適用於 Azure SQL Database 與 SQL 受控執行個體的 Azure 原則內建定義

  • 發行項

適用於:Azure SQL 資料庫Azure SQL 受控執行個體Azure Synapse Analytics

此頁面是適用於 Azure SQL Database 與 SQL 受控執行個體的 Azure 原則內建原則定義索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義

連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。

Azure SQL Database 與 SQL 受控執行個體

名稱
(Azure 入口網站)		 描述 效果 版本
(GitHub)
[預覽]:SQL 資料庫 應該是區域備援 SQL 資料庫可以設定為區域備援。 將 'zoneRedundant' 設定設為 'false' 的資料庫未設定區域備援。 此原則可協助識別需要區域備援設定的 SQL 資料庫,以增強 Azure 內的可用性和復原性。 Audit, Deny, Disabled 1.0.0-preview
[預覽]:SQL 彈性資料庫集區應該是區域備援 SQL 彈性資料庫集區可以設定為區域備援。 如果 SQL 彈性資料庫集區的 'zoneRedundant' 的屬性設定為 'true',則其為區域備援。 強制執行此原則有助於確保事件中樞已針對區域復原進行適當設定,降低區域中斷期間停機的風險。 Audit, Deny, Disabled 1.0.0-preview
[預覽]:SQL 受控執行個體應該是區域備援 SQL 受控執行個體資料庫可以設定為區域備援。 將 'zoneRedundant' 設定設為 'false' 的執行個體未設定區域備援。 此原則可協助識別需要區域備援設定的 SQL 受控執行個體,以增強 Azure 內的可用性和復原性。 Audit, Deny, Disabled 1.0.0-preview
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0
應啟用 SQL 伺服器上的稽核 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 AuditIfNotExists, Disabled 2.0.0
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2
Azure SQL Database 應執行 TLS 1.2 版或更新版本 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 稽核、停用、拒絕 2.0.0
Azure SQL Database 應已啟用僅限 Microsoft Entra 驗證 要求 Azure SQL 邏輯伺服器使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的伺服器。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate Audit, Deny, Disabled 1.0.0
Azure SQL Database 應已在建立期間啟用僅限 Microsoft Entra 驗證 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 邏輯伺服器。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate Audit, Deny, Disabled 1.2.0
Azure SQL 受控執行個體應已啟用僅限 Microsoft Entra 驗證 要求 Azure SQL 受控執行個體使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的 Azure SQL 受控執行個體。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate Audit, Deny, Disabled 1.0.0
Azure SQL 受控執行個體應停用公用網路存取 在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取,從而提升安全性。 若要深入了解公用網路存取,請瀏覽 https://aka.ms/mi-public-endpoint Audit, Deny, Disabled 1.0.0
Azure SQL 受控執行個體應已在建立期間啟用僅限 Microsoft Entra 驗證 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 受控執行個體。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate Audit, Deny, Disabled 1.2.0
設定在 SQL 受控執行個體上啟用 Azure Defender 在 Azure SQL 受控執行個體上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 DeployIfNotExists, Disabled 2.0.0
設定在 SQL 伺服器上啟用 Azure Defender 在 Azure SQL Server 上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 DeployIfNotExists 2.1.0
將 Azure SQL 資料庫伺服器診斷設定設定為 Log Analytics 工作區 在建立或更新任何缺少稽核的 SQL Server 時,啟用 Azure SQL Database 伺服器的稽核記錄,並將此記錄串流至 Log Analytics 工作區 DeployIfNotExists, Disabled 1.0.2
設定 Azure SQL Server 以停用公用網路存取 停用公用網路存取屬性會關閉公用連線,因此只能從私人端點存取 Azure SQL Server。 此設定會停用 Azure SQL Server 下所有資料庫的公用網路存取。 修改、停用 1.0.0
設定 Azure SQL Server 以啟用私人端點連線 私人端點連線可透過虛擬網路內的私人 IP 位址,對 Azure SQL Database 啟用私人連線。 此設定可改善您的安全性態勢,並支援 Azure 網路工具和情節。 DeployIfNotExists, Disabled 1.0.0
設定 SQL 伺服器以啟用稽核 為了確保擷取到針對您 SQL 資產所執行的作業,SQL 伺服器應已啟用稽核。 有時候必須如此才能符合法規標準。 DeployIfNotExists, Disabled 3.0.0
設定 SQL 伺服器以啟用稽核至 Log Analytics 工作區 為了確保擷取到針對您 SQL 資產所執行的作業,SQL 伺服器應已啟用稽核。 如果未啟用稽核,此原則會將稽核事件設定為流向指定的 Log Analytics 工作區。 DeployIfNotExists, Disabled 1.0.0
部署 - 將 SQL Database 診斷設定設定為 Log Analytics 工作區 在建立或更新任何缺少此診斷設定的 SQL Database 時,將 SQL Database 的診斷設定部署至 Log Analytics 工作區的串流資源記錄。 DeployIfNotExists, Disabled 4.0.0
在 SQL 伺服器上部署進階資料安全性 此原則會在 SQL Server 上啟用進階資料安全性。 包括開啟威脅偵測和弱點評估。 此原則將自動在與 SQL server 相同的區域和資源群組中,建立前置詞為 'sqlva' 的儲存體帳戶,以儲存掃描結果。 DeployIfNotExists 1.3.0
將 Azure SQL Database 的診斷設定部署至事件中樞 針對 Azure SQL Database 部署診斷設定,以串流至所有缺少此診斷設定而建立或更新之 Azure SQL Database 上的區域事件中樞。 DeployIfNotExists 1.2.0
部署 SQL DB 透明資料加密 在 SQL 資料庫上啟用透明資料加密 DeployIfNotExists, Disabled 2.2.0
針對 SQL 資料庫啟用依類別群組的記錄功能 (microsoft.sql/伺服器/資料庫) 至事件中樞 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則使用類別群組部署診斷設定,以將 SQL 資料庫 (microsoft.sql/伺服器/資料庫) 的記錄路由至事件中樞。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0
針對 SQL 資料庫啟用依類別群組的記錄功能 (microsoft.sql/伺服器/資料庫) 至記錄分析 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則使用類別群組部署診斷設定,以將 SQL 資料庫 (microsoft.sql/伺服器/資料庫) 的記錄路由至 Log Analytics 工作區。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
針對 SQL 資料庫啟用依類別群組的記錄功能 (microsoft.sql/伺服器/資料庫) 至儲存體 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則使用類別群組部署診斷設定,以將 SQL 資料庫 (microsoft.sql/伺服器/資料庫) 的記錄路由至儲存體帳戶。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 啟用依類別群組的記錄功能至事件中樞 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則使用類別群組部署診斷設定,將記錄路由至 SQL SQL 受控執行個體 (microsoft.sql/managedinstances) 的事件中樞。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0
針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 啟用依類別群組的記錄功能至記錄分析 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則使用類別群組部署診斷設定,將記錄路由至 SQL SQL 受控執行個體 (microsoft.sql/managedinstances) 的 Log Analytics 工作區。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 啟用依類別群組的記錄功能至儲存體 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則使用類別群組部署診斷設定,將記錄路由至 SQL SQL 受控執行個體 (microsoft.sql/managedinstances) 的儲存體帳戶。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
應為 Azure SQL Database 啟用長期異地備援備份 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 AuditIfNotExists, Disabled 2.0.0
應對 Azure SQL Database 啟用私人端點連線 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 Audit, Disabled 1.1.0
應對 Azure SQL Database 停用公用網路存取 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 Audit, Deny, Disabled 1.1.0
SQL 審核設定應已設定動作群組來擷取重要活動 AuditActionsAndGroups 屬性至少應包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP,才可確保完整記錄稽核 AuditIfNotExists, Disabled 1.0.0
SQL Database 應避免使用 GRS 備份備援 如果資料落地規則需要資料保持在特定區域內,資料庫應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 稽核, 拒絕, 停用 2.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
SQL 受控執行個體的最低 TLS 版本應為 1.2 將最低的 TLS 版本設定為 1.2,可確保您的 SQL 受控執行個體只能從使用 TLS 1.2 的用戶端存取,進而提升安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 Audit, Disabled 1.0.1
SQL 受控執行個體應避免使用 GRS 備份備援 如果資料落地規則需要資料保持在特定區域內,受控執行個體應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 稽核, 拒絕, 停用 2.0.0
SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 Audit, Deny, Disabled 2.0.0
SQL Server 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 AuditIfNotExists, Disabled 1.0.0
SQL 伺服器應使用客戶自控金鑰來加密待用資料 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 Audit, Deny, Disabled 2.0.1
對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 AuditIfNotExists, Disabled 3.0.0
應在 SQL 資料庫上啟用透明資料加密 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 AuditIfNotExists, Disabled 2.0.0
應對 Azure SQL Database 啟用虛擬網路防火牆規則,允許來自指定子網路的流量 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入 Azure SQL Database,同時確保流量會保持在 Azure 界限內。 AuditIfNotExists 1.0.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評估的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

限制

  • 使用 T SQL 或 SSMS 時,不會強制執行適用於 Azure SQL 資料庫和 SQL 受控執行個體建立的 Azure 原則。

下一步