Azure Policy definições incorporadas para Serviço de Aplicações do Azure

Esta página é um índice de definições de políticas Azure Policy incorporadas para Serviço de Aplicações do Azure. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.

O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.

Serviço de Aplicações do Azure

Nome
(portal Azure)
Descrição Efeito(s) Versão
(GitHub)
[Pré-visualização]: Planos de Serviço de Aplicações devem ter Redundância de Zona Os Planos do Serviço de Aplicativo podem ser configurados para serem Redundantes de Zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, ela não é configurada para Redundância de Zona. Esta política identifica e aplica a configuração de Redundância de Zona para Planos de Serviço de Aplicações. Auditar, Negar, Desativar 1.0.0-preview
A configuração da rede de aplicações deve negar a ligação a endpoints privados externos Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Negue endpoints privados externos ligados a aplicações neste tenant. Auditar, Negar, Desativar 1.0.0
As configurações das aplicações de App Service devem restringir o acesso padrão à rede nos produtos e serviços da Mission Platform Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Configure as Configurações de App App Service para restringir o acesso predeterminado à rede, definindo Restrições de Segurança IP Ação Padrão e Restrições de Segurança de IP SCM Ação Padrão para Negar. Auditar, Negar, Desativar 1.0.0
As configurações de slots de aplicações de App Service devem restringir o acesso padrão à rede nos produtos e serviços da Mission Platform Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Configure as Configurações de Slot de Aplicação de Serviços de Aplicação para restringir o acesso padrão à rede, definindo Restrições de Segurança IP Ação Padrão e Restrições de Segurança de IP SCM Ação Padrão para Negar. Auditar, Negar, Desativar 1.0.0
Os slots da aplicação do Serviço de Aplicações devem ser injetados em uma rede virtual Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Auditar, Negar, Desativar 1.3.0
Os espaços de aplicação de App Service devem ser inseridos numa rede virtual. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Os espaços de aplicação de App Service devem ser inseridos numa rede virtual. Auditar, Negar, Desativar 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos finais privados pode limitar a exposição de um App Service. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditar, Negar, Desativar 1.1.0
Os espaços de aplicação de App Service devem desativar o acesso à rede pública. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Desative o acesso público à rede para os seus Serviços de Aplicação. Auditar, Negar, Desativar 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o SSH O Serviço de Aplicações do Azure permite abrir uma sessão SSH num contentor a correr no serviço. Esse recurso deve ser desativado para garantir que o SSH não seja inadvertidamente deixado aberto nos aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh Auditar, Negar, Desativar 1.0.0
Os slots de aplicação App Service devem permitir o encaminhamento de configuração para Rede Virtual do Azure Por defeito, o tráfego de configuração (pull de imagem, partilha de conteúdo, backup/restauro) não é encaminhado através da integração regional com VNET. Para a API < 2024-11-01, defina 'vnetImagePullEnabled', 'vnetContentShareEnabled', 'vnetBackupRestoreEnabled' como true. Para API >= 2024-11-01, defina as propriedades correspondentes 'outboundVnetRouting' ou 'outboundVnetRouting.allTraffic' como true. Saiba mais: https://aka.ms/appservice-vnet-configuration-routing. Auditar, Negar, Desativar 1.2.0
Os slots App Service devem permitir o encaminhamento de configuração para o Rede Virtual do Azure. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Os slots App Service devem permitir o encaminhamento de configuração para o Rede Virtual do Azure. Auditar, Negar, Desativar 1.0.0
Os slots de apps no App Service devem habilitar a criptografia de ponta a ponta A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. Auditar, Negar, Desativar 1.0.0
Os espaços de aplicação App Service devem permitir o encaminhamento do tráfego de aplicações de saída para Rede Virtual do Azure Por defeito, a integração regional de VNET só encaminha RFC1918 tráfego. Defina 'vnetRouteAllEnabled' (API < 2024-11-01) ou 'outboundVnetRouting.applicationTraffic' (API >= 2024-11-01) para encaminhar o tráfego de aplicações através da rede virtual. Alternativamente, defina 'outboundVnetRouting.allTraffic' para encaminhar todo o tráfego. O tráfego de configuração é tratado separadamente pela política de encaminhamento de configuração. Auditar, Negar, Desativar 1.2.0
Os slots de aplicação App Service devem permitir o tráfego de saída não-RFC 1918 para o Rede Virtual do Azure. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Os slots de aplicação App Service devem permitir o tráfego de saída não-RFC 1918 para o Rede Virtual do Azure. Auditar, Negar, Desativar 1.0.0
Os slots de aplicações do App Service devem ter autenticação ativada A Autenticação do Serviço de Aplicações do Azure é uma funcionalidade que pode impedir que pedidos HTTP anónimos cheguem ao slot da app, ou autenticar aqueles que possuem tokens antes de chegarem ao slot da app. AuditIfNotExists, desativado 1.0.0
Os slots da aplicação do Serviço de Aplicação devem ter os Certificados de Cliente (certificados de cliente recebidos) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. AuditIfNotExists, desativado 1.0.0
Os slots da aplicação do Serviço de Aplicações devem estar com os métodos de autenticação locais desativados nas implementações por FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança ao garantir que os espaços de Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.1.0
Os slots de aplicativo do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os espaços de App Service requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.1.0
Os slots da aplicação do Serviço de Aplicações devem estar com a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. AuditIfNotExists, desativado 1.0.1
Os slots de aplicações do App Service devem ter logs de recursos habilitados Auditar a ativação de logs de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. AuditIfNotExists, desativado 1.0.0
Os slots de aplicações do Serviço de Aplicações não devem ter o CORS configurado para permitir que todos os recursos acedam às suas aplicações O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desativado 1.0.0
Os slots de aplicações do Serviço de Aplicações só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desativar, Negar 2.0.0
Os slots de aplicativo do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. Auditar, Desativar, Negar 1.0.0
Os espaços da aplicação no Serviço de Aplicações devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 1.0.0
Os espaços para aplicações de App Service devem restringir as regras de acesso a slots a fontes específicas nos produtos e serviços da Mission Platform Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Restringa as regras de acesso a slots a fontes específicas. Auditar, Negar, Desativar 1.0.0
Os slots de aplicação App Service devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdo O diretório de conteúdo de uma aplicação deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. Auditoria, Desativado 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 1.0.0
Os slots de aplicações do Serviço de Aplicações devem usar identidade gerida Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 1.0.0
Os slots da aplicação do Serviço de Aplicações devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 1.2.0
Os slots de aplicação App Service que usam Java devem usar uma 'versão Java' especificada Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de Serviços de Aplicações para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. AuditIfNotExists, desativado 1.0.0
Os slots de aplicações App Service que utilizam PHP devem especificar uma 'versão do PHP' Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. AuditIfNotExists, desativado 1.0.0
Os slots de aplicação App Service que utilizam Python devem usar uma 'versão Python' Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de serviços de aplicação para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Auditar, Negar, Desativar 3.3.0
As aplicações de Serviços de Aplicação devem ser inseridas numa rede virtual. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Auditar, Negar, Desativar 1.0.0
Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos finais privados pode limitar a exposição de um App Service. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditar, Negar, Desativar 1.2.0
As aplicações do Serviço de Aplicações deviam desativar o acesso à rede pública. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditar, Negar, Desativar 1.0.0
Os aplicativos do Serviço de Aplicativo devem desabilitar o SSH O Serviço de Aplicações do Azure permite abrir uma sessão SSH num contentor a correr no serviço. Esse recurso deve ser desativado para garantir que o SSH não seja inadvertidamente deixado aberto nos aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh Auditar, Negar, Desativar 1.0.0
As aplicações de Serviço de Aplicações devem permitir o encaminhamento de configuração para Rede Virtual do Azure Por defeito, o tráfego de configuração (pull de imagem, partilha de conteúdo, backup/restauro) não é encaminhado através da integração regional com VNET. Para a API < 2024-11-01, defina 'vnetImagePullEnabled', 'vnetContentShareEnabled', 'vnetBackupRestoreEnabled' como true. Para API >= 2024-11-01, defina as propriedades correspondentes 'outboundVnetRouting' ou 'outboundVnetRouting.allTraffic' como true. Saiba mais: https://aka.ms/appservice-vnet-configuration-routing. Auditar, Negar, Desativar 1.2.0
As aplicações de App Service devem permitir o encaminhamento de configuração para o Rede Virtual do Azure. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. As aplicações de App Service devem permitir o encaminhamento de configuração para o Rede Virtual do Azure. Auditar, Negar, Desativar 1.0.0
Os aplicativos do Serviço de Aplicativo devem habilitar a criptografia de ponta a ponta A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. Auditar, Negar, Desativar 1.0.0
App Service as aplicações devem permitir o encaminhamento do tráfego de aplicações de saída para Rede Virtual do Azure Por defeito, a integração regional de VNET só encaminha RFC1918 tráfego. Defina 'vnetRouteAllEnabled' (API < 2024-11-01) ou 'outboundVnetRouting.applicationTraffic' (API >= 2024-11-01) para encaminhar o tráfego de aplicações através da rede virtual. Alternativamente, defina 'outboundVnetRouting.allTraffic' para encaminhar todo o tráfego. O tráfego de configuração é tratado separadamente pela política de encaminhamento de configuração. Auditar, Negar, Desativar 1.2.0
As aplicações de App Service devem permitir o tráfego de saída não RFC 1918 para o Rede Virtual do Azure. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. As aplicações de App Service devem permitir o tráfego de saída não RFC 1918 para o Rede Virtual do Azure. Auditar, Negar, Desativar 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada A Autenticação do Serviço de Aplicações do Azure é uma funcionalidade que pode impedir que pedidos HTTP anónimos cheguem à aplicação web, ou autenticar aqueles que possuem tokens antes de chegarem à aplicação web. AuditIfNotExists, desativado 2.0.1
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança, garantindo que os Serviços de Aplicação requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.1.0
Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.1.0
As aplicações do Serviço de Aplicações devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
As aplicações do Serviço de Aplicações devem ter logs de recursos ativados Auditar a ativação de logs de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. AuditIfNotExists, desativado 2.0.1
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desativado 2.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desativar, Negar 4.0.0
Os aplicativos do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. Auditar, Desativar, Negar 1.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 3.0.0
As aplicações de Serviços de Aplicação devem restringir as regras de acesso ao site a fontes especificadas nos produtos e serviços da Mission Platform Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Restringa as regras de acesso ao site a fontes especificadas. Auditar, Negar, Desativar 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar uma SKU que ofereça suporte a link privado Com SKUs suportados, o Azure Private Link permite-lhe ligar a sua rede virtual a serviços Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para aplicativos, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. Auditar, Negar, Desativar 4.3.0
As aplicações de App Service devem usar um SKU que suporte ligação privada. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Usa SKU suportado por PLS. Auditar, Negar, Desativar 1.0.0
As aplicações do App Service devem usar um ponto final de serviço de rede virtual Use endpoints de serviço de rede virtual para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual do Azure. Para saber mais sobre endpoints do serviço App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, desativado 2.0.1
As aplicações App Service devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdos O diretório de conteúdo de uma aplicação deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. Auditoria, Desativado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 4.0.0
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar link privado O Azure Private Link permite-lhe ligar as suas redes virtuais a serviços Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para o Serviço de Aplicações, pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. AuditIfNotExists, desativado 1.0.1
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.2.0
App Service que utilizam Java devem usar uma 'versão de Java' Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de Serviços de Aplicações para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. AuditIfNotExists, desativado 3.1.0
Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. AuditIfNotExists, desativado 3.2.0
App Service que utilizam Python devem usar uma 'versão Python' especificada Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de serviços de aplicação para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. AuditIfNotExists, desativado 4.1.0
As aplicações Ambiente do Serviço de Aplicações não devem ser acessíveis através da internet pública Para garantir que as aplicações implementadas num Ambiente do Serviço de Aplicações não são acessíveis através da internet pública, deve-se implementar o Ambiente do Serviço de Aplicações com um endereço IP numa rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicações deve ser implementado com um balanceador de carga interno. Auditar, Negar, Desativar 3.0.0
As aplicações do Ambiente do Serviço de Aplicações não devem ser acessíveis através da internet pública. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Para garantir que as aplicações implementadas num Ambiente do Serviço de Aplicações não são acessíveis através da internet pública, deve-se implementar o Ambiente do Serviço de Aplicações com um endereço IP numa rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicações deve ser implementado com um balanceador de carga interno. Auditar, Negar, Desativar 1.0.0
Ambiente do Serviço de Aplicações deve estar configurado com as suítes de cifra TLS mais fortes Os dois conjuntos de cifras mais mínimos e fortes necessários para Ambiente do Serviço de Aplicações funcionarem corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Auditoria, Desativado 1.0.0
Ambiente do Serviço de Aplicações deve ter Portas de Controlo e de Dados ligadas ao ILB Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Definir o Modo de Balanceamento de Carga Interno (ilbMode) para 'Web, Publishing' vincula o tráfego HTTP/HTTPS nas portas 80/443 e as portas de controlo/canal de dados para FTP a um endereço Rede Virtual alocado por ILB. Auditar, Negar, Desativar 1.0.0
Ambiente do Serviço de Aplicações deve ter a encriptação interna ativada Definir o InternalEncryption para true encripta o ficheiro de paginação, os discos de trabalho e o tráfego de rede interna entre as interfaces e os trabalhadores num Ambiente do Serviço de Aplicações. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Auditoria, Desativado 1.0.1
O Ambiente do Serviço de Aplicações deve ter a encriptação interna ativada. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Definir o InternalEncryption para true encripta o ficheiro de paginação, os discos de trabalho e o tráfego de rede interna entre as interfaces e os trabalhadores num Ambiente do Serviço de Aplicações. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Auditar, Negar, Desativar 1.0.0
Ambiente do Serviço de Aplicações deve ter o TLS 1.0 e 1.1 desativados TLS 1.0 e 1.1 são protocolos desatualizados que não suportam algoritmos criptográficos modernos. Desabilitar o tráfego de entrada TLS 1.0 e 1.1 ajuda a proteger as aplicações num Ambiente do Serviço de Aplicações. Auditar, Negar, Desativar 2.0.1
Os Ambientes de Serviços de Aplicações neste tenant devem negar a ligação a endpoints privados externos Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Negue endpoints privados externos ligados a Ambientes de Serviços de Aplicações neste tenant. Auditar, Negar, Desativar 1.0.0
Os Planos de Serviços de Aplicação devem utilizar o Ambiente do Serviço de Aplicações. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Exigir a utilização do Ambiente do Serviço de Aplicações para os Planos de Serviços de Aplicação. Auditar, Negar, Desativar 1.0.0
Configurar slots de aplicação do Serviço de Aplicações para desativar a autenticação local para implementações FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança ao garantir que os espaços de Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.1.0
Configurar instâncias do Serviço de Aplicações para desativar a autenticação local para sites SCM Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os espaços de App Service requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.1.0
Configurar slots de aplicações do Serviço de Aplicações para desativar o acesso à rede pública Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desativado 1.2.0
Configurar slots de aplicativo do Serviço de Aplicativo para que só sejam acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Modificar, Desativado 2.0.0
Configurar slots de aplicações do Serviço de Apps para desativar a depuração remota A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. DeployIfNotExists, desativado 1.1.0
Configurar ranhuras do serviço de aplicação para usar a última versão do TLS Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. DeployIfNotExists, desativado 1.3.0
Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para implantações de FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança, garantindo que os Serviços de Aplicação requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.1.0
Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.1.0
Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desativado 1.2.0
Configurar aplicativos do Serviço de Aplicativo para que só sejam acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Modificar, Desativado 2.0.0
Configurar aplicações do App Service para desativar a depuração remota A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. DeployIfNotExists, desativado 1.0.0
Configurar aplicativos do Serviço de Aplicativo para usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. DeployIfNotExists, desativado 1.2.0
Configurar os slots da aplicação Function para desativar a autenticação local em implementações FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança ao garantir que os espaços de aplicação de funções requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.0.0
Configurar os espaços da aplicação Function para desativar a autenticação local para sites SCM Desabilitar métodos de autenticação local para sites SCM melhora a segurança ao garantir que os espaços de aplicação de função requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.0.0
Configurar slots do aplicativo Function para desabilitar o acesso à rede pública Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desativado 1.3.0
Configurar slots de aplicativo do Function para que só sejam acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Modificar, Desativado 2.1.0
Configurar os slots da aplicação Function para desativar a depuração remota A depuração remota exige que as portas de entrada sejam abertas numa aplicação Function. A depuração remota deve ser desativada. DeployIfNotExists, desativado 1.2.0
Configurar slots de aplicativo Function para usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. DeployIfNotExists, desativado 1.4.0
Configure as aplicações Function para desativar a autenticação local em implementações FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança, garantindo que as aplicações funcionais requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.0.0
Configurar aplicações Function para desativar a autenticação local em sites SCM Desativar métodos locais de autenticação para sites SCM melhora a segurança ao garantir que as aplicações funcionais requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desativado 1.0.0
Configurar aplicativos do Function para desabilitar o acesso à rede pública Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desativado 1.3.0
Configurar aplicativos do Function para que só sejam acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Modificar, Desativado 2.1.0
Configurar aplicativos do Function para desativar a depuração remota A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. DeployIfNotExists, desativado 1.1.0
Configurar aplicativos do Function para usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. DeployIfNotExists, desativado 1.3.0
Não permita a eliminação na configuração da rede da aplicação Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Negar a eliminação da configuração de rede das aplicações. DenyAction, desativado 1.0.0
Não permita a eliminação na configuração da rede de slot do App Service Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. A configuração da rede App Slots não deve ser eliminada. DenyAction, desativado 1.0.0
Ative o registo por grupo de categorias para o Serviço de Aplicações (microsoft.web/sites) para Log Analytics Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho do Log Analytics para o App Service (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Desativado 1.0.0
Habilitar registos por categoria de grupo para Ambientes de Serviço de Aplicações (microsoft.web/hostingenvironments) para o Hub de Eventos Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para direcionar logs para um Hub de Eventos para Ambientes de App Service (microsoft.web/hostingenvironments). DeployIfNotExists, AuditIfNotExists, Desativado 1.0.0
Ative o registo por grupo de categorias para Ambientes de Serviços de Aplicações (microsoft.web/hostingenvironments) até Log Analytics Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para Ambientes de Serviços de Aplicações (microsoft.web/hostingenvironments). DeployIfNotExists, AuditIfNotExists, Desativado 1.0.0
Habilitar o registo de logs por grupo de categorias para Ambientes de Serviço de Aplicações (microsoft.web/hostingenvironments) no Armazenamento Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). DeployIfNotExists, AuditIfNotExists, Desativado 1.0.0
Ative o registo por grupo de categorias para a Function App (microsoft.web/sites) para Log Analytics Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para a Function App (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Desativado 1.0.0
Os slots de aplicação de funções devem ser inseridos numa rede virtual Injetar Function Apps numa rede virtual desbloqueia funcionalidades avançadas de rede e segurança e dá-lhe maior controlo sobre a configuração de segurança da rede. Saiba mais em: https://dotnet.territoriali.olinfo.it/azure/app-service/web-sites-integrate-with-vnet. Auditar, Negar, Desativar 1.0.0
Os slots de aplicativos de função devem desabilitar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de endereços de rede privados pode limitar a exposição de uma aplicação de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditar, Negar, Desativar 1.2.0
Os slots de aplicação Function devem permitir o encaminhamento de configuração para Rede Virtual do Azure Por defeito, o tráfego de configuração (pull de imagem, partilha de conteúdo, backup/restauro) não é encaminhado através da integração regional com VNET. Para a API < 2024-11-01, defina 'vnetImagePullEnabled', 'vnetContentShareEnabled', 'vnetBackupRestoreEnabled' como true. Para API >= 2024-11-01, defina as propriedades correspondentes 'outboundVnetRouting' ou 'outboundVnetRouting.allTraffic' como true. Não para planos Flex/Consumption. Saiba mais: https://aka.ms/appservice-vnet-configuration-routing. Auditar, Negar, Desativar 1.3.0
Os slots de aplicativo de função devem habilitar a criptografia de ponta a ponta A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. Auditar, Negar, Desativar 1.1.0
Os slots de aplicação Function devem permitir o encaminhamento do tráfego de aplicações de saída para Rede Virtual do Azure Por defeito, a integração regional de VNET só encaminha RFC1918 tráfego. Defina 'vnetRouteAllEnabled' (API < 2024-11-01) ou 'outboundVnetRouting.applicationTraffic' (API >= 2024-11-01) para encaminhar o tráfego de aplicações através da rede virtual. Alternativamente, defina 'outboundVnetRouting.allTraffic' para encaminhar todo o tráfego. O tráfego de configuração é tratado separadamente pela política de encaminhamento de configuração. Não para planos Flex/Consumption. Auditar, Negar, Desativar 1.3.0
Os slots de aplicação de funções devem ter autenticação ativada A autenticação do Serviço de Aplicações do Azure é uma funcionalidade que pode impedir que pedidos HTTP anónimos cheguem ao slot da function app, ou autenticar aqueles que possuem tokens antes de chegarem ao slot da function app. AuditIfNotExists, desativado 1.0.0
Os slots de aplicativo de função devem ter Certificados de Cliente (Certificados de cliente de entrada) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. AuditIfNotExists, desativado 1.1.0
Os slots de aplicação de funções devem ter os métodos de autenticação locais desativados para implementações FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança ao garantir que os espaços de aplicação de funções requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.0.0
Os slots de aplicação de funções devem ter métodos de autenticação locais desativados para implantações em sites SCM Desabilitar métodos de autenticação local para sites SCM melhora a segurança ao garantir que os espaços de aplicação de função requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.0.0
As instâncias de aplicação de função devem ter a depuração remota desligada A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. AuditIfNotExists, desativado 1.1.0
Os slots de aplicação de funções devem ter os registos de recursos ativados Ativação de auditoria dos registos de recursos no slot da aplicação de funções. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. AuditIfNotExists, desativado 1.0.0
Os slots de aplicações funcionais não devem ter o CORS configurado para permitir que qualquer recurso aceda às suas aplicações O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem a sua aplicação Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. AuditIfNotExists, desativado 1.1.0
Os slots de aplicação de função só devem ser acessíveis através de HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desativar, Negar 2.1.0
Os slots de aplicativo de função devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. Auditar, Desativar, Negar 1.1.0
Os slots de aplicativos de função devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 1.1.0
Os slots da aplicação Function devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdo O diretório de conteúdo de uma aplicação Function deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. Auditoria, Desativado 1.1.0
Os slots das aplicações de funções devem utilizar a versão mais recente do "HTTP" Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 1.1.0
Os slots de aplicação de funções devem usar identidade gerida Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 1.0.0
Os slots das aplicações de função devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 1.3.0
Os slots de aplicação Function que usam Java devem usar uma 'versão Java' Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. AuditIfNotExists, desativado 1.0.0
Os slots de aplicação Function que usam Python devem usar uma 'versão Python' especificada Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de Funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. AuditIfNotExists, desativado 1.0.0
As aplicações funcionais devem ser injetadas numa rede virtual Injetar Function Apps numa rede virtual desbloqueia funcionalidades avançadas de rede e segurança e dá-lhe maior controlo sobre a configuração de segurança da rede. Saiba mais em: https://dotnet.territoriali.olinfo.it/azure/app-service/web-sites-integrate-with-vnet. Auditar, Negar, Desativar 1.0.0
Os aplicativos de função devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de endereços de rede privados pode limitar a exposição de uma aplicação de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditar, Negar, Desativar 1.2.0
As aplicações Function devem permitir o encaminhamento de configuração para Rede Virtual do Azure Por defeito, o tráfego de configuração (pull de imagem, partilha de conteúdo, backup/restauro) não é encaminhado através da integração regional com VNET. Para a API < 2024-11-01, defina 'vnetImagePullEnabled', 'vnetContentShareEnabled', 'vnetBackupRestoreEnabled' como true. Para API >= 2024-11-01, defina as propriedades correspondentes 'outboundVnetRouting' ou 'outboundVnetRouting.allTraffic' como true. Não para planos Flex/Consumption. Saiba mais: https://aka.ms/appservice-vnet-configuration-routing. Auditar, Negar, Desativar 1.3.0
Os aplicativos de função devem habilitar a criptografia de ponta a ponta A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. Auditar, Negar, Desativar 1.1.0
As aplicações Function devem permitir o encaminhamento do tráfego de aplicações de saída para Rede Virtual do Azure Por defeito, a integração regional de VNET só encaminha RFC1918 tráfego. Defina 'vnetRouteAllEnabled' (API < 2024-11-01) ou 'outboundVnetRouting.applicationTraffic' (API >= 2024-11-01) para encaminhar o tráfego de aplicações através da rede virtual. Alternativamente, defina 'outboundVnetRouting.allTraffic' para encaminhar todo o tráfego. O tráfego de configuração é tratado separadamente pela política de encaminhamento de configuração. Não para planos Flex/Consumption. Auditar, Negar, Desativar 1.3.0
Os aplicativos de função devem ter a autenticação habilitada A Autenticação do Serviço de Aplicações do Azure é uma funcionalidade que pode impedir que pedidos HTTP anónimos cheguem à aplicação Função, ou autenticar aqueles que possuem tokens antes de chegarem à aplicação Função. AuditIfNotExists, desativado 3.1.0
Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. AuditIfNotExists, desativado 1.1.0
As aplicações de funções devem ter métodos de autenticação locais desativados para implementações FTP Desabilitar métodos de autenticação local para implementações FTP melhora a segurança, garantindo que as aplicações funcionais requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.0.0
As aplicações de funções devem ter métodos de autenticação locais desativados para implantações em sites SCM Desativar métodos locais de autenticação para sites SCM melhora a segurança ao garantir que as aplicações funcionais requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desativado 1.0.0
As aplicações de funções devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.1.0
As aplicações de funções devem ter registos de recursos ativados Ativação de auditoria dos registos de recursos na aplicação de funções. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. AuditIfNotExists, desativado 1.0.0
Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem a sua aplicação Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. AuditIfNotExists, desativado 2.1.0
Os aplicativos de função só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desativar, Negar 5.1.0
Os aplicativos de função devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. Auditar, Desativar, Negar 1.1.0
Os aplicativos de função devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 3.1.0
As aplicações Function devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdo O diretório de conteúdo de uma aplicação Function deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. Auditoria, Desativado 3.1.0
Os aplicativos de função devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 4.1.0
Os aplicativos de função devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.1.0
Os aplicativos de função devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.3.0
As aplicações Function que usam Java devem usar uma 'versão Java' Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. AuditIfNotExists, desativado 3.1.0
As aplicações Function que usam Python devem usar uma 'versão Python' especificada Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de Funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. AuditIfNotExists, desativado 4.1.0
Restrição de Regras de Acesso à Configuração do Site Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Restringa as regras de acesso à configuração do local a fontes especificadas. Auditar, Negar, Desativar 1.0.0
Restrição das Regras de Acesso à Configuração de Slot Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Restringa as regras de acesso à configuração de slots a fontes especificadas. Auditar, Negar, Desativar 1.0.0
Os slots de Webapp devem usar o Ambiente do Serviço de Aplicações. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Exigir o uso do Ambiente do Serviço de Aplicações para slots de Webapp. Auditar, Negar, Desativar 1.0.0
As aplicações web devem usar o Ambiente do Serviço de Aplicações. Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Exigir a utilização do Ambiente do Serviço de Aplicações para aplicações Web. Auditar, Negar, Desativar 1.0.0

Próximos passos