Blockieren der von Connectors in Azure Logic Apps erstellten VerbindungenBlock connections created by connectors in Azure Logic Apps

Falls Ihre Organisation das Herstellen einer Verbindung mit eingeschränkten oder nicht genehmigten Ressourcen mithilfe der Connectors in Azure Logic Apps nicht erlaubt, können Sie die Funktion zum Erstellen und Verwenden dieser Verbindungen in Logik-App-Workflows blockieren.If your organization doesn't permit connecting to restricted or unapproved resources by using their connectors in Azure Logic Apps, you can block the capability to create and use those connections in logic app workflows. Mit Azure Policy können Sie Richtlinien definieren und erzwingen, mit denen die Erstellung oder Verwendung von Verbindungen für Connectors, die Sie blockieren möchten, verhindert wird.With Azure Policy, you can define and enforce policies that prevent creating or using connections for connectors that you want to block. Es kann beispielsweise sein, dass Sie aus Sicherheitsgründen Verbindungen mit bestimmten Social Media-Plattformen oder anderen Diensten und Systemen blockieren möchten.For example, for security reasons, you might want to block connections to specific social media platforms or other services and systems.

In diesem Thema wird veranschaulicht, wie Sie über das Azure-Portal eine Richtlinie einrichten, mit der bestimmte Verbindungen blockiert werden. Sie können Richtliniendefinitionen aber auch auf andere Arten erstellen, z. B. per Azure-REST-API, Azure PowerShell, Azure CLI und mit Azure Resource Manager-Vorlagen.This topic shows how to set up a policy that blocks specific connections by using the Azure portal, but you can create policy definitions in other ways, for example, through the Azure REST API, Azure PowerShell, Azure CLI, and Azure Resource Manager templates. Weitere Informationen finden Sie im Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung.For more information, see Tutorial: Create and manage policies to enforce compliance.

VoraussetzungenPrerequisites

Ermitteln der Verweis-ID für den ConnectorFind connector reference ID

Führen Sie die Schritte für das Azure-Portal aus, wenn Sie bereits über eine Logik-App mit der Verbindung verfügen, die Sie blockieren möchten.If you already have a logic app with the connection that you want to block, follow the steps for the Azure portal. Führen Sie andernfalls die folgenden Schritte aus:Otherwise, follow these steps:

  1. Navigieren Sie zur Liste mit den Logic Apps-Connectors.Visit the Logic Apps connectors list.

  2. Suchen Sie nach der Referenzseite für den Connector, den Sie blockieren möchten.Find the reference page for the connector that you want to block.

    Greifen Sie beispielsweise auf die folgende Seite zu, wenn Sie den Instagram-Connector, der veraltet ist, blockieren möchten:For example, if you want to block the Instagram connector, which is deprecated, go to this page:

    https://docs.microsoft.com/connectors/instagram/

  3. Kopieren Sie am Ende der Seiten-URL die Verweis-ID des Connectors ohne den Schrägstrich (/), z. B. instagram, und speichern Sie sie.From the page's URL, copy and save the connector reference ID at the end without the forward slash (/), for example, instagram.

    Später beim Erstellen Ihrer Richtliniendefinition verwenden Sie diese ID in der Bedingungsanweisung der Definition, z. B.:Later, when you create your policy definition, you use this ID in the definition's condition statement, for example:

    "like": "*managedApis/instagram"

Azure-PortalAzure portal

  1. Suchen Sie im Azure-Portal nach Ihrer Logik-App, und öffnen Sie sie.In the Azure portal, find and open your logic app.

  2. Wählen Sie im Logik-App-Menü die Option Logik-App-Codeansicht aus, damit Sie die JSON-Definition Ihrer Logik-App anzeigen können.On the logic app menu, select Logic app code view so that you can view your logic app's JSON definition.

    Öffnen von „Logik-App-Codeansicht“ zum Ermitteln der Connector-ID

  3. Suchen Sie nach dem Objekt parameters, in dem das Objekt $connections enthalten ist. Darin sind wiederum das Objekt {connection-name} für die einzelnen Verbindungen Ihrer Logik-App und Informationen zur jeweiligen Verbindung enthalten:Find the parameters object that contains the $connections object, which includes a {connection-name} object for each connection in your logic app and specifies information about that connection:

    {
       "parameters": {
          "$connections": {
             "value" : {
                "{connection-name}": {
                   "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
                   "connectionName": "{connection-name}",
                   "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"
                }
             }
          }
       }
    }
    

    Suchen Sie beispielsweise für den Instagram-Connector nach dem Objekt instagram, mit dem eine Instagram-Verbindung identifiziert wird:For example, for the Instagram connector, find the instagram object, which identifies an Instagram connection:

    {
       "parameters": {
          "$connections": {
             "value" : {
                "instagram": {
                   "connectionId": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Web/connections/instagram",
                   "connectionName": "instagram",
                   "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"
                }
             }
          }
       }
    }
    
  4. Suchen Sie für die Verbindung, die Sie blockieren möchten, nach der Eigenschaft id und dem zugehörigen Wert im folgenden Format:For the connection that you want to block, find the id property and value, which follows this format:

    "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

    Hier sind beispielsweise die Eigenschaft id und der Wert für eine Instagram-Verbindung angegeben:For example, here is the id property and value for an Instagram connection:

    "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

  5. Kopieren Sie am Ende des Eigenschaftswerts id die Verweis-ID des Connectors, z. B. instagram, und speichern Sie sie.From the id property value, copy and save the connector reference ID at the end, for example, instagram.

    Später beim Erstellen Ihrer Richtliniendefinition verwenden Sie diese ID in der Bedingungsanweisung der Definition, z. B.:Later, when you create your policy definition, you use this ID in the definition's condition statement, for example:

    "like": "*managedApis/instagram"

Erstellen einer Richtlinie zum Blockieren der VerbindungsherstellungCreate policy to block creating connections

Führen Sie die folgenden Schritte aus, um die Erstellung einer Verbindung in einer Logik-App vollständig zu blockieren:To block creating a connection altogether in a logic app, follow these steps:

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal. Geben Sie im Suchfeld des Portals policy (bzw. „Richtlinie“) ein, und wählen Sie die Option Richtlinie aus.In the portal search box, enter policy, and select Policy.

    Suchen und Auswählen von „Richtlinie“ im Azure-Portal

  2. Wählen Sie im Menü Richtlinie unter Erstellen die Option Definitionen > + Richtliniendefinition aus.On the Policy menu, under Authoring, select Definitions > + Policy definition.

    Auswählen von „Definitionen“ > „+ Richtliniendefinition“

  3. Geben Sie unter Richtliniendefinition die Informationen zu Ihrer Richtliniendefinition basierend auf den Eigenschaften an, die unter dem Beispiel beschrieben sind:Under Policy definition, provide the information for your policy definition, based on the properties described under the example:

    Screenshot, der die Eigenschaften für „Richtliniendefinition“ zeigt.

    EigenschaftProperty ErforderlichRequired WertValue BESCHREIBUNGDescription
    DefinitionsspeicherortDefinition location JaYes <Name des Azure-Abonnements><Azure-subscription-name> Das Azure-Abonnement, das für die Richtliniendefinition verwendet werden soll.The Azure subscription to use for the policy definition

    1. Wählen Sie die Schaltfläche mit den Auslassungszeichen ( ... ) aus, um nach Ihrem Abonnement zu suchen.1. To find your subscription, select the ellipses (...) button.
    2. Suchen Sie in der Liste Abonnement nach Ihrem Abonnement, und wählen Sie es aus.2. From the Subscription list, find and select your subscription.
    3. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.3. When you're done, select Select.

    NameName JaYes <policy-definition-name><policy-definition-name> Der Name, der für die Richtliniendefinition verwendet werden soll.The name to use for the policy definition
    BeschreibungDescription NeinNo <policy-definition-name><policy-definition-name> Eine Beschreibung für die Richtliniendefinition.A description for the policy definition
    KategorieCategory JaYes Logik-AppsLogic apps Der Name einer vorhandenen Kategorie oder neuen Kategorie für die Richtliniendefinition.The name for an existing category or new category for the policy definition
    RichtlinienerzwingungPolicy enforcement JaYes AktiviertEnabled Mit dieser Einstellung wird angegeben, ob die Richtliniendefinition aktiviert oder deaktiviert werden soll, wenn Sie Ihre Arbeit speichern.This setting specifies whether to enable or disable the policy definition when you save your work.
  4. Unter RICHTLINIENREGEL wird das JSON-Bearbeitungsfeld vorab mit einer Vorlage für Richtliniendefinitionen gefüllt.Under POLICY RULE, the JSON edit box is pre-populated with a policy definition template. Ersetzen Sie diese Vorlage durch Ihre Richtliniendefinition, indem Sie die unten in der Tabelle beschriebenen Eigenschaften und die folgende Syntax verwenden:Replace this template with your policy definition based on the properties described in the table below and by following this syntax:

    {
       "mode": "All",
       "policyRule": {
          "if": {
             "field": "Microsoft.Web/connections/api.id",
             "like": "*managedApis/{connector-name}"
          },
          "then": {
             "effect": "deny"
          }
       },
       "parameters": {}
     }
    
    EigenschaftProperty WertValue BESCHREIBUNGDescription
    mode All Der Modus, mit dem die von der Richtlinie ausgewerteten Ressourcentypen bestimmt werden.The mode that determines the resource types that the policy evaluates.

    In diesem Szenario wird mode auf All festgelegt, um die Richtlinie auf Azure-Ressourcengruppen, -Abonnements und alle Ressourcentypen anzuwenden.This scenario sets mode to All, which applies the policy to Azure resource groups, subscriptions, and all resource types.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Modus.For more information, see Policy definition structure - mode.

    if {condition-to-evaluate} Bedingung, die bestimmt, wann die Richtlinienregel erzwungen werden sollThe condition that determines when to enforce the policy rule

    In diesem Szenario wird mit {condition-to-evaluate} bestimmt, ob der Wert api.id in Microsoft.Web/connections/api.id mit dem Element *managedApis/{connector-name} übereinstimmt, in dem ein Platzhalterzeichen (*) angegeben ist.In this scenario, the {condition-to-evaluate} determines whether the api.id value in Microsoft.Web/connections/api.id matches on *managedApis/{connector-name}, which specifies a wildcard (*) value.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.For more information, see Policy definition structure - Policy rule.

    field Microsoft.Web/connections/api.id Wert field für den Vergleich mit der BedingungThe field value to compare against the condition

    In diesem Szenario wird für field der Alias, Microsoft.Web/connections/api.id verwendet, um auf den Wert in der Connectoreigenschaft api.id zuzugreifen.In this scenario, the field uses the alias, Microsoft.Web/connections/api.id, to access the value in the connector property, api.id.

    like *managedApis/{connector-name} Logischer Operator und Wert für den Vergleich des field-WertsThe logical operator and value to use for comparing the field value

    In diesem Szenario wird mit dem Operator like und dem Platzhalterzeichen (*) jeweils sichergestellt, dass die Regel unabhängig von der Region funktioniert und dass die Zeichenfolge *managedApis/{connector-name} der Wert für den Abgleich ist. Hierbei steht {connector-name} für die ID des Connectors, den Sie blockieren möchten.In this scenario, the like operator and the wildcard (*) character both make sure that the rule works regardless of region, and the string, *managedApis/{connector-name}, is the value to match where {connector-name} is the ID for the connector that you want to block.

    Angenommen, Sie möchten die Erstellung von Verbindungen mit Social Media-Plattformen oder -Datenbanken blockieren:For example, suppose that you want to block creating connections to social media platforms or databases:

    - Twitter: twitter- Twitter: twitter
    - Instagram: instagram- Instagram: instagram
    - Facebook: facebook- Facebook: facebook
    - Pinterest: pinterest- Pinterest: pinterest
    - SQL Server oder Azure SQL: sql- SQL Server or Azure SQL: sql

    Informationen zum Ermitteln dieser Connector-IDs finden Sie weiter oben in diesem Thema unter Ermitteln der Verweis-ID für den Connector.To find these connector IDs, see Find connector reference ID earlier in this topic.

    then {effect-to-apply} Auswirkung, die bei Erfüllung der if-Bedingung erfolgen sollThe effect to apply when the if condition is met

    In diesem Szenario umfasst {effect-to-apply} das Blockieren und Ablehnen einer Anforderung oder eines Vorgangs, die bzw. der die Bedingungen der Richtlinie nicht erfüllt.In this scenario, the {effect-to-apply} is to block and fail a request or operation that doesn't comply with the policy.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.For more information, see Policy definition structure - Policy rule.

    effect deny effect umfasst die Blockade der Anforderung, mit der die angegebene Verbindung erstellt werden sollThe effect is to block the request, which is to create the specified connection

    Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen: Verweigern.For more information, see Understand Azure Policy effects - Deny.

    Angenommen, Sie möchten die Erstellung von Verbindungen mit dem Instagram-Connector blockieren.For example, suppose that you want to block creating connections with the Instagram connector. Hier ist die Richtliniendefinition angegeben, die Sie verwenden können:Here is the policy definition that you can use:

    {
       "mode": "All",
       "policyRule": {
          "if": {
             "field": "Microsoft.Web/connections/api.id",
             "like": "*managedApis/instagram"
          },
          "then": {
             "effect": "deny"
          }
       },
       "parameters": {}
    }
    

    Hier ist dargestellt, wie das Feld RICHTLINIENREGEL angezeigt wird:Here is the way that the POLICY RULE box appears:

    Screenshot, der das Feld „RICHTLINIENREGEL“ mit einem Beispiel für eine Richtlinienregel zeigt.

    Für mehrere Connectors können Sie weitere Bedingungen hinzufügen, z. B.:For multiple connectors, you can add more conditions, for example:

    {
       "mode": "All",
       "policyRule": {
          "if": {
             "anyOf": [
                {
                   "field": "Microsoft.Web/connections/api.id",
                   "like": "*managedApis/instagram"
                },
                {
                   "field": "Microsoft.Web/connections/api.id",
                   "like": "*managedApis/twitter"
                },
                {
                   "field": "Microsoft.Web/connections/api.id",
                   "like": "*managedApis/facebook"
                },
                {
                   "field": "Microsoft.Web/connections/api.id",
                   "like": "*managedApis/pinterest"
                }
             ]
          },
          "then": {
             "effect": "deny"
          }
       },
       "parameters": {}
     }
    
  5. Klicken Sie auf Speichern, wenn Sie fertig sind.When you're done, select Save. Nachdem Sie die Richtliniendefinition gespeichert haben, werden von Azure Policy weitere Eigenschaftswerte generiert und der Richtliniendefinition hinzugefügt.After you save the policy definition, Azure Policy generates and adds more property values to the policy definition.

  6. Erstellen Sie als Nächstes eine Richtlinienzuweisung, um die Richtliniendefinition dem Ort zuzuweisen, an dem Sie sie erzwingen möchten.Next, to assign the policy definition where you want enforce the policy, create a policy assignment.

Weitere Informationen zu Azure-Richtliniendefinitionen finden Sie in den folgenden Themen:For more information about Azure policy definitions, see these topics:

Erstellen einer Richtlinie zum Blockieren der Nutzung von VerbindungenCreate policy to block using connections

Wenn Sie eine Verbindung in einer Logik-App erstellen, handelt es sich dabei um eine separate Azure-Ressource.When you create a connection inside a logic app, that connection exists as separate Azure resource. Wenn Sie nur die Logik-App löschen, wird die Verbindung nicht automatisch gelöscht und ist so lange vorhanden, bis das Löschen erfolgt.If you delete only the logic app, the connection isn't automatically deleted and continues to exist until deleted. Es kann vorkommen, dass die Verbindung bereits vorhanden ist oder dass Sie die Verbindung für die Nutzung außerhalb einer Logik-App erstellen möchten.You might have a scenario where the connection already exists or where you have to create the connection for use outside a logic app. Sie können die Funktion trotzdem blockieren, um eine vorhandene Verbindung in einer Logik-App zu verwenden. Erstellen Sie hierfür eine Richtlinie, mit der das Speichern von Logik-Apps verhindert wird, die über die eingeschränkte oder nicht genehmigte Verbindung verfügen.You can still block the capability to use an existing connection in a logic app by creating a policy that prevents saving logic apps that have the restricted or unapproved connection.

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal. Geben Sie im Suchfeld des Portals policy (bzw. „Richtlinie“) ein, und wählen Sie die Option Richtlinie aus.In the portal search box, enter policy, and select Policy.

    Suchen und Auswählen von „Richtlinie“ im Azure-Portal

  2. Wählen Sie im Menü Richtlinie unter Erstellen die Option Definitionen > + Richtliniendefinition aus.On the Policy menu, under Authoring, select Definitions > + Policy definition.

    Auswählen von „Definitionen“ > „+ Richtliniendefinition“

  3. Geben Sie unter Richtliniendefinition die Informationen zu Ihrer Richtliniendefinition basierend auf den Eigenschaften an, die unter dem Beispiel beschrieben sind (wir verwenden weiterhin Instagram als Beispiel):Under Policy definition, provide the information for your policy definition, based on the properties described under the example and continues by using Instagram as the example:

    Eigenschaften von Richtliniendefinitionen

    EigenschaftProperty ErforderlichRequired WertValue BESCHREIBUNGDescription
    DefinitionsspeicherortDefinition location JaYes <Name des Azure-Abonnements><Azure-subscription-name> Das Azure-Abonnement, das für die Richtliniendefinition verwendet werden soll.The Azure subscription to use for the policy definition

    1. Wählen Sie die Schaltfläche mit den Auslassungszeichen ( ... ) aus, um nach Ihrem Abonnement zu suchen.1. To find your subscription, select the ellipses (...) button.
    2. Suchen Sie in der Liste Abonnement nach Ihrem Abonnement, und wählen Sie es aus.2. From the Subscription list, find and select your subscription.
    3. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.3. When you're done, select Select.

    NameName JaYes <policy-definition-name><policy-definition-name> Der Name, der für die Richtliniendefinition verwendet werden soll.The name to use for the policy definition
    BeschreibungDescription NeinNo <policy-definition-name><policy-definition-name> Eine Beschreibung für die Richtliniendefinition.A description for the policy definition
    KategorieCategory JaYes Logik-AppsLogic apps Der Name einer vorhandenen Kategorie oder neuen Kategorie für die Richtliniendefinition.The name for an existing category or new category for the policy definition
    RichtlinienerzwingungPolicy enforcement JaYes AktiviertEnabled Mit dieser Einstellung wird angegeben, ob die Richtliniendefinition aktiviert oder deaktiviert werden soll, wenn Sie Ihre Arbeit speichern.This setting specifies whether to enable or disable the policy definition when you save your work.
  4. Unter RICHTLINIENREGEL wird das JSON-Bearbeitungsfeld vorab mit einer Vorlage für Richtliniendefinitionen gefüllt.Under POLICY RULE, the JSON edit box is pre-populated with a policy definition template. Ersetzen Sie diese Vorlage durch Ihre Richtliniendefinition, indem Sie die unten in der Tabelle beschriebenen Eigenschaften und die folgende Syntax verwenden:Replace this template with your policy definition based on the properties described in the table below and by following this syntax:

    {
       "mode": "All",
       "policyRule": {
          "if": {
             "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
             "contains": "{connector-name}"
          },
          "then": {
             "effect": "deny"
          }
       },
       "parameters": {}
     }
    
    EigenschaftProperty WertValue BESCHREIBUNGDescription
    mode All Der Modus, mit dem die von der Richtlinie ausgewerteten Ressourcentypen bestimmt werden.The mode that determines the resource types that the policy evaluates.

    In diesem Szenario wird mode auf All festgelegt, um die Richtlinie auf Azure-Ressourcengruppen, -Abonnements und alle Ressourcentypen anzuwenden.This scenario sets mode to All, which applies the policy to Azure resource groups, subscriptions, and all resource types.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Modus.For more information, see Policy definition structure - mode.

    if {condition-to-evaluate} Bedingung, die bestimmt, wann die Richtlinienregel erzwungen werden sollThe condition that determines when to enforce the policy rule

    In diesem Szenario wird mit {condition-to-evaluate} bestimmt, ob die Zeichenfolgenausgabe von [string(field('Microsoft.Logic/workflows/parameters'))] die Zeichenfolge {connector-name} enthält.In this scenario, the {condition-to-evaluate} determines whether the string output from [string(field('Microsoft.Logic/workflows/parameters'))], contains the string, {connector-name}.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.For more information, see Policy definition structure - Policy rule.

    value [string(field('Microsoft.Logic/workflows/parameters'))] Wert für den Vergleich mit der BedingungThe value to compare against the condition

    In diesem Szenario ist value die Zeichenfolgenausgabe von [string(field('Microsoft.Logic/workflows/parameters'))], mit der das Objekt $connectors im Objekt Microsoft.Logic/workflows/parameters in eine Zeichenfolge konvertiert wird.In this scenario, the value is the string output from [string(field('Microsoft.Logic/workflows/parameters'))], which converts the $connectors object inside the Microsoft.Logic/workflows/parameters object to a string.

    contains {connector-name} Logischer Operator und Wert für den Vergleich mit der Eigenschaft valueThe logical operator and value to use for comparing with the value property

    In diesem Szenario wird mit dem Operator contains sichergestellt, dass die Regel unabhängig davon funktioniert, wo {connector-name} erscheint. Hierbei ist die Zeichenfolge {connector-name} die ID für den Connector, den Sie einschränken oder blockieren möchten.In this scenario, the contains operator makes sure that the rule works regardless where {connector-name} appears, where the string, {connector-name}, is the ID for the connector that you want to restrict or block.

    Angenommen, Sie möchten die Verwendung von Verbindungen mit Social Media-Plattformen oder -Datenbanken blockieren:For example, suppose that you want to block using connections to social media platforms or databases:

    - Twitter: twitter- Twitter: twitter
    - Instagram: instagram- Instagram: instagram
    - Facebook: facebook- Facebook: facebook
    - Pinterest: pinterest- Pinterest: pinterest
    - SQL Server oder Azure SQL: sql- SQL Server or Azure SQL: sql

    Informationen zum Ermitteln dieser Connector-IDs finden Sie weiter oben in diesem Thema unter Ermitteln der Verweis-ID für den Connector.To find these connector IDs, see Find connector reference ID earlier in this topic.

    then {effect-to-apply} Auswirkung, die bei Erfüllung der if-Bedingung erfolgen sollThe effect to apply when the if condition is met

    In diesem Szenario umfasst {effect-to-apply} das Blockieren und Ablehnen einer Anforderung oder eines Vorgangs, die bzw. der die Bedingungen der Richtlinie nicht erfüllt.In this scenario, the {effect-to-apply} is to block and fail a request or operation the doesn't comply with the policy.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.For more information, see Policy definition structure - Policy rule.

    effect deny effect dient zum Ablehnen (deny) oder Blockieren der Anforderung zum Speichern einer Logik-App, von der die angegebene Verbindung genutzt wirdThe effect is to deny or block the request to save a logic app that uses the specified connection

    Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen: Verweigern.For more information, see Understand Azure Policy effects - Deny.

    Angenommen, Sie möchten das Speichern von Logik-Apps blockieren, für die Instagram-Verbindungen verwendet werden.For example, suppose that you want to block saving logic apps that use Instagram connections. Hier ist die Richtliniendefinition angegeben, die Sie verwenden können:Here is the policy definition that you can use:

    {
       "mode": "All",
       "policyRule": {
          "if": {
             "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
             "contains": "instagram"
          },
          "then": {
             "effect": "deny"
          }
       },
       "parameters": {}
     }
    

    Hier ist dargestellt, wie das Feld RICHTLINIENREGEL angezeigt wird:Here is the way that the POLICY RULE box appears:

    Regel für Richtliniendefinition

  5. Klicken Sie auf Speichern, wenn Sie fertig sind.When you're done, select Save. Nachdem Sie die Richtliniendefinition gespeichert haben, werden von Azure Policy weitere Eigenschaftswerte generiert und der Richtliniendefinition hinzugefügt.After you save the policy definition, Azure Policy generates and adds more property values to the policy definition.

  6. Erstellen Sie als Nächstes eine Richtlinienzuweisung, um die Richtliniendefinition dem Ort zuzuweisen, an dem Sie sie erzwingen möchten.Next, to assign the policy definition where you want enforce the policy, create a policy assignment.

Weitere Informationen zu Azure-Richtliniendefinitionen finden Sie in den folgenden Themen:For more information about Azure policy definitions, see these topics:

Erstellen einer RichtlinienzuweisungCreate policy assignment

Als Nächstes müssen Sie die Richtliniendefinition dem Element zuweisen, für das Sie die Richtlinie erzwingen möchten, z. B. einer oder mehreren Ressourcengruppen, einem Azure AD-Mandanten (Azure Active Directory) oder einem Azure-Abonnement.Next, you need to assign the policy definition where you want to enforce the policy, for example, to a single resource group, multiple resource groups, Azure Active Directory (Azure AD) tenant, or Azure subscription. Führen Sie die folgenden Schritte aus, um eine Richtlinienzuweisung zu erstellen:For this task, follow these steps to create a policy assignment:

  1. Melden Sie sich wieder beim Azure-Portal an, falls Sie sich abgemeldet haben.If you signed out, sign back in to the Azure portal. Geben Sie im Suchfeld des Portals policy (bzw. „Richtlinie“) ein, und wählen Sie die Option Richtlinie aus.In the portal search box, enter policy, and select Policy.

    Suchen und Auswählen von „Richtlinie“ im Azure-Portal

  2. Wählen Sie im Menü Richtlinie unter Erstellen die Option Zuweisungen > Richtlinie zuweisen aus.On the Policy menu, under Authoring, select Assignments > Assign policy.

    Auswählen von „Zuweisungen“ > „Zuweisen“

  3. Geben Sie unter Grundlagen die folgenden Informationen für die Richtlinienzuweisung an:Under Basics, provide this information for the policy assignment:

    EigenschaftProperty ErforderlichRequired BESCHREIBUNGDescription
    UmfangScope JaYes Die Ressourcen, für die Sie die Richtlinienzuweisung erzwingen möchten.The resources where you want to enforce the policy assignment.

    1. Wählen Sie neben dem Feld Bereich die Schaltfläche mit den Auslassungszeichen ( ... ) aus.1. Next to the Scope box, select the ellipses (...) button.
    2. Wählen Sie in der Liste Abonnement das Azure-Abonnement aus.2. From the Subscription list, select the Azure subscription.
    3. Wählen Sie optional in der Liste Ressourcengruppe die Ressourcengruppe aus.3. Optionally, from the Resource Group list, select the resource group.
    4. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.4. When you're done, select Select.

    AusschlüsseExclusions NeinNo Alle Azure-Ressourcen, die aus der Richtlinienzuweisung ausgeschlossen werden sollen.Any Azure resources to exclude from the policy assignment.

    1. Wählen Sie neben dem Feld Ausschlüsse die Schaltfläche mit den Auslassungszeichen ( ... ) aus.1. Next to the Exclusions box, select the ellipses (...) button.
    2. Wählen Sie in der Liste Ressource die Ressource und dann die Option Zu ausgewähltem Bereich hinzufügen aus.2. From the Resource list, select the resource > Add to Selected Scope.
    3. Klicken Sie auf Speichern, wenn Sie fertig sind.3. When you're done, select Save.

    RichtliniendefinitionPolicy definition JaYes Der Name für die Richtliniendefinition, die Sie zuweisen und erzwingen möchten.The name for the policy definition that you want to assign and enforce. In diesem Beispiel wird weiterhin die Beispielrichtlinie zum „Blockieren von Instagram-Verbindungen“ verwendet.This example continues with the example Instagram policy, "Block Instagram connections".

    1. Wählen Sie neben dem Feld Richtliniendefinition die Schaltfläche mit den Auslassungszeichen ( ... ) aus.1. Next to the Policy definition box, select the ellipses (...) button.
    2. Suchen Sie nach der Richtliniendefinition, und wählen Sie sie aus, indem Sie den Filter Typ oder das Feld Suche verwenden.2. Find and select the policy definition by using the Type filter or Search box.
    3. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.3. When you're done, select Select.

    ZuweisungsnameAssignment name JaYes Der Name für die Richtlinienzuweisung, wenn er sich vom Namen der Richtliniendefinition unterscheidet.The name to use for the policy assignment, if different from the policy definition
    Zuweisungs-IDAssignment ID JaYes Die automatisch generierte ID für die Richtlinienzuweisung.The automatically generated ID for the policy assignment
    BeschreibungDescription NeinNo Eine Beschreibung für die Richtlinienzuweisung.A description for the policy assignment
    RichtlinienerzwingungPolicy enforcement JaYes Die Einstellung, mit der die Richtlinienzuweisung aktiviert oder deaktiviert wird.The setting that enables or disables the policy assignment
    Zugewiesen vonAssigned by NeinNo Der Name der Person, die die Richtlinienzuweisung erstellt und angewendet hat.The name for the person who created and applied the policy assignment

    Gehen Sie beispielsweise wie folgt vor, um die Richtlinie basierend auf dem Instagram-Beispiel einer Azure-Ressourcengruppe zuzuweisen:For example, to assign the policy to an Azure resource group by using the Instagram example:

    Eigenschaften für Richtlinienzuweisung

  4. Wählen Sie abschließend Überprüfen + erstellen aus.When you're done, select Review + create.

    Nachdem Sie eine Richtlinie erstellt haben, müssen Sie ggf. bis zu 15 Minuten warten, bis sie wirksam wird.After you create a policy, you might have to wait up to 15 minutes before the policy takes effect. Bei Änderungen kann es zu ähnlichen Verzögerungen kommen.Changes might also have similar delayed effects.

  5. Wenn die Richtlinie wirksam ist, können Sie die Richtlinie testen.After the policy takes effect, you can test your policy.

Weitere Informationen finden Sie unter Quickstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen.For more information, see Quickstart: Create a policy assignment to identify non-compliant resources.

Testen der RichtlinieTest the policy

Beginnen Sie zum Testen Ihrer Richtlinie mit der Erstellung einer Verbindung, indem Sie den nun eingeschränkten Connector im Logik-App-Designer verwenden.To try your policy, start creating a connection by using the now restricted connector in the Logic App Designer. Wenn Sie weiter das Instagram-Beispiel verwenden und sich bei Instagram anmelden, erhalten Sie einen Fehler der folgenden Art mit einem Hinweis, dass die Verbindung von Ihrer Logik-App nicht erstellt werden konnte:Continuing with the Instagram example, when you sign in to Instagram, you get this error that your logic app failed to create the connection:

Verbindungsfehler aufgrund der angewendeten Richtlinie

Die Meldung enthält die folgenden Informationen:The message includes this information:

BESCHREIBUNGDescription InhaltContent
Grund für den FehlerReason for the failure "Resource 'instagram' was disallowed by policy."
ZuweisungsnameAssignment name "Block Instagram connections"
Zuweisungs-IDAssignment ID "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
Richtliniendefinitions-IDPolicy definition ID "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/b5ddcfec-1b24-4cac-a353-360846a59f24"

Nächste SchritteNext steps