Azure SQL Database および SQL Managed Instance 用の Azure Policy 組み込み定義Azure Policy built-in definitions for Azure SQL Database & SQL Managed Instance

適用対象: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

このページは、Azure SQL Database および SQL Managed Instance 用の Azure Policy 組み込みポリシー定義のインデックスです。This page is an index of Azure Policy built-in policy definitions for Azure SQL Database and SQL Managed Instance. 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。For additional Azure Policy built-ins for other services, see Azure Policy built-in definitions.

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。The name of each built-in policy definition links to the policy definition in the Azure portal. [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。Use the link in the Version column to view the source on the Azure Policy GitHub repo.

Azure SQL Database および SQL Managed InstanceAzure SQL Database & SQL Managed Instance

名前Name
(Azure portal)(Azure portal)
説明Description 効果Effect(s) VersionVersion
(GitHub)(GitHub)
SQL Managed Instance で Advanced Data Security を有効にする必要があるAdvanced data security should be enabled on SQL Managed Instance Advanced Data Security を使用していない各 SQL Managed Instance を監査します。Audit each SQL Managed Instance without advanced data security. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.11.0.1
SQL Server で Advanced Data Security を有効にする必要があるAdvanced data security should be enabled on your SQL servers Advanced Data Security を使用していない SQL サーバーの監査Audit SQL servers without Advanced Data Security AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.02.0.0
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要があるAn Azure Active Directory administrator should be provisioned for SQL servers Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。Audit provisioning of an Azure Active Directory administrator for your SQL server to enable Azure AD authentication. Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できますAzure AD authentication enables simplified permission management and centralized identity management of database users and other Microsoft services AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
SQL Server の監査を有効にする必要がありますAuditing on SQL server should be enabled サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.02.0.0
Azure SQL Database にはバージョン 1.2 以降の TLS が必要Azure SQL Database should have the minimal TLS version of 1.2 バージョン 1.2 以降の TLS を設定すると、TLS 1.2 を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。Setting minimal TLS version to 1.2 improves security by ensuring your Azure SQL Database can only be accessed from clients using TLS 1.2. 1.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。Using versions of TLS less than 1.2 is not recommended since they have well documented security vulnerabilities. Audit、DisabledAudit, Disabled 1.0.11.0.1
デプロイ - Log Analytics ワークスペースにストリーム配信されるように Azure SQL Database サーバーの診断設定を構成するDeploy - Configure diagnostic settings for Azure SQL Database server to Log Analytics workspace Azure SQL Database サーバーの診断設定をデプロイして、この診断設定がない SQL Server が作成または更新されたときに、リソース ログが Log Analytics ワークスペースにストリーム配信されるようにします。Deploys the diagnostic settings for Azure SQL Database server to stream resource logs to a Log Analytics workspace when any SQL Server which is missing this diagnostic settings is created or updated. DeployIfNotExists、DisabledDeployIfNotExists, Disabled 1.0.11.0.1
デプロイ - Log Analytics ワークスペースにストリーム配信されるように SQL Database の診断設定を構成するDeploy - Configure diagnostic settings for SQL Databases to Log Analytics workspace SQL Database の診断設定をデプロイして、この診断設定がない SQL Database が作成または更新されたときに、リソース ログが Log Analytics ワークスペースにストリーム配信されるようにします。Deploys the diagnostic settings for SQL Databases to stream resource logs to a Log Analytics workspace when any SQL Database which is missing this diagnostic settings is created or updated. DeployIfNotExists、DisabledDeployIfNotExists, Disabled 1.0.11.0.1
SQL サーバーで Advanced Data Security をデプロイするDeploy Advanced Data Security on SQL servers このポリシーを使用して、SQL サーバーでの Advanced Data Security を有効にすることができます。This policy enables Advanced Data Security on SQL Servers. これには、脅威の検出と脆弱性評価の有効化が含まれます。This includes turning on Threat Detection and Vulnerability Assessment. SQL サーバーと同じリージョンとリソース グループにストレージ アカウントが自動的に作成され、スキャン結果が "sqlva" プレフィックスを付けて保存されます。It will automatically create a storage account in the same region and resource group as the SQL server to store scan results, with a 'sqlva' prefix. DeployIfNotExistsDeployIfNotExists 1.0.01.0.0
SQL Server での監査のデプロイDeploy Auditing on SQL servers このポリシーにより、セキュリティとコンプライアンスを強化するために、SQL サーバーで監査が有効になります。This policy ensures that Auditing is enabled on SQL Servers for enhanced security and compliance. SQL サーバーと同じリージョンにストレージ アカウントが自動的に作成され、監査レコードが保存されます。It will automatically create a storage account in the same region as the SQL server to store audit records. DeployIfNotExistsDeployIfNotExists 1.0.01.0.0
Azure SQL Database の診断設定をイベント ハブにデプロイするDeploy Diagnostic Settings for Azure SQL Database to Event Hub Azure SQL Database の診断設定をデプロイして、この診断設定がない Azure SQL Database が作成または更新されたときにリージョンのイベント ハブにストリーム配信します。Deploys the diagnostic settings for Azure SQL Database to stream to a regional Event Hub on any Azure SQL Database which is missing this diagnostic settings is created or updated. DeployIfNotExistsDeployIfNotExists 1.1.01.1.0
SQL DB Transparent Data Encryption のデプロイDeploy SQL DB transparent data encryption SQL データベースで Transparent Data Encryption を有効にしますEnables transparent data encryption on SQL databases DeployIfNotExistsDeployIfNotExists 1.0.01.0.0
SQL Server での脅威検出のデプロイDeploy Threat Detection on SQL servers このポリシーでは、SQL サーバーで脅威検出が有効になっていることを確認します。This policy ensures that Threat Detection is enabled on SQL Servers. DeployIfNotExistsDeployIfNotExists 2.0.02.0.0
Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要があるLong-term geo-redundant backup should be enabled for Azure SQL Databases このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。This policy audits any Azure SQL Database with long-term geo-redundant backup not enabled. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.02.0.0
Azure SQL Database のプライベート エンドポイント接続を有効にする必要があるPrivate endpoint connections on Azure SQL Database should be enabled プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。Private endpoint connections enforce secure communication by enabling private connectivity to Azure SQL Database. Audit、DisabledAudit, Disabled 1.1.01.1.0
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要があるPublic network access on Azure SQL Database should be disabled パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。This configuration denies all logins that match IP or virtual network based firewall rules. Audit、Deny、DisabledAudit, Deny, Disabled 1.1.01.1.0
SQL データベースの機密データを分類する必要があるSensitive data in your SQL databases should be classified Azure Security Center は、SQL データベースのデータ検出と分類スキャンの結果を監視し、監視とセキュリティの向上のためにデータベース内の機密データを分類するように推奨しますAzure Security Center monitors the data discovery and classification scan results for your SQL databases and provides recommendations to classify the sensitive data in your databases for better monitoring and security AuditIfNotExists、DisabledAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならないSQL Auditing settings should have Action-Groups configured to capture critical activities 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要がありますThe AuditActionsAndGroups property should contain at least SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP to ensure a thorough audit logging AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
SQL データベースでは GRS バックアップ冗長の使用を避けるSQL Database should avoid using GRS backup redundancy データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。Databases should avoid using the default geo-redundant storage for backups, if data residency rules require data to stay within a specific region. 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。Note: Azure Policy is not enforced when creating a database using T-SQL. 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。If not explicitly specified, database with geo-redundant backup storage is created via T-SQL. Deny、DisabledDeny, Disabled 1.0.11.0.1
SQL Managed Instance にはバージョン 1.2 以上の TLS が必要SQL Managed Instance should have the minimal TLS version of 1.2 バージョン 1.2 以降の TLS を設定すると、TLS 1.2 を使用するクライアントのみが SQL Managed Instance にアクセスできるため、セキュリティが強化されます。Setting minimal TLS version to 1.2 improves security by ensuring your SQL Managed Instance can only be accessed from clients using TLS 1.2. 1.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。Using versions of TLS less than 1.2 is not recommended since they have well documented security vulnerabilities. Audit、DisabledAudit, Disabled 1.0.11.0.1
SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避けるSQL Managed Instances should avoid using GRS backup redundancy データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。Managed Instances should avoid using the default geo-redundant storage for backups, if data residency rules require data to stay within a specific region. 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。Note: Azure Policy is not enforced when creating a database using T-SQL. 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。If not explicitly specified, database with geo-redundant backup storage is created via T-SQL. Deny、DisabledDeny, Disabled 1.0.11.0.1
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要があるSQL managed instances should use customer-managed keys to encrypt data at rest 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。Implementing Transparent Data Encryption (TDE) with your own key provides you with increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。This recommendation applies to organizations with a related compliance requirement. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.21.0.2
SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要がありますSQL Server should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。This policy audits any SQL Server not configured to use a virtual network service endpoint. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
SQL Server では、90 日以上の監査データ保持期間を構成する必要があるSQL servers should be configured with 90 days auditing retention or higher SQL Server では、90 日以上の監査データ保持期間を構成する必要があります。SQL servers should be configured with 90 days auditing retention or higher. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.12.0.1
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要があるSQL servers should use customer-managed keys to encrypt data at rest 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。Implementing Transparent Data Encryption (TDE) with your own key provides increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。This recommendation applies to organizations with a related compliance requirement. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.12.0.1
Transparent Data Encryption を SQL データベース上で有効にする必要があるTransparent Data Encryption on SQL databases should be enabled 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要がありますTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
指定されたサブネットからのトラフィックを許可するには、Azure SQL Database の仮想ネットワーク ファイアウォール規則を有効にする必要があるVirtual network firewall rule on Azure SQL Database should be enabled to allow traffic from the specified subnet 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure SQL Database へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。Virtual network based firewall rules are used to enable traffic from a specific subnet to Azure SQL Database while ensuring the traffic stays within the Azure boundary. AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
SQL データベースの脆弱性を修復する必要があるVulnerabilities on your SQL databases should be remediated 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。Monitor Vulnerability Assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 4.0.04.0.0
SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要があるVulnerability Assessment settings for SQL server should contain an email address to receive scan reports 脆弱性評価の設定の [スキャン レポートの送信先] フィールドにメール アドレスが指定されていることを確認します。Ensure that an email address is provided for the 'Send scan reports to' field in the Vulnerability Assessment settings. このメール アドレスを使用して、SQL サーバーで定期的なスキャンが実行された後、スキャン結果の概要を受け取ります。This email address receives scan result summary after a periodic scan runs on SQL servers. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.02.0.0
SQL Managed Instance で脆弱性評価を有効にする必要があるVulnerability assessment should be enabled on SQL Managed Instance 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.11.0.1
脆弱性評価を SQL サーバー上で有効にする必要があるVulnerability assessment should be enabled on your SQL servers 定期的な脆弱性評価スキャンが有効になっていない Azure SQL サーバーを監査します。Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.02.0.0

制限事項Limitations

  • T-SQL または SSMS を使用する場合は、Azure SQL Database の作成に適用される Azure Policy は適用されません。Azure Policy applicable to a Azure SQL Database creation is not enforced when using T-SQL or SSMS.

次のステップNext steps