Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona jest indeksem wbudowanych definicji zasad Azure Policy dla narzędzi Foundry Tools. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Narzędzia foundry
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrożenia usług Cognitive Services powinny używać jedynie dopuszczalnego filtrowania treści uzupełniającej | Umocuj minimalne poziomy filtrowania zawartości w celu ukończenia dla wdrożeń modelu w organizacji. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Wdrożenia usług Cognitive Services powinny używać tylko dozwolonych elementów sterujących | Zarządź minimalne poziomy filtrowania zawartości o różnym stopniu szkodliwości dla szkodliwej zawartości dla wdrożeń modeli w organizacji. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Wdrożenia usług Cognitive Services powinny używać tylko dozwolonego trybu sterowania | Umocuj tryb filtrowania zawartości dla wdrożeń modeli w organizacji. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Wdrożenia usług Cognitive Services powinny używać tylko dozwolonego filtrowania zawartości monitu | Wprowadź minimalne poziomy filtrowania treści dla komunikatów w celu wdrożeń modelu w organizacji. | Inspekcja, wyłączone | 1.0.0-preview |
| Zasoby usług Azure AI Services powinny szyfrować dane magazynowane przy użyciu klucza zarządzanego przez klienta (CMK) | Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę nad cyklem życia klucza, w tym rotacją i zarządzaniem. Jest to szczególnie istotne dla organizacji z powiązanymi wymaganiami dotyczącymi zgodności. Nie jest to domyślnie oceniane i powinno być stosowane tylko wtedy, gdy są wymagane przez wymagania dotyczące zgodności lub restrykcyjnych zasad. Jeśli nie zostanie włączona, dane będą szyfrowane przy użyciu kluczy zarządzanych przez platformę. Aby to zaimplementować, zaktualizuj parametr "Effect" w zasadach zabezpieczeń dla odpowiedniego zakresu. | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.3.0 |
| Zasoby usług Azure AI Services powinny używać usługi Azure Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link zmniejsza ryzyko wycieku danych dzięki obsłudze łączności między konsumentem a usługami za pośrednictwem sieci szkieletowej platformy Azure. Dowiedz się więcej o linkach prywatnych na stronie: https://aka.ms/AzurePrivateLink/Overview | Inspekcja, wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny używać tożsamości zarządzanej | Przypisanie tożsamości zarządzanej do konta usługi Cognitive Service pomaga zapewnić bezpieczne uwierzytelnianie. Ta tożsamość jest używana przez to konto usługi Cognitive Service do komunikowania się z innymi usługami platformy Azure, takimi jak Azure Key Vault, w bezpieczny sposób bez konieczności zarządzania poświadczeniami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny używać magazynu należącego do klienta | Użyj magazynu należącego do klienta, aby kontrolować dane przechowywane w magazynowanych usługach Cognitive Services. Aby dowiedzieć się więcej na temat magazynu należącego do klienta, odwiedź stronę https://aka.ms/cogsvc-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Wdrożenia usług Cognitive Services powinny używać tylko zatwierdzonych modeli rejestru | Ograniczanie wdrażania modeli rejestru w celu kontrolowania modeli utworzonych zewnętrznie używanych w organizacji | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konfigurowanie zasobów usług Azure AI Services w celu wyłączenia dostępu do klucza lokalnego (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz lokalne metody uwierzytelniania, aby konta usług Cognitive Services wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/cs/auth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usług Cognitive Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2129800. | Wyłączone, Modyfikuj | 3.0.0 |
| Konfigurowanie kont usług Cognitive Services z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Wyłączone | 3.0.0 |
| Dzienniki diagnostyczne w zasobach usług AI platformy Azure powinny być włączone | Włączanie dzienników dla zasobów usług Azure AI. Dzięki temu można odtworzyć ślady aktywności na potrzeby badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.