Struktur der Azure Policy-Wartungsaufgabe

Das Feature „Azure Policy-Wartungsaufgabe“ wird verwendet, um Ressourcen konform zu bringen, die anhand einer Definition und Zuweisung eingerichtet wurden. Ressourcen, die mit einer modify- oder deployIfNotExist-Definitionszuweisung nicht kompatibel sind, können mithilfe einer Wartungsaufgabe in die Konformität gebracht werden. Die Wartungsaufgabe stellt die Vorlage „deployIFNotExist“ oder die „modify“-Vorgänge für die ausgewählten nicht konformen Ressourcen mithilfe der in der Zuweisung angegebenen Identität bereit. Siehe Richtlinienzuweisungsstruktur. um zu verstehen, wie die Identität definiert ist und das Tutorial „nicht kompatible Ressourcen beheben“, um die Identität zu konfigurieren.

Hinweis

Durch Wartungsaufgaben beheben vorhandene Ressourcen, die nicht konform sind. Neu erstellte oder aktualisierte Ressourcen, die für eine Definitionszuweisung „deployIfNotExist“ oder „modify“ gelten, werden automatisch behoben.

Sie verwenden JavaScript Object Notation (JSON), um eine Richtlinienwartungsaufgabe zu erstellen. Der Richtlinienwartungsaufgabe enthält Elemente für:

• Anzeigename
• description
• Richtlinienzuweisung
• Richtliniendefinitionen in einer Initiative
• Ressourcenanzahl und parallele Bereitstellungen
• Fehlerschwellenwert
• Wartungsfilter
• Ressourcenermittlungsmodus
• Bereitstellungsstatus und Bereitstellungszusammenfassung

Im folgenden JSON-Code wird beispielsweise eine Richtlinienwartungsaufgabe für die Richtliniendefinition mit dem Namen requiredTags als Teil einer Initiativenzuweisung mit dem Namen resourceShouldBeCompliantInit mit allen Standardeinstellungen angezeigt.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Schritte zum Auslösen einer Wartungsaufgabe im Leitfaden zum Beheben nicht konformer Ressourcen

Hinweis

Diese Einstellungen können nicht mehr geändert werden, nachdem die Korrekturaufgabe gestartet wurde.

Anzeigename und Beschreibung

Sie verwenden displayName und description, um die Richtlinienwartungsaufgabe zu bestimmen und den Kontext für ihre Verwendung anzugeben. displayName hat eine maximale Länge von 128 Zeichen, und description hat eine maximale Länge von 512 Zeichen.

Richtlinienzuweisungs-ID

Dieses Feld muss den vollständigen Pfadname einer Richtlinien- oder Initiativenzuweisung enthalten. policyAssignmentId ist eine Zeichenfolge und kein Array. Diese Eigenschaft definiert, welche Zuweisung der übergeordneten Ressourcenhierarchie oder der einzelnen Ressource behoben werden soll.

Richtliniendefinitions-ID

Wenn sich die policyAssignmentId auf eine Initiativenzuweisung bezieht, muss die policyDefinitionReferenceId-Eigenschaft verwendet werden, um die Richtliniendefinition in der Initiative anzugeben, gemäß der die betroffenen Ressourcen gewartet werden sollen. Da eine Wartung nur im Gültigkeitsbereich einer einzigen Definition ausgeführt werden kann, ist diese Eigenschaft eine Zeichenfolge, kein Array. Der Wert muss mit dem Wert in der Initiativendefinition im Feld policyDefinitions.policyDefinitionReferenceId übereinstimmen, nicht mit dem globalen Bezeichner für die Richtliniendefinition: Id.

Ressourcenanzahl und parallele Bereitstellungen

Verwenden Sie die Ressourcenanzahl, um festzulegen, wie viele nicht konforme Ressourcen in einer bestimmten Wartungsaufgabe korrigiert werden sollen. Der Standardwert ist 500, wobei die maximale Zahl 50 000 ist. Parallele Bereitstellungen bestimmt, wie viele dieser Ressourcen gleichzeitig behoben werden sollen. Der zulässige Bereich liegt zwischen 1 und 30, wobei der Standardwert 10 ist.

Hinweis

Bei parallelen Bereitstellungen handelt es sich um die Anzahl von Bereitstellungen innerhalb einer einzelnen Wartungsaufgabe, der Maximalwert ist 30. Für eine einzelne Richtliniendefinition oder Richtlinienreferenz innerhalb einer Initiative können maximal 100 Wartungsaufgaben parallel ausgeführt werden.

Fehlerschwellenwert

Eine optionale Eigenschaft, die verwendet wird, um anzugeben, ob die Wartungsaufgabe fehlschlagen soll, wenn der Prozentsatz der Fehler den festgelegten Schwellenwert überschreitet. Der Fehlerschwellenwert wird als Prozentsatz von 0 bis 100 dargestellt. Standardmäßig liegt der Fehlerschwellenwert bei 100 %, was bedeutet, dass die Wartungsaufgabe weiterhin andere Ressourcen behebt, auch wenn Ressourcen nicht behoben werden können.

Wartungsfilter

Eine optionale Eigenschaft verfeinern, welche Ressourcen für die Wartungsaufgabe anwendbar sind. Der zulässige Filter ist der Ressourcenspeicherort. Sofern nicht angegeben, können Ressourcen aus einer beliebigen Region korrigiert werden.

Ressourcenermittlungsmodus

Diese Eigenschaft entscheidet, wie Ressourcen entdeckt werden, die für die Wartung in Frage kommen. Damit eine Ressource berechtigt ist, muss sie nicht konform sein. Standardmäßig ist diese Eigenschaft auf ExistingNonCompliantfestgelegt. Sie könnte auch auf ReEvaluateCompliance festgelegt werden, wodurch ein neuer Konformitätsscan für diese Zuweisung ausgelöst und alle Ressourcen behoben werden, die als nicht konform befunden werden.

Zusammenfassung des Bereitstellungsstatus und der Bereitstellung

Nachdem eine Wartungsaufgabe erstellt wurde, werden die Eigenschaften Bereitstellungsstatus und Bereitstellungszusammenfassung aufgefüllt. Der Bereitstellungsstatus gibt den Status des Wartungsaufgaben an. Zulässige Werte sind Running, Canceled, Cancelling, Failed, Complete oder Succeeded. Die Bereitstellungszusammenfassung ist eine Arrayeigenschaft, welche die Anzahl der Bereitstellungen zusammen mit der Anzahl der erfolgreichen und fehlgeschlagenen Bereitstellungen angibt.

Beispiel einer erfolgreich abgeschlossenen Wartungsaufgabe:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Nächste Schritte

• Verstehen, wie Ursachen für Nichtkonformität ermittelt werden.
• Informieren Sie sich über das Abrufen von Konformitätsdaten.
• Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.
• Verstehen, wie Sie auf Azure Policy-Zustandsänderungsereignisse reagieren.
• Erfahren Sie mehr über die Struktur von Richtliniendefinitionen.
• Erfahren Sie mehr über die Struktur von Richtlinienzuweisungen.