Korrigieren nicht konformer Ressourcen mit Azure Policy

Ressourcen, die mit Richtlinien mit deployIfNotExists- oder modify-Effekten nicht konform sind, können über die Wartung in einen konformen Zustand versetzt werden. Die Wartung erfolgt durch die Wartungstasks, die die Vorlage deployIfNotExists bereitstellen, oder die Anwendung der modify-Vorgänge der zugewiesenen Richtlinie auf Ihre vorhandenen Ressourcen und Abonnements, unabhängig davon, ob die Zuweisung an eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine einzelne Ressource erfolgt. Dieser Artikel zeigt die Schritte, die erforderlich sind, um die Korrektur mithilfe von Azure Policy zu verstehen und durchzuführen.

Funktionsweise der Steuerung des Wartungszugriffs

Wenn Azure Policy eine Vorlagenbereitstellung beim Auswerten von deployIfNotExists-Richtlinien startet oder eine beim Auswerten von modify-Richtlinien ändert, wird dazu eine verwaltete Identität verwendet, die der Richtlinienzuweisung zugeordnet ist. Bei Richtlinienzuweisungen werden verwaltete Identitäten für die Autorisierung von Azure-Ressourcen verwendet. Sie können entweder eine systemseitig zugewiesene verwaltete Identität verwenden, die vom Richtliniendienst erstellt wird, oder eine benutzerseitig zugewiesene Identität, die vom Benutzer bereitgestellt wird. Der verwalteten Identität müssen die mindestens erforderlichen Rollen über die rollenbasierte Zugriffssteuerung (RBAC) zugewiesen werden, um Ressourcen zu behandeln. Wenn der verwalteten Identität Rollen fehlen, wird während der Zuweisung der Richtlinie oder einer Initiative ein Fehler im Portal angezeigt. Bei Verwendung des Portals gewährt Azure Policy der verwalteten Identität automatisch die aufgelisteten Rollen, sobald die Zuweisung ausgelöst wurde. Wenn Sie ein Azure-SDK (Software Development Kit) verwenden, müssen die Rollen manuell der verwalteten Identität erteilt werden. Der Speicherort der verwalteten Identität hat keinen Einfluss auf die Funktionsweise mit Azure Policy.

Hinweis

Durch das Ändern einer Richtliniendefinition wird die Zuweisung oder die zugeordnete verwaltete Identität nicht automatisch aktualisiert.

Die Wartungssicherheit kann über die folgenden Schritte konfiguriert werden:

• Konfigurieren der Richtliniendefinition
• Konfigurieren der verwalteten Identität
• Gewähren von Berechtigungen für die verwaltete Identität durch definierte Rollen
• Erstellen eines Wartungstask

Konfigurieren der Richtliniendefinition

Als Voraussetzung muss die Richtliniendefinition die Rollen definieren, die deployIfNotExists und modify benötigen, um die Inhalte Ihrer eingebundenen Vorlage erfolgreich bereitstellen zu können. Für eine integrierte Richtliniendefinition ist keine Aktion erforderlich, da diese Rollen bereits vorab vergeben werden. Fügen Sie für eine benutzerdefinierte Richtliniendefinition unter der Eigenschaft details eine roleDefinitionIds-Eigenschaft hinzu. Diese Eigenschaft ist ein Array von Zeichenfolgen, die Rollen in Ihrer Umgebung entsprechen. Ein vollständiges Beispiel finden Sie bei den Beispielen für „deployIfNotExists“ oder bei den Beispielen für „modify“.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

Die Eigenschaft roleDefinitionIds verwendet die vollständige Ressourcen-ID und nicht den kurzen roleName der Rolle. Verwenden Sie den folgenden Azure CLI-Code, um die ID für die Rolle „Mitwirkender“ in Ihrer Umgebung abzurufen:

az role definition list --name "Contributor"

Wichtig

Wenn Sie roleDefinitionIds innerhalb einer Richtliniendefinition festlegen oder Berechtigungen manuell einer verwalteten Identität zuweisen, sollten Sie möglichst wenig Berechtigungen erteilen. Weitere bewährte Methoden finden Sie unter Empfehlungen zu bewährten Methoden für verwaltete Identitäten.

Konfigurieren der verwalteten Identität

Jede Azure Policy-Zuweisung kann nur mit einer verwalteten Identität verknüpft werden. Der verwalteten Identität können jedoch mehreren Rollen zugewiesen werden. Die Konfiguration erfolgt in zwei Schritten: Erstellen Sie zuerst eine systemseitig zugewiesene oder benutzerseitig zugewiesene verwaltete Identität, und gewähren Sie dann die erforderlichen Rollen.

Hinweis

Beim Erstellen einer verwalteten Identität über das Portal werden Rollen automatisch der verwalteten Identität gewährt. Wenn roleDefinitionIds später in der Richtliniendefinition bearbeitet werden, müssen die neuen Berechtigungen auch im Portal manuell gewährt werden.

Erstellen Sie die verwaltete Identität

Portal

Bei der Erstellung einer Zuweisung über das Portal kann Azure Policy eine systemseitig zugewiesene verwaltete Identität generieren und ihr die in den roleDefinitionIds der Richtliniendefinition definierten Rollen zuweisen. Alternativ können Sie eine benutzerseitig zugewiesene verwaltete Identität angeben, bei der sie dieselbe Rollenzuweisung vornehmen.

So legen Sie eine systemseitig zugewiesene verwaltete Identität im Portal fest:

1. Vergewissern Sie sich in der Ansicht zum Erstellen/Bearbeiten von Zuweisungen auf der Registerkarte Korrektur unter Types of Managed Identity (Typen der verwalteten Identität), dass die Option Systemseitig zugewiesene verwaltete Identität ausgewählt ist.

2. Geben Sie den Standort an, an dem sich die verwaltete Identität befinden soll.

3. Weisen Sie der vom System zugewiesenen verwalteten Identität keinen Bereich zu, da der Bereich vom Zuweisungsbereich geerbt wird.

So legen Sie eine benutzerseitig zugewiesene verwaltete Identität im Portal fest:

1. Vergewissern Sie sich in der Ansicht zum Erstellen/Bearbeiten von Zuweisungen auf der Registerkarte Korrektur unter Types of Managed Identity (Typen der verwalteten Identität), dass die Option Benutzerseitig zugewiesene verwaltete Identität ausgewählt ist.

2. Geben Sie den Bereich an, in dem die verwaltete Identität gehostet wird. Der Bereich der verwalteten Identität muss nicht dem Bereich der Zuweisung entsprechen, muss sich aber im gleichen Mandanten befinden.

3. Wählen Sie unter Vorhandene benutzerseitig zugewiesene Identitäten die verwaltete Identität aus.

PowerShell

Zum Erstellen einer Identität während der Zuweisung der Richtlinie muss ein Standort definiert und die Identität verwendet werden.

Im folgenden Beispiel wird die Definition der integrierten Richtlinie Transparente SQL DB-Datenbankverschlüsselung bereitstellen abgerufen, die Zielressourcengruppe festgelegt und anschließend mithilfe einer systemseitig zugewiesenen verwalteten Identität die Zuweisung erstellt.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Im folgenden Beispiel wird die Definition der integrierten Richtlinie Transparente SQL DB-Datenbankverschlüsselung bereitstellen abgerufen, die Zielressourcengruppe festgelegt und anschließend mithilfe einer benutzerseitig zugewiesenen verwalteten Identität die Zuweisung erstellt:

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Die Variable $assignment enthält nun die Prinzipal-ID der verwalteten Identität und die Standardwerte, die bei der Erstellung einer Richtlinienzuweisung zurückgegeben werden. Darauf kann bei systemseitig zugewiesenen verwalteten Identitäten über $assignment.Identity.PrincipalId und bei benutzerseitig zugewiesenen verwalteten Identitäten über $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId zugegriffen werden.

Azure-Befehlszeilenschnittstelle

Um während der Zuweisung der Richtlinie eine Identität zu erstellen, verwenden Sie az policy assignment create-Befehle mit den Parametern --location, --mi-system-assigned, --mi-user-assigned und --identity-scope, je nachdem, ob die verwaltete Identität systemseitig oder benutzerseitig zugewiesen sein sollte.

Um einer Richtlinienzuweisung eine systemseitig oder benutzerseitig zugewiesene Identität hinzuzufügen, folgen Sie az policy assignment identity assign-Beispielbefehlen.

Gewähren von Berechtigungen für die verwaltete Identität durch definierte Rollen

Wichtig

Wenn die verwaltete Identität nicht über die Berechtigungen verfügt, die zum Ausführen der erforderlichen Korrekturaufgabe erforderlich sind, werden ihr nur über das Portal automatisch Berechtigungen erteilt. Sie können diesen Schritt überspringen, wenn Sie über das Portal eine verwaltete Identität erstellen.

Für alle anderen Methoden muss der verwalteten Identität der Zuweisung manuell über das Hinzufügen von Rollen Zugriff gewährt werden, oder die Bereitstellung der Wartung ist nicht erfolgreich.

Beispielszenarien, die manuelle Berechtigungen erfordern:

• Wenn die Zuordnung über ein Azure Software Development Kit (SDK) erstellt wird
• Eine von deployIfNotExists oder modify geänderte Ressource liegt außerhalb des Bereichs der Richtlinienzuweisung.
• Die Vorlage greift auf Eigenschaften von Ressourcen außerhalb des Bereichs der Richtlinienzuweisung zu.

Portal

Es gibt zwei Möglichkeiten, der verwalteten Identität einer Zuweisung die definierten Rollen über das Portal zuzuweisen: Durch die Verwendung der Zugriffssteuerung (IAM) oder durch die Bearbeitung der Richtlinie oder der Initiativzuweisung und dem anschließenden Auswählen von Speichern.

Führen Sie die folgenden Schritte aus, um eine Rolle zu der verwalteten Identität der Zuweisung hinzuzufügen:

1. Starten Sie den Azure Policy-Dienst über das Azure-Portal, indem Sie die Option Alle Dienste auswählen und dann nach Policy suchen und die entsprechende Option auswählen.

2. Wählen Sie links auf der Seite „Azure Policy“ die Option Zuweisungen.

3. Suchen Sie die Zuweisung, die über eine verwaltete Identität verfügt, und wählen Sie den Namen aus.

4. Suchen Sie auf der Bearbeitungsseite nach der Eigenschaft Zuweisungs-ID. Die Zuweisungs-ID sieht wie folgt aus:

   /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Der letzte Teil der Ressourcen-ID der Zuweisung enthält den Namen der verwalteten Identität, in diesem Beispiel 2802056bfc094dfb95d4d7a5. Kopieren Sie diesen Teil der Ressourcen-ID der Zuweisung.

5. Navigieren Sie zu der Ressource des übergeordneten Containers der Ressource (Ressourcengruppe, Abonnement, Verwaltungsgruppe). Dort muss die Rollendefinition manuell hinzugefügt werden.

6. Wählen Sie auf der Seite „Ressourcen“ den Link Zugriffssteuerung (IAM) und anschließend oben auf der Seite „Zugriffssteuerung“ die Option + Rollenzuweisung hinzufügen aus.

7. Wählen Sie die entsprechende Rolle aus, die roleDefinitionId aus der Richtliniendefinition entspricht. Lassen Sie für Zugriff zuweisen zu den Standardwert „Azure AD-Benutzer, -Gruppe oder -Anwendung“ festgelegt. Fügen Sie im Feld Auswählen den zuvor lokalisierten Teil der Ressourcen-ID der Zuweisung ein oder geben Sie diesen ein. Wählen Sie nach Abschluss der Suche das Objekt mit dem gleichen Namen aus, um die ID auszuwählen, und anschließend wählen Sie Speichern aus.

PowerShell

Die neue verwaltete Identität muss die Replikation über Azure Active Directory ausführen, bevor ihr die erforderlichen Rollen zugewiesen werden können. Nach Abschluss der Replikation werden in den folgenden Beispielen die Richtliniendefinition in $policyDef für die roleDefinitionIds wiederholt und New-AzRoleAssignment zum Zuweisen der Rollen zur neuen verwalteten Identität verwendet.

Im ersten Beispiel wird insbesondere gezeigt, wie Sie Rollen im Richtlinienbereich gewähren. Im zweiten Beispiel wird veranschaulicht, wie Sie Rollen im Initiativenbereich (Richtliniensatz) gewähren.

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure-Befehlszeilenschnittstelle

Die neue verwaltete Identität muss die Replikation über Azure Active Directory ausführen, bevor ihr die erforderlichen Rollen zugewiesen werden können. Sobald die Replikation abgeschlossen ist, sollten die in den roleDefinitionIds der Richtliniendefinition angegebenen Rollen der verwalteten Identität gewährt werden.

Greifen Sie mithilfe des Befehls az policy definition show auf die in der Richtliniendefinition angegebenen Rollen zu, und führen Sie eine Iteration über jede roleDefinitionId durch, um die Rollenzuweisung mithilfe des az role assignment create-Befehls zu erstellen.

Erstellen eines Wartungstask

Portal

Starten Sie den Azure Policy-Dienst über das Azure-Portal, indem Sie die Option Alle Dienste auswählen und dann nach Policy suchen und die entsprechende Option auswählen.

Schritt 1: Initiieren der Erstellung eines Wartungstasks

Es gibt drei Möglichkeiten, einen Wartungstask über das Portal zu erstellen.

Option 1: Erstellen eines Wartungstasks auf der Seite „Wartung“

1. Wählen Sie links auf der Seite „Azure Policy“ die Option Wartung aus.

   

2. Alle deployIfNotExists- und modify-Richtlinienzuweisungen werden auf der Registerkarte Richtlinien zur Bereinigung angezeigt. Wählen Sie eine Richtlinie mit Ressourcen aus, die nicht konform sind, um die Seite Neuer Wartungstask zu öffnen.

3. Führen Sie die Schritte aus, um Wartungstaskdetails anzugeben.

Option 2: Erstellen eines Wartungstasks aus einer nicht konformen Richtlinienzuweisung

1. Wählen Sie links auf der Seite „Azure Policy“ die Option Konformität.

2. Wählen Sie eine nicht konforme Richtlinien- oder Initiativenzuweisung aus, die deployIfNotExists- oder modify-Effekte enthält.

3. Wählen Sie oben auf der Seite die Schaltfläche Wartungstask erstellen aus, um die Seite Neuer Wartungstask zu öffnen.

4. Führen Sie die Schritte aus, um Wartungstaskdetails anzugeben.

Option 3: Erstellen eines Wartungstasks während der Richtlinienzuweisung

Wenn die zuzuweisende Richtlinien- oder Initiativendefinition über einen deployIfNotExists- oder Modify-Effekt verfügt, bietet die Registerkarte Wartung des Assistenten eine Option Korrekturtask erstellen, die gleichzeitig mit der Richtlinienzuweisung einen Wartungstask erstellt.

Hinweis

Dies ist der optimale Ansatz zum Erstellen eines Wartungstasks und wird für Richtlinien unterstützt, die einem Abonnement zugewiesen sind. Bei Richtlinien, die einer Verwaltungsgruppe zugewiesen sind, sollten Wartungstasks mithilfe von Option 1 oder Option 2 erstellt werden, nachdem die Auswertung die Ressourcenkonformität ermittelt hat.

1. Navigieren Sie vom Zuweisungs-Assistenten im Portal zur Registerkarte Wartung. Aktivieren Sie das Kontrollkästchen Korrekturtask erstellen.

2. Wenn der Wartungstask von einer Initiativenzuweisung initiiert wird, wählen Sie die zu korrigierende Richtlinie aus der Dropdownliste aus.

3. Konfigurieren Sie die verwaltete Identität, und füllen Sie den Rest des Assistenten aus. Der Wartungstask wird erstellt, wenn die Zuweisung erstellt wird.

Schritt 2: Angeben von Wartungstaskdetails

Dieser Schritt gilt nur, wenn Sie Option 1 oder Option 2 verwenden, um die Erstellung von Wartungstasks zu initiieren.

1. Wenn der Wartungstask von einer Initiativenzuweisung initiiert wird, wählen Sie die zu korrigierende Richtlinie aus der Dropdownliste aus. Eine deployIfNotExists- oder modify-Richtlinie kann jeweils über einen einzelnen Wartungstask korrigiert werden.

2. Ändern Sie optional Wartungseinstellungen auf der Seite. Informationen dazu, was die einzelnen Einstellungen steuern, finden Sie unter Struktur der Wartungsaufgabe.

3. Filtern Sie auf der gleichen Seite die zu korrigierenden Ressourcen, indem Sie die über die Auslassungspunkte bei Bereich untergeordnete Ressourcen auswählen, von denen aus die Richtlinie zugewiesen wurde (bis hin zu den einzelnen Ressourcenobjekten). Darüber hinaus können Sie die Ressourcen über die Dropdownliste Standorte weiter filtern.

   

4. Sobald die Ressourcen gefiltert wurden, können Sie den Wartungstask auslösen, indem Sie Korrigieren auswählen. Auf der Registerkarte Wartungstasks wird die Seite zur Richtlinienkonformität geöffnet, auf der der Fortschritt der Tasks angezeigt wird. Durch dem Wartungstask erstellte Bereitstellungen beginnen sofort.

   

Schritt 3: Nachverfolgen des Fortschritts des Wartungstasks

1. Navigieren Sie zur Registerkarte Wartungstasks auf der Seite Wartung. Klicken Sie auf einen Wartungstask, um Details zur verwendeten Filterung, dem aktuellen Status und eine Liste der zu wartenden Ressourcen anzuzeigen.

2. Klicken Sie auf der Detailseite Wartungstask mit der rechten Maustaste auf eine Ressource, um die Bereitstellung des Wartungstasks oder die Ressource anzuzeigen. Wählen Sie am Ende der Zeile Verknüpfte Ereignisse aus, um Einzelheiten anzuzeigen, z. B. eine Fehlermeldung.

   

Ressourcen, die über einen Wartungstask bereitgestellt werden, werden auf der Seite der Richtlinienzuweisungsdetails der Registerkarte Bereitgestellte Ressourcen hinzugefügt.

PowerShell

Verwenden Sie zum Erstellen eines Wartungstasks mit Azure PowerShell die Start-AzPolicyRemediation-Befehle. Ersetzen Sie {subscriptionId} durch Ihre Abonnement-ID und {myAssignmentId} durch Ihre deployIfNotExists- oder modify-Richtlinienzuweisungs-ID.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Sie können die Wartungseinstellungen auch über diese optionalen Parameter anpassen:

• -FailureThreshold: Mit dieser Einstellung wird angegeben, ob die Korrekturaufgabe fehlschlagen soll, wenn der Prozentsatz der Fehler den festgelegten Schwellenwert überschreitet. Wird als Zahl zwischen 0 und 100 angegeben. Standardmäßig ist der Fehlerschwellenwert 100 %.
• -ResourceCount: Legt fest, wie viele nicht konforme Ressourcen in einer bestimmten Korrekturaufgabe korrigiert werden sollen. Der Standardwert ist 500 (der vorherige Grenzwert). Die maximale Anzahl liegt bei 50.000 Ressourcen.
• -ParallelDeploymentCount: Bestimmt, wie viele Ressourcen gleichzeitig korrigiert werden sollen. Zulässig sind 1 bis 30 Ressourcen gleichzeitig. Der Standardwert ist 10.

Andere Cmdlets zur Wartung und Beispiele finden Sie im Az.PolicyInsights-Modul.

Azure-Befehlszeilenschnittstelle

Verwenden Sie zum Erstellen eines Wartungstasks mit der Azure-Befehlszeilenschnittstelle die az policy remediation-Befehle. Ersetzen Sie {subscriptionId} durch Ihre Abonnement-ID und {myAssignmentId} durch Ihre deployIfNotExists- oder modify-Richtlinienzuweisungs-ID.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Informationen zu anderen Wartungsbefehlen und Beispiele finden Sie im Artikel zu den az policy remediation-Befehlen.

Nächste Schritte

• Sehen Sie sich die Beispiele unter Azure Policy-Beispiele an.
• Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
• Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
• Informieren Sie sich über das programmgesteuerte Erstellen von Richtlinien.
• Informieren Sie sich über das Abrufen von Konformitätsdaten.
• Weitere Informationen zu Verwaltungsgruppen finden Sie unter Organisieren Ihrer Ressourcen mit Azure-Verwaltungsgruppen.