Azure SQL Database および SQL Managed Instance 用の Azure Policy 組み込み定義
適用対象: 
Azure SQL データベース Azure SQL Managed Instance Azure Synapse Analytics
このページは、Azure SQL Database および SQL Managed Instance 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure SQL Database および SQL Managed Instance
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: SQL Database をゾーン冗長にする必要がある | SQL Database をゾーン冗長にするかどうかを構成できます。 'zoneRedundant' 設定が 'false' に設定されているデータベースは、ゾーン冗長用に構成されていません。 このポリシーは、Azure で可用性と回復性を強化するために、ゾーン冗長構成が必要な SQL データベースを特定するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: SQL エラスティック データベース プールをゾーン冗長にする必要がある | SQL エラスティック データベース プールをゾーン冗長にするかどうかを構成できます。 'zoneRedundant' プロパティが 'true' に設定されている場合、SQL エラスティック データベース プールはゾーン冗長です。 このポリシーを適用すると、Event Hubs は、ゾーン回復性を確保するために適切に構成され、ゾーン停止時のダウンタイムのリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: SQL Managed Instance をゾーン冗長にする必要がある | SQL Managed Instance をゾーン冗長にするかどうかを構成できます。 'zoneRedundant' 設定が 'false' に設定されているインスタンスは、ゾーン冗長用に構成されていません。 このポリシーは、Azure で可用性と回復性を強化するために、ゾーン冗長構成が必要な SQL managedInstances を特定するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります | TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit, Disabled, Deny | 2.0.0 |
| Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL 論理サーバーに要求します。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Database では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL 論理サーバーを作成することを要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL Managed Instance に要求します。 このポリシーでは、ローカル認証が有効な Azure SQL Managed Instance が作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある | 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instance では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL Managed Instance を作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| SQL マネージド インスタンスで Azure Defender を有効にするように構成する | Azure SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure Defender を SQL サーバーで有効になるように構成する | Azure SQL Server で Azure Defender を有効にして、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists | 2.1.0 |
| Azure SQL データベース サーバーの診断設定を Log Analytics ワークスペースに構成する | Azure SQL Database サーバーの監査ログを有効にして、この監査を持たない SQL Server が作成または更新されたときに、Log Analytics ワークスペースにログをストリーミングします | DeployIfNotExists、Disabled | 1.0.2 |
| 公衆ネットワーク アクセスを無効にするように Azure SQL サーバーを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、パブリック接続がシャットダウンされ、Azure SQL Server にプライベート エンドポイントからのみアクセスできるようになります。 この構成により、Azure SQL Server のすべてのデータベースへの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイント接続が有効になるように Azure SQL サーバーを構成する | プライベート エンドポイント接続を使用すると、仮想ネットワーク内のプライベート IP アドレスを介した Azure SQL Database へのプライベート接続が可能になります。 この構成により、セキュリティ体制が向上し、Azure のネットワークツールとシナリオがサポートされます。 | DeployIfNotExists、Disabled | 1.0.0 |
| 監査を有効にするように SQL Server を構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 | DeployIfNotExists、Disabled | 3.0.0 |
| Log Analytics ワークスペースで監査を有効にするように SQL サーバーを構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 監査が有効になっていない場合、このポリシーでは、指定された Log Analytics ワークスペースにフローするように監査イベントを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - Log Analytics ワークスペースにストリーム配信されるように SQL Database の診断設定を構成する | SQL Database の診断設定をデプロイして、この診断設定がない SQL Database が作成または更新されたときに、リソース ログが Log Analytics ワークスペースにストリーム配信されるようにします。 | DeployIfNotExists、Disabled | 4.0.0 |
| SQL サーバーで Advanced Data Security をデプロイする | このポリシーを使用して、SQL サーバーでの Advanced Data Security を有効にすることができます。 これには、脅威の検出と脆弱性評価の有効化が含まれます。 SQL サーバーと同じリージョンとリソース グループにストレージ アカウントが自動的に作成され、スキャン結果が "sqlva" プレフィックスを付けて保存されます。 | DeployIfNotExists | 1.3.0 |
| Azure SQL Database の診断設定をイベント ハブにデプロイする | Azure SQL Database の診断設定をデプロイして、この診断設定がない Azure SQL Database が作成または更新されたときにリージョンのイベント ハブにストリーム配信します。 | DeployIfNotExists | 1.2.0 |
| SQL DB Transparent Data Encryption のデプロイ | SQL データベースで Transparent Data Encryption を有効にします | DeployIfNotExists、Disabled | 2.2.0 |
| イベント ハブへの SQL データベース (microsoft.sql/servers/databases) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーは、カテゴリ グループを使用して診断設定をデプロイし、SQL データベース (microsoft.sql/servers/databases) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| SQL データベース (microsoft.sql/servers/databases) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL データベース (microsoft.sql/servers/databases) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SQL データベース (microsoft.sql/servers/databases) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL データベース (microsoft.sql/servers/databases) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SQL マネージド インスタンス (microsoft.sql/managedinstances) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL マネージド インスタンス (microsoft.sql/managedinstances) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Log Analytics への SQL マネージド インスタンス (microsoft.sql/managedinstances) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL マネージド インスタンス (microsoft.sql/managedinstances) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SQL マネージド インスタンス (microsoft.sql/managedinstances) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL マネージド インスタンス (microsoft.sql/managedinstances) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| 重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならない | 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要があります | AuditIfNotExists、Disabled | 1.0.0 |
| SQL データベースでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL Managed Instance にはバージョン 1.2 以上の TLS が必要 | バージョン 1.2 以降の TLS を設定すると、TLS 1.2 を使用するクライアントのみが SQL Managed Instance にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit、Disabled | 1.0.1 |
| SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 指定されたサブネットからのトラフィックを許可するには、Azure SQL Database の仮想ネットワーク ファイアウォール規則を有効にする必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure SQL Database へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 | AuditIfNotExists | 1.0.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
制限事項
- T-SQL または SSMS を使用する場合は、Azure SQL Database および SQL Managed Instance の作成に適用される Azure Policy は適用されません。
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。