Erläuterungen zum Bereich in Azure Policy

Es gibt eine Reihe von Einstellungen, die bestimmen, welche Ressourcen ausgewertet werden können und welche Ressourcen von Azure Policy ausgewertet werden. Das primäre Konzept für diese Steuerungen ist der Bereich. Der Bereich in Azure Policy basiert auf der Funktionsweise des Bereichs in Azure Resource Manager. Eine allgemeine Übersicht finden Sie im Abschnitt „Bereich“ der Übersicht über Azure Resource Manager. In diesem Artikel werden die Wichtigkeit des Bereichs in Azure Policy und die entsprechenden Objekte und Eigenschaften erläutert.

Definitionsspeicherort

In Azure Policy wird der Bereich erstmals verwendet, wenn eine Richtliniendefinition erstellt wird. Die Definition kann in einer Verwaltungsgruppe oder in einem Abonnement gespeichert werden. Der Speicherort bestimmt den Bereich, dem die Initiative oder Richtlinie zugewiesen werden kann. Ressourcen müssen sich in der Ressourcenhierarchie des Definitionsspeicherorts für die Zuweisung befinden.

Für den Definitionsspeicherort gilt Folgendes:

  • Abonnement: Der Richtliniendefinition können nur Ressourcen innerhalb dieses Abonnements zugewiesen werden.
  • Verwaltungsgruppe: Der Richtliniendefinition können nur Ressourcen in untergeordneten Verwaltungsgruppen und untergeordneten Abonnements zugewiesen werden. Wenn Sie die Richtliniendefinition auf mehrere Abonnements anwenden möchten, muss der Speicherort eine Verwaltungsgruppe sein, die das jeweilige Abonnement enthält.

Der Speicherort sollte der Ressourcencontainer sein, der von allen vorhandenen Ressourcen gemeinsam genutzt wird, für die Sie die Richtliniendefinition verwenden möchten, sofern vorhanden. Dieser Ressourcencontainer ist in der Regel eine Verwaltungsgruppe in der Nähe der Stammverwaltungsgruppe.

Zuweisungsbereiche

Eine Zuweisung verfügt über mehrere Eigenschaften, die einen Bereich festlegen. Durch die Verwendung dieser Eigenschaften wird festgelegt, welche Ressource für Azure Policy ausgewertet werden soll und welche Ressourcen als konforme Elemente gezählt werden. Diese Eigenschaften entsprechen den folgenden Konzepten:

  • Einschluss: Eine Ressourcenhierarchie oder eine einzelne Ressource sollte anhand der Definition auf Konformität überprüft werden. Die properties.scope-Eigenschaft für ein Zuweisungsobjekt bestimmt, was eingeschlossen und auf Konformität überprüft werden soll. Weitere Informationen finden Sie unter Zuweisungsdefinition.

  • Ausschluss: Eine Ressourcenhierarchie oder eine einzelne Ressource soll nicht anhand der Definition auf Konformität überprüft werden. Die Eigenschaft properties.notScopesarray eines Zuweisungsobjekts bestimmt, was ausgeschlossen werden soll. Ressourcen in diesen Bereichen werden nicht ausgewertet und nicht in die Anzahl konformer Elemente einbezogen. Weitere Informationen finden Sie unter Zuweisungsdefinition – Ausgeschlossene Bereiche.

Zusätzlich zu den Eigenschaften für die Richtlinienzuweisung ist das Richtlinienausnahme-Objekt vorhanden. Ausnahmen erweitern die Bereichsstory, indem sie eine Methode bieten, einen Teil einer Zuweisung zu identifizieren, die nicht bewertet werden soll.

  • Ausnahme: Durch die Definition wird eine Ressourcenhierarchie oder eine einzelne Ressource auf Konformität überprüft. Sie wird jedoch nicht überprüft, wenn für sie ein Verzicht vorliegt oder wenn sie von einer anderen Methode behandelt wird. Ressourcen in diesem Zustand werden in Konformitätsberichten als Ausnahme angegeben, damit sie nachverfolgt werden können. Das Ausnahmeobjekt wird in der Ressourcenhierarchie oder der einzelnen Ressource als untergeordnetes Objekt erstellt. Dies bestimmt den Bereich der Ausnahme. Eine Ressourcenhierarchie oder eine einzelne Ressource kann von mehreren Zuweisungen ausgenommen werden. Die Ausnahme kann mit der expiresOn-Eigenschaft so konfiguriert werden, dass sie nach einem Zeitplan abläuft. Weitere Informationen finden Sie unter Ausnahmendefinition.

    Hinweis

    Aufgrund der Auswirkungen des Gewährens einer Ausnahme für eine Ressourcenhierarchie oder einzelne Ressource weisen Ausnahmen zusätzliche Sicherheitsmaßnahmen auf. Es ist nicht nur der Microsoft.Authorization/policyExemptions/write-Vorgang für die Ressourcenhierarchie oder einzelne Ressource erforderlich, sondern der Ersteller der Ausnahme muss auch über das Verb exempt/Action für die Zielzuweisung verfügen.

Bereichsvergleich

Die folgende Tabelle enthält einen Vergleich der Bereichsoptionen:

Einschluss Ausschluss (notScopes) Ausnahme
Ressourcen werden ausgewertet - -
Resource Manager-Objekt - -
Erfordert das Ändern des Richtlinienzuweisungsobjekts -

Nächste Schritte