 1.0.0
App Service-app-sites moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 1.2.0
App Service-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten worden geïnjecteerd in een virtueel netwerk Het injecteren van App Service-apps in een virtueel netwerk ontgrendelt geavanceerde App Service-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Controleren, Weigeren, Uitgeschakeld 3.2.0
App Service-apps moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de App Service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een App Service beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Audit, Uitschakelen, Weigering 1.1.0
App Service-apps moeten SSH uitschakelen Met Azure App Service kunt u een SSH-sessie openen naar een container die in de service wordt uitgevoerd. Deze functie moet worden uitgeschakeld om ervoor te zorgen dat SSH niet per ongeluk geopend blijft in App Service-apps, waardoor het risico op onbevoegde toegang wordt beperkt. Meer informatie vindt u op: https://aka.ms/app-service-ssh Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-apps moeten configuratieroutering naar Azure Virtual Network inschakelen Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. Met deze instellingen kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt en service-eindpunten privé zijn. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-apps moeten end-to-end-versleuteling inschakelen Door end-to-end-versleuteling in te schakelen, zorgt u ervoor dat intra-cluster front-endverkeer tussen front-ends van App Service en de workers die applicatiewerkbelastingen uitvoeren, wordt versleuteld. Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-apps moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Met deze instelling kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt voor al het uitgaande verkeer van de App Service-app. Controleren, Weigeren, Uitgeschakeld 1.0.0
App Service-apps moeten verificatie hebben ingeschakeld Azure App Service-verificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken. Het kan ook aanvragen die gebruik maken van tokens authentiseren voordat ze de web-app bereiken. AuditIfNotExists, uitgeschakeld 2.0.1
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, uitgeschakeld 1.0.3
App Service-apps moeten lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, uitgeschakeld 1.0.3
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
App Service-apps moeten bronnenlogboeken ingeschakeld hebben Controleer het inschakelen van bronnenlogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Audit, Uitschakelen, Weigering 4.0.0
App Service-apps moeten een automatisch gegenereerd labelbereik voor domeinnaam bieden Als u een automatisch gegenereerd labelbereik voor een domeinnaam voor uw app opgeeft, zorgt u ervoor dat de app toegankelijk is via een unieke URL. Zie https://aka.ms/app-service-autoGeneratedDomainNameLabelScope voor meer informatie. Audit, Uitschakelen, Weigering 1.0.0
App Service-apps moeten alleen FTPS gebruiken FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link Met ondersteunde SKU's kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan apps, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privélinks vindt u op: https://aka.ms/private-link. Controleren, Weigeren, Uitgeschakeld 4.3.0
App Service-apps moeten een service-eindpunt voor een virtueel netwerk gebruiken Gebruik service-eindpunten voor virtuele netwerken om de toegang tot uw app te beperken vanuit geselecteerde subnetten van een virtueel Azure-netwerk. Ga voor meer informatie over App Service-service-eindpunten naar https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, uitgeschakeld 2.0.1
App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap De inhoudsmap van een app moet zich op een Azure-bestandsshare bevinden. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. Audit, uitgeschakeld 3.0.0
App Service-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
App Service-apps moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan App Service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privélinks vindt u op: https://aka.ms/private-link. AuditIfNotExists, uitgeschakeld 1.0.1
App Service-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.2.0
App Service-apps die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 3.1.0
App Service-apps die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 3.2.0
App Service-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 4.1.0
App Service Environment-apps mogen niet bereikbaar zijn via openbaar internet Om ervoor te zorgen dat apps die zijn geïmplementeerd in een App Service Environment niet toegankelijk zijn via openbaar internet, moet u App Service Environment implementeren met een IP-adres in het virtuele netwerk. Als u het IP-adres wilt instellen op een IP van een virtueel netwerk, moet de App Service-omgeving worden geïmplementeerd met een interne load balancer. Controleren, Weigeren, Uitgeschakeld 3.0.0
App Service Environment moet worden geconfigureerd met sterkste TLS-coderingssuites De twee meest minimale en sterkste coderingssuites die nodig zijn om App Service Environment correct te laten functioneren, zijn: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 en TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, uitgeschakeld 1.0.0
App Service Environment moet worden ingericht met de nieuwste versies Alleen toestaan dat App Service Environment versie 2 of versie 3 wordt ingericht. Oudere versies van App Service Environment vereisen handmatig beheer van Azure-resources en hebben grotere schaalbeperkingen. Controleren, Weigeren, Uitgeschakeld 1.0.0
Voor App Service Environment moet interne versleuteling zijn ingeschakeld Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption voor meer informatie. Audit, uitgeschakeld 1.0.1
App Service Environment moet TLS 1.0 en 1.1 hebben uitgeschakeld TLS 1.0 en 1.1 zijn verouderde protocollen die geen ondersteuning bieden voor moderne cryptografische algoritmen. Door binnenkomend TLS 1.0- en 1.1-verkeer uit te schakelen, kunt u apps in een App Service-omgeving beveiligen. Controleren, Weigeren, Uitgeschakeld 2.0.1
App Service-app-sites configureren om lokale verificatie voor FTP-implementaties uit te schakelen Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, uitgeschakeld 1.0.3
App Service-app-sites configureren om lokale verificatie voor SCM-sites uit te schakelen Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, uitgeschakeld 1.0.3
App Service-app-sites configureren om openbare netwerktoegang uit te schakelen Schakel openbare netwerktoegang voor uw App Services uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Wijzigen, uitgeschakeld 1.1.0
App Service-app-sites configureren om alleen toegankelijk te zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Wijzigen, uitgeschakeld 2.0.0
App Service-app-sites configureren om externe foutopsporing uit te schakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. DeployIfNotExists, uitgeschakeld 1.1.0
App Service-app-sites configureren voor het gebruik van de nieuwste TLS-versie Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. DeployIfNotExists, uitgeschakeld 1.3.0
App Service-apps configureren om lokale verificatie voor FTP-implementaties uit te schakelen Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, uitgeschakeld 1.0.3
App Service-apps configureren om lokale verificatie voor SCM-sites uit te schakelen Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, uitgeschakeld 1.0.3
App Service-apps configureren om openbare netwerktoegang uit te schakelen Schakel openbare netwerktoegang voor uw App Services uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Wijzigen, uitgeschakeld 1.1.0
App Service-apps configureren om alleen toegankelijk te zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Wijzigen, uitgeschakeld 2.0.0
App Service-apps configureren om externe foutopsporing uit te schakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. DeployIfNotExists, uitgeschakeld 1.0.0
App Service-apps configureren voor het gebruik van de nieuwste TLS-versie Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. DeployIfNotExists, uitgeschakeld 1.2.0
Functie-app-sites configureren om openbare netwerktoegang uit te schakelen Schakel openbare netwerktoegang voor uw Functie-apps uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Wijzigen, uitgeschakeld 1.2.0
Functie-app-sites configureren om alleen toegankelijk te zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Wijzigen, uitgeschakeld 2.1.0
Functie-app-sites configureren om externe foutopsporing uit te schakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een functie-app. Externe foutopsporing moet worden uitgeschakeld. DeployIfNotExists, uitgeschakeld 1.2.0
Functie-app-sites configureren voor het gebruik van de nieuwste TLS-versie Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. DeployIfNotExists, uitgeschakeld 1.4.0
Functie-apps configureren om openbare netwerktoegang uit te schakelen Schakel openbare netwerktoegang voor uw Functie-apps uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Wijzigen, uitgeschakeld 1.2.0
Functie-apps configureren om alleen toegankelijk te zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Wijzigen, uitgeschakeld 2.1.0
Functie-apps configureren om externe foutopsporing uit te schakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. DeployIfNotExists, uitgeschakeld 1.1.0
Functie-apps configureren voor het gebruik van de nieuwste TLS-versie Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. DeployIfNotExists, uitgeschakeld 1.3.0
Logboekregistratie inschakelen op categoriegroep voor App Service (microsoft.web/sites) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor App Service (microsoft.web/sites). ImplementerenAlsNietBestaat, AuditAlsNietBestaat, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor App Service Environments (microsoft.web/hostingomgevingen) naar Event Hub Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor App Service Environments (microsoft.web/hostingenvironments). ImplementerenAlsNietBestaat, AuditAlsNietBestaat, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor App Service Environments (microsoft.web/hostingenvironments) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor App Service Environments (microsoft.web/hostingenvironments). ImplementerenAlsNietBestaat, AuditAlsNietBestaat, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor App Service Environments (microsoft.web/hostingenvironments) naar Storage Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor App Service Environments (microsoft.web/hostingenvironments). ImplementerenAlsNietBestaat, AuditAlsNietBestaat, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor Functie-app (microsoft.web/sites) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor functie-app (microsoft.web/sites). ImplementerenAlsNietBestaat, AuditAlsNietBestaat, Uitgeschakeld 1.0.0
Sites voor functie-apps moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de functie-app niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een functie-app beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Audit, Uitschakelen, Weigering 1.1.0
Slots voor functie-apps moeten configuratierouting naar het Azure Virtual Network inschakelen Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. Houd er rekening mee dat dit beleid alleen moet worden toegepast op function apps die niet worden uitgevoerd op de Flex Consumption- of Consumption-hostingabonnementen. Controleren, Weigeren, Uitgeschakeld 1.1.0
Functietoepassingsslots moeten end-to-endversleuteling inschakelen Door end-to-end-versleuteling in te schakelen, zorgt u ervoor dat intra-cluster front-endverkeer tussen front-ends van App Service en de workers die applicatiewerkbelastingen uitvoeren, wordt versleuteld. Controleren, Weigeren, Uitgeschakeld 1.1.0
Functie-app-slots moeten niet-RFC 1918 uitgaand verkeer naar Azure Virtual Network inschakelen Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Houd er rekening mee dat dit beleid alleen moet worden toegepast op function apps die niet worden uitgevoerd op de Flex Consumption- of Consumption-hostingabonnementen. Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor functie-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.1.0
Sites voor functie-apps moeten externe foutopsporing zijn uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.1.0
CorS-sites voor functie-apps mogen niet zodanig zijn geconfigureerd dat elke resource toegang heeft tot uw apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. AuditIfNotExists, uitgeschakeld 1.1.0
Sites voor functie-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Audit, Uitschakelen, Weigering 2.1.0
Sites voor functie-apps moeten een automatisch gegenereerd labelbereik voor domeinnaam opgeven Als u een automatisch gegenereerd labelbereik voor een domeinnaam voor uw app opgeeft, zorgt u ervoor dat de app toegankelijk is via een unieke URL. Zie https://aka.ms/app-service-autoGeneratedDomainNameLabelScope voor meer informatie. Audit, Uitschakelen, Weigering 1.1.0
Voor functie-app-sites is alleen FTPS vereist FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 1.1.0
Sites voor functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap De inhoudsmap van een functie-app moet zich bevinden op een Azure-bestandsshare. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. Audit, uitgeschakeld 1.1.0
Sites voor functie-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 1.1.0
Sites voor functie-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 1.3.0
Functie-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de functie-app niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een functie-app beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. Audit, Uitschakelen, Weigering 1.1.0
Functie-apps moeten configuratieroutering naar Azure Virtual Network inschakelen Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. Houd er rekening mee dat dit beleid alleen moet worden toegepast op function apps die niet worden uitgevoerd op de Flex Consumption- of Consumption-hostingabonnementen. Controleren, Weigeren, Uitgeschakeld 1.1.0
Functie-apps moeten end-to-end-versleuteling inschakelen Door end-to-end-versleuteling in te schakelen, zorgt u ervoor dat intra-cluster front-endverkeer tussen front-ends van App Service en de workers die applicatiewerkbelastingen uitvoeren, wordt versleuteld. Controleren, Weigeren, Uitgeschakeld 1.1.0
Functie-apps moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Houd er rekening mee dat dit beleid alleen moet worden toegepast op function apps die niet worden uitgevoerd op de Flex Consumption- of Consumption-hostingabonnementen. Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor functie-apps moet verificatie zijn ingeschakeld Azure App Service-authenticatie is een functie die kan voorkomen dat anonieme HTTP-verzoeken de Function app bereiken, of die verzoeken met tokens authenticeert voordat ze de Function app bereiken. AuditIfNotExists, uitgeschakeld 3.1.0
Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.1.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.1.0
Voor functie-apps mag CORS niet zo zijn geconfigureerd dat alle bronnen toegang krijgen tot uw apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. AuditIfNotExists, uitgeschakeld 2.1.0
Functie-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Audit, Uitschakelen, Weigering 5.1.0
Functie-apps moeten een automatisch gegenereerd labelbereik voor domeinnaam bieden Als u een automatisch gegenereerd labelbereik voor een domeinnaam voor uw app opgeeft, zorgt u ervoor dat de app toegankelijk is via een unieke URL. Zie https://aka.ms/app-service-autoGeneratedDomainNameLabelScope voor meer informatie. Audit, Uitschakelen, Weigering 1.1.0
Functie-apps zouden alleen FTPS moeten vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.1.0
Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap De inhoudsmap van een functie-app moet zich bevinden op een Azure-bestandsshare. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. Audit, uitgeschakeld 3.1.0
Functie-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.1.0
Functie-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.3.0
Functie-apps die java gebruiken, moeten een opgegeven Java-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 3.1.0
Functie-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. AuditIfNotExists, uitgeschakeld 4.1.0

Opmerkingen bij de uitgave

Oktober 2024

  • TLS 1.3 wordt nu ondersteund in App Service-apps en -sites. Het volgende beleid is bijgewerkt om het instellen van de minimale TLS-versie op 1.3 af te dwingen:
    • 'App Service-apps moeten de nieuwste TLS-versie gebruiken'
    • 'App Service-app-sites moeten de nieuwste TLS-versie gebruiken'
    • 'App Service-apps configureren voor het gebruik van de nieuwste TLS-versie'
    • App Service-appslots configureren voor gebruik van de nieuwste TLS-versie
    • 'Functie-apps moeten de nieuwste TLS-versie gebruiken'
    • 'Functie-apps configureren voor het gebruik van de nieuwste TLS-versie'
    • "Functie-app-sites moeten de nieuwste TLS-versie gebruiken"
    • "Functie-app-sleuven configureren voor het gebruik van de nieuwste TLS-versie"

April 2023

  • App Service-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken
    • Naam van beleid wijzigen in 'App Service-apps die java gebruiken, moeten een opgegeven Java-versie gebruiken'
    • Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
  • App Service-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken
    • Naam van beleid wijzigen in 'App Service-apps die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken'
    • Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
  • Functie-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken
    • Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Java moeten een opgegeven Java-versie gebruiken'
    • Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
  • Functie-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken
    • Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken'
    • Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
  • App Service-apps die PHP gebruiken, moeten de nieuwste PHP-versie gebruiken
    • Naam van beleid wijzigen in 'App Service-apps die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken'
    • Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
  • App Service-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken
    • Nieuw beleid gemaakt
  • Functie-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken
    • Nieuw beleid gemaakt
  • App Service-app-sites die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken
    • Nieuw beleid gemaakt
  • App Service-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken
    • Nieuw beleid gemaakt
  • Functie-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken
    • Nieuw beleid gemaakt

november 2022

  • Afschaffing van beleids-App Service-apps moet uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
    • Vervangen door een beleid met dezelfde weergavenaam op basis van de site-eigenschap ter ondersteuning van het effect Weigeren
  • Afschaffing van app-sleuven van beleid voor App Service moet uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
    • Vervangen door een beleid met dezelfde weergavenaam op basis van de site-eigenschap ter ondersteuning van het effect Weigeren
  • App Service-apps moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
    • Nieuw beleid gemaakt
  • App Service-apps moeten configuratieroutering naar Azure Virtual Network inschakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten configuratieroutering naar Azure Virtual Network inschakelen
    • Nieuw beleid gemaakt

Oktober 2022

  • Sites voor functie-apps moeten externe foutopsporing zijn uitgeschakeld
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten externe foutopsporing uitschakelen
    • Nieuw beleid gemaakt
  • Sites voor functie-apps moeten de nieuwste HTTP-versie gebruiken
    • Nieuw beleid gemaakt
  • Sites voor functie-apps moeten de nieuwste TLS-versie gebruiken
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten de nieuwste TLS-versie gebruiken
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten resourcelogboeken hebben ingeschakeld
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten beheerde identiteiten gebruiken
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten de nieuwste HTTP-versie gebruiken
    • Nieuw beleid gemaakt
  • Afschaffing van beleid App Services configureren om openbare netwerktoegang uit te schakelen
    • Vervangen door 'App Service-apps configureren om openbare netwerktoegang uit te schakelen'
  • Afschaffing van beleid App Services moet openbare netwerktoegang uitschakelen
    • Vervangen door 'App Service-apps moeten openbare netwerktoegang uitschakelen' ter ondersteuning van het effect Weigeren
  • App Service-apps moeten openbare netwerktoegang uitschakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites moeten openbare netwerktoegang uitschakelen
    • Nieuw beleid gemaakt
  • App Service-apps configureren om openbare netwerktoegang uit te schakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites configureren om openbare netwerktoegang uit te schakelen
    • Nieuw beleid gemaakt
  • Functie-apps moeten openbare netwerktoegang uitschakelen
    • Nieuw beleid gemaakt
  • Sites voor functie-apps moeten openbare netwerktoegang uitschakelen
    • Nieuw beleid gemaakt
  • Functie-apps configureren om openbare netwerktoegang uit te schakelen
    • Nieuw beleid gemaakt
  • Functie-app-sites configureren om openbare netwerktoegang uit te schakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites configureren om externe foutopsporing uit te schakelen
    • Nieuw beleid gemaakt
  • Functie-app-sites configureren om externe foutopsporing uit te schakelen
    • Nieuw beleid gemaakt
  • App Service-app-sites configureren voor het gebruik van de nieuwste TLS-versie
    • Nieuw beleid gemaakt
  • Functie-app-sites configureren voor het gebruik van de nieuwste TLS-versie
    • Nieuw beleid gemaakt
  • App Service-apps moeten de nieuwste HTTP-versie gebruiken
    • Het bijwerken van de scope om Windows-apps op te nemen
  • Functie-apps moeten de nieuwste HTTP-versie gebruiken
    • Het bijwerken van de scope om Windows-apps op te nemen
  • App Service Environment-apps mogen niet bereikbaar zijn via openbaar internet
    • Beleidsdefinitie wijzigen om controle op API-versie te verwijderen

September 2022

  • App Service-apps moeten worden geïnjecteerd in een virtueel netwerk
    • Bereik van beleid bijwerken om slots te verwijderen
      • Het aanmaken van App Service-app-slots moet worden opgenomen in een virtueel netwerk om de slots te monitoren.
  • App Service-app-sites moeten worden geïnjecteerd in een virtueel netwerk
    • Nieuw beleid gemaakt
  • Functie-apps moeten 'Clientcertificaten (Binnenkomende clientcertificaten)' ingeschakeld hebben
    • Bereik van beleid bijwerken om slots te verwijderen
      • Voor het maken van 'Functie-app-sites moeten clientcertificaten (inkomende clientcertificaten)' zijn ingeschakeld om sites te bewaken
  • Voor functie-app-sites moet clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld
    • Nieuw beleid gemaakt
  • Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • Bereik van beleid bijwerken om slots te verwijderen
      • Het maken van functie-app-sites moet een Azure-bestandsshare voor de inhoudsmap gebruiken om sites te bewaken
  • Sites voor functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • Nieuw beleid gemaakt
  • App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld
    • Bereik van beleid bijwerken om slots te verwijderen
      • Het maken van App Service-app-sites moet 'Clientcertificaten (binnenkomende clientcertificaten)' hebben ingeschakeld om sites te bewaken
  • App Service-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld
    • Nieuw beleid gemaakt
  • App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • Bereik van beleid bijwerken om slots te verwijderen
      • Het maken van App Service-app-sites moet een Azure-bestandsshare voor de inhoudsmap gebruiken om sites te bewaken
  • App Service-app-sites moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • Nieuw beleid gemaakt
  • Voor functie-app-sites is alleen FTPS vereist
    • Nieuw beleid gemaakt
  • App Service-app-sites mogen alleen FTPS vereisen
    • Nieuw beleid gemaakt
  • CorS-sites voor functie-apps mogen niet zodanig zijn geconfigureerd dat elke resource toegang heeft tot uw apps
    • Nieuw beleid gemaakt
  • App Service-app-sites mogen niet zijn geconfigureerd voor CORS, zodat elke resource toegang heeft tot uw app
    • Nieuw beleid gemaakt
  • Functie-apps mogen alleen toegankelijk zijn via HTTPS
    • Bereik van beleid bijwerken om slots te verwijderen
      • Creëren van "functie-app-slots moeten alleen toegankelijk zijn via HTTPS" om slots te bewaken.
    • Effect Weigeren toevoegen
    • Het configureren van functie-applicaties om alleen toegankelijk te zijn via HTTPS voor handhaving van beleid
  • Sites voor functie-apps mogen alleen toegankelijk zijn via HTTPS
    • Nieuw beleid gemaakt
  • Functie-apps configureren om alleen toegankelijk te zijn via HTTPS
    • Nieuw beleid gemaakt
  • Functie-app-sites configureren om alleen toegankelijk te zijn via HTTPS
    • Nieuw beleid gemaakt
  • App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link
    • Lijst met ondersteunde SKU's van beleid bijwerken om de laag Workflow Standard voor Logic Apps op te nemen
  • App Service-apps configureren voor het gebruik van de nieuwste TLS-versie
    • Nieuw beleid gemaakt
  • Functie-apps configureren voor het gebruik van de nieuwste TLS-versie
    • Nieuw beleid gemaakt
  • App Service-apps configureren om externe foutopsporing uit te schakelen
    • Nieuw beleid gemaakt
  • Functie-apps configureren om externe foutopsporing uit te schakelen
    • Nieuw beleid gemaakt

Augustus 2022

  • App Service-apps mogen alleen toegankelijk zijn via HTTPS
    • Bereik van beleid bijwerken om slots te verwijderen
      • Creëren van "App Service-appslots mogen alleen toegankelijk zijn via HTTPS" om de slots te monitoren
    • Effect Weigeren toevoegen
    • Configuratie van 'App Service-apps om alleen toegankelijk te zijn via HTTPS' voor handhaving van beleid.
  • App Service-app-sites mogen alleen toegankelijk zijn via HTTPS
    • Nieuw beleid gemaakt
  • App Service-apps configureren om alleen toegankelijk te zijn via HTTPS
    • Nieuw beleid gemaakt
  • App Service-app-sites configureren om alleen toegankelijk te zijn via HTTPS
    • Nieuw beleid gemaakt

Juli 2022

  • Afschaffing van het volgende beleid:
    • Zorg ervoor dat voor de API-app clientcertificaten (binnenkomende clientcertificaten) zijn ingesteld op Aan
    • Zorg ervoor dat de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app
    • CORS mag niet toestaan dat elke resource toegang heeft tot uw API-app
    • Beheerde identiteit moet worden gebruikt in uw API-app
    • Externe foutopsporing moet worden uitgeschakeld voor API-apps
    • Zorg ervoor dat de PHP-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app
    • API-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • FTPS mag alleen vereist zijn in uw API-app
    • Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app
    • Zorg ervoor dat de HTTP-versie de meest recente is als deze wordt gebruikt om de API-app uit te voeren
    • De nieuwste TLS-versie moet worden gebruikt in uw API-app
    • Verificatie moet zijn ingeschakeld voor uw API-app
  • Functie-apps moeten 'Clientcertificaten (Binnenkomende clientcertificaten)' ingeschakeld hebben
    • Het bereik van het beleid bijwerken om slots op te nemen
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • Zorg ervoor dat de webapp 'Clientcertificaten (binnenkomende clientcertificaten)' ingesteld staat op 'Aan'
    • Naam van het beleid wijzigen in "App Service-apps moeten 'Clientcertificaten (binnenkomende clientcertificaten)' ingeschakeld hebben"
    • Het bereik van het beleid bijwerken om slots op te nemen
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • Zorg ervoor dat de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de web-app
    • Naam van beleid wijzigen in 'App Service-apps die gebruikmaken van Python moeten de nieuwste Python-versie gebruiken'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • Zorg ervoor dat de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de functie-app
    • Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Python moeten de nieuwste Python-versie gebruiken'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • CORS mag niet toestaan dat elke resource toegang heeft tot uw webtoepassingen
    • Hernoemen van beleid naar "App Service-apps mogen CORS niet zo configureren dat elke bron toegang heeft tot uw apps"
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • CORS mag niet toestaan dat elke resource toegang heeft tot uw functie-apps
    • Naam van het beleid wijzigen in 'Functie-apps mogen geen CORS geconfigureerd hebben zodat elke resource toegang heeft tot uw apps'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • Er wordt geadviseerd om een beheerde identiteit te gebruiken in uw Functie-app
    • Naam van beleid wijzigen in 'Functie-apps moeten beheerde identiteit gebruiken'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • Beheerde identiteit moet worden gebruikt in uw webapp
    • Naam van beleid wijzigen in 'App Service-apps moeten beheerde identiteit gebruiken'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • Externe foutopsporing moet worden uitgeschakeld voor Functie-apps
    • Beleid hernoemen naar 'Function-apps moeten externe foutopsporing uitgeschakeld zijn'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen
    • Naam van beleid wijzigen in 'App Service-apps moeten externe foutopsporing zijn uitgeschakeld'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • Zorg ervoor dat de PHP-versie de meest recente is als deze wordt gebruikt als onderdeel van de WEB-app
    • Naam van beleid wijzigen in 'App Service-apps die PHP gebruiken, moeten de nieuwste 'PHP-versie' gebruiken
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • App Service-slots moeten lokale authenticatiemethoden hebben uitgeschakeld bij de uitrol van SCM-sites
    • De naam van het beleid wijzigen in 'App Service-app-sleuven moeten lokale verificatiemethoden uitschakelen voor SCM-site-implementaties'
  • App Service moet lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties
    • Naam van beleid wijzigen in 'App Service-apps moeten lokale verificatiemethoden zijn uitgeschakeld voor SCM-site-implementaties'
  • App Service-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties
    • Hernoemen van beleid naar "App Service-app-sloten moeten lokale verificatiemethoden uitschakelen voor FTP-implementaties"
  • App Service moet lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties
    • Naam van beleid wijzigen in 'App Service-apps moeten lokale verificatiemethoden zijn uitgeschakeld voor FTP-implementaties'
  • Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • Het bereik van het beleid bijwerken om slots op te nemen
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • Web-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
    • Naam van beleid wijzigen in 'App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap'
    • Het bereik van het beleid bijwerken om slots op te nemen
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • FTPS mag alleen vereist zijn in uw functie-app
    • Naam van beleid wijzigen in 'Functie-apps moeten alleen FTPS vereisen'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • FTPS moet vereist zijn in uw web-app
    • Naam van beleid wijzigen in 'App Service-apps moeten alleen FTPS vereisen'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de functie-app
    • Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Java moeten de nieuwste 'Java-versie' gebruiken
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de web-app
    • Naam van beleid wijzigen in 'App Service-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • App Service moet private link gebruiken
    • Naam van beleid wijzigen in 'App Service-apps moeten private link gebruiken'
  • App Services configureren voor het gebruik van privé-DNS-zones
    • Naam van beleid wijzigen in 'App Service-apps configureren voor gebruik van privé-DNS-zones'
  • App Service-apps moeten worden geïnjecteerd in een virtueel netwerk
    • Naam van beleid wijzigen in 'App Service-apps moeten worden geïnjecteerd in een virtueel netwerk'
    • Het bereik van het beleid bijwerken om slots op te nemen
  • Zorg ervoor dat de HTTP-versie de meest recente is als deze wordt gebruikt om de web-app uit te voeren
    • Naam van beleid wijzigen in 'App Service-apps moeten de nieuwste HTTP-versie gebruiken'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • Zorg ervoor dat http-versie de meest recente is als deze wordt gebruikt om de functie-app uit te voeren
    • Naam van beleid wijzigen in 'Functie-apps moeten de nieuwste HTTP-versie gebruiken'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • De nieuwste TLS-versie moet worden gebruikt in uw web-app
    • Naam van beleid wijzigen in 'App Service-apps moeten de nieuwste TLS-versie gebruiken'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
  • De nieuwste TLS-versie moet worden gebruikt in uw functie-app
    • Naam van beleid wijzigen in 'Functie-apps moeten de nieuwste TLS-versie gebruiken'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • App Service Environment moet TLS 1.0 en 1.1 uitschakelen
    • Naam van beleid wijzigen in 'App Service Environment moet TLS 1.0 en 1.1 uitschakelen'
  • Resource logs in App Services moeten ingeschakeld zijn
    • Naam van beleid wijzigen in 'App Service-apps moeten resourcelogboeken ingeschakeld hebben'
  • Verificatie moet zijn ingeschakeld in uw web-app
    • Naam van beleid wijzigen in 'App Service-apps moeten verificatie zijn ingeschakeld'
  • Verificatie moet zijn ingeschakeld voor uw functie-app
    • Naam van beleid wijzigen in 'Functie-apps moeten verificatie zijn ingeschakeld'
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • App Service Environment moet interne versleuteling inschakelen
    • Naam van beleid wijzigen in 'App Service Environment moet interne versleuteling hebben ingeschakeld'
  • Functie-apps mogen alleen toegankelijk zijn via HTTPS
    • Het beleid aanpassen om Logic Apps uit te sluiten
  • App Service moet een service-eindpunt voor een virtueel netwerk gebruiken
    • Naam van beleid wijzigen in 'App Service-apps moeten een service-eindpunt voor een virtueel netwerk gebruiken'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps

Juni 2022

  • Afkeuring van API-beleid mag alleen toegankelijk zijn via HTTPS
  • Webtoepassing mag alleen toegankelijk zijn via HTTPS
    • Naam van beleid wijzigen in 'App Service-apps mogen alleen toegankelijk zijn via HTTPS'
    • Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
    • Het bereik van het beleid bijwerken om slots op te nemen
  • Functie-apps mogen alleen toegankelijk zijn via HTTPS
    • Het bereik van het beleid bijwerken om slots op te nemen
  • App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link
    • De logica van het beleid bijwerken om controles op het niveau of de naam van het App Service-plan op te nemen, zodat het beleid ondersteuning biedt voor Terraform-implementaties.
    • Lijst met ondersteunde SKU's van beleid bijwerken om de Basic- en Standard-lagen op te nemen

Volgende stappen

  • Last updated on