Richtlinien in Analysen auf Cloudebene

Bevor Sie eine Bereitstellung in Betracht ziehen, sollte Ihre Organisation unbedingt Schutzmaßnahmen einführen. Durch die Verwendung von Azure-Richtlinien können Sie Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung implementieren.

Hintergrund

Ein Kernprinzip von Analysen auf Cloudebene besteht darin, das Erstellen, Lesen, Aktualisieren und Löschen von Ressourcen nach Bedarf zu vereinfachen. Wenn Entwickler uneingeschränkten Zugriff auf Ressourcen haben, können sie zwar sehr flexibel vorgehen, aber es können sich auch unerwünschte Kosten ergeben. Die Lösung dieses Problems ist die Kontrolle (Governance) des Ressourcenzugriffs. Diese Governance ist der fortlaufende Prozess der Verwaltung, Überwachung und Überprüfung der Nutzung von Azure-Ressourcen, um die Ziele und Anforderungen Ihrer Organisation zu erfüllen.

Dieses Konzept wird in Erste Schritte mit Cloud Adoption Framework-Zielzonen auf Unternehmensebene bereits verwendet. Analysen auf Cloudebene fügen benutzerdefinierte Azure-Richtlinien hinzu, um auf diesen Standards aufzubauen. Die Standards werden dann auf unsere Datenverwaltungszielzonen und Datenzielzonen angewendet.

Azure Policy ist wichtig, um Sicherheit und Compliance im Rahmen von Analysen auf Cloudebene zu gewährleisten. Sie unterstützt bei der Durchsetzung von Standards und der Bewertung der Compliance im richtigen Maßstab. Richtlinien können verwendet werden, um Ressourcen in Azure zu evaluieren und mit den gewünschten Eigenschaften zu vergleichen. Mehrere Richtlinien oder Geschäftsregeln können in einer Initiative gruppiert werden. Einzelne Richtlinien oder Initiativen können verschiedenen Bereichen in Azure zugewiesen werden. Diese Bereiche können Verwaltungsgruppen, Abonnements, Ressourcengruppen oder einzelne Ressourcen sein. Die Zuweisung gilt für alle Ressourcen innerhalb des Bereichs, und Unterbereiche können bei Bedarf mit Ausnahmen ausgeschlossen werden.

Überlegungen zum Entwurf

Azure-Richtlinien in Analysen auf Cloudebene wurden unter Berücksichtigung der folgenden Entwurfsüberlegungen entwickelt:

• Verwenden Sie Azure-Richtlinien zur Implementierung von Regeln für die Ressourcenkonsistenz, die Einhaltung gesetzlicher Bestimmungen, die Sicherheit, die Kosten und die Verwaltung.
• Verwenden Sie verfügbare vordefinierte Richtlinien, um Zeit zu sparen.
• Weisen Sie Richtlinien der höchstmöglichen Ebene in der Verwaltungsgruppenstruktur zu, um die Richtlinienverwaltung zu vereinfachen.
• Beschränken Sie die Zuweisungen von Azure Policy, die im Bereich der Stammverwaltungsgruppe vorgenommen werden, um eine Verwaltung durch Ausschlüsse in vererbten Bereichen zu vermeiden.
• Verwenden Sie Richtlinienausnahmen nur, wenn es unbedingt nötig ist und diese eine Genehmigung erfordern.

Azure-Richtlinien für Analysen auf Cloudebene

Durch das Implementieren von benutzerdefinierten Richtlinien können Sie mehr mit Azure Policy tun. Analysen auf Cloudebene bieten eine Reihe vorab erstellter Richtlinien, mit denen Sie alle erforderlichen Schutzmaßnahmen in Ihrer Umgebung implementieren können.

Azure Policy sollte das zentrale Instrument des Azure-(Daten-)Plattformteams sein, um die Compliance von Ressourcen innerhalb der Datenverwaltungszielzone sowie innerhalb von Datenzielzonen und anderen Zielzonen innerhalb des Mandanten der Organisation sicherzustellen. Dieses Plattformfeature sollte verwendet werden, um Schutzmaßnahmen einzuführen und die Einhaltung der allgemeinen genehmigten Dienstkonfiguration innerhalb des jeweiligen Verwaltungsgruppenbereichs zu erzwingen. Die Plattformteams können Azure Policy verwenden, um beispielsweise private Endpunkte für Speicherkonten zu erzwingen, die in der Datenplattformumgebung gehostet werden, oder um bei der Übertragung TLS 1.2-Verschlüsselung für Verbindungen zu erzwingen, die mit den Speicherkonten hergestellt werden. Bei korrekter Umsetzung wird dadurch verhindert, dass Datenanwendungsteams im jeweiligen Mandantenbereich Dienste in einem nicht konformen Zustand hosten.

Die zuständigen IT-Teams sollten dieses Plattformfeature verwenden, um Sicherheits- und Compliancebedenken zu behandeln und die Verwendung eines Self-Service-Ansatzes in (Daten-)Zielzonen zu ermöglichen.

Analysen auf Cloudebene enthalten benutzerdefinierte Richtlinien im Zusammenhang mit Ressourcen- und Kostenverwaltung, Authentifizierung, Verschlüsselung, Netzwerkisolation, Protokollierung, Resilienz und mehr.

Hinweis

Die bereitgestellten Richtlinien werden während der Bereitstellung nicht standardmäßig angewendet. Sie sollten nur als Leitfaden betrachtet werden und können je nach Geschäftsanforderungen angewendet werden. Richtlinien sollten immer auf die höchstmögliche Ebene angewendet werden. In den meisten Fällen ist dies eine Verwaltungsgruppe. Alle Richtlinien sind in unserem GitHub-Repository verfügbar.

• Alle Dienste
• Speicher
• Schlüsseltresor
• Azure Data Factory
• Azure Synapse Analytics
• Azure Purview
• Azure Databricks
• Azure IoT Hub
• Azure Event Hubs
• Azure Stream Analytics
• Azure Data Explorer
• Azure Cosmos DB
• Azure Container Registry
• Azure Cognitive Services
• Azure Machine Learning
• Verwaltete Azure SQL-Datenbank-Instanz
• Azure SQL-Datenbank
• Azure Database for MariaDB
• Azure Database for MySQL
• Azure-Datenbank für PostgreSQL
• Azure AI Search
• Azure DNS
• Netzwerksicherheitsgruppe
• Batch
• Azure Cache for Redis
• Containerinstanzen
• Azure Firewall
• HDInsight
• Power BI

Hinweis

Die unten angegebenen Richtlinien werden während der Bereitstellung nicht standardmäßig angewendet. Sie sollten nur als Leitfaden betrachtet werden und können je nach den geschäftlichen Anforderungen angewendet werden. Richtlinien sollten immer auf die höchstmögliche Ebene angewendet werden. In den meisten Fällen ist dies eine Verwaltungsgruppe. Alle Richtlinien stehen in unserem GitHub-Repository zur Verfügung.

Alle Dienste

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-PublicIp	Netzwerkisolation	Einschränken der Bereitstellung öffentlicher IP-Adressen.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Netzwerkisolation	Ablehnen privater Endpunkte für Ressourcen außerhalb des Microsoft Entra-Mandanten und -Abonnements.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Netzwerkisolation	Stellt die Konfigurationen einer Private DNS Zone-Gruppe durch einen Parameter für den privaten Endpunkt des Diensts bereit. Wird verwendet, um die Konfiguration für eine einzelne Private DNS-Zone zu erzwingen.
DiagnosticSettings-{Service}-LogAnalytics	Protokollierung	Senden von Diagnoseeinstellungen für Azure Cosmos DB an den Log Analytics-Arbeitsbereich

Storage

Richtlinienname	Richtlinienbereich	Beschreibung
Append-Storage-Encryption	Verschlüsselung	Erzwingen von Verschlüsselung für Speicherkonten.
Deny-Storage-AllowBlobPublicAccess	Netzwerkisolation	Erzwingt „kein öffentlicher Zugriff“ auf alle Blobs oder Container im Speicherkonto.
Deny-Storage-ContainerDeleteRetentionPolicy	Resilienz	Erzwingen von Aufbewahrungsrichtlinien für das Löschen von Containern, die länger als sieben Tage für das Speicherkonto dauern.
Deny-Storage-CorsRules	Netzwerkisolation	Ablehnen von CORS-Regeln für das Speicherkonto.
Deny-Storage-InfrastructureEncryption	Verschlüsselung	Erzwingen von Infrastrukturverschlüsselung (Mehrfachverschlüsselung) für Speicherkonten.
Deny-Storage-MinimumTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion 1.2 für das Speicherkonto.
Deny-Storage-NetworkAclsBypass	Netzwerkisolation	Erzwingt die Netzwerkumgehung für das Speicherkonto auf „None“.
Deny-Storage-NetworkAclsIpRules	Netzwerkisolation	Erzwingt Netzwerk-IP-Regeln für das Speicherkonto.
Deny-Storage-NetworkAclsVirtualNetworkRules	Netzwerkisolation	Lehnt VNET-Regeln für das Speicherkonto ab.
Deny-Storage-Sku	Ressourcenverwaltung	Erzwingt Speicherkonto-SKUs.
Deny-Storage-SupportsHttpsTrafficOnly	Verschlüsselung	Erzwingt HTTPS-Datenverkehr für das Speicherkonto.
Deploy-Storage-BlobServices	Ressourcenverwaltung	Bereitstellen der Standardeinstellungen für Blobdienste für das Speicherkonto.
Deny-Storage-RoutingPreference	Netzwerkisolation
Deny-Storage-Kind	Ressourcenverwaltung
Deny-Storage-NetworkAclsDefaultAction	Netzwerkisolation

Key Vault

Richtlinienname	Richtlinienbereich	Beschreibung
Audit-KeyVault-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für den Schlüsseltresor erstellt werden.
Deny-KeyVault-NetworkAclsBypass	Netzwerkisolation	Erzwingt Umgehungsregeln auf Netzwerkebene für den Schlüsseltresor.
Deny-KeyVault-NetworkAclsDefaultAction	Netzwerkisolation	Erzwingt die Standardaktion auf Netzwerk-ACL-Ebene für den Schlüsseltresor.
Deny-KeyVault-NetworkAclsIpRules	Netzwerkisolation	Erzwingt Netzwerk-IP-Regeln für den Schlüsseltresor.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Netzwerkisolation	Lehnt VNET-Regeln für den Schlüsseltresor ab.
Deny-KeyVault-PurgeProtection	Resilienz	Erzwingt Bereinigungsschutz für den Schlüsseltresor.
Deny-KeyVault-SoftDelete	Resilienz	Erzwingt vorläufiges Löschen mit der Mindestanzahl von Aufbewahrungstagen für den Schlüsseltresor.
Deny-KeyVault-TenantId	Ressourcenverwaltung	Erzwingen der Mandanten-ID für den Schlüsseltresor.

Azure Data Factory

Richtlinienname	Richtlinienbereich	Beschreibung
Append-DataFactory-IdentityType	Authentifizierung	Erzwingt die Verwendung von systemseitig zugewiesener Identität für Data Factory.
Deny-DataFactory-ApiVersion	Ressourcenverwaltung	Lehnt die alte API-Version für Data Factory V1 ab.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Netzwerkisolation	Lehnt Integration Runtimes ab, die nicht mit dem verwalteten virtuellen Netzwerk verbunden sind.
Deny-DataFactory-LinkedServicesConnectionStringType	Authentifizierung	Lehnt nicht im Schlüsseltresor gespeicherte Geheimnisse für verknüpfte Dienste ab.
Deny-DataFactory-ManagedPrivateEndpoints	Netzwerkisolation	Lehnt externe private Endpunkte für verknüpfte Dienste ab.
Deny-DataFactory-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Zugriff auf Data Factory.
Deploy-DataFactory-ManagedVirtualNetwork	Netzwerkisolation	Bereitstellen eines verwalteten virtuellen Netzwerks für Data Factory.
Deploy-SelfHostedIntegrationRuntime-Sharing	Resilienz	Freigeben einer selbstgehosteten Integration Runtime, die im Datenhub gehostet wird, für Data Factorys auf den Datenknoten.

Azure Synapse Analytics

Richtlinienname	Richtlinienbereich	Beschreibung
Append-Synapse-LinkedAccessCheckOnTargetResource	Netzwerkisolation	Erzwingen von LinkedAccessCheckOnTargetResource in verwalteten VNET-Einstellungen, wenn der Synapse-Arbeitsbereich erstellt wird.
Append-Synapse-Purview	Netzwerkisolation	Erzwingen einer Verbindung zwischen der zentralen Purview-Instanz und dem Synapse-Arbeitsbereich.
Append-SynapseSpark-ComputeIsolation	Ressourcenverwaltung	Wenn ein Synapse Spark-Pool ohne Compute-Isolation erstellt wurde, wird sie hiermit hinzugefügt.
Append-SynapseSpark-DefaultSparkLogFolder	Protokollierung	Wenn ein Synapse Spark-Pool ohne Protokollierung erstellt wurde, wird sie hiermit hinzugefügt.
Append-SynapseSpark-SessionLevelPackages	Ressourcenverwaltung	Wenn ein Synapse Spark-Pool ohne Pakete auf Sitzungsebene erstellt wurde, werden sie hiermit hinzugefügt.
Audit-Synapse-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für Synapse erstellt werden.
Deny-Synapse-AllowedAadTenantIdsForLinking	Netzwerkisolation
Deny-Synapse-Firewall	Netzwerkisolation	Einrichten der Firewall von Synapse.
Deny-Synapse-ManagedVirtualNetwork	Netzwerkisolation	Wenn ein Synapse-Arbeitsbereich ohne verwaltetes virtuelles Netzwerk erstellt wurde, wird er hiermit hinzugefügt.
Deny-Synapse-PreventDataExfiltration	Netzwerkisolation	Erzwingt eine Verhinderung der Datenexfiltration für ein von Synapse verwaltetes virtuelles Netzwerk.
Deny-SynapsePrivateLinkHub	Netzwerkisolation	Lehnt Private Link-Hub für Synapse ab.
Deny-SynapseSpark-AutoPause	Ressourcenverwaltung	Erzwingt eine automatische Pause für Synapse Spark-Pools.
Deny-SynapseSpark-AutoScale	Ressourcenverwaltung	Erzwingt automatische Skalierung für Synapse Spark-Pools.
Deny-SynapseSql-Sku	Ressourcenverwaltung	Lehnt bestimmte Synapse SQL-Pool-SKUs ab.
Deploy-SynapseSql-AuditingSettings	Protokollierung	Senden von Überwachungsprotokollen für Synapse SQL-Pools an Log Analytics.
Deploy-SynapseSql-MetadataSynch	Ressourcenverwaltung	Einrichten der Metadatensynchronisierung für Synapse SQL-Pools.
Deploy-SynapseSql-SecurityAlertPolicies	Protokollierung	Bereitstellen einer Sicherheitswarnungsrichtlinie für Synapse SQL-Pools.
Deploy-SynapseSql-TransparentDataEncryption	Verschlüsselung	Bereitstellen der transparenten Synapse SQL-Datenverschlüsselung.
Deploy-SynapseSql-VulnerabilityAssessment	Protokollierung	Bereitstellen von Sicherheitsrisikobewertungen für Synapse SQL-Pools.

Azure Purview

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-Purview	Ressourcenverwaltung	Einschränken der Bereitstellung von Purview-Konten, um eine Verbreitung zu vermeiden.

Azure Databricks

Richtlinienname	Richtlinienbereich	Beschreibung
Append-Databricks-PublicIp	Netzwerkisolation	Erzwingt „kein öffentlicher Zugriff“ für Databricks-Arbeitsbereiche.
Deny-Databricks-Sku	Ressourcenverwaltung	Ablehnen der Nicht-Premium-Databricks-SKU.
Deny-Databricks-VirtualNetwork	Netzwerkisolation	Ablehnen der Bereitstellung von nicht virtuellen Netzwerken für Databricks.

Zusätzliche Richtlinien, die im Databricks-Arbeitsbereich über Clusterrichtlinien angewendet werden:

Clusterrichtlinienname	Richtlinienbereich
Einschränken der Spark-Version	Ressourcenverwaltung
Einschränken der Clustergröße und von VM-Typen	Ressourcenverwaltung
Erzwingen von Kostentags	Ressourcenverwaltung
Erzwingen von Autoskalierung	Ressourcenverwaltung
Erzwingen von AutoPause (Automatisches Anhalten)	Ressourcenverwaltung
Einschränken von DBUs (Databricks-Einheiten) pro Stunde	Ressourcenverwaltung
Verweigern von öffentlichem SSH	Authentifizierung
Passthrough für Cluster-Anmeldeinformationen aktiviert	Authentifizierung
Aktivieren der Prozessisolation	Netzwerkisolation
Erzwingen der Spark-Überwachung	Protokollierung
Erzwingen von Clusterprotokollen	Protokollierung
Zulassen von nur SQL, Python	Ressourcenverwaltung
Ablehnen von zusätzlichen Setupskripts	Ressourcenverwaltung

Azure IoT Hub

Richtlinienname	Richtlinienbereich	Beschreibung
Append-IotHub-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für IoT Hub.
Audit-IotHub-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für IoT-Hubs erstellt werden.
Deny-IotHub-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für IoT Hub.
Deny-IotHub-Sku	Ressourcenverwaltung	Erzwingt IoT Hub-SKUs.
Deploy-IotHub-IoTSecuritySolutions	Sicherheit	Bereitstellen von Microsoft Defender für IoT für IoT-Hubs.

Azure Event Hubs

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-EventHub-Ipfilterrules	Netzwerkisolation	Ablehnen des Hinzufügens von IP-Filterregeln für Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für MySQL-Server.
Deny-EventHub-NetworkRuleSet	Netzwerkisolation	Erzwingt Standard-VNET-Regeln für Azure Event Hubs.
Deny-EventHub-Sku	Ressourcenverwaltung	Lehnt bestimmte AKUs für Azure Event Hubs ab.
Deny-EventHub-Virtualnetworkrules	Netzwerkisolation	Ablehnen des Hinzufügens von VNET-Regeln für Azure Event Hubs.

Azure Stream Analytics

Richtlinienname	Richtlinienbereich	Beschreibung
Append-StreamAnalytics-IdentityType	Authentifizierung	Erzwingt die Verwendung von systemseitig zugewiesener Identität für Stream Analytics.
Deny-StreamAnalytics-ClusterId	Ressourcenverwaltung	Erzwingt die Verwendung eines Stream Analytics-Clusters.
Deny-StreamAnalytics-StreamingUnits	Ressourcenverwaltung	Erzwingt die Anzahl von Stream Analytics-Streamingeinheiten.

Azure-Daten-Explorer

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-DataExplorer-DiskEncryption	Verschlüsselung	Erzwingt die Verwendung von Datenträgerverschlüsselung für den Daten-Explorer.
Deny-DataExplorer-DoubleEncryption	Verschlüsselung	Erzwingt die Verwendung von Mehrfachverschlüsselung für den Daten-Explorer.
Deny-DataExplorer-Identity	Authentifizierung	Erzwingt die Verwendung der system- oder benutzerseitig zugewiesenen Identität für den Daten-Explorer.
Deny-DataExplorer-Sku	Ressourcenverwaltung	Erzwingt Daten-Explorer-SKUs.
Deny-DataExplorer-TrustedExternalTenants	Netzwerkisolation	Lehnt externe Mandanten für den Daten-Explorer ab.
Deny-DataExplorer-VirtualNetworkConfiguration	Netzwerkisolation	Erzwingt die Erfassung von virtuellen Netzwerken für den Daten-Explorer.

Azure Cosmos DB

Richtlinienname	Richtlinienbereich	Beschreibung
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Authentifizierung	Verweigern des schlüsselbasierten Metadatenschreibzugriffs für Azure Cosmos DB-Konten
Append-Cosmos-PublicNetworkAccess	Netzwerkisolation	Erzwingen von „kein öffentlicher Netzwerkzugriff“ für Azure Cosmos DB-Konten
Audit-Cosmos-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für Azure Cosmos DB erstellt werden
Deny-Cosmos-Cors	Netzwerkisolation	Ablehnen von CORS-Regeln für Azure Cosmos DB-Konten
Deny-Cosmos-PublicNetworkAccess	Netzwerkisolation	Ablehnen des öffentlichen Netzwerkzugriffs für Azure Cosmos DB-Konten

Azure Container Registry

Richtlinienname	Richtlinienbereich	Beschreibung
Audit-ContainerRegistry-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für Cognitive Services erstellt werden.
Deny-ContainerRegistry-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für die Containerregistrierung.
Deny-ContainerRegistry-Sku	Ressourcenverwaltung	Erzwingt Premium-SKU für die Containerregistrierung.

Azure Cognitive Services

Richtlinienname	Richtlinienbereich	Beschreibung
Append-CognitiveServices-IdentityType	Authentifizierung	Erzwingt die Verwendung von systemseitig zugewiesener Identität für Cognitive Services.
Audit-CognitiveServices-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für Cognitive Services erstellt werden.
Deny-CognitiveServices-Encryption	Verschlüsselung	Erzwingt die Verwendung von Verschlüsselung für Cognitive Services.
Deny-CognitiveServices-PublicNetworkAccess	Netzwerkisolation	Erzwingt „kein öffentlicher Netzwerkzugriff“ für Cognitive Services.
Deny-CognitiveServices-Sku	Ressourcenverwaltung	Verweigern der kostenlosen SKU von Cognitive Services.
Deny-CognitiveServices-UserOwnedStorage	Netzwerkisolation	Erzwingt benutzereigenen Speicher für Cognitive Services.

Azure Machine Learning

Richtlinienname	Richtlinienbereich	Beschreibung
Append-MachineLearning-PublicAccessWhenBehindVnet	Netzwerkisolation	Verweigern des öffentlichen Zugriffs hinter dem VNET für Machine Learning-Arbeitsbereiche.
Audit-MachineLearning-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für maschinelles Lernen erstellt werden.
Deny-MachineLearning-HbiWorkspace	Netzwerkisolation	Erzwingen von Machine Learning-Arbeitsbereichen mit erheblichen Geschäftsauswirkungen für die gesamte Umgebung.
Deny-MachineLearningAks	Ressourcenverwaltung	Ablehnen der AKS-Erstellung („nicht anfügen“) in Machine Learning.
Deny-MachineLearningCompute-SubnetId	Netzwerkisolation	Ablehnen der öffentlichen IP-Adresse für Machine Learning-Computecluster und -Instanzen.
Deny-MachineLearningCompute-VmSize	Ressourcenverwaltung	Einschränken der zulässigen VM-Größen für Machine Learning-Computecluster und -Instanzen.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Netzwerkisolation	Verweigern des öffentlichen Zugriffs auf Cluster über SSH.
Deny-MachineLearningComputeCluster-Scale	Ressourcenverwaltung	Erzwingen von Skalierungseinstellungen für Machine Learning-Computecluster.

Verwaltete Azure SQL-Instanz

Richtlinienname	Richtlinienbereich	Beschreibung
Append-SqlManagedInstance-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für SQL Managed Instance-Server.
Deny-SqlManagedInstance-PublicDataEndpoint	Netzwerkisolation	Lehnt einen öffentlichen Datenendpunkt für verwaltete SQL-Instanzen ab.
Deny-SqlManagedInstance-Sku	Ressourcenverwaltung
Deny-SqlManagedInstance-SubnetId	Netzwerkisolation	Erzwingt Bereitstellungen in Subnetzen von verwalteten SQL-Instanzen.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Authentifizierung	Erzwingt die ausschließliche Microsoft Entra-Authentifizierung für SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Protokollierung	Bereitstellen von Sicherheitswarnungsrichtlinien für SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Protokollierung	Bereitstellen von Sicherheitsrisikobewertungen für SQL Managed Instance.

Azure SQL-Datenbank

Richtlinienname	Richtlinienbereich	Beschreibung
Append-Sql-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für SQL-Server.
Audit-Sql-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für Azure SQL erstellt werden.
Deny-Sql-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für SQL-Server.
Deny-Sql-StorageAccountType	Resilienz	Erzwingt georedundante Datenbanksicherung.
Deploy-Sql-AuditingSettings	Protokollierung	Bereitstellen von SQL-Überwachungseinstellungen.
Deploy-Sql-AzureAdOnlyAuthentications	Authentifizierung	Erzwingt die ausschließliche Microsoft Entra-Authentifizierung für SQL Server.
Deploy-Sql-SecurityAlertPolicies	Protokollierung	Bereitstellen von SQL-Sicherheitswarnungsrichtlinien.
Deploy-Sql-TransparentDataEncryption	Verschlüsselung	Bereitstellen der transparenten SQL-Datenverschlüsselung.
Deploy-Sql-VulnerabilityAssessment	Protokollierung	Bereitstellen von SQL-Sicherheitsrisikobewertungen.
Deploy-SqlDw-AuditingSettings	Protokollierung	Bereitstellen von SQL DW-Überwachungseinstellungen.

Azure Database for MariaDB

Richtlinienname	Richtlinienbereich	Beschreibung
Append-MariaDb-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für MariaDB-Server.
Audit-MariaDb-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für MariaDB erstellt werden.
Deny-MariaDb-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für MariaDB-Server.
Deny-MariaDb-StorageProfile	Resilienz	Erzwingt georedundante Datenbanksicherung mit minimaler Aufbewahrungsdauer in Tagen.
Deploy-MariaDb-SecurityAlertPolicies	Protokollierung	Bereitstellen von SQL-Sicherheitswarnungsrichtlinien für MariaDB.

Azure Database for MySQL

Richtlinienname	Richtlinienbereich	Beschreibung
Append-MySQL-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für MySQL-Server.
Audit-MySql-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für MySQL erstellt werden.
Deny-MySQL-InfrastructureEncryption	Verschlüsselung	Erzwingt Infrastrukturverschlüsselung für MySQL-Server.
Deny-MySQL-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für MySQL-Server.
Deny-MySql-StorageProfile	Resilienz	Erzwingt georedundante Datenbanksicherung mit minimaler Aufbewahrungsdauer in Tagen.
Deploy-MySql-SecurityAlertPolicies	Protokollierung	Bereitstellen von SQL-Sicherheitswarnungsrichtlinien für MySQL.

Azure Database for PostgreSQL

Richtlinienname	Richtlinienbereich	Beschreibung
Append-PostgreSQL-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für PostgreSQL-Server.
Audit-PostgreSql-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für PostgreSQL erstellt werden.
Deny-PostgreSQL-InfrastructureEncryption	Verschlüsselung	Erzwingt Infrastrukturverschlüsselung für PostgreSQL-Server.
Deny-PostgreSQL-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für PostgreSQL-Server.
Deny-PostgreSql-StorageProfile	Resilienz	Erzwingt georedundante Datenbanksicherung mit minimaler Aufbewahrungsdauer in Tagen.
Deploy-PostgreSql-SecurityAlertPolicies	Protokollierung	Bereitstellen von SQL-Sicherheitswarnungsrichtlinien für PostgreSQL.

Azure KI Search

Richtlinienname	Richtlinienbereich	Beschreibung
Append-Search-IdentityType	Authentifizierung	Erzwingt die Verwendung von systemseitig zugewiesener Identität für Azure KI Search.
Audit-Search-PrivateEndpointId	Netzwerkisolation	Überwachen von öffentlichen Endpunkten, die in anderen Abonnements für Azure KI Search erstellt werden.
Deny-Search-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für Azure KI Search.
Deny-Search-Sku	Ressourcenverwaltung	Erzwingt Azure KI-Search SKUs.

Azure DNS

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-PrivateDnsZones	Ressourcenverwaltung	Einschränken der Bereitstellung von privaten DNS-Zonen, um eine Verbreitung zu vermeiden.

Netzwerksicherheitsgruppe

Richtlinienname	Richtlinienbereich	Beschreibung
Deploy-Nsg-FlowLogs	Protokollierung	Bereitstellen von NSG-Datenflussprotokollen und -Datenverkehrsanalyse (Traffic Analytics).

Batch

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-Batch-InboundNatPools	Netzwerkisolation	Lehnt NAT-Eingangspools für Batch-Konto-VM-Pools ab.
Deny-Batch-NetworkConfiguration	Netzwerkisolation	Lehnt öffentliche IP-Adressen für Batch-Konto-VM-Pools ab.
Deny-Batch-PublicNetworkAccess	Netzwerkisolation	Verweigert öffentlichen Netzwerkzugriff für Batch-Konten.
Deny-Batch-Scale	Ressourcenverwaltung	Lehnt bestimmte Skalierungskonfigurationen für Batch-Konto-VM-Pools ab.
Deny-Batch-VmSize	Ressourcenverwaltung	Lehnt bestimmte VM-Größen für Batch-Konto-VM-Pools ab.

Azure Cache for Redis

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-Cache-Enterprise	Ressourcenverwaltung	Lehnt Redis Cache Enterprise ab.
Deny-Cache-FirewallRules	Netzwerkisolation	Lehnt Firewallregeln für Redis Cache ab.
Deny-Cache-MinimumTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für Redis Cache.
Deny-Cache-NonSslPort	Netzwerkisolation	Erzwingt das Deaktivieren des Nicht-SSL-Ports für Redis Cache.
Deny-Cache-PublicNetworkAccess	Netzwerkisolation	Erzwingt „kein öffentlicher Netzwerkzugriff“ für Redis Cache.
Deny-Cache-Sku	Ressourcenverwaltung	Erzwingt bestimmte SKUs für Redis Cache.
Deny-Cache-VnetInjection	Netzwerkisolation	Erzwingt die Verwendung von privaten Endpunkten und verweigert die VNET-Einschleusung für Redis Cache.

Containerinstanzen

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-ContainerInstance-PublicIpAddress	Netzwerkisolation	Verweigert öffentliche Containerinstanzen, die aus Azure Machine Learning erstellt wurden.

Azure Firewall

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-Firewall	Ressourcenverwaltung	Einschränken der Bereitstellung von Azure Firewall, um eine Verbreitung zu vermeiden.

HDInsight

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-HdInsight-EncryptionAtHost	Verschlüsselung	Erzwingen der Verschlüsselung auf dem Host für HDInsight-Cluster.
Deny-HdInsight-EncryptionInTransit	Verschlüsselung	Erzwingt Verschlüsselung während der Übertragung für HDInsight-Cluster.
Deny-HdInsight-MinimalTlsVersion	Verschlüsselung	Erzwingt die TLS-Mindestversion für HDInsight-Cluster.
Deny-HdInsight-NetworkProperties	Netzwerkisolation	Erzwingt Private Link-Aktivierung für HDInsight-Cluster.
Deny-HdInsight-Sku		Erzwingt bestimmte SKUs für HDInsight-Cluster.
Deny-HdInsight-VirtualNetworkProfile	Netzwerkisolation	Erzwingt die Einschleusung virtueller Netzwerke für HDInsight-Cluster.

Power BI

Richtlinienname	Richtlinienbereich	Beschreibung
Deny-PrivateLinkServicesForPowerBI	Ressourcenverwaltung	Einschränken der Bereitstellung von Private Link-Diensten für Power BI, um eine Verbreitung zu vermeiden.

Nächste Schritte

• Anforderungen für die Datengovernance in einem modernen Unternehmen
• Für Datengovernance benötigte Komponenten