Démarrage rapide : créer une attribution de stratégie pour identifier les ressources non conformes à l’aide du portail Azure

  • Article

La première étape pour comprendre la conformité dans Azure consiste à identifier l’état de vos ressources. Dans ce guide de démarrage rapide, vous créez une attribution de stratégie pour identifier les ressources non conformes à l’aide du portail Azure. La stratégie est attribuée à un groupe de ressources et audite des machines virtuelles qui n’utilisent aucun disque managé. Après avoir créé l’attribution de stratégie, vous identifiez les machines virtuelles non conformes.

Prérequis

  • Si vous ne disposez pas d’un compte Azure, créez-en un gratuitement avant de commencer.
  • Un groupe de ressources avec au moins une machine virtuelle qui n’utilise aucun disque managé.

Créer une affectation de stratégie

Dans ce guide de démarrage rapide, vous créez une attribution de stratégie avec la définition de stratégie intégrée Auditer les machines virtuelles qui n’utilisent pas de disques managés.

  1. Connectez-vous au portail Azure.

  2. Recherchez policy et sélectionnez le service Policy dans la liste.

    Screenshot of the Azure portal to search for policy.

  3. Sélectionnez Attributions dans le volet Policy.

    Screenshot of the Assignments pane that highlights the option to Assign policy.

  4. Sélectionnez Attribuer une stratégie dans le volet Attributions de stratégie.

  5. Dans le volet Attribuer une stratégie, sous l’onglet Informations de base, configurez les options suivantes :

    Champ Action
    Portée Utilisez les points de suspension (...), puis sélectionnez un abonnement et un groupe de ressources. Choisissez ensuite Sélectionner pour appliquer l’étendue.
    Exclusions Ce champ est facultatif et n’est pas utilisé dans cet exemple.
    Définition de stratégie Sélectionnez les points de suspension pour ouvrir la liste des définitions disponibles.
    Définitions disponibles Recherchez la définition Auditer les machines virtuelles qui n’utilisent pas de disques managés dans la liste des définitions de stratégie, sélectionnez la stratégie, puis sélectionnez Ajouter.
    Nom de l’attribution Le nom de la stratégie sélectionnée est utilisé par défaut. Vous pouvez le modifier, mais utilisez le nom par défaut pour cet exemple.
    Description Ce champ facultatif permet de fournir des détails sur cette attribution de stratégie.
    Application de la stratégie La valeur par défaut est Activée. Pour plus d’informations, consultez le mode de mise en conformité.
    Attribuée par La valeur par défaut est la personne connectée à Azure. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.

    Screenshot of filtering the available definitions.

  6. Sélectionnez Suivant pour afficher chaque onglet : Avancé, Paramètres et Correction. Cet exemple ne nécessite aucune modification.

    Nom de l’onglet Options
    Avancé Inclut des options pour les sélecteurs de ressources et les remplacements.
    Paramètres Si la définition de stratégie sélectionnée sous l’onglet Informations de base comprend des paramètres, vous pouvez les configurer sous l’onglet Paramètres. Cet exemple n’utilise aucun paramètre.
    Correction Vous pouvez créer une identité managée. Pour cet exemple, l’option Créer une identité managée n’est pas cochée.

    Vous devez cocher cette case quand une stratégie ou une initiative inclut une stratégie avec l’effet deployIfNotExists ou modify. Pour plus d’informations, accédez à Identités managées et à Fonctionnement du contrôle d’accès de correction.

  7. Sélectionnez Suivant et, sous l’onglet Messages de non-conformité, créez un Message de non-conformité tel que Les machines virtuelles doivent utiliser des disques managés.

    Ce message personnalisé s’affiche quand une ressource est refusée ou pour les ressources non conformes durant une évaluation régulière.

  8. Sélectionnez Suivant et, sous l’onglet Vérifier + créer, passez en revue les détails de l’attribution de stratégie.

  9. Sélectionnez Créer pour créer l’attribution de stratégie.

Identifier des ressources non conformes

Dans le volet Policy, sélectionnez Conformité et recherchez l’attribution de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés. L’état de conformité d’une nouvelle affectation de stratégie prend quelques minutes pour devenir actif et fournir des résultats sur l’état de la stratégie.

Screenshot of the Policy Compliance that highlights the example's non-compliant policy assignment.

L’attribution de stratégie affiche les ressources qui ne sont pas conformes, c’est-à-dire dont l’État de conformité est Non conforme. Pour obtenir plus de détails, sélectionnez le nom de l’attribution de stratégie pour afficher la Conformité des ressources.

Si une condition est évaluée par rapport à vos ressources existantes et génère la valeur true, ces ressources sont marquées comme non conformes à la stratégie. Le tableau suivant montre comment les différents effets des stratégies fonctionnent avec l’évaluation des conditions pour l’état de conformité résultant. Même si vous ne voyez pas la logique d’évaluation dans le portail Azure, les résultats de l’état de conformité sont affichés. Le résultat d’état de conformité est soit conforme, soit non conforme.

État de la ressource Résultat Évaluation de a stratégie État de conformité
Nouveauté ou mise à jour Audit, Modify, AuditIfNotExist True Non conforme
Nouveauté ou mise à jour Audit, Modify, AuditIfNotExist False Conforme
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True Non conforme
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist False Conforme

Les effets DeployIfNotExist et AuditIfNotExist nécessitent que l’instruction IF soit TRUE et que la condition d’existence soit FALSE pour que l’état soit non conforme. Si la valeur est TRUE, la condition IF déclenche l’évaluation de la condition d’existence pour les ressources associées.

Nettoyer les ressources

Vous pouvez supprimer une attribution de stratégie dans Conformité ou Attributions.

Pour supprimer l’attribution de stratégie créée dans cet article, effectuez les étapes suivantes :

  1. Dans le volet Policy, sélectionnez Conformité et recherchez l’attribution de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés.

  2. Sélectionnez les points de suspension de l’attribution de stratégie, puis sélectionnez Supprimer l’attribution.

    Screenshot of the Compliance pane that highlights the menu to delete a policy assignment.

Étapes suivantes

Dans ce démarrage rapide, vous avez affecté une définition de stratégie pour identifier les ressources non conformes de votre environnement Azure.

Pour en savoir plus sur l’affectation de stratégies qui valident la conformité des ressources, passez au didacticiel.

Tutoriel : Créer et gérer des stratégies pour assurer la conformité