Tutorial: Erstellen und Verwalten von Richtlinien zur KonformitätserzwingungTutorial: Create and manage policies to enforce compliance

Zur Einhaltung Ihrer Unternehmensstandards und Vereinbarungen zum Servicelevel müssen Sie mit der Erstellung und Verwaltung von Richtlinien in Azure vertraut sein.Understanding how to create and manage policies in Azure is important for staying compliant with your corporate standards and service level agreements. In diesem Tutorial erfahren Sie, wie Sie mithilfe von Azure Policy einige allgemeinere Aufgaben im Zusammenhang mit der organisationsweiten Erstellung, Zuweisung und Verwaltung von Richtlinien durchführen:In this tutorial, you learn to use Azure Policy to do some of the more common tasks related to creating, assigning, and managing policies across your organization, such as:

  • Zuweisen einer Richtlinie zur Erzwingung einer Bedingung für die spätere Erstellung von RessourcenAssign a policy to enforce a condition for resources you create in the future
  • Erstellen und Zuweisen einer Initiativdefinition zur Nachverfolgung der Konformität für mehrere RessourcenCreate and assign an initiative definition to track compliance for multiple resources
  • Beheben von Problemen mit einer nicht konformen oder abgelehnten RessourceResolve a non-compliant or denied resource
  • Implementieren einer neuen Richtlinie in der gesamten OrganisationImplement a new policy across an organization

Lesen Sie die Schnellstartartikel, wenn Sie eine Richtlinie zum Ermitteln des aktuellen Konformitätszustands Ihrer vorhandenen Ressourcen zuweisen möchten.If you would like to assign a policy to identify the current compliance state of your existing resources, the quickstart articles go over how to do so.

VoraussetzungenPrerequisites

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Zuweisen einer RichtlinieAssign a policy

Für die Konformitätserzwingung mit Azure Policy muss zunächst eine Richtliniendefinition zugewiesen werden.The first step in enforcing compliance with Azure Policy is to assign a policy definition. Eine Richtliniendefinition definiert, unter welcher Bedingung eine Richtlinie erzwungen wird und welche Auswirkung sie haben soll.A policy definition defines under what condition a policy is enforced and what effect to take. In diesem Beispiel weisen Sie die integrierte Richtliniendefinition Tag von der Ressourcengruppe erben, falls nicht vorhanden zu, um das angegebene Tag mit seinem Wert von der übergeordneten Ressourcengruppe den neuen oder aktualisierten Ressourcen hinzuzufügen, denen das Tag fehlt.In this example, assign the built-in policy definition called Inherit a tag from the resource group if missing to add the specified tag with its value from the parent resource group to new or updated resources missing the tag.

  1. Navigieren Sie zum Azure-Portal, um Richtlinien zuzuweisen.Go to the Azure portal to assign policies. Suchen Sie nach Policy, und wählen Sie diese Option aus.Search for and select Policy.

    Screenshot: Suchen nach „Policy“ über die Suchleiste

  2. Wählen Sie links auf der Seite „Azure Policy“ die Option Zuweisungen.Select Assignments on the left side of the Azure Policy page. Eine Zuweisung ist eine zugewiesene Richtlinie, die innerhalb eines bestimmten Bereichs angewendet werden soll.An assignment is a policy that has been assigned to take place within a specific scope.

    Screenshot: Auswählen des Knotens „Zuweisungen“ auf der Übersichtsseite für Richtlinien

  3. Wählen Sie im oberen Bereich der Seite Richtlinien – Zuweisungen die Option Richtlinie zuweisen.Select Assign Policy from the top of the Policy - Assignments page.

    Screenshot: Auswählen der Schaltfläche „Richtlinie zuweisen“ auf der Seite „Zuweisungen“

  4. Wählen Sie auf der Seite Richtlinie zuweisen auf der Registerkarte Grundlagen unter Bereich den Bereich aus, indem Sie die Auslassungspunkte und entweder eine Verwaltungsgruppe oder ein Abonnement auswählen.On the Assign Policy page and Basics tab, select the Scope by selecting the ellipsis and selecting either a management group or subscription. Wählen Sie optional eine Ressourcengruppe aus.Optionally, select a resource group. Ein Bereich bestimmt, für welche Ressourcen oder Ressourcengruppe die Richtlinienzuweisung erzwungen wird.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Wählen Sie anschließend unten auf der Seite Bereich die Option Auswählen aus.Then select Select at the bottom of the Scope page.

    In diesem Beispiel wird das Abonnement Contoso verwendet.This example uses the Contoso subscription. Ihr Abonnement wird sich davon unterscheiden.Your subscription will differ.

  5. Ressourcen können basierend auf dem Bereich ausgeschlossen werden.Resources can be excluded based on the Scope. Ausschlüsse beginnen auf einer Ebene unterhalb der Ebene des Bereichs.Exclusions start at one level lower than the level of the Scope. Ausschlüsse sind optional, lassen Sie sie daher vorerst leer.Exclusions are optional, so leave it blank for now.

  6. Wählen Sie die Richtliniendefinition mit den Auslassungspunkten, um die Liste der verfügbaren Definitionen zu öffnen.Select the Policy definition ellipsis to open the list of available definitions. Sie können den Typ der Richtliniendefinition nach Integriert filtern, um alle Definitionen anzuzeigen und ihre Beschreibungen zu lesen.You can filter the policy definition Type to Built-in to view all and read their descriptions.

  7. Wählen Sie Tag von der Ressourcengruppe erben, falls nicht vorhanden aus.Select Inherit a tag from the resource group if missing. Sollten Sie die Option nicht direkt finden, geben Sie Tag erben in das Suchfeld ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie die entsprechende Option im Suchfeld aus.If you can't find it right away, type inherit a tag into the search box and then press ENTER or select out of the search box. Wählen Sie unten auf der Seite Verfügbare Definitionen die Option Auswählen aus, nachdem Sie die Richtliniendefinition gefunden und ausgewählt haben.Select Select at the bottom of the Available Definitions page once you have found and selected the policy definition.

    Screenshot: Suchfilter beim Auswählen einer Richtliniendefinition

  8. Der Zuweisungsname wird automatisch mit dem ausgewählten Richtliniennamen gefüllt, kann aber geändert werden.The Assignment name is automatically populated with the policy name you selected, but you can change it. Übernehmen Sie in diesem Fall Tag von der Ressourcengruppe erben, falls nicht vorhanden.For this example, leave Inherit a tag from the resource group if missing. Geben Sie ggf. auch eine Beschreibung ein.You can also add an optional Description. Die Beschreibung enthält Details zu dieser Richtlinienzuweisung.The description provides details about this policy assignment.

  9. Behalten Sie für Richtlinienerzwingung die Einstellung Aktiviert bei.Leave Policy enforcement as Enabled. Wenn Sie diese Einstellung auf Deaktiviert festlegen, kann das Ergebnis der Richtlinie getestet werden, ohne die Auswirkung auszulösen.When Disabled, this setting allows testing the outcome of the policy without triggering the effect. Weitere Informationen finden Sie unter Erzwingungsmodus.For more information, see enforcement mode.

  10. Das Feld Zugewiesen von wird abhängig vom angemeldeten Benutzer automatisch ausgefüllt.Assigned by is automatically filled based on who is logged in. Dieses Feld ist optional. Daher können auch benutzerdefinierte Werte eingegeben werden.This field is optional, so custom values can be entered.

  11. Wählen Sie im oberen Bereich des Assistenten die Registerkarte Parameter aus.Select the Parameters tab at the top of the wizard.

  12. Geben Sie unter Tagname den Namen Umgebung ein.For Tag Name, enter Environment.

  13. Wählen Sie im oberen Bereich des Assistenten die Registerkarte Bereinigung aus.Select the Remediation tab at the top of the wizard.

  14. Lassen Sie das Kontrollkästchen Korrekturtask erstellen deaktiviert.Leave Create a remediation task unchecked. Dieses Kontrollkästchen ermöglicht die Erstellung eines Tasks zur Änderung bereits vorhandener Ressourcen (zusätzlich zu neuen oder aktualisierten Ressourcen).This box allows you to create a task to alter existing resources in addition to new or updated resources. Weitere Informationen finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure Policy.For more information, see remediate resources.

  15. Verwaltete Identität erstellen ist automatisch aktiviert, da diese Richtliniendefinition die Auswirkung Modify verwendet.Create a Managed Identity is automatically checked since this policy definition uses the modify effect. Berechtigungen ist basierend auf der Richtliniendefinition automatisch auf Mitwirkende festgelegt.Permissions is set to Contributor automatically based on the policy definition. Weitere Informationen finden Sie unter Verwaltete Identitäten und Funktionsweise der Wiederherstellungssicherheit.For more information, see managed identities and how remediation security works.

  16. Wählen Sie oben im Assistenten die Registerkarte Meldungen zu Complianceverstößen aus.Select the Non-compliance messages tab at the top of the wizard.

  17. Legen Sie Meldung zu Complianceverstößen auf This resource doesn't have the required tag (Ressource verfügt nicht über das erforderliche Tag) fest.Set the Non-compliance message to This resource doesn't have the required tag. Diese benutzerdefinierte Meldung wird bei der Ablehnung einer Ressource oder für nicht konforme Ressourcen bei der regulären Auswertung angezeigt.This custom message is displayed when a resource is denied or for non-compliant resources during regular evaluation.

  18. Wählen Sie im oberen Bereich des Assistenten die Registerkarte Überprüfen + erstellen aus.Select the Review + create tab at the top of the wizard.

  19. Überprüfen Sie die ausgewählten Optionen, und wählen Sie anschließend am unteren Rand der Seite die Option Erstellen aus.Review your selections, then select Create at the bottom of the page.

Implementieren einer neuen benutzerdefinierten RichtlinieImplement a new custom policy

Sie haben eine integrierte Richtliniendefinition zugewiesen und können nun weitere Aktionen mit Azure Policy ausführen.Now that you've assigned a built-in policy definition, you can do more with Azure Policy. Erstellen Sie als Nächstes eine neue benutzerdefinierte Richtlinie zur Kosteneinsparung, die durch eine Überprüfung sicherstellt, dass in Ihrer Umgebung keine virtuellen Computer der G-Serie erstellt werden können.Next, create a new custom policy to save costs by validating that virtual machines created in your environment can't be in the G series. Wenn also ein Benutzer in Ihrer Organisation versucht, einen virtuellen Computer der G-Serie zu erstellen, wird die Anforderung abgelehnt.This way, every time a user in your organization tries to create a virtual machine in the G series, the request is denied.

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Definitionen.Select Definitions under Authoring in the left side of the Azure Policy page.

    Screenshot: Seite „Definitionen“ unter der Gruppe „Erstellung“

  2. Wählen Sie oben auf der Seite + Richtliniendefinition aus.Select + Policy definition at the top of the page. Über diese Schaltfläche gelangen Sie zur Seite Richtliniendefinition.This button opens to the Policy definition page.

  3. Geben Sie Folgendes ein:Enter the following information:

    • Die Verwaltungsgruppe oder das Abonnement, in der bzw. in dem die Richtliniendefinition gespeichert ist.The management group or subscription in which the policy definition is saved. Wählen Sie über die Auslassungspunkte bei Speicherort der Definition aus.Select by using the ellipsis on Definition location.

      Hinweis

      Wenn Sie diese Richtliniendefinition auf mehrere Abonnements anwenden möchten, muss der Speicherort eine Verwaltungsgruppe sein, die die Abonnements enthält, denen Sie die Richtlinie zuweisen.If you plan to apply this policy definition to multiple subscriptions, the location must be a management group that contains the subscriptions you assign the policy to. Dasselbe gilt für eine Initiativdefinition.The same is true for an initiative definition.

    • Den Namen der Richtliniendefinition: Require VM SKUs not in the G series (VM-SKUs dürfen nicht der G-Serie angehören)The name of the policy definition - Require VM SKUs not in the G series

    • Den Zweck der Richtliniendefinition: This policy definition enforces that all virtual machines created in this scope have SKUs other than the G series to reduce cost. (Diese Richtliniendefinition dient zur Kostensenkung und bewirkt, dass alle virtuellen Computer, die in diesem Bereich erstellt werden, andere SKUs als die der G-Serie aufweisen.)The description of what the policy definition is intended to do – This policy definition enforces that all virtual machines created in this scope have SKUs other than the G series to reduce cost.

    • Wählen Sie eine der vorhandenen Optionen (etwa Compute) aus, oder erstellen Sie für diese Richtliniendefinition eine neue Kategorie.Choose from existing options (such as Compute), or create a new category for this policy definition.

    • Kopieren Sie den folgenden JSON-Code, und aktualisieren Sie ihn dann Ihren Anforderungen entsprechend mit folgenden Angaben:Copy the following JSON code and then update it for your needs with:

      • RichtlinienparameterThe policy parameters.
      • Richtlinienregeln/-bedingungen (in unserem Fall: VM-SKU-Größe gleich G-Serie)The policy rules/conditions, in this case – VM SKU size equal to G series
      • Wirkung der Richtlinie (in unserem Fall: deny, also „Ablehnen“)The policy effect, in this case – Deny.

    Der JSON-Code sollte wie folgt aussehen.Here's what the JSON should look like. Fügen Sie den überarbeiteten Code in das Azure-Portal ein.Paste your revised code into the Azure portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Die Eigenschaft field in der Richtlinienregel muss auf einen unterstützten Wert festgelegt sein.The field property in the policy rule must be a supported value. Eine vollständige Liste der Werte finden Sie im Artikel „Struktur von Azure Policy-Definitionen“ unter Felder.A full list of values is found on policy definition structure fields. Ein Beispiel für einen Alias wäre "Microsoft.Compute/VirtualMachines/Size".An example of an alias might be "Microsoft.Compute/VirtualMachines/Size".

    Weitere Azure Policy-Beispiele finden Sie unter Azure Policy-Beispiele.To view more Azure Policy samples, see Azure Policy samples.

  4. Wählen Sie Speichern aus.Select Save.

Erstellen einer Richtliniendefinition mit der REST-APICreate a policy definition with REST API

Sie können eine Richtlinie mit der REST-API für Azure Policy-Definitionen erstellen.You can create a policy with the REST API for Azure Policy Definitions. Die REST-API ermöglicht es Ihnen, Richtliniendefinitionen zu erstellen und zu löschen sowie Informationen zu vorhandenen Definitionen abzurufen.The REST API enables you to create and delete policy definitions, and get information about existing definitions. Um eine Richtliniendefinition zu erstellen, verwenden Sie das folgende Beispiel:To create a policy definition, use the following example:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Nehmen Sie einen Anforderungstext auf, der dem im folgenden Beispiel dargestellten ähnelt:Include a request body similar to the following example:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Erstellen einer Richtliniendefinition mit PowerShellCreate a policy definition with PowerShell

Vergewissern Sie sich, dass Sie die neueste Version des Az-Moduls von Azure PowerShell installiert haben, bevor Sie mit dem PowerShell-Beispiel fortfahren.Before proceeding with the PowerShell example, make sure you've installed the latest version of the Azure PowerShell Az module.

Sie können eine Richtliniendefinition über das Cmdlet New-AzPolicyDefinition erstellen.You can create a policy definition using the New-AzPolicyDefinition cmdlet.

Um eine Richtliniendefinition auf der Grundlage einer Datei zu erstellen, übergeben Sie den Pfad zur Datei.To create a policy definition from a file, pass the path to the file. Verwenden Sie das folgende Beispiel für eine externe Datei:For an external file, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Verwenden Sie das folgende Beispiel für eine lokale Datei:For a local file use, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Verwenden Sie zum Erstellen einer Richtliniendefinition mit einer Inline-Regel das folgende Beispiel:To create a policy definition with an inline rule, use the following example:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Die Ausgabe wird in einem $definition-Objekt gespeichert, das während der Richtlinienzuweisung verwendet wird.The output is stored in a $definition object, which is used during policy assignment. Im folgenden Beispiel wird eine Richtliniendefinition mit Parametern erstellt:The following example creates a policy definition that includes parameters:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Anzeigen von Richtliniendefinitionen mit PowerShellView policy definitions with PowerShell

Verwenden Sie den folgenden Befehl, um alle Richtliniendefinitionen in Ihrem Abonnement anzuzeigen:To see all policy definitions in your subscription, use the following command:

Get-AzPolicyDefinition

Es gibt alle verfügbaren Richtliniendefinitionen, einschließlich integrierten Richtlinien, zurück.It returns all available policy definitions, including built-in policies. Jede Richtlinie wird im folgenden Format zurückgeben:Each policy is returned in the following format:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Erstellen einer Richtliniendefinition mit Azure CLICreate a policy definition with Azure CLI

Sie können eine Richtliniendefinition mit dem Befehl az policy definition über die Azure-Befehlszeilenschnittstelle erstellen.You can create a policy definition using Azure CLI with the az policy definition command. Verwenden Sie zum Erstellen einer Richtliniendefinition mit einer Inline-Regel das folgende Beispiel:To create a policy definition with an inline rule, use the following example:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Anzeigen von Richtliniendefinitionen mit Azure CLIView policy definitions with Azure CLI

Verwenden Sie den folgenden Befehl, um alle Richtliniendefinitionen in Ihrem Abonnement anzuzeigen:To see all policy definitions in your subscription, use the following command:

az policy definition list

Es gibt alle verfügbaren Richtliniendefinitionen, einschließlich integrierten Richtlinien, zurück.It returns all available policy definitions, including built-in policies. Jede Richtlinie wird im folgenden Format zurückgeben:Each policy is returned in the following format:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Erstellen und Zuweisen einer InitiativdefinitionCreate and assign an initiative definition

Mit einer Initiativdefinition können Sie mehrere Richtliniendefinitionen zu einer Gruppe zusammenfassen, um ein übergeordnetes Ziel zu erreichen.With an initiative definition, you can group several policy definitions to achieve one overarching goal. Eine Initiative wertet Ressourcen im Bereich der Zuweisung bezüglich der Einhaltung der enthaltenen Richtlinien aus.An initiative evaluates resources within scope of the assignment for compliance to the included policies. Weitere Informationen zu Initiativdefinitionen finden Sie in der Übersicht über Azure Policy.For more information about initiative definitions, see Azure Policy overview.

Erstellen einer InitiativdefinitionCreate an initiative definition

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Definitionen.Select Definitions under Authoring in the left side of the Azure Policy page.

    Screenshot: Seite „Definitionen“ unter der Gruppe „Erstellung“

  2. Klicken Sie im oberen Bereich der Seite auf + Initiativendefinition, um zum Assistenten Initiativendefinition zu gelangen.Select + Initiative Definition at the top of the page to open the Initiative definition wizard.

    Screenshot: Seite „Initiativendefinition“ und festzulegende Eigenschaften

  3. Verwenden Sie die Auslassungspunkte für Standort der Initiative, um eine Verwaltungsgruppe oder ein Abonnement zum Speichern der Definition auszuwählen.Use the Initiative location ellipsis to select a management group or subscription to store the definition. Wenn die vorherige Seite auf eine einzelne Verwaltungsgruppe oder ein einzelnes Abonnement ausgerichtet war, wird Standort der Initiative automatisch aufgefüllt.If the previous page was scoped to a single management group or subscription, Initiative location is automatically populated.

  4. Geben Sie Name und Beschreibung der Initiative ein.Enter the Name and Description of the initiative.

    Mit diesem Beispiel wird überprüft, ob Ressourcen mit Richtliniendefinitionen zur Verbesserung der Sicherheit konform sind.This example validates that resources are in compliance with policy definitions about getting secure. Geben Sie für die Initiative den Namen Get Secure (Sicherheit verbessern) ein, und legen Sie die Beschreibung wie folgt fest: This initiative has been created to handle all policy definitions associated with securing resources. (Diese Initiative gilt für alle Richtliniendefinitionen, die mit dem Schutz von Ressourcen in Zusammenhang stehen.)Name the initiative Get Secure and set the description as: This initiative has been created to handle all policy definitions associated with securing resources.

  5. Wählen Sie für Kategorie eine der vorhandenen Optionen, oder erstellen Sie eine neue Kategorie.For Category, choose from existing options or create a new category.

  6. Legen Sie unter Version eine Version für die Initiative fest (beispielsweise 1.0).Set a Version for the initiative, such as 1.0.

    Hinweis

    Bei dem Versionswert handelt es sich lediglich um eine Metadatenangabe. Er wird vom Azure Policy-Dienst nicht für Updates oder für Prozesse verwendet.The version value is strictly metadata and isn't used for updates or any process by the Azure Policy service.

  7. Wählen Sie unten auf der Seite die Option Weiter oder im oberen Bereich des Assistenten die Registerkarte Richtlinien aus.Select Next at the bottom of the page or the Policies tab at the top of the wizard.

  8. Wählen Sie die Schaltfläche Richtliniendefinition(en) hinzufügen aus, und blättern Sie durch die Liste.Select Add policy definition(s) button and browse through the list. Wählen Sie die Richtliniendefinitionen aus, die Sie dieser Initiative hinzufügen möchten.Select the policy definition(s) you want added to this initiative. Fügen Sie für die Initiative Get Secure (Sicherheit verbessern) die folgenden integrierten Richtliniendefinitionen hinzu, indem Sie jeweils das Kontrollkästchen neben der Richtliniendefinition aktivieren:For the Get Secure initiative, add the following built-in policy definitions by selecting the checkbox next to the policy definition:

    • Allowed locations (Zulässige Speicherorte)Allowed locations
    • Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachenMonitor missing Endpoint Protection in Azure Security Center
    • Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.Non-internet-facing virtual machines should be protected with network security groups
    • Azure Backup muss für Virtual Machines aktiviert sein.Azure Backup should be enabled for Virtual Machines
    • Die Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden.Disk encryption should be applied on virtual machines
    • „Tag für Ressourcen hinzufügen oder ersetzen“ (Fügen Sie diese Richtliniendefinition zweimal hinzu.)Add or replace a tag on resources (add this policy definition twice)

    Nachdem Sie die einzelnen Richtliniendefinitionen in der Liste ausgewählt haben, können Sie am unteren Rand der Liste Hinzufügen auswählen.After selecting each policy definition from the list, select Add at the bottom of the list. Da die Richtliniendefinition Tag für Ressourcen hinzufügen oder ersetzen zweimal hinzugefügt wird, erhalten die einzelnen Instanzen jeweils eine andere Referenz-ID.Since it's added twice, the Add or replace a tag on resources policy definitions each get a different reference ID.

    Screenshot: Ausgewählte Richtliniendefinitionen mit zugehöriger Referenz-ID und Gruppe auf der Seite „Initiativendefinition

    Hinweis

    Die ausgewählten Richtliniendefinitionen können Gruppen hinzugefügt werden. Wählen Sie hierzu mindestens eine hinzugefügte Definition und anschließend Ausgewählte Richtlinien einer Gruppe hinzufügen aus.The selected policy definitions can be added to groups by selecting one or more added definitions and selecting Add selected policies to a group. Die Gruppe muss bereits vorhanden sein und kann über die Registerkarte Gruppen des Assistenten erstellt werden.The group must exist first and can be created on the Groups tab of the wizard.

  9. Wählen Sie unten auf der Seite die Option Weiter oder im oberen Bereich des Assistenten die Registerkarte Gruppen aus.Select Next at the bottom of the page or the Groups tab at the top of the wizard. Über diese Registerkarte können neue Gruppen hinzugefügt werden. In diesem Tutorial werden keine Gruppen hinzugefügt.New groups can be added from this tab. For this tutorial, we aren't adding any groups.

  10. Wählen Sie unten auf der Seite die Option Weiter oder im oberen Bereich des Assistenten die Registerkarte Initiativenparameter aus.Select Next at the bottom of the page or the Initiative parameters tab at the top of the wizard. Wenn in der Initiative ein Parameter vorhanden sein soll, der an einzelne oder mehrere Richtliniendefinitionen übergeben werden kann, wird der Parameter hier definiert und anschließend auf der Registerkarte Richtlinienparameter verwendet. In diesem Tutorial werden keine Initiativenparameter hinzugefügt.If we wanted a parameter to exist at the initiative for passing to one or more included policy definitions, the parameter is defined here and then used on the Policy parameters tab. For this tutorial, we aren't adding any initiative parameters.

    Hinweis

    Nach dem Speichern in einer Initiativendefinition können Initiativenparameter nicht mehr aus der Initiative gelöscht werden.Once saved to an initiative definition, initiative parameters can't be deleted from the initiative. Sollte ein Initiativenparameter nicht mehr benötigt werden, entfernen Sie ihn, sodass er von keinem Richtliniendefinitionsparameter mehr verwendet wird.If an initiative parameter is no longer needed, remove it from use by any policy definition parameters.

  11. Wählen Sie unten auf der Seite die Option Weiter oder im oberen Bereich des Assistenten die Registerkarte Richtlinienparameter aus.Select Next at the bottom of the page or the Policy parameters tab at the top of the wizard.

  12. Die der Initiative hinzugefügten Richtliniendefinitionen mit Parametern werden in einem Raster angezeigt.Policy definition added to the initiative that have parameters are displayed in a grid. Mögliche Optionen für Werttyp sind „Standardwert“, „Wert festlegen“ und „Initiativenparameter verwenden“.The value type can be 'Default value', 'Set value', or 'Use Initiative Parameter'. Bei Verwendung von „Wert festlegen“ wird der zugehörige Wert unter Wert(e) eingegeben.If 'Set value' is selected, the related value is entered under Value(s). Wenn der Parameter für die Richtliniendefinition über eine Liste zulässiger Werte verfügt, ist das Eingabefeld eine Dropdownauswahl.If the parameter on the policy definition has a list of allowed values, the entry box is a drop-down selector. Bei Verwendung von „Initiativenparameter verwenden“ wird eine Dropdownauswahl mit den Namen der Initiativenparameter bereitgestellt, die auf der Registerkarte Initiativenparameter erstellt wurden.If 'Use Initiative Parameter' is selected, a drop-down select is provided with the names of initiative parameters created on the Initiative parameters tab.

    Screenshot: Optionen für zulässige Werte für den Definitionsparameter „Zulässige Standorte“ auf der Registerkarte „Richtlinienparameter“ der Seite „Initiativendefinition“

    Hinweis

    Werden einige strongType-Parameter verwendet, kann die Liste der Werte nicht automatisch ermittelt werden.In the case of some strongType parameters, the list of values cannot be automatically determined. In diesem Fall wird rechts neben der Parameterzeile eine Ellipse angezeigt.In these cases, an ellipsis appears to the right of the parameter row. Wenn Sie sie auswählen, wird die Seite „Parameterbereich (<Parametername>)“ geöffnet.Selecting it opens the 'Parameter scope (<parameter name>)' page. Wählen Sie auf dieser Seite das Abonnement aus, mit dem die Wertoptionen bereitgestellt werden sollen.On this page, select the subscription to use for providing the value options. Dieser Parameterbereich wird nur während der Erstellung der Initiativendefinition verwendet und wirkt sich bei der Zuweisung nicht auf die Richtlinienauswertung oder den Bereich der Initiative aus.This parameter scope is only used during creation of the initiative definition and has no impact on policy evaluation or the scope of the initiative when assigned.

    Legen Sie den Werttyp für „Zulässige Standorte“ auf „Wert festlegen“ fest, und wählen Sie in der Dropdownliste den Wert „USA, Osten 2“ aus.Set the 'Allowed locations' value type to 'Set value' and select 'East US 2' from the drop-down. Legen Sie für die beiden Instanzen der Richtliniendefinition Tag für Ressourcen hinzufügen oder ersetzen die Parameter Tagname auf „Env“ bzw. „CostCenter“ und die Parameter Tagwert auf „Test“ bzw. „Lab“ fest, wie im Anschluss gezeigt.For the two instances of the Add or replace a tag on resources policy definitions, set the Tag Name parameters to 'Env' and 'CostCenter and the Tag Value parameters to 'Test' and 'Lab' as shown below. Behalten Sie bei den anderen die Option „Standardwert“ bei.Leave the others as 'Default value'. Da in der Initiative die gleiche Definition zweimal verwendet wird, aber jeweils unterschiedliche Parameter angegeben wurden, werden ein Tag vom Typ „Env“ mit dem Wert „Test“ und ein Tag vom Typ „CostCenter“ mit dem Wert „Lab“ für Ressourcen hinzugefügt oder ersetzt, die sich im Gültigkeitsbereich der Zuweisung befinden.Using the same definition twice in the initiative but with different parameters, this configuration adds or replace an 'Env' tag with the value 'Test' and a 'CostCenter' tag with the value of 'Lab' on resources in scope of the assignment.

    Screenshot: Eingegebene Optionen für zulässige Werte für den Definitionsparameter „Zulässige Standorte“ und Werte für beide Tagparametersätze auf der Registerkarte „Richtlinienparameter“ der Seite „Initiativendefinition“

  13. Wählen Sie unten auf der Seite oder im oberen Bereich des Assistenten die Option Überprüfen und erstellen aus.Select Review + create at the bottom of the page or at the top of the wizard.

  14. Überprüfen Sie die Einstellungen, und wählen Sie Erstellen aus.Review the settings and select Create.

Erstellen einer Richtlinien-Initiativendefinition mit der Azure-BefehlszeilenschnittstelleCreate a policy initiative definition with Azure CLI

Sie können eine Richtlinien-Initiativendefinition mit dem Befehl az policy set-definition über die Azure-Befehlszeilenschnittstelle erstellen.You can create a policy initiative definition using Azure CLI with the az policy set-definition command. Verwenden Sie das folgende Beispiel, um eine Richtlinien-Initiativendefinition mit einer vorhandenen Richtliniendefinition zu erstellen:To create a policy initiative definition with an existing policy definition, use the following example:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Erstellen einer Richtlinien-Initiativendefinition mit Azure PowerShellCreate a policy initiative definition with Azure PowerShell

Sie können eine Richtlinien-Initiativendefinition mithilfe von Azure PowerShell mit dem Cmdlet New-AzPolicySetDefinition erstellen.You can create a policy initiative definition using Azure PowerShell with the New-AzPolicySetDefinition cmdlet. Verwenden Sie die folgende Richtlinien-Initiativendefinitionsdatei als VMPolicySet.json, um eine Richtlinien-Initiativendefinition mit einer vorhandenen Richtliniendefinition zu erstellen:To create a policy initiative definition with an existing policy definition, use the following policy initiative definition file as VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Zuweisen einer InitiativdefinitionAssign an initiative definition

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Definitionen.Select Definitions under Authoring in the left side of the Azure Policy page.

  2. Suchen Sie die Initiativdefinition Get Secure, die Sie zuvor erstellt haben, und wählen Sie sie aus.Locate the Get Secure initiative definition you previously created and select it. Wählen Sie oben auf der Seite Zuweisen aus, um die Seite Get Secure: Initiative zuweisen zu öffnen.Select Assign at the top of the page to open to the Get Secure: Assign initiative page.

    Screenshot: Schaltfläche „Zuweisen“ auf der Seite „Initiativendefinition“

    Sie können auch mit der rechten Maustaste auf die ausgewählte Zeile klicken oder die Auslassungspunkte am Ende der Zeile für ein Kontextmenü auswählen.You can also right-click on the selected row or select the ellipsis at the end of the row for a contextual menu. Wählen Sie dann Zuweisen aus.Then select Assign.

    Screenshot: Kontextmenü für eine Initiative zum Auswählen der Funktion „Zuweisen“

  3. Füllen Sie die Seite Get Secure: Initiative zuweisen aus, indem Sie die folgenden Beispielinformationen eingeben.Fill out the Get Secure: Assign Initiative page by entering the following example information. Sie können Ihre eigenen Daten verwenden.You can use your own information.

    • Umfang: Die Verwaltungsgruppe oder das Abonnement, in der bzw. dem Sie die Initiative gespeichert haben, wird zur Standardeinstellung.Scope: The management group or subscription you saved the initiative to becomes the default. Sie können den Bereich ändern, um die Initiative einem Abonnement oder einer Ressourcengruppe innerhalb des Speicherorts zuzuweisen.You can change scope to assign the initiative to a subscription or resource group within the save location.
    • Ausschlüsse: Konfigurieren Sie Ressourcen innerhalb des Bereichs, auf die die Zuweisung der Initiative nicht angewendet werden soll.Exclusions: Configure any resources within the scope to prevent the initiative assignment from being applied to them.
    • Initiativendefinition und Zuweisungsname: Get Secure (vorab ausgefüllt als Name der zuzuweisenden Initiative).Initiative definition and Assignment name: Get Secure (pre-populated as name of initiative being assigned).
    • Beschreibung: Diese Initiativenzuweisung dient zur Erzwingung dieser Gruppe von Richtliniendefinitionen.Description: This initiative assignment is tailored to enforce this group of policy definitions.
    • Richtlinienerzwingung: Behalten Sie die Standardeinstellung Aktiviert bei.Policy enforcement: Leave as the default Enabled.
    • Zugewiesen von: Dieses Feld wird abhängig vom angemeldeten Benutzer automatisch ausgefüllt.Assigned by: Automatically filled based on who is logged in. Dieses Feld ist optional. Daher können auch benutzerdefinierte Werte eingegeben werden.This field is optional, so custom values can be entered.
  4. Wählen Sie im oberen Bereich des Assistenten die Registerkarte Parameter aus.Select the Parameters tab at the top of the wizard. Falls Sie in den vorherigen Schritten einen Initiativenparameter konfiguriert haben, legen Sie hier einen Wert fest.If you configured an initiative parameter in previous steps, set a value here.

  5. Wählen Sie im oberen Bereich des Assistenten die Registerkarte Bereinigung aus.Select the Remediation tab at the top of the wizard. Lassen Sie Verwaltete Identität erstellen deaktiviert.Leave Create a Managed Identity unchecked. Dieses Kontrollkästchen muss aktiviert werden, wenn die zugewiesene Richtlinie oder Initiative eine Richtlinie mit der Auswirkung deployIfNotExists oder modify enthält.This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists or modify effects. Da dies bei der für dieses Tutorial verwendeten Richtlinie nicht der Fall ist, lassen Sie sie deaktiviert.As the policy used for this tutorial doesn't, leave it blank. Weitere Informationen finden Sie unter Verwaltete Identitäten und Funktionsweise der Wiederherstellungssicherheit.For more information, see managed identities and how remediation security works.

  6. Wählen Sie im oberen Bereich des Assistenten die Registerkarte Überprüfen + erstellen aus.Select the Review + create tab at the top of the wizard.

  7. Überprüfen Sie die ausgewählten Optionen, und wählen Sie anschließend am unteren Rand der Seite die Option Erstellen aus.Review your selections, then select Create at the bottom of the page.

Überprüfen der anfänglichen KonformitätCheck initial compliance

  1. Wählen Sie links auf der Seite „Azure Policy“ die Option Konformität.Select Compliance in the left side of the Azure Policy page.

  2. Suchen Sie nach der Initiative Get Secure.Locate the Get Secure initiative. Wahrscheinlich lautet der Konformitätszustand immer noch Nicht gestartet.It's likely still in Compliance state of Not started. Wählen Sie die Initiative aus, um ausführliche Informationen zur Zuweisung zu erhalten.Select the initiative to get full details of the assignment.

    Screenshot: Seite „Initiativenkonformität“ mit Zuweisungsbewertungen im Status „Nicht gestartet“

  3. Wenn die Initiativenzuweisung abgeschlossen wurde, wird die Konformitätsseite aktualisiert und für Konformitätszustand der Zustand Konform angezeigt.Once the initiative assignment has been completed, the compliance page is updated with the Compliance state of Compliant.

    Screenshot: Seite „Initiativenkonformität“ mit abgeschlossenen Zuweisungsbewertungen im Status „Konform“

  4. Wenn Sie auf der Seite mit der Initiativenkonformität eine Richtlinie auswählen, wird die Seite mit den Konformitätsdetails für die entsprechende Richtlinie angezeigt.Selecting any policy on the initiative compliance page opens the compliance details page for that policy. Diese Seite enthält Konformitätsdetails auf Ressourcenebene.This page provides details at the resource level for compliance.

Entfernen einer nicht konformen oder abgelehnten Ressource aus dem Bereich mithilfe eines AusschlussesRemove a non-compliant or denied resource from the scope with an exclusion

Nachdem eine Richtlinieninitiative zugewiesen wurde, um einen bestimmten Standort vorzuschreiben, werden an einem anderen Standort erstellte Ressourcen abgelehnt.After assigning a policy initiative to require a specific location, any resource created in a different location is denied. In diesem Abschnitt erfahren Sie, wie Sie das Problem einer verweigerten Anforderung zum Erstellen einer Ressource durch Erstellen eines Ausschlusses für eine einzelne Ressourcengruppe lösen.In this section, you walk through resolving a denied request to create a resource by creating an exclusion on a single resource group. Der Ausschluss verhindert die Erzwingung der Richtlinie (oder Initiative) für diese Ressourcengruppe.The exclusion prevents enforcement of the policy (or initiative) on that resource group. Im folgenden Beispiel ist in der ausgeschlossenen Ressourcengruppe jeder Standort erlaubt.In the following example, any location is allowed in the excluded resource group. Ein Ausschluss kann für ein Abonnement, für eine Ressourcengruppe oder für einzelne Ressourcen gelten.An exclusion can apply to a subscription, a resource group, or an individual resources.

Hinweis

Mithilfe einer Richtlinienausnahme kann auch die Auswertung einer Ressource übersprungen werden.A policy exemption can also be used skip the evaluation of a resource. Weitere Informationen finden Sie unter Erläuterungen zum Bereich in Azure Policy.For additional information, see Scope in Azure Policy.

Durch eine zugewiesene Richtlinie oder Initiative verhinderte Bereitstellungen können in der Ressourcengruppe angezeigt werden, die als Ziel der Bereitstellung fungiert: Wählen Sie links auf der Seite die Option Bereitstellungen und dann den Bereitstellungsnamen der fehlerhaften Bereitstellung aus.Deployments prevented by an assigned policy or initiative can be viewed on the resource group targeted by the deployment: Select Deployments in the left side of the page, then select the Deployment Name of the failed deployment. Die abgelehnte Ressource wird mit dem Status Unzulässig angezeigt.The resource that was denied is listed with a status of Forbidden. Um die Richtlinie oder Initiative und die Zuweisung zu bestimmen, die die Ressource abgelehnt hat, wählen Sie auf der Übersichtsseite zur Bereitstellung Fehler. Klicken Sie hier, um Details anzuzeigen. -> .To determine the policy or initiative and assignment that denied the resource, select Failed. Click here for details -> on the Deployment Overview page. Rechts auf der Seite wird ein Fenster mit den Fehlerinformationen geöffnet.A window opens on the right side of the page with the error information. Unter Fehlerdetails werden die GUIDs der zugehörigen Richtlinienobjekte angezeigt.Under Error Details are the GUIDs of the related policy objects.

Screenshot: Nicht erfolgreiche Bereitstellung, die von einer Richtlinienzuweisung abgelehnt wurde

Auf der Seite „Azure Policy“: Wählen Sie links auf der Seite die Option Konformität und anschließend die Richtlinieninitiative Get Secure aus.On the Azure Policy page: Select Compliance in the left side of the page and select the Get Secure policy initiative. Auf dieser Seite sehen Sie eine Zunahme des Werts Ablehnen für blockierte Ressourcen.On this page, there is an increase in the Deny count for blocked resources. Auf der Registerkarte Ereignisse erfahren Sie, wer versucht hat, die durch die Richtliniendefinition abgelehnte Ressource zu erstellen oder bereitzustellen.Under the Events tab are details about who tried to create or deploy the resource that was denied by the policy definition.

Screenshot: Registerkarte „Ereignisse“ und Richtlinienereignisdetails auf der Seite „Initiativenkonformität“

In diesem Beispiel hat Trent Baker, einer der leitenden Virtualisierungsspezialisten von Contoso, erforderliche Arbeiten durchgeführt.In this example, Trent Baker, one of Contoso's Sr. Virtualization specialists, was doing required work. Wir müssen Trent einen Ort für eine Ausnahme zur Verfügung stellen.We need to grant Trent a space for an exception. Hierzu erstellen wir eine neue Ressourcengruppe namens LocationsExcluded und gewähren ihr eine Ausnahme für diese Richtlinienzuweisung.Created a new resource group, LocationsExcluded, and next grant it an exception to this policy assignment.

Aktualisieren einer Zuweisung mit AusschlussUpdate assignment with exclusion

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Zuweisungen.Select Assignments under Authoring in the left side of the Azure Policy page.

  2. Durchsuchen Sie alle Richtlinienzuweisungen, und öffnen Sie die Richtlinienzuweisung Get Secure.Browse through all policy assignments and open the Get Secure policy assignment.

  3. Legen Sie den Ausschluss fest, indem Sie die Auslassungspunkte und die auszuschließende Ressourcengruppe auswählen (in diesem Beispiel: LocationsExcluded).Set the Exclusion by selecting the ellipsis and selecting the resource group to exclude, LocationsExcluded in this example. Wählen Sie Zu ausgewähltem Bereich hinzufügen und anschließend Speichern aus.Select Add to Selected Scope and then select Save.

    Screenshot: Option „Ausschlüsse“ auf der Seite „Initiativenzuweisung“ zum Hinzufügen einer ausgeschlossenen Ressourcengruppe zur Richtlinienzuweisung

    Hinweis

    Je nach Richtliniendefinition und deren Auswirkung kann der Ausschluss auch für bestimmte Ressourcen innerhalb einer Ressourcengruppe im Bereich der Zuweisung gewährt werden.Depending on the policy definition and its effect, the exclusion could also be granted to specific resources within a resource group inside the scope of the assignment. Da in diesem Tutorial die Auswirkung Deny verwendet wurde, wäre es nicht sinnvoll, den Ausschluss auf eine bestimmte Ressource festzulegen, die bereits vorhanden ist.As a Deny effect was used in this tutorial, it wouldn't make sense to set the exclusion on a specific resource that already exists.

  4. Wählen Sie Überprüfen + speichern und anschließend Speichern aus.Select Review + save and then select Save.

In diesem Abschnitt haben Sie das Problem der verweigerten Anforderung behoben, indem Sie einen Ausschluss für eine einzelne Ressourcengruppe erstellt haben.In this section, you resolved the denied request by creating an exclusion on a single resource group.

Bereinigen von RessourcenClean up resources

Wenn Sie die Ressourcen dieses Tutorials nicht mehr benötigen, führen Sie die folgenden Schritte aus, um die erstellten Richtlinienzuweisungen oder Definitionen zu löschen:If you're done working with resources from this tutorial, use the following steps to delete any of the policy assignments or definitions created above:

  1. Klicken Sie links auf der Seite „Azure Policy“ unter Erstellung auf Definitionen (oder auf Zuweisungen, wenn Sie eine Zuweisung löschen möchten).Select Definitions (or Assignments if you're trying to delete an assignment) under Authoring in the left side of the Azure Policy page.

  2. Suchen Sie nach der neuen Initiativ- oder Richtliniendefinition (bzw. der Zuweisung), die Sie entfernen möchten.Search for the new initiative or policy definition (or assignment) you want to remove.

  3. Klicken Sie mit der rechten Maustaste auf die Zeile, oder wählen Sie die Auslassungspunkte am Ende der Definition (oder Zuweisung), und wählen Sie anschließend Definition löschen (bzw. Zuweisung löschen) aus.Right-click the row or select the ellipses at the end of the definition (or assignment), and select Delete definition (or Delete assignment).

ÜberprüfungReview

In diesem Tutorial haben Sie folgende Aufgaben durchgeführt:In this tutorial, you successfully accomplished the following tasks:

  • Sie haben eine Richtlinie zur Erzwingung einer Bedingung für die spätere Erstellung von Ressourcen zugewiesen.Assigned a policy to enforce a condition for resources you create in the future
  • Sie haben eine Initiativdefinition zur Nachverfolgung der Konformität für mehrere Ressourcen erstellt und zugewiesen.Created and assign an initiative definition to track compliance for multiple resources
  • Sie haben ein Problem mit einer nicht konformen oder abgelehnten Ressource behoben.Resolved a non-compliant or denied resource
  • Sie haben eine neue Richtlinie in der gesamten Organisation implementiert.Implemented a new policy across an organization

Nächste SchritteNext steps

Weitere Informationen zu den Strukturen von Richtliniendefinitionen finden Sie im folgenden Artikel:To learn more about the structures of policy definitions, look at this article: