Integrierte Azure Policy-Definitionen für Data Factory
GILT FÜR:
Azure Data Factory 
Azure Synapse Analytics
Tipp
Testen Sie Data Factory in Microsoft Fabric, eine All-in-One-Analyselösung für Unternehmen. Microsoft Fabric deckt alle Aufgaben ab, von der Datenverschiebung bis hin zu Data Science, Echtzeitanalysen, Business Intelligence und Berichterstellung. Erfahren Sie, wie Sie kostenlos eine neue Testversion starten!
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Data Factory. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Data Factory
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Data Factory Pipelines dürfen nur mit zulässigen Domänen kommunizieren | Um Daten- und Tokenexfiltration zu verhindern, legen Sie die Domänen fest, mit denen Azure Data Factory kommunizieren darf. Hinweis: Während der öffentlichen Vorschau wird die Konformität für diese Richtlinie nicht gemeldet. Aktivieren Sie außerdem für die Anwendung der Richtlinie auf Data Factory die Funktionalität von Ausgangsregeln im ADF Studio. Weitere Informationen finden Sie unter https://aka.ms/data-exfiltration-policy. | Verweigern, deaktiviert | 1.0.0-preview |
| Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory Integration Runtime muss über einen Grenzwert für die Anzahl von Kernen verfügen | Begrenzen Sie zur Verbesserung Ihres Ressourcen- und Kostenmanagements die Anzahl von Kernen für eine Integration Runtime. | Audit, Deny, Disabled | 1.0.0 |
| Ressourcentyp des verknüpften Azure Data Factory-Diensts muss in Positivliste enthalten sein | Definieren Sie die Positivliste für die Typen des verknüpften Azure Data Factory-Diensts. Die Begrenzung der zulässigen Ressourcentypen ermöglicht die Steuerung der Grenze für die Datenverschiebung. Beispielsweise können Sie einen Bereich so einschränken, dass nur Blobspeicher mit Data Lake Storage Gen1 und Gen2 für die Analyse zulässig ist oder dass nur SQL- und Kusto-Zugriff für Echtzeitabfragen zulässig ist. | Audit, Deny, Disabled | 1.1.0 |
| Für verknüpfte Azure Data Factory-Dienste muss Key Vault zum Speichern von Geheimnissen verwendet werden | Zur Sicherstellung einer sicheren Verwaltung von Geheimnissen (z. B. Verbindungszeichenfolgen) sollten Sie für Benutzer das Bereitstellen von Geheimnissen per Azure Key Vault-Instanz obligatorisch machen, anstatt die Inline-Eingabe in verknüpften Diensten zu nutzen. | Audit, Deny, Disabled | 1.0.0 |
| Für verknüpfte Azure Data Factory-Dienste muss die Authentifizierung per systemseitig zugewiesener verwalteter Identität genutzt werden, falls dies unterstützt wird | Durch die Nutzung von systemseitig zugewiesener verwalteter Identität bei der Kommunikation mit Datenspeichern über verknüpfte Dienste wird die Verwendung von weniger sicheren Anmeldeinformationen vermieden, z. B. Kennwörter oder Verbindungszeichenfolgen. | Audit, Deny, Disabled | 2.1.0 |
| Für Azure Data Factory muss ein Git-Repository für die Quellcodeverwaltung genutzt werden | Konfigurieren Sie nur Ihre Entwicklungs-Data Factory mit Git-Integration. Änderungen an Test und Produktion sollten über CI/CD bereitgestellt werden und keine Git-Integration aufweisen. Wenden Sie diese Richtlinie NICHT auf Ihre Data Factorys für QA/ Tests/ Produktion an. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Data Factory-Instanzen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre Data Factory-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modify, Disabled | 1.0.0 |
| Private Endpunkte für Data Factory-Instanzen konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrer Azure Data Factory-Instanz können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Datenfabriken (V2) (microsoft.datafactory/factories) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Datenfabriken (V2) (microsoft.datafactory/factories) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Datenfabriken (V2) (microsoft.datafactory/factories) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Datenfabriken (V2) (microsoft.datafactory/factories) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Datenfabriken (V2) (microsoft.datafactory/factories) zum Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Datenfabriken (V2) (microsoft.datafactory/factories) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure Data Factory muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure Data Factory-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.0 |
| SQL Server Integration Services Integration Runtime-Instanzen in Azure Data Factory müssen in ein virtuelles Netzwerk eingebunden werden | Eine Azure Virtual Network-Bereitstellung bietet erweiterte Sicherheit und Isolation für Ihre SSIS Integration Runtime-Instanzen (SQL Server Integration Services) in Azure Data Factory und stellt außerdem Subnetze, Zugriffssteuerungsrichtlinien und andere Features zur weiteren Einschränkung des Zugriffs bereit. | Audit, Deny, Disabled | 2.3.0 |
Zugehöriger Inhalt
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.