Azure Synapse Analytics 用の Azure Policy 組み込み定義
このページは、Azure Synapse 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Synapse
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Synapse ワークスペースの監査を有効にする必要がある | 専用 SQL プール上のすべてのデータベースについてデータベースのアクティビティを追跡して監査ログに保存するには、Synapse ワークスペースに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse Analytics の専用 SQL プールでは、暗号化を有効にする必要がある | Azure Synapse Analytics の専用 SQL プールに対して Transparent Data Encryption を有効にすることで、保存データを保護し、コンプライアンス要件を満たします。 プールに対して Transparent Data Encryption を有効にすると、クエリのパフォーマンスに影響を与える可能性があることに注意してください。 詳細については、https://go.microsoft.com/fwlink/?linkid=2147714 を参照してください | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse ワークスペース SQL Server では TLS バージョン 1.2 以降を実行している必要がある | TLS バージョン 1.2 以降を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure Synapse ワークスペース SQL Server にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Synapse ワークスペースでは、承認済みのターゲットへの送信データ トラフィックのみを許可する必要がある | 承認済みのターゲットへの送信データ トラフィックのみを許可することで、Synapse ワークスペースのセキュリティを強化します。 データを送信する前にターゲットが検証されるので、これはデータ流出の防止に役立ちます。 | Audit, Disabled, Deny | 1.0.0 |
| Azure Synapse ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Synapse ワークスペースがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Synapse ワークスペースの公開を制限できます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、Azure Synapse ワークスペースに格納されているデータの保存時の暗号化を制御するために使用されます。 カスタマー マネージド キーを使用すると、サービス マネージド キーによる既定の暗号化の上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Synapse ワークスペース専用 SQL に最小 TLS バージョンを構成する | 顧客は、新しい Synapse ワークスペースと既存のワークスペースの両方に対して、API を使用して最小 TLS バージョンを上げたり下げたりできます。 そのため、ワークスペースで下位のクライアント バージョンを使用する必要があるユーザーも接続できます。また、セキュリティ要件を持つユーザーは最小 TLS バージョンを上げることができます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 | Modify、Disabled | 1.1.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Synapse ワークスペースを構成する | Synapse ワークスペースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Synapse ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Synapse ワークスペースで Microsoft Defender for SQL を有効にするように構成する | Azure Synapse ワークスペースで Microsoft Defender for SQL を有効にして、データベースにアクセスしたり SQL データベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists、Disabled | 1.0.0 |
| 監査を有効にするように Synapse ワークスペースを構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、Synapse ワークスペースで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 | DeployIfNotExists、Disabled | 2.0.0 |
| Log Analytics ワークスペースに対して監査を有効にするように Synapse ワークスペースを構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、Synapse ワークスペースで監査が有効になっている必要があります。 監査が有効になっていない場合、このポリシーでは、指定された Log Analytics ワークスペースにフローするように監査イベントを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| 認証に Microsoft Entra の ID のみを使用するように Synapse ワークスペースを構成する | Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求し、再構成します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 ローカル認証が有効にならないように防ぎ、作成後にリソースに対する Microsoft Entra 専用認証を再度有効にします。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Modify、Disabled | 1.0.0 |
| ワークスペースの作成時に認証に Microsoft Entra の ID のみを使用するように Synapse ワークスペースを構成する | Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求し、再構成します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Modify、Disabled | 1.2.0 |
| Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) のカテゴリ グループによるイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) のカテゴリ グループによる Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse Analytics (microsoft.synapse/workspaces) のカテゴリ グループによるイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Synapse Analytics (microsoft.synapse/workspaces) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse Analytics (microsoft.synapse/workspaces) のカテゴリ グループによる Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Synapse Analytics (microsoft.synapse/workspaces) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse Analytics (microsoft.synapse/workspaces) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Synapse Analytics (microsoft.synapse/workspaces) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Hub への専用 SQL プール (microsoft.synapse/workspaces/sqlpools) のカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、専用 SQL プール (microsoft.synapse/workspaces/sqlpools) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics への専用 SQL プール (microsoft.synapse/workspaces/sqlpools) のカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、専用 SQL プール (microsoft.synapse/workspaces/sqlpools) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 専用 SQL プール (microsoft.synapse/workspaces/sqlpools) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、専用 SQL プール (microsoft.synapse/workspaces/sqlpools) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools から Event Hub へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.synapse/workspaces/kustopools のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools から Log Analytics へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.synapse/workspaces/kustopools の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools から Storage へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.synapse/workspaces/kustopools のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SCOPE プール (microsoft.synapse/workspaces/scopepools) のカテゴリ グループによるイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SCOPE プール (microsoft.synapse/workspaces/scopepools) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SCOPE プール (microsoft.synapse/workspaces/scopepools) のカテゴリ グループによる Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SCOPE プール (microsoft.synapse/workspaces/scopepools) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SCOPE プール (microsoft.synapse/workspaces/scopepools) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SCOPE プール (microsoft.synapse/workspaces/scopepools) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse ワークスペースの IP ファイアウォール規則を削除する必要がある | IP ファイアウォール規則をすべて削除すると、Azure Synapse ワークスペースへのアクセス手段がプライベート エンドポイントに限定され、セキュリティが向上します。 ワークスペースのパブリック ネットワーク アクセスを許可するファイアウォール規則の作成が、この構成によって監査されます。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースのマネージド ワークスペース仮想ネットワークを有効にする必要がある | マネージド ワークスペース仮想ネットワークを有効にすると、そのワークスペースが他のワークスペースから分離されたネットワークであることが保証されます。 また、この仮想ネットワークにデプロイされるデータ統合と Spark リソースによって、Spark のアクティビティに関してユーザー レベルの分離性が確保されます。 | Audit、Deny、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse マネージド プライベート エンドポイントは、承認された Azure Active Directory テナント内のリソースにのみ接続する必要がある | 承認された Azure Active Directory (Azure AD) テナント内のリソースへの接続のみを許可することによって、Synapse ワークスペースを保護します。 承認された Azure AD テナントは、ポリシーの割り当て中に定義できます。 | Audit, Disabled, Deny | 1.0.0 |
| Synapse ワークスペースの監査設定では、重要なアクティビティをキャプチャするようにアクション グループを構成する必要がある | 監査ログを確実に可能な限り詳細なものにするには、AuditActionsAndGroups プロパティに関連するすべてのグループが含まれている必要があります。 少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、および BATCH_COMPLETED_GROUP を追加することをお勧めします。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse ワークスペースでは Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse ワークスペースはワークスペース作成時に認証に Microsoft Entra の ID のみを使用する必要がある | Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| ストレージ アカウント ターゲットに対する Synapse ワークスペースの SQL 監査データの保持期間を 90 日以上でに設定する必要がある | インシデント調査を目的として、Synapse ワークスペースの SQL 監査のストレージ アカウント ターゲットのデータ保持期間を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。