Integrierte Azure Policy-Definitionen für Azure Synapse Analytics
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Synapse. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure Synapse
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Für den Synapse-Arbeitsbereich muss die Überwachung aktiviert sein | In Ihrem Synapse-Arbeitsbereich muss die Überwachung aktiviert werden, um Datenbankaktivitäten für alle Datenbanken in dedizierten SQL-Pools nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 1.0.0 |
| Dedizierte SQL-Pools in Azure Synapse Analytics sollten Verschlüsselung aktivieren | Aktivieren Sie Transparent Data Encryption (TDE) für dedizierte SQL-Pools in Azure Synapse Analytics, um ruhende Daten zu schützen und Complianceanforderungen zu erfüllen. Beachten Sie, dass sich das Aktivieren der TDE für den Pool auf die Abfrageleistung auswirken kann. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2147714. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Workspace SQL-Server muss TLS Version 1.2 oder höher ausführen | Durch Festlegen der TLS-Version 1.2 oder höher in Ihrem Azure Synapse-Arbeitsbereich-SQL-Server erhöht die Sicherheit und kann nur von Clients aufgerufen werden, die TLS 1.2 oder höher verwenden. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Deny, Disabled | 1.1.0 |
| Für Azure Synapse-Arbeitsbereiche darf ausgehender Datenverkehr nur zu genehmigten Zielen zugelassen sein | Erhöhen Sie die Sicherheit Ihres Synapse-Arbeitsbereichs, indem Sie ausgehenden Datenverkehr nur zu genehmigten Zielen zulassen. Dies ist ein Beitrag zum Schutz vor Datenexfiltration, indem das Ziel vor dem Senden von Daten überprüft wird. | Audit, Disabled, Deny | 1.0.0 |
| Azure Synapse-Arbeitsbereiche sollten den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da der Synapse-Arbeitsbereich nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihrer Synapse-Arbeitsbereiche einschränken. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. | Audit, Deny, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Konfigurieren der TLS-Mindestversion für Azure Synapse-Arbeitsbereich Dedicated SQL | Kunden können die TLS-Version mithilfe der API sowohl für neue Synapse-Arbeitsbereiche als auch für vorhandene Arbeitsbereiche herauf- oder herabsetzen. Benutzer, die eine niedrigere Client-Version in den Arbeitsbereichen verwenden müssen, können also eine Verbindung herstellen, während Benutzer, die über Sicherheitsanforderungen verfügen, die Mindest-TLS-Version erhöhen können. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modify, Disabled | 1.1.0 |
| Konfigurieren von Azure Synapse-Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren | Deaktivieren Sie für Ihren Synapse-Arbeitsbereich den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modify, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Synapse-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Microsoft Defender für SQL für die Aktivierung in Synapse-Arbeitsbereichen | Aktivieren Sie Microsoft Defender für SQL in Ihren Azure Synapse Arbeitsbereichen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf SQL-Datenbanken zuzugreifen oder diese zu missbrauchen. | DeployIfNotExists, Disabled | 1.0.0 |
| Für Synapse-Arbeitsbereiche muss die Überwachung aktiviert werden | Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für Synapse-Arbeitsbereiche die Überwachung aktiviert sein. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren Sie Synapse-Arbeitsbereiche, dass die Überwachung für den Log Analytics-Arbeitsbereich aktiviert ist | Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für Synapse-Arbeitsbereiche die Überwachung aktiviert sein. Wenn die Überwachung nicht aktiviert ist, konfiguriert diese Richtlinie Überwachungsereignisse zum angegebenen Log Analytics-Arbeitsbereich. | DeployIfNotExists, Disabled | 1.0.0 |
| Synapse-Arbeitsbereiche nur mit Microsoft Entra-Identitäten für die Authentifizierung konfigurieren | Fordern Sie Synapse-Arbeitsbereiche für die Verwendung der Microsoft Entra-only-Authentifizierung, und konfigurieren Sie sie neu. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Sie verhindert, dass die lokale Authentifizierung aktiviert wird und aktiviert die Microsoft Entra-only-Authentifizierung nach dem Erstellen neu. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Modify, Disabled | 1.0.0 |
| Synapse-Arbeitsbereich so konfigurieren, dass sie Microsoft Entra-Identitäten für die Authentifizierung während der Erstellung des Arbeitsbereichs verwenden | Fordern Sie, dass Synapse-Arbeitsbereiche mit der Microsoft Entra-only-Authentifizierung erstellt werden, und konfigurieren Sie sie neu. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Modify, Disabled | 1.2.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Synapse Analytics (microsoft.synapse/workspaces) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Synapse Analytics (microsoft.synapse/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Synapse Analytics (microsoft.synapse/workspaces) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Synapse Analytics (microsoft.synapse/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Synapse Analytics (microsoft.synapse/workspaces) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Synapse Analytics (microsoft.synapse/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.synapse/workspaces/kustopools to Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für microsoft.synapse/workspaces/kustopools weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.synapse/workspaces/kustopools to Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für microsoft.synapse/workspaces/kustopools weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für "microsoft.synapse/workspaces/kustopools to Storage" aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für microsoft.synapse/workspaces/kustopools weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SCOPE-Pools (microsoft.synapse/workspaces/scopepools) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für SCOPE-Pools (microsoft.synapse/workspaces/scopepools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SCOPE-Pools (microsoft.synapse/workspaces/scopepools) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für SCOPE-Pools (microsoft.synapse/workspaces/scopepools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SCOPE-Pools (microsoft.synapse/workspaces/scopepools) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für SCOPE-Pools (microsoft.synapse/workspaces/scopepools) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| IP-Firewallregeln für Azure Synapse-Arbeitsbereiche müssen entfernt werden | Das Entfernen aller IP-Firewallregeln erhöht die Sicherheit, indem sichergestellt wird, dass nur über einen privaten Endpunkt auf Ihren Azure Synapse-Arbeitsbereich zugegriffen werden kann. Diese Konfiguration überwacht die Erstellung von Firewallregeln, die Zugriff auf den Arbeitsbereich aus öffentlichen Netzwerken zulassen. | Audit, Disabled | 1.0.0 |
| Virtuelles Netzwerk mit verwaltetem Arbeitsbereich in Azure Synapse-Arbeitsbereichen muss aktiviert sein | Durch Aktivieren eines virtuellen Netzwerks mit verwaltetem Arbeitsbereich wird sichergestellt, dass Ihr Arbeitsbereich im Netzwerk von anderen Arbeitsbereichen isoliert ist. Datenintegration und in diesem Netzwerk bereitgestellte Spark-Ressourcen bieten zudem Isolierung auf Benutzerebene für Spark-Aktivitäten. | Audit, Deny, Disabled | 1.0.0 |
| Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Synapse SQL, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.0 |
| Von Synapse verwaltete private Endpunkte dürfen nur eine Verbindung mit Ressourcen in genehmigten Azure Active Directory-Mandanten herstellen | Schützen Sie Ihren Synapse-Arbeitsbereich, indem Sie nur Verbindungen mit Ressourcen in genehmigten Azure AD-Mandanten zulassen. Die genehmigten Azure AD-Mandanten können während der Richtlinienzuweisung definiert werden. | Audit, Disabled, Deny | 1.0.0 |
| In den Überwachungseinstellungen von Synapse-Arbeitsbereichen sollten Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein | Um sicherzustellen, dass Ihre Überwachungsprotokolle so umfassend wie möglich sind, sollte die Eigenschaft „AuditActionsAndGroups“ alle relevanten Gruppen enthalten. Wir empfehlen, mindestens die folgenden Gruppen hinzuzufügen: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Synapse-Arbeitsbereiche muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Für Synapse-Arbeitsbereiche ist die Microsoft Entra-only-Authentifizierung erforderlich. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
| Synapse-Arbeitsbereiche müssen die Microsoft Entra-only-Identitäten für die Authentifizierung während der Arbeitsbereichserstellung verwenden- | Fordern Sie, dass Synapse-Arbeitsbereiche mit der Microsoft Entra-only-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
| Für Synapse-Arbeitsbereiche mit SQL-Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL-Überwachung Ihres Synapse-Arbeitsbereichs im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. | AuditIfNotExists, Disabled | 1.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.