適用於 Azure SQL Database 與 SQL 受控執行個體的 Azure 原則內建定義
適用於:
Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics
此頁面是適用於 Azure SQL Database 與 SQL 受控執行個體的 Azure 原則內建原則定義索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure SQL Database 與 SQL 受控執行個體
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:SQL 資料庫 應該是區域備援 | SQL Database 可以設定為「區域備援」。 'zoneRedundant' 設定設定為 'false' 的資料庫,不會設定為區域備援。 此原則可協助識別需要區域備援組態的 SQL 資料庫,以增強 Azure 內的可用性和復原能力。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:SQL 彈性資料庫集區應該是「區域備援」 | SQL 彈性資料庫集區可以設定為「區域備援」。 如果 SQL 彈性資料庫集區的 'zoneRedundant' 屬性設定為 'true',則 SQL 彈性資料庫集區是「區域備援」。 強制執行此原則有助於確保您的事件中樞已適當地設定為區域復原,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:SQL 受控執行個體應該是「區域備援」 | SQL 受控執行個體可以設定為「區域備援」。 'zoneRedundant' 設定設定為 'false' 的執行個體,不會設定為區域備援。 此原則可協助識別需要區域備援組態的 SQL 受控執行個體,以增強 Azure 內的可用性和復原能力。 | Audit, Deny, Disabled | 1.0.0-preview |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure SQL Database 應執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | 稽核、停用、拒絕 | 2.0.0 |
| Azure SQL Database 應已啟用僅限 Microsoft Entra 驗證 | 要求 Azure SQL 邏輯伺服器使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的伺服器。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL Database 應已在建立期間啟用僅限 Microsoft Entra 驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 邏輯伺服器。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.2.0 |
| Azure SQL 受控執行個體應已啟用僅限 Microsoft Entra 驗證 | 要求 Azure SQL 受控執行個體使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的 Azure SQL 受控執行個體。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL 受控執行個體應停用公用網路存取 | 在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取,從而提升安全性。 若要深入了解公用網路存取,請瀏覽 https://aka.ms/mi-public-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL 受控執行個體應已在建立期間啟用僅限 Microsoft Entra 驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 受控執行個體。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.2.0 |
| 設定在 SQL 受控執行個體上啟用 Azure Defender | 在 Azure SQL 受控執行個體上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | DeployIfNotExists, Disabled | 2.0.0 |
| 設定在 SQL 伺服器上啟用 Azure Defender | 在 Azure SQL Server 上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | DeployIfNotExists | 2.1.0 |
| 將 Azure SQL 資料庫伺服器診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少稽核的 SQL Server 時,啟用 Azure SQL Database 伺服器的稽核記錄,並將此記錄串流至 Log Analytics 工作區 | DeployIfNotExists, Disabled | 1.0.2 |
| 設定 Azure SQL Server 以停用公用網路存取 | 停用公用網路存取屬性會關閉公用連線,因此只能從私人端點存取 Azure SQL Server。 此設定會停用 Azure SQL Server 下所有資料庫的公用網路存取。 | 修改、停用 | 1.0.0 |
| 設定 Azure SQL Server 以啟用私人端點連線 | 私人端點連線可透過虛擬網路內的私人 IP 位址,對 Azure SQL Database 啟用私人連線。 此設定可改善您的安全性態勢,並支援 Azure 網路工具和情節。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 SQL 伺服器以啟用稽核 | 為了確保擷取到針對您 SQL 資產所執行的作業,SQL 伺服器應已啟用稽核。 有時候必須如此才能符合法規標準。 | DeployIfNotExists, Disabled | 3.0.0 |
| 將 SQL 伺服器設定為啟用 Log Analytics 工作區的稽核 | 為了確保擷取到針對您 SQL 資產所執行的作業,SQL 伺服器應已啟用稽核。 如果未啟用稽核,此原則會將稽核事件設定為流向指定的 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
| 部署 - 將 SQL Database 診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 SQL Database 時,將 SQL Database 的診斷設定部署至 Log Analytics 工作區的串流資源記錄。 | DeployIfNotExists, Disabled | 4.0.0 |
| 在 SQL 伺服器上部署進階資料安全性 | 此原則會在 SQL Server 上啟用進階資料安全性。 包括開啟威脅偵測和弱點評估。 此原則將自動在與 SQL server 相同的區域和資源群組中,建立前置詞為 'sqlva' 的儲存體帳戶,以儲存掃描結果。 | DeployIfNotExists | 1.3.0 |
| 將 Azure SQL Database 的診斷設定部署至事件中樞 | 針對 Azure SQL Database 部署診斷設定,以串流至所有缺少此診斷設定而建立或更新之 Azure SQL Database 上的區域事件中樞。 | DeployIfNotExists | 1.2.0 |
| 部署 SQL DB 透明資料加密 | 在 SQL 資料庫上啟用透明資料加密 | DeployIfNotExists, Disabled | 2.2.0 |
| 針對 SQL 資料庫啟用依類別群組的記錄功能 (microsoft.sql/伺服器/資料庫) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SQL 資料庫 (microsoft.sql/servers/databases) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 SQL 資料庫 (microsoft.sql/servers/databases) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SQL 資料庫 (microsoft.sql/servers/databases) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 SQL 資料庫 (microsoft.sql/servers/databases) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SQL 資料庫 (microsoft.sql/servers/databases) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SQL 受控執行個體 (microsoft.sql/managedinstances) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| SQL 審核設定應已設定動作群組來擷取重要活動 | AuditActionsAndGroups 屬性至少應包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP,才可確保完整記錄稽核 | AuditIfNotExists, Disabled | 1.0.0 |
| SQL Database 應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,資料庫應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| SQL 受控執行個體的最低 TLS 版本應為 1.2 | 將最低的 TLS 版本設定為 1.2,可確保您的 SQL 受控執行個體只能從使用 TLS 1.2 的用戶端存取,進而提升安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | Audit, Disabled | 1.0.1 |
| SQL 受控執行個體應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,受控執行個體應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL Server 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 | AuditIfNotExists, Disabled | 1.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 應對 Azure SQL Database 啟用虛擬網路防火牆規則,允許來自指定子網路的流量 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入 Azure SQL Database,同時確保流量會保持在 Azure 界限內。 | AuditIfNotExists | 1.0.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
限制
- 使用 T SQL 或 SSMS 時,不會強制執行適用於 Azure SQL 資料庫和 SQL 受控執行個體建立的 Azure 原則。
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。