Tutorial: Erstellen und Verwalten von Richtlinien zur KonformitätserzwingungTutorial: Create and manage policies to enforce compliance

Zur Einhaltung Ihrer Unternehmensstandards und Vereinbarungen zum Servicelevel müssen Sie mit der Erstellung und Verwaltung von Richtlinien in Azure vertraut sein.Understanding how to create and manage policies in Azure is important for staying compliant with your corporate standards and service level agreements. In diesem Tutorial erfahren Sie, wie Sie mithilfe von Azure Policy einige allgemeinere Aufgaben im Zusammenhang mit der organisationsweiten Erstellung, Zuweisung und Verwaltung von Richtlinien durchführen:In this tutorial, you learn to use Azure Policy to do some of the more common tasks related to creating, assigning, and managing policies across your organization, such as:

  • Zuweisen einer Richtlinie zur Erzwingung einer Bedingung für die spätere Erstellung von RessourcenAssign a policy to enforce a condition for resources you create in the future
  • Erstellen und Zuweisen einer Initiativdefinition zur Nachverfolgung der Konformität für mehrere RessourcenCreate and assign an initiative definition to track compliance for multiple resources
  • Beheben von Problemen mit einer nicht konformen oder abgelehnten RessourceResolve a non-compliant or denied resource
  • Implementieren einer neuen Richtlinie in der gesamten OrganisationImplement a new policy across an organization

Lesen Sie die Schnellstartartikel, wenn Sie eine Richtlinie zum Ermitteln des aktuellen Konformitätszustands Ihrer vorhandenen Ressourcen zuweisen möchten.If you would like to assign a policy to identify the current compliance state of your existing resources, the quickstart articles go over how to do so.

VoraussetzungenPrerequisites

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Zuweisen einer RichtlinieAssign a policy

Für die Konformitätserzwingung mit Azure Policy muss zunächst eine Richtliniendefinition zugewiesen werden.The first step in enforcing compliance with Azure Policy is to assign a policy definition. Eine Richtliniendefinition definiert, unter welcher Bedingung eine Richtlinie erzwungen wird und welche Auswirkung sie haben soll.A policy definition defines under what condition a policy is enforced and what effect to take. In diesem Beispiel weisen Sie eine integrierte Richtliniendefinition namens SQL Server-Version 12.0 erfordern zu, um die Bedingung durchzusetzen, dass alle SQL Server-Datenbanken die Version 12.0 aufweisen müssen, um die Konformitätsanforderungen zu erfüllen.In this example, assign a built-in policy definition, called Require SQL Server version 12.0, to enforce the condition that all SQL Server databases must be v12.0 to be compliant.

  1. Navigieren Sie zum Azure-Portal, um Richtlinien zuzuweisen.Go to the Azure portal to assign policies. Suchen Sie nach Policy, und wählen Sie diese Option aus.Search for and select Policy.

    Suchen nach Policy in der Suchleiste

  2. Wählen Sie links auf der Seite „Azure Policy“ die Option Zuweisungen.Select Assignments on the left side of the Azure Policy page. Eine Zuweisung ist eine zugewiesene Richtlinie, die innerhalb eines bestimmten Bereichs angewendet werden soll.An assignment is a policy that has been assigned to take place within a specific scope.

    Auswählen von „Zuweisungen“ auf der Übersichtsseite von Policy

  3. Wählen Sie im oberen Bereich der Seite Richtlinien – Zuweisungen die Option Richtlinie zuweisen.Select Assign Policy from the top of the Policy - Assignments page.

    Zuweisen einer Richtliniendefinition auf der Seite „Zuweisungen“

  4. Wählen Sie auf der Seite Richtlinie zuweisen den Bereich aus, indem Sie die Auslassungspunkte (...) und entweder eine Verwaltungsgruppe oder ein Abonnement auswählen.On the Assign Policy page, select the Scope by selecting the ellipsis and selecting either a management group or subscription. Wählen Sie optional eine Ressourcengruppe aus.Optionally, select a resource group. Ein Bereich bestimmt, für welche Ressourcen oder Ressourcengruppe die Richtlinienzuweisung erzwungen wird.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Wählen Sie anschließend unten auf der Seite Bereich die Option Auswählen aus.Then select Select at the bottom of the Scope page.

    In diesem Beispiel wird das Abonnement Contoso verwendet.This example uses the Contoso subscription. Ihr Abonnement wird sich davon unterscheiden.Your subscription will differ.

  5. Ressourcen können basierend auf dem Bereich ausgeschlossen werden.Resources can be excluded based on the Scope. Ausschlüsse beginnen auf einer Ebene unterhalb der Ebene des Bereichs.Exclusions start at one level lower than the level of the Scope. Ausschlüsse sind optional, lassen Sie sie daher vorerst leer.Exclusions are optional, so leave it blank for now.

  6. Wählen Sie die Richtliniendefinition mit den Auslassungspunkten, um die Liste der verfügbaren Definitionen zu öffnen.Select the Policy definition ellipsis to open the list of available definitions. Sie können den Typ der Richtliniendefinition nach Integriert filtern, um alle Definitionen anzuzeigen und ihre Beschreibungen zu lesen.You can filter the policy definition Type to Built-in to view all and read their descriptions.

  7. Wählen Sie SQL Server-Version 12.0 erfordern aus.Select Require SQL Server version 12.0. Falls Sie die Option nicht direkt finden, geben Sie SQL Server erfordern in das Suchfeld ein, und drücken Sie dann die EINGABETASTE, oder klicken Sie außerhalb des Suchfelds.If you can't find it right away, type require sql server into the search box and then press ENTER or select out of the search box. Wählen Sie unten auf der Seite Verfügbare Definitionen die Option Auswählen aus, nachdem Sie die Richtliniendefinition gefunden und ausgewählt haben.Select Select at the bottom of the Available Definitions page once you have found and selected the policy definition.

    Suchen nach einer Richtlinie mithilfe eines Suchfilters

  8. Der Zuweisungsname wird automatisch mit dem ausgewählten Richtliniennamen gefüllt, kann aber geändert werden.The Assignment name is automatically populated with the policy name you selected, but you can change it. In diesem Beispiel verwenden Sie SQL Server-Version 12.0 erfordern.For this example, leave Require SQL Server version 12.0. Geben Sie ggf. auch eine Beschreibung ein.You can also add an optional Description. Die Beschreibung enthält Details zu dieser Richtlinienzuweisung.The description provides details about this policy assignment. Das Feld Zugewiesen von wird abhängig vom angemeldeten Benutzer automatisch ausgefüllt.Assigned by is automatically filled based on who is logged in. Dieses Feld ist optional. Daher können auch benutzerdefinierte Werte eingegeben werden.This field is optional, so custom values can be entered.

  9. Lassen Sie Verwaltete Identität erstellen deaktiviert.Leave Create a Managed Identity unchecked. Diese Option muss aktiviert werden, wenn die zugewiesene Richtlinie oder Initiative eine Richtlinie mit dem Effekt deployIfNotExists enthält.This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists effect. Da dies bei der für dieses Tutorial verwendeten Richtlinie nicht der Fall ist, lassen Sie sie deaktiviert.As the policy used for this tutorial doesn't, leave it blank. Weitere Informationen finden Sie unter Verwaltete Identitäten und Funktionsweise der Wiederherstellungssicherheit.For more information, see managed identities and how remediation security works.

  10. Wählen Sie Zuweisen aus.Select Assign.

Implementieren einer neuen benutzerdefinierten RichtlinieImplement a new custom policy

Sie haben eine integrierte Richtliniendefinition zugewiesen und können nun weitere Aktionen mit Azure Policy ausführen.Now that you've assigned a built-in policy definition, you can do more with Azure Policy. Erstellen Sie als Nächstes eine neue benutzerdefinierte Richtlinie zur Kosteneinsparung, die durch eine Überprüfung sicherstellt, dass in Ihrer Umgebung keine VMs der G-Serie erstellt werden können.Next, create a new custom policy to save costs by validating that VMs created in your environment can't be in the G series. Wenn also ein Benutzer in Ihrer Organisation versucht, einen virtuellen Computer aus der G-Serie zu erstellen, wird die Anforderung abgelehnt.This way, every time a user in your organization tries to create VM in the G series, the request is denied.

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Definitionen.Select Definitions under Authoring in the left side of the Azure Policy page.

    Definitionsseite unter der Gruppe „Erstellung“

  2. Wählen Sie oben auf der Seite + Richtliniendefinition aus.Select + Policy definition at the top of the page. Über diese Schaltfläche gelangen Sie zur Seite Richtliniendefinition.This button opens to the Policy definition page.

  3. Geben Sie Folgendes ein:Enter the following information:

    • Die Verwaltungsgruppe oder das Abonnement, in der bzw. in dem die Richtliniendefinition gespeichert ist.The management group or subscription in which the policy definition is saved. Wählen Sie über die Auslassungspunkte bei Speicherort der Definition aus.Select by using the ellipsis on Definition location.

      Hinweis

      Wenn Sie diese Richtliniendefinition auf mehrere Abonnements anwenden möchten, muss der Speicherort eine Verwaltungsgruppe sein, die die Abonnements enthält, denen Sie die Richtlinie zuweisen.If you plan to apply this policy definition to multiple subscriptions, the location must be a management group that contains the subscriptions you assign the policy to. Dasselbe gilt für eine Initiativdefinition.The same is true for an initiative definition.

    • Den Namen der Richtliniendefinition: Require VM SKUs smaller than the G series (VM-SKUs müssen kleiner als die G-Serie sein)The name of the policy definition - Require VM SKUs smaller than the G series

    • Den Zweck der Richtliniendefinition: This policy definition enforces that all VMs created in this scope have SKUs smaller than the G series to reduce cost. (Diese Richtliniendefinition dient zur Kostensenkung und bewirkt, dass die SKU von virtuellen Computern, die in diesem Bereich erstellt werden, kleiner als die G-Serie ist.)The description of what the policy definition is intended to do – This policy definition enforces that all VMs created in this scope have SKUs smaller than the G series to reduce cost.

    • Wählen Sie eine der vorhandenen Optionen (etwa Compute) aus, oder erstellen Sie für diese Richtliniendefinition eine neue Kategorie.Choose from existing options (such as Compute), or create a new category for this policy definition.

    • Kopieren Sie den folgenden JSON-Code, und aktualisieren Sie ihn dann Ihren Anforderungen entsprechend mit folgenden Angaben:Copy the following JSON code and then update it for your needs with:

      • RichtlinienparameterThe policy parameters.
      • Richtlinienregeln/-bedingungen (in unserem Fall: VM-SKU-Größe gleich G-Serie)The policy rules/conditions, in this case – VM SKU size equal to G series
      • Wirkung der Richtlinie (in unserem Fall: deny, also „Ablehnen“)The policy effect, in this case – Deny.

    Der JSON-Code sollte wie folgt aussehen.Here's what the JSON should look like. Fügen Sie den überarbeiteten Code in das Azure-Portal ein.Paste your revised code into the Azure portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Die field-Eigenschaft in der Richtlinienregel muss einen der folgenden Werte aufweisen: „Name“, „Type“, „Location“, „Tags“ oder einen Alias.The field property in the policy rule must be one of the following values: Name, Type, Location, Tags, or an alias. Ein Beispiel für einen Alias wäre "Microsoft.Compute/VirtualMachines/Size".An example of an alias might be "Microsoft.Compute/VirtualMachines/Size".

    Weitere Beispiele für Azure-Richtlinien finden Sie unter Azure Policy-Beispiele.To view more Azure policy samples, see Azure Policy samples.

  4. Wählen Sie Speichern aus.Select Save.

Erstellen einer Richtliniendefinition mit der REST-APICreate a policy definition with REST API

Sie können eine Richtlinie mit der REST-API für Azure Policy-Definitionen erstellen.You can create a policy with the REST API for Azure Policy Definitions. Die REST-API ermöglicht es Ihnen, Richtliniendefinitionen zu erstellen und zu löschen sowie Informationen zu vorhandenen Definitionen abzurufen.The REST API enables you to create and delete policy definitions, and get information about existing definitions. Um eine Richtliniendefinition zu erstellen, verwenden Sie das folgende Beispiel:To create a policy definition, use the following example:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Nehmen Sie einen Anforderungstext auf, der dem im folgenden Beispiel dargestellten ähnelt:Include a request body similar to the following example:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Erstellen einer Richtliniendefinition mit PowerShellCreate a policy definition with PowerShell

Vergewissern Sie sich, dass Sie die neueste Version des Az-Moduls von Azure PowerShell installiert haben, bevor Sie mit dem PowerShell-Beispiel fortfahren.Before proceeding with the PowerShell example, make sure you've installed the latest version of the Azure PowerShell Az module.

Sie können eine Richtliniendefinition über das Cmdlet New-AzPolicyDefinition erstellen.You can create a policy definition using the New-AzPolicyDefinition cmdlet.

Um eine Richtliniendefinition auf der Grundlage einer Datei zu erstellen, übergeben Sie den Pfad zur Datei.To create a policy definition from a file, pass the path to the file. Verwenden Sie das folgende Beispiel für eine externe Datei:For an external file, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Verwenden Sie das folgende Beispiel für eine lokale Datei:For a local file use, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Verwenden Sie zum Erstellen einer Richtliniendefinition mit einer Inline-Regel das folgende Beispiel:To create a policy definition with an inline rule, use the following example:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Die Ausgabe wird in einem $definition-Objekt gespeichert, das während der Richtlinienzuweisung verwendet wird.The output is stored in a $definition object, which is used during policy assignment. Im folgenden Beispiel wird eine Richtliniendefinition mit Parametern erstellt:The following example creates a policy definition that includes parameters:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Anzeigen von Richtliniendefinitionen mit PowerShellView policy definitions with PowerShell

Verwenden Sie den folgenden Befehl, um alle Richtliniendefinitionen in Ihrem Abonnement anzuzeigen:To see all policy definitions in your subscription, use the following command:

Get-AzPolicyDefinition

Es gibt alle verfügbaren Richtliniendefinitionen, einschließlich integrierten Richtlinien, zurück.It returns all available policy definitions, including built-in policies. Jede Richtlinie wird im folgenden Format zurückgeben:Each policy is returned in the following format:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Erstellen einer Richtliniendefinition mit Azure CLICreate a policy definition with Azure CLI

Sie können eine Richtliniendefinition mit dem entsprechenden Befehl über Azure CLI erstellen.You can create a policy definition using Azure CLI with the policy definition command. Verwenden Sie zum Erstellen einer Richtliniendefinition mit einer Inline-Regel das folgende Beispiel:To create a policy definition with an inline rule, use the following example:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Anzeigen von Richtliniendefinitionen mit Azure CLIView policy definitions with Azure CLI

Verwenden Sie den folgenden Befehl, um alle Richtliniendefinitionen in Ihrem Abonnement anzuzeigen:To see all policy definitions in your subscription, use the following command:

az policy definition list

Es gibt alle verfügbaren Richtliniendefinitionen, einschließlich integrierten Richtlinien, zurück.It returns all available policy definitions, including built-in policies. Jede Richtlinie wird im folgenden Format zurückgeben:Each policy is returned in the following format:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Erstellen und Zuweisen einer InitiativdefinitionCreate and assign an initiative definition

Mit einer Initiativdefinition können Sie mehrere Richtliniendefinitionen zu einer Gruppe zusammenfassen, um ein übergeordnetes Ziel zu erreichen.With an initiative definition, you can group several policy definitions to achieve one overarching goal. Eine Initiative wertet Ressourcen im Bereich der Zuweisung bezüglich der Einhaltung der enthaltenen Richtlinien aus.An initiative evaluates resources within scope of the assignment for compliance to the included policies. Weitere Informationen zu Initiativdefinitionen finden Sie in der Übersicht über Azure Policy.For more information about initiative definitions, see Azure Policy overview.

Erstellen einer InitiativdefinitionCreate an initiative definition

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Definitionen.Select Definitions under Authoring in the left side of the Azure Policy page.

    Auswählen einer Definition auf der Seite „Definitionen“

  2. Klicken Sie im oberen Bereich der Seite auf + Initiativdefinition, um zur Seite Initiativdefinition zu gelangen.Select + Initiative Definition at the top of the page to open the Initiative definition page.

    Überprüfen der Seite „Initiativendefinition“

  3. Wählen Sie über die Auslassungspunkte unter Speicherort der Definition eine Verwaltungsgruppe oder ein Abonnement zum Speichern der Definition aus.Use the Definition location ellipsis to select a management group or subscription to store the definition. Wenn die vorherige Seite auf eine einzelne Verwaltungsgruppe oder ein einzelnes Abonnement begrenzt war, wird Speicherort der Definition automatisch aufgefüllt.If the previous page was scoped to a single management group or subscription, Definition location is automatically populated.

  4. Geben Sie Name und Beschreibung der Initiative ein.Enter the Name and Description of the initiative.

    Mit diesem Beispiel wird überprüft, ob Ressourcen mit Richtliniendefinitionen zur Verbesserung der Sicherheit konform sind.This example validates that resources are in compliance with policy definitions about getting secure. Geben Sie für die Initiative den Namen Get Secure (Sicherheit verbessern) ein, und legen Sie die Beschreibung wie folgt fest: This initiative has been created to handle all policy definitions associated with securing resources. (Diese Initiative gilt für alle Richtliniendefinitionen, die mit dem Schutz von Ressourcen in Zusammenhang stehen.)Name the initiative Get Secure and set the description as: This initiative has been created to handle all policy definitions associated with securing resources.

  5. Wählen Sie für Kategorie eine der vorhandenen Optionen, oder erstellen Sie eine neue Kategorie.For Category, choose from existing options or create a new category.

  6. Durchsuchen Sie die Liste mit den verfügbaren Definitionen (rechte Hälfte der Seite Initiativdefinition), und wählen Sie die Richtliniendefinitionen aus, die Sie dieser Initiative hinzufügen möchten.Browse through the list of Available Definitions (right half of Initiative definition page) and select the policy definition(s) you would like to add to this initiative. Fügen Sie für die Initiative Get secure die folgenden integrierten Richtliniendefinitionen hinzu, indem Sie + neben den Informationen zur Richtliniendefinition oder eine Zeile mit den Richtliniendefinitionen und dann auf der Detailseite die Option + Hinzufügen auswählen:For the Get secure initiative, add the following built-in policy definitions by selecting the + next to the policy definition information or selecting a policy definition row and then the + Add option in the details page:

    • Require SQL Server version 12.0 (SQL Server-Version 12.0 fordern)Require SQL Server version 12.0
    • [Preview]: Monitor unprotected web applications in Security Center.
    • [Preview]: Monitor permissive network across in Security Center.
    • [Preview]: Monitor possible app Whitelisting in Security Center.
    • [Preview]: Monitor unencrypted VM Disks in Security Center.

    Nachdem Sie die Richtliniendefinition in der Liste ausgewählt haben, wird sie unter Richtlinien und Parameter hinzugefügt.After selecting the policy definition from the list, it's added under Policies and Parameters.

    Überprüfen der Parameter für die Initiativendefinition

  7. Wenn eine zur Initiative hinzugefügte Richtliniendefinition Parameter enthält, werden sie unterhalb des Richtliniennamens im Bereich Richtlinien und Parameter angezeigt.If a policy definition being added to the initiative has parameters, they're shown under the policy name in the Policies and Parameters area. Der Wert kann entweder auf „Wert festlegen“ (hartcodiert für alle Zuweisungen dieser Initiative) oder auf „Initiativenparameter verwenden“ (Festlegung während der einzelnen Initiativenzuweisungen) festgelegt werden.The value can be set to either 'Set value' (hard coded for all assignments of this initiative) or 'Use Initiative Parameter' (set during each initiative assignment). Wird „Wert festlegen“ ausgewählt, können die Werte in der Dropdownliste rechts neben Werte eingegeben oder ausgewählt werden.If 'Set value' is selected, the drop-down to the right of Values allows entering or selecting the value(s). Wird „Initiativenparameter verwenden“ ausgewählt, wird ein neuer Abschnitt Initiativenparameter angezeigt, in dem Sie den Parameter definieren können, der während der Initiativenzuweisung festgelegt wird.If 'Use Initiative Parameter' is selected, a new Initiative parameters section is displayed allowing you to define the parameter that is set during initiative assignment. Mit den zulässigen Werten für diesen Initiativenparameter können Sie weiter einschränken, welche Werte während der Initiativenzuweisung festgelegt werden können.The allowed values on this initiative parameter can further restrict what may be set during initiative assignment.

    Ändern der Parameter für die Initiativdefinition auf der Grundlage zulässiger Werte

    Hinweis

    Werden einige strongType-Parameter verwendet, kann die Liste der Werte nicht automatisch ermittelt werden.In the case of some strongType parameters, the list of values cannot be automatically determined. In diesem Fall wird rechts neben der Parameterzeile eine Ellipse angezeigt.In these cases, an ellipsis appears to the right of the parameter row. Wenn Sie sie auswählen, wird die Seite „Parameterbereich (<Parametername>)“ geöffnet.Selecting it opens the 'Parameter scope (<parameter name>)' page. Wählen Sie auf dieser Seite das Abonnement aus, mit dem die Wertoptionen bereitgestellt werden sollen.On this page, select the subscription to use for providing the value options. Dieser Parameterbereich wird nur während der Erstellung der Initiativendefinition verwendet und wirkt sich bei der Zuweisung nicht auf die Richtlinienauswertung oder den Bereich der Initiative aus.This parameter scope is only used during creation of the initiative definition and has no impact on policy evaluation or the scope of the initiative when assigned.

  8. Wählen Sie Speichern aus.Select Save.

Zuweisen einer InitiativdefinitionAssign an initiative definition

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Definitionen.Select Definitions under Authoring in the left side of the Azure Policy page.

  2. Suchen Sie die Initiativdefinition Get Secure, die Sie zuvor erstellt haben, und wählen Sie sie aus.Locate the Get Secure initiative definition you previously created and select it. Wählen Sie oben auf der Seite Zuweisen aus, um die Seite Get Secure: Initiative zuweisen zu öffnen.Select Assign at the top of the page to open to the Get Secure: Assign initiative page.

    Zuweisen einer Definition auf der Seite „Initiativdefinition“

    Sie können auch mit der rechten Maustaste auf die ausgewählte Zeile klicken oder die Auslassungspunkte am Ende der Zeile für ein Kontextmenü auswählen.You can also right-click on the selected row or select the ellipsis at the end of the row for a contextual menu. Wählen Sie dann Zuweisen aus.Then select Assign.

    Alternative Optionen für eine initiative

  3. Füllen Sie die Seite Get Secure: Initiative zuweisen aus, indem Sie die folgenden Beispielinformationen eingeben.Fill out the Get Secure: Assign Initiative page by entering the following example information. Sie können Ihre eigenen Daten verwenden.You can use your own information.

    • Bereich: Die Verwaltungsgruppe oder das Abonnement, in der bzw. dem Sie die Initiative gespeichert haben, wird zur Standardeinstellung.Scope: The management group or subscription you saved the initiative to becomes the default. Sie können den Bereich ändern, um die Initiative einem Abonnement oder einer Ressourcengruppe innerhalb des Speicherorts zuzuweisen.You can change scope to assign the initiative to a subscription or resource group within the save location.
    • Ausschlüsse: Konfigurieren Sie Ressourcen innerhalb des Bereichs, auf die die Zuweisung der Initiative nicht angewendet werden soll.Exclusions: Configure any resources within the scope to prevent the initiative assignment from being applied to them.
    • Initiativendefinition und Zuweisungsname: Get Secure (vorab ausgefüllt als Name der zuzuweisenden Initiative).Initiative definition and Assignment name: Get Secure (pre-populated as name of initiative being assigned).
    • Beschreibung: Diese Initiativenzuweisung dient zur Erzwingung dieser Gruppe von Richtliniendefinitionen.Description: This initiative assignment is tailored to enforce this group of policy definitions.
    • Zugewiesen von: Dieses Feld wird abhängig vom angemeldeten Benutzer automatisch ausgefüllt.Assigned by: Automatically filled based on who is logged in. Dieses Feld ist optional. Daher können auch benutzerdefinierte Werte eingegeben werden.This field is optional, so custom values can be entered.
  4. Lassen Sie Verwaltete Identität erstellen deaktiviert.Leave Create a Managed Identity unchecked. Diese Option muss aktiviert werden, wenn die zugewiesene Richtlinie oder Initiative eine Richtlinie mit dem Effekt deployIfNotExists enthält.This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists effect. Da dies bei der für dieses Tutorial verwendeten Richtlinie nicht der Fall ist, lassen Sie sie deaktiviert.As the policy used for this tutorial doesn't, leave it blank. Weitere Informationen finden Sie unter Verwaltete Identitäten und Funktionsweise der Wiederherstellungssicherheit.For more information, see managed identities and how remediation security works.

  5. Wählen Sie Zuweisen aus.Select Assign.

Überprüfen der anfänglichen KonformitätCheck initial compliance

  1. Wählen Sie links auf der Seite „Azure Policy“ die Option Konformität.Select Compliance in the left side of the Azure Policy page.

  2. Suchen Sie nach der Initiative Get Secure.Locate the Get Secure initiative. Wahrscheinlich lautet der Konformitätszustand immer noch Nicht gestartet.It's likely still in Compliance state of Not started. Wählen Sie die Initiative aus, um ausführliche Informationen zum Status der Zuweisung zu erhalten.Select the initiative to get full details on the progress of the assignment.

    Seite „Initiativenkonformität“: Auswertung noch nicht gestartet

  3. Wenn die Initiativenzuweisung abgeschlossen wurde, wird die Konformitätsseite aktualisiert und für Konformitätszustand der Zustand Konform angezeigt.Once the initiative assignment has been completed, the compliance page is updated with the Compliance state of Compliant.

    Seite „Initiativenkonformität“: Ressourcen konform

  4. Wenn Sie auf der Seite mit der Initiativenkonformität eine Richtlinie auswählen, wird die Seite mit den Konformitätsdetails für die Richtlinie angezeigt.Selecting on any policy on the initiative compliance page opens the compliance details page for the policy. Diese Seite enthält Konformitätsdetails auf Ressourcenebene.This page provides details at the resource level for compliance.

Ausnehmen einer nicht konformen oder abgelehnten Ressource mithilfe eines AusschlussesExempt a non-compliant or denied resource using Exclusion

Das obige Beispiel bewirkt, dass nach dem Zuweisen der Richtliniendefinition zur Forderung der SQL Server-Version 12.0 die Erstellung einer SQL Server-Instanz mit einer anderen Version als 12.0 abgelehnt wird.Following the example above, after assigning the policy definition to require SQL server version 12.0, a SQL server created with any version other 12.0 would get denied. In diesem Abschnitt wird erläutert, wie Sie das Problem einer verweigerten Anforderung zum Erstellen einer SQL Server-Instanz durch Erstellen eines Ausschlusses für eine einzelne Ressourcengruppe lösen.In this section, you walk through resolving a denied request to create a SQL server by creating an exclusion on a single resource group. Der Ausschluss verhindert die Durchsetzung der Richtlinie (oder Initiative) für diese Ressource.The exclusion prevents enforcement of the policy (or initiative) on that resource. Im folgenden Beispiel ist jede SQL Server-Version in einer einzigen Ressourcengruppe erlaubt.In the following example, any SQL server version is allowed in a single resource group. Ein Ausschluss kann für ein Abonnement oder eine Ressourcengruppe gelten oder auf einzelne Ressourcen beschränkt werden.An exclusion can apply to a subscription, resource group, or you can narrow the exclusion to individual resources.

Eine von einer zugewiesenen Richtlinie oder Initiative verhinderte Bereitstellung kann an zwei Stellen eingesehen werden:A deployment prevented by an assigned policy or initiative can be viewed in two locations:

  • In der Ressourcengruppe, für die die Bereitstellung gilt: Wählen Sie links auf der Seite die Option Bereitstellungen und dann den Bereitstellungsnamen der fehlerhaften Bereitstellung aus.On the resource group targeted by the deployment: Select Deployments in the left side of the page, then select the Deployment Name of the failed deployment. Die abgelehnte Ressource wird mit dem Status Unzulässig angezeigt.The resource that was denied is listed with a status of Forbidden. Um die Richtlinie oder Initiative und die Zuweisung zu bestimmen, die die Ressource abgelehnt hat, wählen Sie auf der Übersichtsseite zur Bereitstellung Fehler. Klicken Sie hier, um Details anzuzeigen. -> .To determine the policy or initiative and assignment that denied the resource, select Failed. Click here for details -> on the Deployment Overview page. Rechts auf der Seite wird ein Fenster mit den Fehlerinformationen geöffnet.A window opens on the right side of the page with the error information. Unter Fehlerdetails werden die GUIDs der zugehörigen Richtlinienobjekte angezeigt.Under Error Details are the GUIDs of the related policy objects.

    Bereitstellung durch Richtlinienzuweisung abgelehnt

  • Auf der Seite „Azure Policy“: Wählen Sie links auf der Seite die Option Konformität und dann die Richtlinie SQL Server-Version 12.0 erfordern aus.On the Azure Policy page: Select Compliance in the left side of the page and select the Require SQL Server version 12.0 policy. Auf der Seite, die geöffnet wird, sehen Sie dann eine Erhöhung der Anzahl für Ablehnen.On the page that opens, you would see an increase in the Deny count. Auf der Registerkarte Ereignisse sehen Sie auch, welcher Benutzer versucht hat, die von der Richtlinie abgelehnte Bereitstellung durchzuführen.Under the Events tab, you would also see who tried the deployment that was denied by the policy.

    Konformitätsübersicht zu einer zugewiesenen Richtlinie

In diesem Beispiel hat Trent Baker, einer der leitenden Virtualisierungsspezialisten von Contoso, erforderliche Arbeiten durchgeführt.In this example, Trent Baker, one of Contoso's Sr. Virtualization specialists, was doing required work. Sie müssen eine Ausnahme für Trent gewähren, möchten aber in keiner der Ressourcengruppen SQL Server-Instanzen mit einer anderen Version als 12.0 haben.We need to grant Trent an exception, but we don't want the non-version 12.0 SQL servers in just any resource group. Zu diesem Zweck dient eine neue Ressourcengruppe SQLServers_Excluded, der nun eine Ausnahme für diese Richtlinienzuweisung gewährt wird.We've created a new resource group, SQLServers_Excluded and will now grant it an exception to this policy assignment.

Aktualisieren einer Zuweisung mit AusschlussUpdate assignment with exclusion

  1. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Zuweisungen.Select Assignments under Authoring in the left side of the Azure Policy page.

  2. Durchsuchen Sie alle Richtlinienzuweisungen, und öffnen Sie die Zuweisung Require SQL Server version 12.0 (SQL Server-Version 12.0 fordern).Browse through all policy assignments and open the Require SQL Server version 12.0 assignment.

  3. Legen Sie den Ausschluss fest, indem Sie die Auslassungspunkte und die auszuschließende Ressourcengruppe auswählen (in diesem Beispiel SQLServers_Excluded).Set the Exclusion by selecting the ellipsis and selecting the resource group to exclude, SQLServers_Excluded in this example.

    Hinzufügen einer ausgeschlossenen Ressourcengruppe zur Richtlinienzuweisung

    Hinweis

    Je nach Richtlinie und Auswirkung kann der Ausschluss auch für bestimmte Ressourcen innerhalb einer Ressourcengruppe im Bereich der Zuweisung gewährt werden.Depending on the policy and its effect, the exclusion could also be granted to specific resources within a resource group inside the scope of the assignment. Da in diesem Tutorial die Auswirkung Ablehnen verwendet wurde, wäre es nicht sinnvoll, den Ausschluss auf eine bestimmte Ressource festzulegen, die bereits vorhanden ist.As a Deny effect was used in this tutorial, it would not make sense to set the exclusion on a specific resource that already exists.

  4. Wählen Sie Auswählen und anschließend Speichern aus.Select Select and then select Save.

In diesem Abschnitt haben Sie das Problem der verweigerten Anforderung behoben, indem Sie einen Ausschluss für eine einzelne Ressourcengruppe erstellt haben.In this section, you resolved the denied request by creating an exclusion on a single resource group.

Bereinigen von RessourcenClean up resources

Wenn Sie die Ressourcen dieses Tutorials nicht mehr benötigen, führen Sie die folgenden Schritte aus, um die erstellten Zuweisungen oder Definitionen zu löschen:If you're done working with resources from this tutorial, use the following steps to delete any of the assignments or definitions created above:

  1. Klicken Sie links auf der Seite „Azure Policy“ unter Erstellung auf Definitionen (oder auf Zuweisungen, wenn Sie eine Zuweisung löschen möchten).Select Definitions (or Assignments if you're trying to delete an assignment) under Authoring in the left side of the Azure Policy page.

  2. Suchen Sie nach der neuen Initiativ- oder Richtliniendefinition (bzw. der Zuweisung), die Sie entfernen möchten.Search for the new initiative or policy definition (or assignment) you want to remove.

  3. Klicken Sie mit der rechten Maustaste auf die Zeile, oder wählen Sie die Auslassungspunkte am Ende der Definition (oder Zuweisung), und wählen Sie anschließend Definition löschen (bzw. Zuweisung löschen) aus.Right-click the row or select the ellipses at the end of the definition (or assignment), and select Delete definition (or Delete assignment).

ÜberprüfungReview

In diesem Tutorial haben Sie folgende Aufgaben durchgeführt:In this tutorial, you successfully accomplished the following tasks:

  • Sie haben eine Richtlinie zur Erzwingung einer Bedingung für die spätere Erstellung von Ressourcen zugewiesen.Assigned a policy to enforce a condition for resources you create in the future
  • Sie haben eine Initiativdefinition zur Nachverfolgung der Konformität für mehrere Ressourcen erstellt und zugewiesen.Created and assign an initiative definition to track compliance for multiple resources
  • Sie haben ein Problem mit einer nicht konformen oder abgelehnten Ressource behoben.Resolved a non-compliant or denied resource
  • Sie haben eine neue Richtlinie in der gesamten Organisation implementiert.Implemented a new policy across an organization

Nächste SchritteNext steps

Weitere Informationen zu den Strukturen von Richtliniendefinitionen finden Sie im folgenden Artikel:To learn more about the structures of policy definitions, look at this article: