Partager via


Définitions intégrées Azure Policy pour Azure Synapse Analytics

Cette page représente un index des définitions de stratégie intégrées Azure Policy pour Azure Synapse. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.

Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.

Azure Synapse

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’audit sur l’espace de travail Synapse doit être activé L’audit de votre espace de travail Synapse doit être activé pour suivre les activités de base de données à travers toutes les bases de données des pools SQL dédiés et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 1.0.0
Les pools SQL dédiés Azure Synapse Analytics doivent autoriser le chiffrement Activez le chiffrement transparent des données pour les pools SQL dédiés Azure Synapse Analytics afin de protéger les données au repos et de répondre aux exigences de conformité. Notez que l’activation du chiffrement transparent des données pour le pool peut avoir un impact sur les performances des requêtes. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, Désactivé 1.0.0
Le serveur SQL de l’espace de travail Azure Synapse doit exécuter TLS version 1.2 ou une version plus récente La définition de 1.2 ou d’une version ultérieure comme version de TLS améliore la sécurité en garantissant que le serveur SQL de l’espace de travail Azure Synapse n’est accessible qu’à partir de clients utilisant TLS 1.2 ou une version plus récente. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. Audit, Refuser, Désactivé 1.1.0
Les espaces de travail Azure Synapse doivent autoriser le trafic de données sortant uniquement vers les cibles approuvées Augmentez la sécurité de votre espace de travail Synapse en autorisant le trafic de données sortant uniquement vers les cibles approuvées. Cela permet de prévenir l’exfiltration de données en validant la cible avant d’envoyer des données. Audit, Désactivé, Refus 1.0.0
Les espaces de travail Azure Synapse doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que l’espace de travail Synapse ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos espaces de travail Synapse. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Configurer la version TLS minimale avec SQL dédié de l’espace de travail Azure Synapse Les clients peuvent augmenter ou diminuer la version minimale de TLS en utilisant l’API, aussi bien pour les nouveaux espaces de travail Synapse que pour les espaces de travail existants. Ainsi, les utilisateurs qui doivent utiliser une version du client antérieure dans les espaces de travail peuvent se connecter, tandis que les utilisateurs qui ont des exigences de sécurité peuvent augmenter la version TLS minimale. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modifier, Désactivé 1.1.0
Configurer les espaces de travail Azure Synapse pour désactiver l’accès réseau public Désactivez l’accès réseau public pour votre espace de travail Synapse afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modifier, Désactivé 1.0.0
Configurer les espaces de travail Azure Synapse avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de travail Azure Synapse, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Désactivé 1.0.0
Configurer Microsoft Defender pour SQL pour l’activer sur les espaces de travail Synapse Activez Microsoft Defender pour SQL sur vos espaces de travail Azure Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données SQL. DeployIfNotExists, Désactivé 1.0.0
Configurer les espaces de travail Synapse pour activer l’audit Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les espaces de travail Synapse. Cela est parfois nécessaire pour la conformité aux normes réglementaires. DeployIfNotExists, Désactivé 2.0.0
Configurer des espaces de travail Synapse pour que l’audit soit activé pour l’espace de travail Log Analytics Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les espaces de travail Synapse. Si l’audit n’est pas activé, cette stratégie configure les événements d’audit à acheminer vers l’espace de travail Log Analytics spécifié. DeployIfNotExists, Désactivé 1.0.0
Configurer les espaces de travail Synapse pour utiliser uniquement des identités Microsoft Entra pour l’authentification Exigez que les espaces de travail Synapse utilise l'authentification Microsoft Entra uniquement et reconfigurez-les. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée et réactive l’authentification Microsoft Entra uniquement sur les ressources après la création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. Modifier, Désactivé 1.0.0
Configurez les espaces de travail Synapse afin d’utiliser uniquement les identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail Exigez que les espaces de travail Synapse soient créés avec l'authentification Microsoft Entra uniquement et reconfigurez-les. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. Modifier, Désactivé 1.2.0
Activer la journalisation par groupe de catégories pour les pools Apache Spark (microsoft.synapse/workspaces/bigdatapools) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les pools Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools Apache Spark (microsoft.synapse/workspaces/bigdatapools) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les pools Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools Apache Spark (microsoft.synapse/workspaces/bigdatapools) dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour les pools Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Synapse Analytics (microsoft.synapse/workspaces) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Synapse Analytics (microsoft.synapse/workspaces) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Synapse Analytics (microsoft.synapse/workspaces) dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools SQL Dedicated (microsoft.synapse/workspaces/sqlpools) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les pools SQL Dedicated (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools SQL Dedicated (microsoft.synapse/workspaces/sqlpools) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les pools SQL Dedicated (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools SQL Dedicated (microsoft.synapse/workspaces/sqlpools) dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour les pools SQL Dedicated (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.synapse/workspaces/kustopools dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.synapse/workspaces/kustopools dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.synapse/workspaces/kustopools dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools SCOPE (microsoft.synapse/workspaces/scopepools) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les pools SCOPE (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools SCOPE (microsoft.synapse/workspaces/scopepools) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les pools SCOPE (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les pools SCOPE (microsoft.synapse/workspaces/scopepools) dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour les pools SCOPE (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Les règles de pare-feu IP sur les espaces de travail Azure Synapse doivent être supprimées La suppression de toutes les règles de pare-feu IP renforce la sécurité en garantissant que votre espace de travail Azure Synapse est accessible uniquement à partir d’un point de terminaison privé. Cette configuration audite la création de règles de pare-feu qui autorisent l’accès au réseau public sur l’espace de travail. Audit, Désactivé 1.0.0
Un réseau virtuel d’espace de travail managé sur les espaces de travail Azure Synapse doit être activé L’activation d’un réseau virtuel d’espace de travail managé garantit que le réseau de votre espace de travail est isolé de celui des autres espaces de travail. L’intégration de données et les ressources Spark déployées dans ce réseau virtuel fournissent également l’isolation de niveau utilisateur pour les activités Spark. Audit, Refuser, Désactivé 1.0.0
Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés Activez Defender pour SQL pour protéger vos espaces de travail Synapse. Defender pour SQL surveille Synapse SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. AuditIfNotExists, Désactivé 1.0.0
Les points de terminaison privés managés Synapse doivent uniquement se connecter aux ressources de locataires Azure Active Directory approuvés Protégez votre espace de travail Synapse en autorisant uniquement les connexions aux ressources de locataires Azure Active Directory (Azure AD) approuvés. Les locataires Azure AD approuvés peuvent être définis lors de l’attribution de stratégie. Audit, Désactivé, Refus 1.0.0
Les paramètres d’audit d’espace de travail Synapse doivent avoir des groupes d’actions configurés pour capturer les activités critiques Pour vous assurer que vos journaux d’audit sont aussi complets que possible, la propriété AuditActionsAndGroups doit inclure tous les groupes appropriés. Nous vous recommandons d’ajouter au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP et BATCH_COMPLETED_GROUP. Cela est parfois nécessaire pour la conformité aux normes réglementaires. AuditIfNotExists, Désactivé 1.0.0
L’authentification Microsoft Entra uniquement doit être activée pour les espaces de travail Synapse Exiger que les espaces de travail Synapse utilise l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Synapse doivent utiliser uniquement les identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail Exiger que les espaces de travail Synapse soient créés avec l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. Audit, Refuser, Désactivé 1.2.0
Les espaces de travail Synapse avec l’audit SQL dans la destination du compte de stockage doivent être configurés avec une conservation d’au moins 90 jours À des fins d’enquête sur l’incident, nous vous recommandons de définir la conservation des données pour l’audit SQL de votre espace de travail Synapse dans la destination du compte de stockage sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. AuditIfNotExists, Désactivé 2.0.0
L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. AuditIfNotExists, Désactivé 1.0.0

Étapes suivantes