Démarrage rapide : Créer une affectation de stratégie pour identifier les ressources non conformesQuickstart: Create a policy assignment to identify non-compliant resources

La première étape pour comprendre la conformité dans Azure consiste à identifier l’état de vos ressources.The first step in understanding compliance in Azure is to identify the status of your resources. Ce démarrage rapide vous guide pas à pas dans le processus de création d’une attribution de stratégie pour identifier les machines virtuelles qui n’utilisent pas de disques managés.This quickstart steps you through the process of creating a policy assignment to identify virtual machines that aren't using managed disks.

À la fin de ce processus, vous aurez identifié correctement les machines virtuelles qui n’utilisent pas de disques managés.At the end of this process, you'll successfully identify virtual machines that aren't using managed disks. Elles sont non conformes à l’attribution de stratégie.They're non-compliant with the policy assignment.

PrérequisPrerequisites

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.If you don't have an Azure subscription, create a free account before you begin.

Créer une affectation de stratégieCreate a policy assignment

Dans ce guide de démarrage rapide, vous créez une attribution de stratégie et affectez la définition de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés.In this quickstart, you create a policy assignment and assign the Audit VMs that do not use managed disks policy definition.

  1. Lancez le service Azure Policy dans le portail Azure en cliquant sur Tous les services, puis en recherchant et en cliquant sur Stratégie.Launch the Azure Policy service in the Azure portal by clicking All services, then searching for and selecting Policy.

    Rechercher Stratégie dans Tous les services

  2. Sélectionnez Affectations du côté gauche de la page Azure Policy.Select Assignments on the left side of the Azure Policy page. Une affectation est une stratégie qui a été affectée pour être appliquée dans une étendue spécifique.An assignment is a policy that has been assigned to take place within a specific scope.

    Page de sélection des affectations à partir de la page de vue d’ensemble de la stratégie

  3. Sélectionnez Assigner une stratégie en haut de la pageStratégie - Affectations.Select Assign Policy from the top of the Policy - Assignments page.

    Affecter une définition de stratégie à partir de la page Affectations

  4. Dans la page Assigner une stratégie, sélectionnez l’étendue en cliquant sur les points de suspension et en sélectionnant un groupe d’administration ou un abonnement.On the Assign Policy page, select the Scope by clicking the ellipsis and selecting either a management group or subscription. Sélectionnez éventuellement un groupe de ressources.Optionally, select a resource group. Une étendue détermine les ressources ou le regroupement de ressources sur lequel la stratégie est appliquée.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Cliquez ensuite sur Sélectionner dans le bas de la page Étendue.Then click Select at the bottom of the Scope page.

    Cet exemple utilise l’abonnement Contoso.This example uses the Contoso subscription. Votre abonnement sera différent.Your subscription will differ.

  5. Vous pouvez exclure des ressources en fonction de l’étendue.Resources can be excluded based on the Scope. Les exclusions commencent à un niveau inférieur à celui de l’étendue.Exclusions start at one level lower than the level of the Scope. Les exclusions étant facultatives, laissez ce champ vide pour l’instant.Exclusions are optional, so leave it blank for now.

  6. Sélectionnez les points de suspension de Définition de stratégie pour ouvrir la liste des définitions disponibles.Select the Policy definition ellipsis to open the list of available definitions. Azure Policy est fourni avec des définitions de stratégie intégrées que vous pouvez utiliser.Azure Policy comes with built-in policy definitions you can use. De nombreuses définitions de stratégie sont disponibles, par exemple :Many are available, such as:

    • Enforce tag and its valueEnforce tag and its value
    • Apply tag and its valueApply tag and its value
    • Nécessitent SQL Server version 12.0Require SQL Server version 12.0

    Pour obtenir une liste partielle des stratégies intégrées disponibles, consultez Exemples Azure Policy.For a partial list of available built-in policies, see Azure Policy samples.

  7. Recherchez la définition Auditer les machines virtuelles qui n’utilisent pas de disques managés dans la liste des définitions de stratégie.Search through the policy definitions list to find the Audit VMs that do not use managed disks definition. Cliquez sur cette stratégie, puis sur Sélectionner.Click on that policy and click Select.

    Rechercher la définition de stratégie appropriée

  8. Le Nom de l’attribution est automatiquement rempli avec le nom de stratégie que vous avez sélectionné, mais vous pouvez le modifier.The Assignment name is automatically populated with the policy name you selected, but you can change it. Pour cet exemple, conservez Auditer les machines virtuelles qui n’utilisent pas de disques managés.For this example, leave Audit VMs that do not use managed disks. Vous pouvez également ajouter une Description (facultatif).You can also add an optional Description. La description fournit des détails sur cette affectation de stratégie.The description provides details about this policy assignment. Le champ Affectée par est automatiquement renseigné en fonction de l’utilisateur connecté.Assigned by will automatically fill based on who is logged in. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.This field is optional, so custom values can be entered.

  9. Laissez la case Créer une identité managée non cochée.Leave Create a Managed Identity unchecked. Vous devez la cocher si la stratégie ou l’initiative inclut une stratégie avec l’effet deployIfNotExists.This box must be checked when the policy or initiative includes a policy with the deployIfNotExists effect. La stratégie utilisée dans ce guide de démarrage rapide n'étant pas concernée, ne cochez pas la case.As the policy used for this quickstart doesn't, leave it blank. Pour plus d’informations, consultez Identités managées et Fonctionnement de la sécurité par correction.For more information, see managed identities and how remediation security works.

  10. Cliquez sur Affecter.Click Assign.

Vous êtes maintenant prêt à identifier les ressources non conformes pour comprendre l’état de conformité de votre environnement.You're now ready to identify non-compliant resources to understand the compliance state of your environment.

Identifier les ressources non conformesIdentify non-compliant resources

Sélectionnez Conformité dans la partie gauche de la page.Select Compliance in the left side of the page. Recherchez ensuite l’affectation de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés que vous avez créée.Then locate the Audit VMs that do not use managed disks policy assignment you created.

Détails de la conformité dans la page Conformité à la stratégie

Si des ressources existantes ne sont pas conformes à cette nouvelle affectation, elles apparaissent sous Ressources non conformes.If there are any existing resources that aren't compliant with this new assignment, they appear under Non-compliant resources.

Si une condition est évaluée par rapport à vos ressources existantes et génère la valeur true, ces ressources sont marquées comme non conformes à la stratégie.When a condition is evaluated against your existing resources and found true, then those resources are marked as non-compliant with the policy. Le tableau suivant montre comment les différents effets des stratégies fonctionnent avec l’évaluation des conditions pour l’état de conformité résultant.The following table shows how different policy effects work with the condition evaluation for the resulting compliance state. Même si vous ne voyez pas la logique d’évaluation dans le portail Azure, les résultats de l’état de conformité sont affichés.Although you don't see the evaluation logic in the Azure portal, the compliance state results are shown. Le résultat d’état de conformité est soit conforme, soit non conforme.The compliance state result is either compliant or non-compliant.

État de la ressourceResource State EffetEffect Évaluation de la stratégiePolicy Evaluation État de conformitéCompliance State
ExistsExists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist*Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* TrueTrue Non conformeNon-Compliant
ExistsExists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist*Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* FalseFalse ConformeCompliant
NouveauNew Audit, AuditIfNotExist*Audit, AuditIfNotExist* TrueTrue Non conformeNon-Compliant
NouveauNew Audit, AuditIfNotExist*Audit, AuditIfNotExist* FalseFalse ConformeCompliant

* Les effets Append, DeployIfNotExist et AuditIfNotExist nécessitent que l’instruction IF ait la valeur TRUE.* The Append, DeployIfNotExist, and AuditIfNotExist effects require the IF statement to be TRUE. Les effets nécessitent également que la condition d’existence ait la valeur FALSE pour être non conformes.The effects also require the existence condition to be FALSE to be non-compliant. Lorsque la valeur est TRUE, la condition IF déclenche l’évaluation de la condition d’existence pour les ressources associées.When TRUE, the IF condition triggers evaluation of the existence condition for the related resources.

Supprimer des ressourcesClean up resources

Pour supprimer l’affectation créée, procédez comme suit :To remove the assignment created, follow these steps:

  1. Sélectionnez Conformité (ou Affectations) dans la partie gauche de la page Azure Policy et recherchez l’affectation de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés que vous avez créée.Select Compliance (or Assignments) in the left side of the Azure Policy page and locate the Audit VMs that do not use managed disks policy assignment you created.

  2. Cliquez avec le bouton droit sur l’affectation de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés et sélectionnez Supprimer l’attribution.Right-click the Audit VMs that do not use managed disks policy assignment and select Delete assignment.

    Supprimer une affectation dans la page Conformité

Étapes suivantesNext steps

Dans ce guide de démarrage rapide, vous avez affecté une définition de stratégie à une étendue et vous avez évalué son rapport de conformité.In this quickstart, you assigned a policy definition to a scope and evaluated its compliance report. La définition de stratégie permet de vérifier que toutes les ressources dans l’étendue sont conformes, ainsi que d’identifier celles qui ne le sont pas.The policy definition validates that all the resources in the scope are compliant and identifies which ones aren't.

Pour en savoir plus sur l’affectation de stratégies visant à vérifier que les nouvelles ressources sont conformes, suivez le tutoriel :To learn more about assigning policies to validate that new resources are compliant, continue to the tutorial for: