Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Alle Funktionen von Microsoft Defender for Cloud werden am 18. August 2026 in der Region „Azure China“ offiziell eingestellt. Aufgrund dieser bevorstehenden Einstellung können Kunden von Azure in China keine neuen Abonnements mehr in den Dienst integrieren. Ein neues Abonnement ist ein Abonnement, das noch nicht in den Microsoft Defender für Cloud-Dienst vor dem 18. August 2025 integriert wurde, das Datum der Einstellungsankündigung. Weitere Informationen zur Einstellung finden Sie unter Microsoft Defender for Cloud Deprecation in Microsoft Azure Operated by 21Vianet Announcement.
Kunden sollten mit ihren Kundenservicemitarbeitern für Microsoft Azure, betrieben von 21Vianet, zusammenarbeiten, um die Auswirkungen dieser Einstellung auf ihren eigenen Betrieb zu bewerten.
Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Sicherheitsrisiken für die Datenbank ermittelt, nachverfolgt und behandelt werden können. Verwenden Sie sie zur proaktiven Verbesserung Ihrer Datenbanksicherheit für:
Azure SQL-Datenbank
Verwaltete Azure SQL-Instanz
Azure Synapse Analytics
Die Sicherheitsrisikobewertung ist Teil von Microsoft Defender for Azure SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen. Sie können die Sicherheitsrisikobewertung über jede SQL-Datenbankressource im Azure-Portal aufrufen und verwalten.
Hinweis
Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. Datenbanken in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics werden in diesem Artikel gemeinsam als „Datenbanken“ bezeichnet. „Server“ bezieht sich auf den Server, der Datenbanken für Azure SQL-Datenbank und Azure Synapse hostet.
Von Bedeutung
Die Expresskonfiguration ist als Vorschau für Azure SQL Managed Instance und Arbeitsbereiche von Azure Synapse Analytics verfügbar. Dadurch wird die allgemein verfügbare Microsoft verwaltete Oberfläche für Azure SQL-Datenbank (GA) ohne zusätzliche Kosten erweitert.
Mit dieser Version können Sie SQL VA aktivieren, ohne ein vom Kunden verwaltetes Speicherkonto zu konfigurieren. Die Expresskonfiguration ist der empfohlene Aktivierungsmodus und bietet den gleichen Sicherheitswert wie die klassische Konfiguration mit einem vereinfachten Setup.
Eine einheitliche REST-API (v2026-04-01-preview) verwaltet SQL VA konsistent über Azure SQL-Datenbank, SQL Managed Instance-, Synapse-Arbeitsbereiche und SQL auf Computern (Azure VM und Arc-fähigen SQL).
Was ist die SQL-Sicherheitsrisikobewertung?
Die SQL-Sicherheitsrisikobewertung bietet Einblicke in ihren Datenbanksicherheitsstatus. Sie enthält umsetzbare Schritte zum Beheben von Sicherheitsproblemen und zur Verbesserung Ihres SQL-Sicherheitsstatus.
Die Sicherheitsrisikobewertung ist ein scandienst, der in Azure SQL integriert ist. Es verwendet eine Wissensdatenbank von Regeln, die Sicherheitsrisiken und Abweichungen von bewährten Methoden kennzeichnen, z. B. Fehlkonfigurationen, übermäßige Berechtigungen und nicht geschützte vertrauliche Daten.
Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt. Sie umfassen sowohl Sicherheitsprobleme auf der Datenbankebene als auch Sicherheitsprobleme auf der Serverebene (beispielsweise Serverfirewalleinstellungen oder Berechtigungen auf der Serverebene).
Zu den Ergebnissen der Überprüfung zählen praktische Schritte zum Beheben der jeweiligen Probleme. Außerdem werden ggf. benutzerdefinierte Skripts zur Wiederherstellung bereitgestellt. Passen Sie einen Bewertungsbericht für Ihre Umgebung an, indem Sie eine akzeptable Baseline für Folgendes festlegen:
- Berechtigungskonfigurationen
- Featurekonfigurationen
- Datenbankeinstellungen
Konfigurationsmodelle
Die SQL-Sicherheitsrisikobewertung unterstützt zwei Konfigurationsmodelle:
Expresskonfiguration
In der Expresskonfiguration verwaltet Microsoft Defender für die Cloud den Speicher für Scanergebnisse der Sicherheitsrisikobewertung. Es ist kein vom Kunden verwaltetes Speicherkonto erforderlich.
Scanergebnisse werden in derselben Azure-Region wie der logische SQL-Server gespeichert.
Erlaubnisse
| Aufgabe | Erforderliche Rollen |
|---|---|
| Anzeigen der Ergebnisse der SQL-Sicherheitsrisikobewertung in Microsoft Defender für Cloud-Empfehlungen | Sicherheitsadministrator oder Sicherheitsleser |
| Ändern der EINSTELLUNGEN für die SQL-Sicherheitsrisikobewertung | SQL Security Manager oder Sicherheitsadministrator (für neue einheitliche API) |
| Zugreifen auf Scanergebnisse auf Ressourcenebene oder automatisierte E-Mail-Links | SQL Security Manager oder Sicherheitsadministrator (für neue einheitliche API) |
Datenresidenz
Scanergebnisse werden in derselben Azure-Region wie der logische SQL-Server gespeichert. Daten werden nur gesammelt und gespeichert, wenn die SQL-Sicherheitsrisikobewertung aktiviert ist.
Klassische Konfiguration
In der klassischen Konfiguration werden Scanergebnisse in einem vom Kunden verwalteten Azure Storage-Konto gespeichert, das Sie konfigurieren. Sie steuern den Speicherort, das Zugriffsmodell und die Resilienz des Speicherkontos.
Erlaubnisse
| Aufgabe | Erforderliche Rollen |
|---|---|
| Anzeigen der Ergebnisse der SQL-Sicherheitsrisikobewertung in Microsoft Defender für Cloud-Empfehlungen | Sicherheitsadministrator oder Sicherheitsleser |
| Ändern der EINSTELLUNGEN für die SQL-Sicherheitsrisikobewertung | SQL Security Manager und Storage Blob Data Reader und Owner (im Speicherkonto) |
| Zugreifen auf Scanergebnisse auf Ressourcenebene oder automatisierte E-Mail-Links | SQL Security Manager und Storage Blob Data Reader |
Datenresidenz
Scanergebnisse werden im von Ihnen konfigurierten Azure Storage-Konto gespeichert. Der Speicherort des Speicherkontos bestimmt die Datenresidenz.
Vergleich des Konfigurationsmodells
In der folgenden Tabelle werden die Funktionen und Verhaltensunterschiede zwischen den Express- und klassischen Konfigurationen verglichen:
| Parameter | Expresskonfiguration | Klassische Konfiguration |
|---|---|---|
| Unterstützte SQL-Varianten | • Azure SQL-Datenbank • Dedizierte Azure Synapse-SQL-Pools (vormals Azure SQL Data Warehouse) • Azure SQL Managed Instance (Vorschau) • Azure Synapse Analytics (Vorschau) |
• Azure SQL-Datenbank • Azure SQL Managed Instance • Azure Synapse Analytics |
| Unterstützter Richtlinienbereich | • Abonnement •Server |
• Abonnement •Server • Datenbank |
| Abhängigkeiten | Vom System zugewiesene verwaltete Identität (nur Azure SQL Managed Instance) | Azure-Speicherkonto |
| Wiederkehrende Überprüfung | • Immer aktiv • Überprüfungsplanung ist intern und nicht konfigurierbar |
• Konfigurierbar ein/aus • Überprüfungsplanung ist intern und nicht konfigurierbar |
| Systemdatenbankscan | • Geplante Überprüfung • Manuelle Überprüfung |
• Geplante Überprüfung nur, wenn eine oder mehrere Benutzerdatenbanken vorhanden sind • Manuelle Überprüfung jedes Mal, wenn eine Benutzerdatenbank gescannt wird |
| Unterstützte Regeln | Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp | Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp |
| Baselineeinstellungen | • Batch – mehrere Regeln in einem Befehl • Festlegen nach neuesten Überprüfungsergebnissen • Einzelne Regel |
• Einzelne Regel |
| Anwenden der Baseline | Wird wirksam , ohne die Datenbank erneut zu scannen | Wird erst nach dem erneuten Scannen der Datenbank wirksam |
| Größe des Überprüfungsergebnisses einer einzelnen Regel | Maximal 1 MB | Unbegrenzt |
| E-Mail-Benachrichtigungen | • Logik-Apps | • Interner Planer • Logik-Apps |
| Überprüfungsexport | CSV, Azure Resource Graph | Excel-Format, Azure Resource Graph |
| Unterstützte Clouds |
Kommerzielle Cloud-Dienste1
Azure Government
Microsoft Azure, betrieben von 21Vianet |
Kommerzielle Clouds
Azure Government
Azure, betrieben von 21Vianet |
1: Die neueste Version der SQL VA-API (v2026-04-01-Preview, Vorschau für Azure SQL Managed Instance und Azure Synapse Analytics) ist derzeit in Den Regionen Mittlerer Osten nicht verfügbar: Israel Central, Katar Central, UAE Central und UAE North.
Verwandte Inhalte
- Aktivieren von SQL-Sicherheitsrisikobewertungen
- Expresskonfiguration häufig gestellte Fragen und Problembehandlung.
- Erfahren Sie mehr zu Microsoft Defender for Azure SQL.
- Informieren Sie sich ausführlicher über die Datenermittlung und -klassifizierung.
- Erfahren Sie mehr über das Speichern der Ergebnisse von Überprüfungen zur Sicherheitsrisikobewertung in einem Speicherkonto, auf das hinter Firewalls und VNets zugegriffen werden kann.
- Suchen und Beheben von Ergebnissen der SQL-Sicherheitsrisikobewertung