Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página é um índice das definições de política internas de Azure Policy para o Serviço de Aplicativo do Azure. Para definições pré-definidas adicionais da Política do Azure para outros serviços, consulte Definições pré-definidas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub do Azure Policy.
Serviço de Aplicações do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Planos de Serviço de Aplicações devem ter Redundância de Zona | Os Planos do Serviço de Aplicativo podem ser configurados para serem Redundantes de Zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, ela não é configurada para Redundância de Zona. Esta política identifica e aplica a configuração de Redundância de Zona para Planos de Serviço de Aplicações. | Auditar, Negar, Desativar | 1.0.0-prévia |
| Os slots da aplicação do Serviço de Aplicações devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditar, Negar, Desativar | 1.2.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos finais privados pode limitar a exposição de um App Service. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desativar, Negar | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o SSH | O Serviço de Aplicativo do Azure permite que você abra uma sessão SSH em um contêiner em execução no serviço. Esse recurso deve ser desativado para garantir que o SSH não seja inadvertidamente deixado aberto nos aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh | Auditar, Negar, Desativar | 1.0.0 |
| Os slots de aplicações do Serviço App devem habilitar a configuração de roteamento para a Rede Virtual Azure | Por padrão, a configuração do aplicativo, como a extração de imagens de contêiner e a montagem do armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como true habilita o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e que os pontos de extremidade de serviço sejam privados. Para mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Negar, Desativar | 1.0.0 |
| Os slots de apps no App Service devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.0.0 |
| Os slots de aplicação do Serviço de Aplicações devem permitir o tráfego de saída, que não é RFC 1918, para a Virtual Network do Azure | Por predefinição, se utilizarmos a integração regional da Rede Virtual do Azure (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Usar a API para definir 'vnetRouteAllEnabled' como true habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo Serviço de Aplicativo. | Auditar, Negar, Desativar | 1.0.0 |
| Os slots da aplicação do Serviço de Aplicação devem ter os Certificados de Cliente (certificados de cliente recebidos) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots da aplicação do Serviço de Aplicações devem estar com os métodos de autenticação locais desativados nas implementações por FTP | A desativação de métodos de autenticação local para implantações de FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.4 |
| Os slots da aplicação do Serviço de Aplicações devem estar com a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 1.0.1 |
| Os slots de aplicações do App Service devem ter logs de recursos habilitados | Auditar a ativação de logs de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações do Serviço de Aplicações não devem ter o CORS configurado para permitir que todos os recursos acedam às suas aplicações | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações do Serviço de Aplicações só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 2.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.0.0 |
| Os espaços da aplicação no Serviço de Aplicações devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo de serviços de aplicativos, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações do Serviço de Aplicações devem usar identidade gerida | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 1.0.0 |
| Os slots da aplicação do Serviço de Aplicações devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.2.0 |
| Os slots da aplicação do Serviço de Aplicações que usam Java devem utilizar uma 'versão de Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações App Service que utilizam PHP devem especificar uma 'versão do PHP' | Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os espaços de aplicação do Serviço de Aplicações que utilizam Python devem usar uma 'versão especificada do Python' | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditar, Negar, Desativar | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos finais privados pode limitar a exposição de um App Service. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desativar, Negar | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o SSH | O Serviço de Aplicativo do Azure permite que você abra uma sessão SSH em um contêiner em execução no serviço. Esse recurso deve ser desativado para garantir que o SSH não seja inadvertidamente deixado aberto nos aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh | Auditar, Negar, Desativar | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativo, como a extração de imagens de contêiner e a montagem do armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como true habilita o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e que os pontos de extremidade de serviço sejam privados. Para mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Negar, Desativar | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por predefinição, se utilizarmos a integração regional da Rede Virtual do Azure (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Usar a API para definir 'vnetRouteAllEnabled' como true habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo Serviço de Aplicativo. | Auditar, Negar, Desativar | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Web. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações FTP | A desativação de métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| As aplicações do Serviço de Aplicações devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| As aplicações do Serviço de Aplicações devem ter logs de recursos ativados | Auditar a ativação de logs de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar uma SKU que ofereça suporte a link privado | Com SKUs suportados, o Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para aplicativos, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | Auditar, Negar, Desativar | 4.3.0 |
| As aplicações do App Service devem usar um ponto final de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre endpoints do serviço App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo de serviços de aplicativos, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Aplicações, pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | AuditIfNotExists, desativado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.2.0 |
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada | Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 4.1.0 |
| Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública | Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não estejam acessíveis pela Internet pública, deve-se implantar o Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP como um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. | Auditar, Negar, Desativar | 3.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser configurado com pacotes de codificação TLS mais fortes | Os dois pacotes de codificação mais mínimos e mais fortes necessários para que o Ambiente do Serviço de Aplicativo funcione corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Auditoria, Desativado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser provisionado com as versões mais recentes | Permita apenas que o Ambiente do Serviço de Aplicativo versão 2 ou versão 3 seja provisionado. As versões mais antigas do Ambiente do Serviço de Aplicativo exigem gerenciamento manual dos recursos do Azure e têm maiores limitações de dimensionamento. | Auditar, Negar, Desativar | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o ficheiro de paginação, os discos dos trabalhadores e o tráfego de rede interna entre as interfaces frontais e os trabalhadores em um Ambiente de Serviço de Aplicações. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
| O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado | TLS 1.0 e 1.1 são protocolos desatualizados que não suportam algoritmos criptográficos modernos. A desativação do tráfego TLS 1.0 e 1.1 de entrada ajuda a proteger aplicativos em um Ambiente do Serviço de Aplicativo. | Auditar, Negar, Desativar | 2.0.1 |
| Configurar slots de aplicação do Serviço de Aplicações para desativar a autenticação local para implementações FTP | A desativação de métodos de autenticação local para implantações de FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar instâncias do Serviço de Aplicações para desativar a autenticação local para sites SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar slots de aplicações do Serviço de Aplicações para desativar o acesso à rede pública | Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar slots de aplicações do Serviço de Apps para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar ranhuras do serviço de aplicação para usar a última versão do TLS | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para implantações de FTP | A desativação de métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.1.0 |
| Configurar aplicativos do Serviço de Aplicativo para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar aplicações do App Service para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar slots do aplicativo Function para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.2.0 |
| Configurar slots de aplicativo do Function para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.1.0 |
| Configurar os slots da aplicação Function para desativar a depuração remota | A depuração remota exige que as portas de entrada sejam abertas numa aplicação Function. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar slots de aplicativo Function para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar aplicativos do Function para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.2.0 |
| Configurar aplicativos do Function para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.1.0 |
| Configurar aplicativos do Function para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar aplicativos do Function para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.3.0 |
| Habilitar o registro em log por grupo de categorias do Serviço de Aplicativo (microsoft.web/sites) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Serviço de Aplicativo (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Habilitar registos por categoria de grupo para Ambientes de Serviço de Aplicações (microsoft.web/hostingenvironments) para o Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para direcionar logs para um Hub de Eventos para Ambientes de App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Ambientes do Serviço de Aplicações (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Habilitar o registo de logs por grupo de categorias para Ambientes de Serviço de Aplicações (microsoft.web/hostingenvironments) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Ativar o registo por grupo de categorias para a Aplicação de Função (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Function App (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Os slots de aplicativos de função devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de endereços de rede privados pode limitar a exposição de uma aplicação de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desativar, Negar | 1.1.0 |
| As instâncias de aplicativo de função devem habilitar o roteamento de configuração para a rede virtual do Azure | Por padrão, a configuração do aplicativo, como a extração de imagens de contêiner e a montagem do armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como true habilita o tráfego de configuração por meio da Rede Virtual do Azure. Para mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. Observe que essa política só deve ser aplicada a aplicativos funcionais que não estejam sendo executados nos planos de hospedagem Flex Consumption ou Consumption. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots de aplicativo de função devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots de aplicativo de função devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por predefinição, se utilizarmos a integração regional da Rede Virtual do Azure (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Usar a API para definir 'vnetRouteAllEnabled' como true habilita todo o tráfego de saída para a Rede Virtual do Azure. Observe que essa política só deve ser aplicada a aplicativos funcionais que não estejam sendo executados nos planos de hospedagem Flex Consumption ou Consumption. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots de aplicativo de função devem ter Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.1.0 |
| As instâncias de aplicação de função devem ter a depuração remota desligada | A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots de aplicações funcionais não devem ter o CORS configurado para permitir que qualquer recurso aceda às suas aplicações | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem a sua aplicação Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots de aplicação de função só devem ser acessíveis através de HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 2.1.0 |
| Os slots de aplicativo de função devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.1.0 |
| Os slots de aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots de aplicativo de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo Function deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo de serviços de aplicativos, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 1.1.0 |
| Os slots das aplicações de funções devem utilizar a versão mais recente do "HTTP" | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots das aplicações de função devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.3.0 |
| Os slots de aplicação de funções que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de uma aplicação de funções que utilizam Python devem usar uma 'versão especificada do Python' | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de endereços de rede privados pode limitar a exposição de uma aplicação de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desativar, Negar | 1.1.0 |
| Os aplicativos de função devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativo, como a extração de imagens de contêiner e a montagem do armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como true habilita o tráfego de configuração por meio da Rede Virtual do Azure. Para mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. Observe que essa política só deve ser aplicada a aplicativos funcionais que não estejam sendo executados nos planos de hospedagem Flex Consumption ou Consumption. | Auditar, Negar, Desativar | 1.1.0 |
| Os aplicativos de função devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.1.0 |
| Os aplicativos de função devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por predefinição, se utilizarmos a integração regional da Rede Virtual do Azure (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Usar a API para definir 'vnetRouteAllEnabled' como true habilita todo o tráfego de saída para a Rede Virtual do Azure. Observe que essa política só deve ser aplicada a aplicativos funcionais que não estejam sendo executados nos planos de hospedagem Flex Consumption ou Consumption. | Auditar, Negar, Desativar | 1.1.0 |
| Os aplicativos de função devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Função ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Função. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.1.0 |
| As aplicações de funções devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.1.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem a sua aplicação Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 5.1.0 |
| Os aplicativos de função devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.1.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo Function deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo de serviços de aplicativos, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 3.1.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.1.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.3.0 |
| Os aplicativos de função que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 4.1.0 |
Notas de versão
Outubro de 2024
- O TLS 1.3 agora é suportado em aplicações e slots do Serviço de Aplicações. As seguintes políticas foram atualizadas para impor a configuração da versão mínima do TLS para 1.3:
- "Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente"
- Os slots das aplicações no Serviço de Aplicações devem usar a versão TLS mais recente.
- "Configurar aplicativos do Serviço de Aplicativo para usar a versão TLS mais recente"
- Configurar slots da aplicação do Serviço de Aplicações para usar a versão de TLS mais recente
- "Os aplicativos de função devem usar a versão TLS mais recente"
- "Configurar aplicativos de função para usar a versão TLS mais recente"
- Os slots das aplicações de função devem usar a versão mais recente do TLS.
- "Configurar slots de aplicativo Function para usar a versão TLS mais recente"
Abril de 2023
-
Os aplicativos do Serviço de Aplicativo que usam Java devem usar a 'versão Java' mais recente
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão Java' especificada"
- Atualizar a política para que ela exija uma especificação de versão antes da atribuição
-
Os aplicativos do Serviço de Aplicativo que usam Python devem usar a 'versão do Python' mais recente
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo que usam Python devem usar uma 'versão do Python' especificada"
- Atualizar a política para que ela exija uma especificação de versão antes da atribuição
-
Os aplicativos funcionais que usam Java devem usar a 'versão Java' mais recente
- A renomeação da política para "Aplicações funcionais que usam Java devem usar uma 'versão de Java' especificada"
- Atualizar a política para que ela exija uma especificação de versão antes da atribuição
-
Os aplicativos de função que usam Python devem usar a 'versão Python' mais recente
- Renomeie a política para "Aplicativos de função que usam Python devem usar uma 'versão do Python' especificada"
- Atualizar a política para que ela exija uma especificação de versão antes da atribuição
-
Os aplicativos do Serviço de Aplicativo que usam PHP devem usar a 'versão do PHP' mais recente
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada"
- Atualizar a política para que ela exija uma especificação de versão antes da atribuição
-
Os espaços de aplicação do Serviço de Aplicações que utilizam Python devem usar uma 'versão especificada do Python'
- Nova política criada
-
Os slots de uma aplicação de funções que utilizam Python devem usar uma 'versão especificada do Python'
- Nova política criada
-
Os slots de aplicações App Service que utilizam PHP devem especificar uma 'versão do PHP'
- Nova política criada
-
Os slots da aplicação do Serviço de Aplicações que usam Java devem utilizar uma 'versão de Java' especificada
- Nova política criada
-
Os slots de aplicação de funções que usam Java devem usar uma 'versão Java' especificada
- Nova política criada
Novembro de 2022
- Descontinuação da política App Service apps deve habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Substituída por uma política com o mesmo nome de exibição, baseada na propriedade do site para suportar o efeito Deny
- A depreciação da política de slots de aplicativo do Serviço de Aplicativo deve permitir o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Substituída por uma política com o mesmo nome de exibição, baseada na propriedade do site para suportar o efeito Deny
-
Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Nova política criada
-
Os slots de aplicação do Serviço de Aplicações devem permitir o tráfego de saída, que não é RFC 1918, para a Virtual Network do Azure
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure
- Nova política criada
-
Os slots de aplicações do Serviço App devem habilitar a configuração de roteamento para a Rede Virtual Azure
- Nova política criada
Outubro de 2022
-
As instâncias de aplicação de função devem ter a depuração remota desligada
- Nova política criada
-
Os slots da aplicação do Serviço de Aplicações devem estar com a depuração remota desativada
- Nova política criada
-
Os slots das aplicações de funções devem utilizar a versão mais recente do "HTTP"
- Nova política criada
-
Os slots das aplicações de função devem usar a versão mais recente do TLS
- Nova política criada
-
Os slots da aplicação do Serviço de Aplicações devem usar a versão TLS mais recente
- Nova política criada
-
Os slots de aplicações do App Service devem ter logs de recursos habilitados
- Nova política criada
-
Os slots de aplicação do Serviço de Aplicações devem permitir o tráfego de saída, que não é RFC 1918, para a Virtual Network do Azure
- Nova política criada
-
Os slots de aplicações do Serviço de Aplicações devem usar identidade gerida
- Nova política criada
-
Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente
- Nova política criada
- Descontinuação da política Configurar os Serviços de Aplicativo para desabilitar o acesso à rede pública
- Substituído por "Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública"
- Desativação da política Serviços de Aplicações deve desabilitar o acesso à rede pública
- Substituído por "Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública" para oferecer suporte ao efeito Negar
-
Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública
- Nova política criada
-
Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública
- Nova política criada
-
Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública
- Nova política criada
-
Configurar slots de aplicações do Serviço de Aplicações para desativar o acesso à rede pública
- Nova política criada
-
Os aplicativos de função devem desativar o acesso à rede pública
- Nova política criada
-
Os slots de aplicativos de função devem desabilitar o acesso à rede pública
- Nova política criada
-
Configurar aplicativos do Function para desabilitar o acesso à rede pública
- Nova política criada
-
Configurar slots do aplicativo Function para desabilitar o acesso à rede pública
- Nova política criada
-
Configurar slots de aplicações do Serviço de Apps para desativar a depuração remota
- Nova política criada
-
Configurar os slots da aplicação Function para desativar a depuração remota
- Nova política criada
-
Configurar ranhuras do serviço de aplicação para usar a última versão do TLS
- Nova política criada
-
Configurar slots de aplicativo Function para usar a versão TLS mais recente
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente
- Atualizar o escopo para incluir aplicativos do Windows
-
Os aplicativos de função devem usar a 'Versão HTTP' mais recente
- Atualizar o escopo para incluir aplicativos do Windows
-
Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública
- Modificar a definição de política para remover a verificação da versão da API
Setembro de 2022
-
Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Atualizar o escopo da política para remover espaços
- Criação de slots de Serviço de Aplicativo que devem ser injetados em uma rede virtual para monitorar slots.
- Atualizar o escopo da política para remover espaços
- Os slots da aplicação do Serviço de Aplicações devem ser injetados em uma rede virtual
- Nova política criada
-
Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados
- Atualizar o escopo da política para remover espaços
- Criação de "Slots de aplicativo de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados" para monitorar slots
- Atualizar o escopo da política para remover espaços
-
Os slots de aplicação devem ter 'Certificados de Cliente (Certificados de Cliente de Entrada)' ativados
- Nova política criada
-
Os aplicativos de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Atualizar o escopo da política para remover espaços
- Criação de "os slots da aplicação de função devem usar um compartilhamento de arquivos do Azure para o seu diretório de conteúdo" para monitorar os slots.
- Atualizar o escopo da política para remover espaços
-
Os slots de aplicativo de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem ter 'Certificados de Cliente (Certificados de Cliente de Entrada)' habilitados
- Atualizar o escopo da política para remover espaços
- Criação de slots de aplicativos do "App Service" devem ter 'Certificados de Cliente (Certificados de Cliente de Entrada)' ativados para monitorizar slots
- Atualizar o escopo da política para remover espaços
-
Os slots de aplicativo do Serviço de Aplicações devem ter 'Certificados de Cliente (certificados de cliente de entrada)' ativados
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Atualizar o escopo da política para remover espaços
- Criação de "slots de aplicativo do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo" para monitorar slots
- Atualizar o escopo da política para remover espaços
-
Os slots de aplicativo do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Nova política criada
-
Os slots de aplicativos de função devem exigir apenas FTPS
- Nova política criada
-
Os espaços da aplicação no Serviço de Aplicações devem exigir apenas FTPS
- Nova política criada
-
Os slots de aplicações funcionais não devem ter o CORS configurado para permitir que qualquer recurso aceda às suas aplicações
- Nova política criada
-
Os slots de aplicativo do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seu aplicativo
- Nova política criada
-
Os aplicativos de função só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para remover espaços
- Criação de "os slots do aplicativo de função devem ser acessíveis apenas por HTTPS" para monitorizar os slots.
- Adicionar efeito "Negar"
- Criação de "Configurar aplicativos de função para serem acessíveis somente por HTTPS" para aplicação da política
- Atualizar o escopo da política para remover espaços
-
Os slots de aplicação de função só devem ser acessíveis através de HTTPS
- Nova política criada
-
Configurar aplicativos do Function para que só sejam acessíveis por HTTPS
- Nova política criada
-
Configurar slots de aplicativo do Function para que só sejam acessíveis por HTTPS
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem usar uma SKU que ofereça suporte a link privado
- Atualizar a lista de SKUs suportados da política para incluir a camada Workflow Standard para Aplicativos Lógicos
-
Configurar aplicativos do Serviço de Aplicativo para usar a versão TLS mais recente
- Nova política criada
-
Configurar aplicativos do Function para usar a versão TLS mais recente
- Nova política criada
-
Configurar aplicações do App Service para desativar a depuração remota
- Nova política criada
-
Configurar aplicativos do Function para desativar a depuração remota
- Nova política criada
Agosto de 2022
-
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para remover espaços
- Criação de "slots de aplicativo do Serviço de Aplicativo só devem ser acessíveis por HTTPS" para monitorar slots
- Adicionar efeito "Negar"
- Criação de "Configurar aplicativos do Serviço de Aplicativo para que só sejam acessíveis por HTTPS" para aplicação da política
- Atualizar o escopo da política para remover espaços
-
Os slots de aplicações do Serviço de Aplicações só devem ser acessíveis por HTTPS
- Nova política criada
-
Configurar aplicativos do Serviço de Aplicativo para que só sejam acessíveis por HTTPS
- Nova política criada
-
Configurar slots de aplicativo do Serviço de Aplicativo para que só sejam acessíveis por HTTPS
- Nova política criada
Julho de 2022
- Descontinuação das seguintes políticas:
- Verifique se o aplicativo de API tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado'
- Certifique-se de que a 'versão Python' é a mais recente, se usada como parte do aplicativo API
- O CORS não deve permitir que todos os recursos acessem seu aplicativo de API
- A identidade gerenciada deve ser usada em seu aplicativo de API
- A depuração remota deve ser desativada para aplicativos de API
- Certifique-se de que a 'versão PHP' é a mais recente, se usada como parte do aplicativo API
- Os aplicativos de API devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- FTPS só deve ser necessário em seu aplicativo de API
- Certifique-se de que a 'versão Java' é a mais recente, se usada como parte do aplicativo API
- Certifique-se de que 'Versão HTTP' é a mais recente, se usada para executar o aplicativo de API
- A versão mais recente do TLS deve ser usada em seu aplicativo de API
- A autenticação deve ser habilitada em seu aplicativo de API
-
Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para excluir aplicativos lógicos
-
Verifique se o aplicativo WEB tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado'
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem ter 'Certificados de Cliente (Certificados de Cliente de Entrada)' habilitados"
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
Certifique-se de que a 'versão Python' é a mais recente, se usada como parte do aplicativo Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo que usam Python devem usar a 'versão do Python' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
Certifique-se de que a 'versão Python' é a mais recente, se usada como parte do aplicativo Function
- Renomeie a política para "Aplicativos de função que usam Python devem usar a 'versão do Python' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O CORS não deve permitir que todos os recursos tenham acesso às suas Aplicações Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
O CORS não deve permitir que todos os recursos acessem seus aplicativos de função
- Renomeie a política para "Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A identidade gerenciada deve ser usada em seu aplicativo de função
- Renomear a política para "Os aplicativos de função devem usar identidade gerenciada"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A identidade gerenciada deve ser usada em seu aplicativo Web
- Renomear a política para "Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
A depuração remota deve ser desativada para aplicativos de função
- Renomeie a política para "Os aplicativos de função devem ter a depuração remota desativada"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A depuração remota deve ser desativada para aplicativos Web
- Renomeie a política para "As aplicações de Serviço de Aplicações devem ter a depuração remota desativada"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
Certifique-se de que a 'versão PHP' é a mais recente, se usada como parte do aplicativo WEB
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo que usam PHP devem usar a 'versão do PHP' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
Os slots do Serviço de Aplicações devem ter os métodos de autenticação local desativados para a implantação do site SCM
- Renomeie a política para "Os slots de aplicação do App Service devem ter métodos de autenticação local desativados para implementações no site SCM"
-
O Serviço de Aplicativo deve ter métodos de autenticação local desabilitados para implantações de site do SCM
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM"
-
Os slots do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP
- Renomeie a política para "Os slots de aplicativo do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP"
-
O Serviço de Aplicativo deve ter métodos de autenticação local desabilitados para implantações de FTP
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP"
-
Os aplicativos de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para excluir aplicativos lógicos
-
Os aplicativos Web devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo"
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
FTPS só deve ser necessário em seu aplicativo de função
- Renomeie a política para "Os aplicativos de função devem exigir apenas FTPS"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
FTPS deve ser necessário em seu aplicativo Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem exigir somente FTPS"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
Certifique-se de que a 'versão Java' é a mais recente, se usada como parte do aplicativo Function
- Renomeie a política para "Aplicativos funcionais que usam Java devem usar a 'versão Java' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
Certifique-se de que a 'versão Java' é a mais recente, se usada como parte do aplicativo Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo que usam Java devem usar a 'versão Java' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
O Serviço de Aplicativo deve usar link privado
- Renomear a política para "Os aplicativos do Serviço de Aplicativo devem usar link privado"
-
Configurar os Serviços de Aplicativo para usar zonas DNS privadas
- Renomear a política para "Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas"
-
Os Aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual"
- Atualizar o escopo da política para incluir slots
-
Certifique-se de que 'Versão HTTP' é a mais recente, se usada para executar o aplicativo Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
Certifique-se de que 'Versão HTTP' é a mais recente, se usada para executar o aplicativo Function
- Renomeie a política para "Os aplicativos de função devem usar a 'Versão HTTP' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A versão mais recente do TLS deve ser usada em seu aplicativo Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
-
A versão mais recente do TLS deve ser usada no seu aplicativo de função
- Renomeie a política para "Os aplicativos de função devem usar a versão TLS mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O Ambiente do Serviço de Aplicativo deve desabilitar o TLS 1.0 e 1.1
- Renomeie a política para "O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado"
-
Os logs de recursos no App Services devem ser habilitados
- Renomeie a política para "As aplicações do Serviço de Aplicações devem ter registos de recursos habilitados"
-
A autenticação deve ser habilitada em seu aplicativo Web
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada"
-
A autenticação deve ser ativada no seu aplicativo Function
- Renomear a política para "Os aplicativos de função devem ter a autenticação habilitada"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O Ambiente do Serviço de Aplicativo deve habilitar a criptografia interna
- Renomeie a política para "O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada"
-
Os aplicativos de função só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O Serviço de Aplicações deve usar uma conexão final de serviço de rede virtual
- Renomear a política para "As aplicações do App Service devem usarem um ponto de extremidade de serviço da rede virtual"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
Junho de 2022
- Descontinuação da política API App só deve ser acessível por HTTPS
-
O Aplicativo Web só deve ser acessível por HTTPS
- Renomeie a política para "Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de função
- Atualizar o escopo da política para incluir slots
-
Os aplicativos de função só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para incluir slots
-
Os aplicativos do Serviço de Aplicativo devem usar uma SKU que ofereça suporte a link privado
- Atualizar a lógica da política para incluir verificações na camada ou no nome do plano do Serviço de Aplicativo para que a política ofereça suporte a implantações do Terraform
- Atualizar a lista de SKUs suportados pela política para incluir as camadas Básica e Standard
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos da política.