Was ist Azure Policy?What is Azure Policy?

Azure Policy hilft bei der Durchsetzung von Organisationsstandards und bei der Bewertung der Compliance nach Bedarf.Azure Policy helps to enforce organizational standards and to assess compliance at-scale. Über sein Compliance-Dashboard bietet der Dienst eine aggregierte Ansicht zur Bewertung des Gesamtzustands der Umgebung mit der Möglichkeit, einen Drilldown zur Granularität pro Ressource und Richtlinie durchzuführen.Through its compliance dashboard, it provides an aggregated view to evaluate the overall state of the environment, with the ability to drill down to the per-resource, per-policy granularity. Außerdem trägt er durch Massenwartung für vorhandene Ressourcen und automatische Wartung dazu bei, dass Ihre Ressourcen Compliance-Anforderungen erfüllen.It also helps to bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources.

Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung.Common use cases for Azure Policy include implementing governance for resource consistency, regulatory compliance, security, cost, and management. Richtliniendefinitionen für diese häufigen Anwendungsfälle sind in ihrer Azure-Umgebung bereits integriert bereitgestellt, um Ihnen den Einstieg zu erleichtern.Policy definitions for these common use cases are already available in your Azure environment as built-ins to help you get started.

Alle Azure Policy-Daten und -Objekte werden im Ruhezustand verschlüsselt.All Azure Policy data and objects are encrypted at rest. Weitere Informationen finden Sie unter Datenverschlüsselung ruhender Azure-Daten.For more information, see Azure data encryption at rest.

ÜbersichtOverview

Azure Policy wertet Ressourcen in Azure aus, indem die Eigenschaften dieser Ressourcen mit Geschäftsregeln verglichen werden.Azure Policy evaluates resources in Azure by comparing the properties of those resources to business rules. Diese im JSON-Format beschriebenen Geschäftsregeln werden als Richtliniendefinitionen bezeichnet.These business rules, described in JSON format, are known as policy definitions. Um die Verwaltung zu vereinfachen, können mehrere Geschäftsregeln gruppiert werden, um eine Richtlinieninitiative (manchmal auch als policySet bezeichnet) zu bilden.To simplify management, several business rules can be grouped together to form a policy initiative (sometimes called a policySet). Nachdem Ihre Geschäftsregeln erstellt wurden, wird die Richtliniendefinition oder -initiative jedem von Azure unterstützten Ressourcenbereich zugewiesen, z. B. Verwaltungsgruppen, Abonnements, Ressourcengruppen oder einzelnen Ressourcen.Once your business rules have been formed, the policy definition or initiative is assigned to any scope of resources that Azure supports, such as management groups, subscriptions, resource groups, or individual resources. Die Zuweisung gilt für alle Ressourcen innerhalb des Resource Manager-Bereichs dieser Zuweisung.The assignment applies to all resources within the Resource Manager scope of that assignment. Unterbereiche können ggf. ausgeschlossen werden.Subscopes can be excluded, if necessary. Weitere Informationen finden Sie unter Erläuterungen zum Bereich in Azure Policy.For more information, see Scope in Azure Policy.

Azure Policy verwendet ein JSON-Format zum Erstellen der Logik, die anhand der Auswertung bestimmt, ob eine Ressource konform ist.Azure Policy uses a JSON format to form the logic the evaluation uses to determine if a resource is compliant or not. Definitionen enthalten Metadaten und die Richtlinienregel.Definitions include metadata and the policy rule. Die definierte Regel kann Funktionen, Parameter, logische Operatoren, Bedingungen und Eigenschaftenaliase verwenden, um genau dem gewünschten Szenario zu entsprechen.The defined rule can use functions, parameters, logical operators, conditions, and property aliases to match exactly the scenario you want. Die Richtlinienregel bestimmt, welche Ressourcen im Bereich der Zuweisung ausgewertet werden.The policy rule determines which resources in the scope of the assignment get evaluated.

Grundlegendes zu den AuswertungsergebnissenUnderstand evaluation outcomes

Die Auswertung von Ressourcen erfolgt zu bestimmten Zeitpunkten während des Ressourcenlebenszyklus, des Lebenszyklus der Richtlinienzuweisung und für regelmäßige kontinuierliche Compliance-Auswertungen.Resources are evaluated at specific times during the resource lifecycle, the policy assignment lifecycle, and for regular ongoing compliance evaluation. Nachfolgend sind die Uhrzeiten oder Ereignisse aufgeführt, die dazu führen, dass eine Ressource ausgewertet wird:The following are the times or events that cause a resource to be evaluated:

  • Eine Ressource wird in einem Bereich mit einer Richtlinienzuweisung erstellt, aktualisiert oder gelöscht.A resource is created, updated, or deleted in a scope with a policy assignment.
  • Eine Richtlinie oder Initiative wird einem Bereich neu zugewiesen.A policy or initiative is newly assigned to a scope.
  • Eine Richtlinie oder Initiative, die bereits einem Bereich zugewiesen ist, wird aktualisiert.A policy or initiative already assigned to a scope is updated.
  • Die standardmäßige Compliance-Auswertung, die alle 24 Stunden erfolgt, wird durchgeführt.During the standard compliance evaluation cycle, which occurs once every 24 hours.

Ausführliche Informationen darüber, wann und wie die Richtlinienauswertung erfolgt, finden Sie unter Auswertungsauslöser.For detailed information about when and how policy evaluation happens, see Evaluation triggers.

Steuern der Reaktion auf eine AuswertungControl the response to an evaluation

Geschäftsregeln für die Behandlung nicht konformer Ressourcen sind von Organisation zu Organisation sehr unterschiedlich.Business rules for handling non-compliant resources vary widely between organizations. Beispiele dafür, wie die Plattform einer Organisation auf eine nicht konforme Ressource reagieren soll:Examples of how an organization wants the platform to respond to a non-compliant resource include:

  • Ablehnen der RessourcenänderungDeny the resource change
  • Protokollieren der Änderung an der RessourceLog the change to the resource
  • Ändern der Ressource vor der ÄnderungAlter the resource before the change
  • Ändern der Ressource nach der ÄnderungAlter the resource after the change
  • Bereitstellen von zugehörigen konformen RessourcenDeploy related compliant resources

Azure Policy ermöglicht jede dieser geschäftlichen Reaktionen durch die Anwendung von Effekten.Azure Policy makes each of these business responses possible through the application of effects. Effekte werden in der Richtlinienregel der Richtliniendefinition festgelegt.Effects are set in the policy rule portion of the policy definition.

Korrigieren nicht konformer RessourcenRemediate non-compliant resources

Diese Effekte wirken sich in erster Linie auf eine Ressource aus, wenn die Ressource erstellt oder aktualisiert wird. Azure Policy unterstützt auch den Umgang mit vorhandenen nicht konformen Ressourcen, ohne diese Ressource ändern zu müssen.While these effects primarily affect a resource when the resource is created or updated, Azure Policy also supports dealing with existing non-compliant resources without needing to alter that resource. Weitere Informationen zum Erreichen von Konformität für vorhandene Ressourcen finden Sie unter Warten von Ressourcen.For more information about making existing resources compliant, see remediating resources.

VideoübersichtVideo overview

Die folgende Übersicht über Azure Policy stammt von der Build 2018.The following overview of Azure Policy is from Build 2018. Folien und den Videodownload finden Sie unter Govern your Azure environment through Azure Policy (Steuern Ihrer Azure-Umgebung per Azure Policy) auf Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Erste SchritteGetting started

Azure Policy und Azure RBACAzure Policy and Azure RBAC

Zwischen Azure Policy und der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) gibt es einige entscheidende Unterschiede.There are a few key differences between Azure Policy and Azure role-based access control (Azure RBAC). Azure Policy wertet den Status aus, indem Eigenschaften für Ressourcen, die in Resource Manager dargestellt sind, und Eigenschaften einiger Ressourcenanbieter überprüft werden.Azure Policy evaluates state by examining properties on resources that are represented in Resource Manager and properties of some Resource Providers. Azure Policy schränkt Aktionen (auch als Vorgänge bezeichnet) nicht ein.Azure Policy doesn't restrict actions (also called operations). Azure Policy stellt sicher, dass der Ressourcenzustand Ihren Geschäftsregeln entspricht, unabhängig davon, wer die Änderung vorgenommen hat oder wer die Berechtigung hat, eine Änderung vorzunehmen.Azure Policy ensures that resource state is compliant to your business rules without concern for who made the change or who has permission to make a change.

Bei Azure RBAC steht die Verwaltung von Benutzeraktionen in verschiedenen Bereichen im Mittelpunkt.Azure RBAC focuses on managing user actions at different scopes. Wenn die Steuerung einer Aktion erforderlich ist, ist Azure RBAC das richtige Tool dafür.If control of an action is required, then Azure RBAC is the correct tool to use. Auch wenn eine Person Zugriff zum Ausführen einer Aktion hat und das Ergebnis eine nicht konforme Ressource ist, blockiert Azure Policy weiterhin das Erstellen oder Aktualisieren.Even if an individual has access to perform an action, if the result is a non-compliant resource, Azure Policy still blocks the create or update.

Die Kombination aus Azure RBAC und Azure Policy bietet vollständige Bereichskontrolle in Azure.The combination of Azure RBAC and Azure Policy provides full scope control in Azure.

Azure RBAC-Berechtigungen in Azure PolicyAzure RBAC permissions in Azure Policy

Azure Policy verfügt über verschiedene Berechtigungen (als Vorgänge bezeichnet) in zwei Ressourcenanbietern:Azure Policy has several permissions, known as operations, in two Resource Providers:

Zahlreiche integrierte Rollen erteilen Berechtigungen für Azure Policy-Ressourcen.Many Built-in roles grant permission to Azure Policy resources. Die Rolle Mitwirkender bei Ressourcenrichtlinien umfasst die meisten Vorgänge in Azure Policy.The Resource Policy Contributor role includes most Azure Policy operations. Die Rolle Besitzer verfügt über die vollständigen Berechtigungen.Owner has full rights. Sowohl Mitwirkender als auch Leser haben Zugriff auf alle Azure Policy-Lesevorgänge.Both Contributor and Reader have access to all read Azure Policy operations. Mitwirkende können eine Ressourcenwartung auslösen, aber keine Definitionen oder Zuweisungen erstellen.Contributor may trigger resource remediation, but can't create definitions or assignments. Die Berechtigung Benutzerzugriffsadministrator ist erforderlich, um der verwalteten Identität unter den Zuweisungen deployIfNotExists oder modify die benötigten Berechtigungen zu gewähren.User Access Administrator is necessary to grant the managed identity on deployIfNotExists or modify assignments necessary permissions.

Wenn keine der integrierten Rollen über die erforderlichen Berechtigungen verfügt, erstellen Sie eine benutzerdefinierte Rolle.If none of the Built-in roles have the permissions required, create a custom role.

Hinweis

Die verwaltete Identität einer Richtlinienzuweisung vom Typ deployIfNotExists oder modify benötigt ausreichende Berechtigungen zum Erstellen oder Aktualisieren von Zielressourcen.The managed identity of a deployIfNotExists or modify policy assignment needs enough permissions to create or update targetted resources. Weitere Informationen finden Sie unter Konfigurieren von Richtliniendefinitionen für die Wartung.For more information, see Configure policy definitions for remediation.

Von Azure Policy abgedeckte RessourcenResources covered by Azure Policy

Azure Policy wertet alle Azure-Ressourcen auf oder unterhalb der Abonnementebene aus, einschließlich Ressourcen mit Arc-Unterstützung.Azure Policy evaluates all Azure resources at or below subscription-level, including Arc enabled resources. Für bestimmte Ressourcenanbieter wie Gastkonfiguration, Azure Kubernetes Service und Azure Key Vault gibt es eine tiefergreifendere Integration für die Verwaltung von Einstellungen und Objekten.For certain resource providers such as Guest Configuration, Azure Kubernetes Service, and Azure Key Vault, there's a deeper integration for managing settings and objects. Weitere Informationen finden Sie unter Ressourcenanbietermodi.To find out more, see Resource Provider modes.

Empfehlungen für die Verwaltung von RichtlinienRecommendations for managing policies

Hier sind einige Hinweise und Tipps aufgeführt, die Sie beachten sollten:Here are a few pointers and tips to keep in mind:

  • Beginnen Sie mit einem Überwachungseffekt anstelle eines Ablehnungseffekts, um die Auswirkung Ihrer Richtliniendefinition auf die Ressourcen in Ihrer Umgebung nachzuverfolgen.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Wenn Sie bereits Skripts für die automatische Skalierung Ihrer Anwendungen eingerichtet haben, kann ein Ablehnungseffekt die bereits eingerichteten Automatisierungsaufgaben verhindern.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • Berücksichtigen Sie beim Erstellen von Definitionen und Anweisungen die Hierarchien der Organisation.Consider organizational hierarchies when creating definitions and assignments. Wir empfehlen Ihnen, Definitionen auf allgemeiner Ebene zu erstellen, z.B. Verwaltungsgruppen- oder Abonnementebene.We recommend creating definitions at higher levels such as the management group or subscription level. Erstellen Sie anschließend die Zuweisung auf der nächsten untergeordneten Ebene.Then, create the assignment at the next child level. Wenn Sie eine Definition für eine Verwaltungsgruppe erstellen, kann die Zuweisung für ein Abonnement oder eine Ressourcengruppe innerhalb dieser Verwaltungsgruppe festgelegt werden.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Wir empfehlen Ihnen, auch für nur eine einzelne Richtliniendefinition Initiativdefinitionen zu erstellen und zuzuweisen.We recommend creating and assigning initiative definitions even for a single policy definition. Es kann beispielsweise sein, dass Sie über die Richtliniendefinition policyDefA verfügen und sie unter der Initiativdefinition initiativeDefC erstellen.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Wenn Sie später eine andere Richtliniendefinition für policyDefB erstellen, deren Ziele denen von policyDefA ähneln, können Sie sie unter initiativeDefC hinzufügen und beide zusammen nachverfolgen.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • Nachdem Sie eine Initiativzuweisung erstellt haben, werden Richtliniendefinitionen, die der Initiative hinzugefügt werden, ebenfalls Teil der Zuweisungen dieser Initiative.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiative's assignments.

  • Wenn eine Initiativzuweisung ausgewertet wird, werden auch alle Richtlinien innerhalb der Initiative ausgewertet.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Falls Sie eine Richtlinie einzeln auswerten möchten, empfiehlt es sich, sie nicht in eine Initiative aufzunehmen.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Azure Policy-ObjekteAzure Policy objects

RichtliniendefinitionPolicy definition

Die Erstellung und Implementierung einer Richtlinie in Azure Policy beginnt mit dem Erstellen einer Richtliniendefinition.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Jede Richtliniendefinition verfügt über Bedingungen, unter denen sie erzwungen wird.Every policy definition has conditions under which it's enforced. Des Weiteren verfügt sie über einen definierten Effekt, der wirksam wird, wenn die Bedingungen erfüllt sind.And, it has a defined effect that takes place if the conditions are met.

In Azure Policy bieten wir mehrere integrierte Richtlinien an, die standardmäßig zur Verfügung stehen.In Azure Policy, we offer several built-in policies that are available by default. Beispiel:For example:

  • Zulässige Speicherkonten-SKUs (ablehnen): Bestimmt, ob ein bereitzustellendes Speicherkonto innerhalb einer Gruppe von SKU-Größen liegt.Allowed Storage Account SKUs (Deny): Determines if a storage account being deployed is within a set of SKU sizes. Alle Speicherkonten, die nicht der definierten Gruppe von SKU-Größen entsprechen, werden abgelehnt.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Zulässiger Ressourcentyp (ablehnen): Definiert die Ressourcentypen, die Sie bereitstellen können.Allowed Resource Type (Deny): Defines the resource types that you can deploy. Alle Ressourcen, die nicht in dieser Liste enthalten sind, werden abgelehnt.Its effect is to deny all resources that aren't part of this defined list.
  • Zulässige Standorte (ablehnen): Schränkt die verfügbaren Standorte für neue Ressourcen ein.Allowed Locations (Deny): Restricts the available locations for new resources. Der dazugehörige Effekt dient zur Erzwingung Ihrer Geokonformitätsanforderungen.Its effect is used to enforce your geo-compliance requirements.
  • Zulässige SKUs für virtuelle Computer (ablehnen): Gibt eine Gruppe von SKUs für virtuelle Computer an, die Sie bereitstellen können.Allowed Virtual Machine SKUs (Deny): Specifies a set of virtual machine SKUs that you can deploy.
  • Tag zu Ressourcen hinzufügen (ändern): Wendet ein erforderliches Tag und dessen Standardwert an, falls dies nicht mit der Bereitstellungsanforderung angegeben wird.Add a tag to resources (Modify): Applies a required tag and its default value if it's not specified by the deploy request.
  • Nicht zulässige Ressourcentypen (ablehnen): Verhindert, dass die in der Liste enthaltenen Ressourcentypen bereitgestellt werden.Not allowed resource types (Deny): Prevents a list of resource types from being deployed.

Um diese Richtliniendefinitionen implementieren zu können (integrierte und benutzerdefinierte Definitionen), müssen Sie sie zuweisen.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Sie können diese Richtlinien über das Azure-Portal, PowerShell oder die Azure CLI zuweisen.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Bei der Richtlinienauswertung werden mehrere unterschiedliche Aktionen durchgeführt, z.B. Richtlinienzuweisung oder Richtlinienaktualisierungen.Policy evaluation happens with several different actions, such as policy assignment or policy updates. Eine vollständige Liste finden Sie unter Evaluation Triggers (Auswertungsauslöser).For a complete list, see Policy evaluation triggers.

Weitere Informationen zu den Strukturen von Richtliniendefinitionen finden Sie unter Struktur von Richtliniendefinitionen.To learn more about the structures of policy definitions, review Policy Definition Structure.

Richtlinienparameter vereinfachen die Richtlinienverwaltung für Sie, da sie die Anzahl der Richtliniendefinitionen, die Sie erstellen müssen, reduzieren.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. Beim Erstellen einer Richtliniendefinition können Sie Parameter definieren, damit sie allgemeingültiger ist.You can define parameters when creating a policy definition to make it more generic. Anschließend können Sie diese Richtliniendefinition für verschiedene Szenarien wiederverwenden.Then you can reuse that policy definition for different scenarios. Dazu übergeben Sie unterschiedliche Werte beim Zuweisen der Richtliniendefinition.You do so by passing in different values when assigning the policy definition. Geben Sie z.B. eine Gruppe von Speicherorten für ein Abonnement an.For example, specifying one set of locations for a subscription.

Parameter werden beim Erstellen einer Richtliniendefinition definiert.Parameters are defined when creating a policy definition. Bei der Definition eines Parameters wird ein Name und optional ein Wert vergeben.When a parameter is defined, it's given a name and optionally given a value. Sie können z.B. einen Parameter für eine Richtlinie mit dem Titel location definieren.For example, you could define a parameter for a policy titled location. Dann können Sie ihm beim Zuweisen einer Richtlinie unterschiedliche Werte wie z.B. EastUS oder WestUS geben.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Weitere Informationen zu Richtlinienparametern finden Sie unter Struktur von Azure Policy-Definitionen – Parameter.For more information about policy parameters, see Definition structure - Parameters.

InitiativdefinitionInitiative definition

Eine Initiativdefinition ist eine Auflistung von Richtliniendefinitionen, die auf das Erreichen eines einzigen übergeordneten Ziels ausgerichtet sind.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. Initiativdefinitionen vereinfachen das Verwalten und Zuweisen von Richtliniendefinitionen.Initiative definitions simplify managing and assigning policy definitions. Die Vereinfachung besteht im Gruppieren einer Reihe von Richtlinien zu einem einzelnen Element.They simplify by grouping a set of policies as one single item. Beispielsweise können Sie eine Initiative mit dem Titel Überwachung im Azure Security Center aktivieren mit dem Ziel erstellen, alle vorhandenen Sicherheitsempfehlungen in Ihrem Azure Security Center zu überwachen.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Hinweis

Das SDK, etwa Azure CLI und Azure PowerShell, verwendet zum Verweisen auf Initiativen Eigenschaften und Parameter mit dem Namen PolicySet.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Im Rahmen dieser Initiative würden Sie Richtliniendefinitionen wie etwa Folgende haben:Under this initiative, you would have policy definitions such as:

  • Unverschlüsselte SQL-Datenbank im Security Center überwachen – Zum Überwachen von unverschlüsselten SQL-Datenbanken und Servern.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • Betriebssystem-Sicherheitsrisiken in Security Center überwachen – Zum Überwachen von Servern, die die konfigurierte Baseline nicht erfüllen.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Fehlendes Endpoint Protection im Security Center überwachen – Zum Überwachen von Servern ohne installierten Endpoint Protection-Agent.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

Genau wie Richtlinienparameter vereinfachen auch Initiativparameter die Initiativverwaltung, indem sie die Redundanz verringern.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Bei Initiativparametern handelt es sich um Parameter, die von den Richtliniendefinitionen innerhalb der Initiative verwendet werden.Initiative parameters are parameters being used by the policy definitions within the initiative.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie die Initiativdefinition initiativeC mit den Richtliniendefinitionen policyA und policyB verwenden, die jeweils einen anderen Parametertyp erwarten:For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

RichtliniePolicy Name des ParametersName of parameter Typ des ParametersType of parameter HinweisNote
policyApolicyA allowedLocationsallowedLocations arrayarray Dieser Parameter erwartet eine Liste von Zeichenfolgen als Wert, da der Parametertyp als Array definiert wurde.This parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation Zeichenfolgestring Dieser Parameter erwartet ein Wort als Wert, da der Parametertyp als Zeichenfolge definiert wurde.This parameter expects one word for a value since the parameter type has been defined as a string

In diesem Szenario haben Sie bei der Definition der Initiativparameter für initiativeC drei Optionen:In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Verwenden Sie die Parameter der Richtliniendefinitionen innerhalb dieser Initiative: In diesem Beispiel werden allowedLocations und allowedSingleLocation zu Initiativparametern für initiativeC.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Geben Sie Werte für die Parameter der Richtliniendefinitionen innerhalb dieser Initiativdefinition ein.Provide values to the parameters of the policy definitions within this initiative definition. In diesem Beispiel können Sie eine Liste von Standorten für den Parameter von policyAallowedLocations und den Parameter von policyBallowedSingleLocation zur Verfügung stellen.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. Bei der Zuweisung dieser Initiative können Sie auch Werte bereitstellen.You can also provide values when assigning this initiative.
  • Geben Sie eine Liste von Wertoptionen an, die bei der Zuweisung dieser Initiative verwendet werden können.Provide a list of value options that can be used when assigning this initiative. Damit dürfen die von den Richtliniendefinitionen geerbten Parameter innerhalb der Initiative bei der Zuweisung dieser Initiative nur Werte aus der angegebenen Liste enthalten.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

Beim Erstellen von Wertoptionen in einer Initiativdefinition können Sie während der Initiativenzuweisung keinen anderen Wert eingeben, da er nicht Teil der Liste ist.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Weitere Informationen zu den Strukturen von Initiativdefinitionen finden Sie unter Struktur der Initiativdefinition.To learn more about the structures of initiative definitions, review Initiative Definition Structure.

ZuweisungenAssignments

Eine Zuweisung ist eine zugewiesene Richtliniendefinition oder -initiative, die innerhalb eines bestimmten Bereichs angewendet werden soll.An assignment is a policy definition or initiative that has been assigned to take place within a specific scope. Ein solcher Bereich kann sich von einer Verwaltungsgruppe bis zu einer einzelnen Ressource erstrecken.This scope could range from a management group to an individual resource. Der Begriff Bereich bezieht sich auf alle Ressourcen, Ressourcengruppen, Abonnements oder Verwaltungsgruppen, denen die Definition zugewiesen ist.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the definition is assigned to. Zuweisungen werden von allen untergeordneten Ressourcen geerbt.Assignments are inherited by all child resources. Dies bedeutet, dass eine auf eine Ressourcengruppe angewendete Definition auch auf die Ressourcen in dieser Ressourcengruppe angewendet wird.This design means that a definition applied to a resource group is also applied to resources in that resource group. Sie können jedoch einen Unterbereich von der Zuweisung ausschließen.However, you can exclude a subscope from the assignment.

Im Abonnementbereich können Sie beispielsweise eine Definition zuweisen, die die Erstellung von Netzwerkressourcen verhindert.For example, at the subscription scope, you can assign a definition that prevents the creation of networking resources. Sie können eine Ressourcengruppe in diesem Abonnement ausschließen, die für die Netzwerkinfrastruktur vorgesehen ist.You could exclude a resource group in that subscription that is intended for networking infrastructure. Sie gewähren Benutzern, denen Sie in Bezug auf das Erstellen von Netzwerkressourcen vertrauen, dann Zugriff auf diese Netzwerkressourcengruppe.You then grant access to this networking resource group to users that you trust with creating networking resources.

Als weiteres Beispiel möchten Sie möglicherweise eine Definition für eine Ressourcentyp-Zulassungsliste auf der Verwaltungsgruppenebene zuweisen.In another example, you might want to assign a resource type allow list definition at the management group level. Dann weisen Sie einer untergeordneten Verwaltungsgruppe (oder sogar Abonnements direkt) eine weniger restriktive Richtlinie zu, die mehr Ressourcentypen zulässt.Then you assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Dieses Beispiel funktioniert jedoch nicht, da es sich bei Azure Policy um ein explizites Verbotssystem handelt.However, this example wouldn't work because Azure Policy is an explicit deny system. Stattdessen müssen Sie die untergeordnete Verwaltungsgruppe oder das Abonnement aus der Zuweisung auf der Verwaltungsgruppenebene ausschließen.Instead, you need to exclude the child management group or subscription from the management group-level assignment. Anschließend müssen Sie die weniger restriktive Definition auf der Ebene der untergeordneten Verwaltungsgruppe oder des Abonnements zuweisen.Then, assign the more permissive definition on the child management group or subscription level. Falls eine Ressource aufgrund einer Zuweisung abgelehnt wird, muss zum Zulassen der Ressource die ablehnende Zuweisung geändert werden.If any assignment results in a resource getting denied, then the only way to allow the resource is to modify the denying assignment.

Weitere Informationen zum Einrichten von Zuweisungen über das Portal finden Sie unter Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen in Ihrer Azure-Umgebung.For more information on setting assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Schritte für PowerShell und die Azure-Befehlszeilenschnittstelle sind ebenfalls verfügbar.Steps for PowerShell and Azure CLI are also available. Informationen zur Zuweisungsstruktur finden Sie unter Zuweisungsstruktur.For information on the assignment structure, see Assignments Structure.

Maximale Anzahl von Azure Policy-ObjektenMaximum count of Azure Policy objects

Für jeden Objekttyp für Azure Policy gilt eine maximale Anzahl.There's a maximum count for each object type for Azure Policy. Bei Definitionen gilt ein Scope-Eintrag (Bereich) entweder für die Verwaltungsgruppe oder das Abonnement.For definitions, an entry of Scope means the management group or subscription. Bei Zuweisungen und Ausnahmen gilt ein Scope-Eintrag für die Verwaltungsgruppe, das Abonnement, die Ressourcengruppe oder eine einzelne Ressource.For assignments and exemptions, an entry of Scope means the management group, subscription, resource group, or individual resource.

Hierbei gilt:Where WasWhat Maximale AnzahlMaximum count
ScopeScope RichtliniendefinitionenPolicy definitions 500500
ScopeScope InitiativdefinitionenInitiative definitions 200200
TenantTenant InitiativdefinitionenInitiative definitions 2.5002,500
ScopeScope Richtlinien- oder InitiativenzuweisungenPolicy or initiative assignments 200200
BereichScope AusnahmenExemptions 10001000
RichtliniendefinitionPolicy definition ParameterParameters 2020
InitiativdefinitionInitiative definition RichtlinienPolicies 10001000
InitiativdefinitionInitiative definition ParameterParameters 100100
Richtlinien- oder InitiativenzuweisungenPolicy or initiative assignments Ausschlüsse (notScopes)Exclusions (notScopes) 400400
RichtlinienregelPolicy rule Geschachtelte konditionelle AbschnitteNested conditionals 512512
WartungstaskRemediation task RessourcenResources 500500

Nächste SchritteNext steps

Nachdem Sie nun einen Überblick über Azure Policy erhalten und einige Schlüsselbegriffe kennengelernt haben, geht es mit den nächsten empfohlenen Schritten weiter:Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: