Présentation d’Azure PolicyWhat is Azure Policy?

Azure Policy aide à appliquer les normes organisationnelles et à évaluer la conformité à l’échelle.Azure Policy helps to enforce organizational standards and to assess compliance at-scale. Grâce à son tableau de bord de conformité, il fournit une vue agrégée permettant d’évaluer l’état général de l’environnement, avec la possibilité d’explorer au niveau de chaque ressource et stratégie.Through its compliance dashboard, it provides an aggregated view to evaluate the overall state of the environment, with the ability to drill-down to the per-resource, per-policy granularity. Il vous aide également à mettre vos ressources en conformité par le biais de la correction en bloc pour les ressources existantes et de la correction automatique pour les nouvelles ressources.It also helps to bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources.

Les cas d’usage courants pour Azure Policy incluent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion.Common use cases for Azure Policy include implementing governance for resource consistency, regulatory compliance, security, cost, and management. Les définitions de stratégie pour ces cas d’usage courants sont déjà disponibles dans votre environnement Azure comme éléments intégrés pour vous aider à démarrer.Policy definitions for these common use cases are already available in your Azure environment as built-ins to help you get started.

Vue d’ensembleOverview

Azure Policy évalue les ressources dans Azure en comparant les propriétés de ces ressources aux règles d’entreprise.Azure Policy evaluates resources in Azure by comparing the properties of those resources to business rules. Ces règles d’entreprise, décrites au format JSON, sont appelées définitions de stratégie.These business rules, described in JSON format, are known as policy definitions. Pour simplifier la gestion, plusieurs règles d’entreprise peuvent être regroupées pour former une initiative de stratégie (parfois appelée policySet).To simplify management, several business rules can be grouped together to form a policy initiative (sometimes called a policySet). Une fois que vos règles d’entreprise ont été formées, l’initiative ou la définition de stratégie est affectée à n’importe quelle étendue de ressources prise en charge par Azure, comme des groupes d’administration, des abonnements, des groupes de ressources ou des ressources individuelles.Once your business rules have been formed, the policy definition or initiative is assigned to any scope of resources that Azure supports, such as management groups, subscriptions, resource groups, or individual resources. L’affectation s’applique à toutes les ressources au sein de l’étendue Resource Manager de cette affectation.The assignment applies to all resources within the Resource Manager scope of that assignment. Des sous-étendues peuvent être exclues, si nécessaire.Subscopes can be excluded, if necessary. Pour plus d’informations, consultez Étendue d’Azure Policy.For more information, see Scope in Azure Policy.

Azure Policy utilise un format JSON afin de former la logique utilisée par l’évaluation pour déterminer si une ressource est conforme ou non.Azure Policy uses a JSON format to form the logic the evaluation uses to determine if a resource is compliant or not. Les définitions incluent des métadonnées et la règle de stratégie.Definitions include metadata and the policy rule. La règle définie peut utiliser des fonctions, des paramètres, des opérateurs logiques, des conditions et des alias de propriété afin d’établir une correspondance exacte au scénario de votre choix.The defined rule can use functions, parameters, logical operators, conditions, and property aliases to match exactly the scenario you want. La règle de stratégie détermine quelles ressources de l’étendue de l’affectation sont évaluées.The policy rule determines which resources in the scope of the assignment get evaluated.

Comprendre les résultats de l’évaluationUnderstand evaluation outcomes

Les ressources sont évaluées à des moments spécifiques pendant le cycle de vie des ressources, le cycle de vie d’affectation de stratégie, et en vue d’une évaluation régulière et continue de la conformité.Resources are evaluated at specific times during the resource lifecycle, the policy assignment lifecycle, and for regular ongoing compliance evaluation. Voici les moments ou les événements qui provoquent l’évaluation d’une ressource :The following are the times or events that cause a resource to be evaluated:

  • Création, mise à jour ou suppression d’une ressource dans une étendue avec une affectation de stratégieA resource is created, updated, or deleted in a scope with a policy assignment.
  • Affectation d’une nouvelle stratégie ou initiative à une étendue.A policy or initiative is newly assigned to a scope.
  • Mise à jour d’une stratégie ou initiative déjà assignée à une étendue.A policy or initiative already assigned to a scope is updated.
  • Lors du cycle d’évaluation de la conformité standard, qui se produit une fois toutes les 24 heures.During the standard compliance evaluation cycle, which occurs once every 24 hours.

Pour plus d’informations sur le moment et la façon dont l’évaluation de la stratégie se produit, consultez Déclencheurs d’évaluation.For detailed information about when and how policy evaluation happens, see Evaluation triggers.

Contrôler la réponse à une évaluationControl the response to an evaluation

Les règles d’entreprise pour la gestion des ressources non conformes varient considérablement d’une organisation à l’autre.Business rules for handling non-compliant resources vary widely between organizations. Voici des exemples de la façon dont une organisation peut souhaiter que la plateforme réponde à une ressource non conforme :Examples of how an organization wants the platform to respond to a non-complaint resource include:

  • Refus de la modification de la ressourceDeny the resource change
  • Enregistrement de la modification apportée à la ressourceLog the change to the resource
  • Changement de la ressource avant la modificationAlter the resource before the change
  • Changement de la ressource après la modificationAlter the resource after the change
  • Déploiement de ressources conformes associéesDeploy related compliant resources

Azure Policy rend possible chacune de ces réponses métier par le biais de l’application d’effets.Azure Policy makes each of these business responses possible through the application of effects. Les effets sont définis dans la partie règle de stratégie de la définition de stratégie.Effects are set in the policy rule portion of the policy definition.

Remédier aux ressources non conformesRemediate non-compliant resources

Bien que ces effets affectent principalement une ressource lors de sa création ou de sa mise à jour, Azure Policy prend également en charge la gestion des ressources non conformes existantes sans avoir à modifier ces ressources.While these effects primarily affect a resource when the resource is created or updated, Azure Policy also supports dealing with existing non-compliant resources without needing to alter that resource. Pour plus d’informations sur la façon de rendre les ressources existantes conformes, consultez Corriger les ressources non conformes avec Azure Policy.For more information about making existing resources compliant, see remediating resources.

Présentation vidéoVideo overview

La présentation suivante d’Azure Policy est à partir de la Build 2018.The following overview of Azure Policy is from Build 2018. Pour le téléchargement des diapositives ou de la vidéo, accédez à Govern your Azure environment through Azure Policy (Gouvernance de votre environnement Azure à l’aide d’Azure Policy) sur Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Prise en mainGetting started

Azure Policy et Azure RBACAzure Policy and Azure RBAC

Il existe quelques différences importantes entre Azure Policy et le contrôle d’accès en fonction du rôle Azure (Azure RBAC).There are a few key differences between Azure Policy and Azure role-based access control (Azure RBAC). Azure Policy évalue l’état en examinant les propriétés des ressources qui sont représentées dans Resource Manager et les propriétés de certains fournisseurs de ressources.Azure Policy evaluates state by examining properties on resources that are represented in Resource Manager and properties of some Resource Providers. Azure Policy ne limite pas les actions (également appelées opérations).Azure Policy doesn't restrict actions (also called operations). Azure Policy garantit que l’état des ressources est conforme à vos règles d’entreprise sans se préoccuper de qui a apporté la modification ou qui a l’autorisation d’apporter une modification.Azure Policy ensures that resource state is compliant to your business rules without concern for who made the change or who has permission to make a change.

Azure RBAC est axé sur la gestion des actions des utilisateurs dans différentes étendues.Azure RBAC focuses on managing user actions at different scopes. Si le contrôle d’une action est nécessaire, Azure RBAC est l’outil qu’il convient d’utiliser.If control of an action is required, then Azure RBAC is the correct tool to use. Même si une personne est autorisée à exécuter une action, si le résultat est une ressource non conforme, Azure Policy bloque toujours la création ou la mise à jour.Even if an individual has access to perform an action, if the result is a non-compliant resource, Azure Policy still blocks the create or update.

La combinaison d’Azure RBAC et d’Azure Policy fournit un contrôle d’étendue complète dans Azure.The combination of Azure RBAC and Azure Policy provide full scope control in Azure.

Autorisations Azure RBAC dans Azure PolicyAzure RBAC permissions in Azure Policy

Azure Policy dispose d’autorisations, aussi appelées opérations, dans deux fournisseurs de ressources :Azure Policy has several permissions, known as operations, in two Resource Providers:

Plusieurs rôles intégrés accordent des autorisations aux ressources Azure Policy.Many Built-in roles grant permission to Azure Policy resources. Le rôle Contributeur de stratégie de ressource inclut la plupart des opérations d’Azure Policy.The Resource Policy Contributor role includes most Azure Policy operations. Quant au rôle Propriétaire, il dispose de tous les droits.Owner has full rights. Les rôles Contributeur et Lecteur ont accès à toutes les opérations de lecture Azure Policy.Both Contributor and Reader have access to all read Azure Policy operations. Un Contributeur peut déclencher la correction d’une ressource, mais ne peut pas créer des définitions ou des affectations.Contributor may trigger resource remediation, but can't create definitions or assignments.

Si aucun des rôles intégrés ne dispose d’autorisations, créez un rôle personnalisé.If none of the Built-in roles have the permissions required, create a custom role.

Notes

L’identité managée d’une affectation de stratégie deployIfNotExists a besoin d’autorisations suffisantes pour créer ou mettre à jour les ressources incluses dans le modèle.The managed identity of a deployIfNotExists policy assignment needs enough permissions to create or update resources included in the template. Pour plus d’informations, consultez Configurer une définition de stratégie pour la correction.For more information, see Configure policy definitions for remediation.

Ressources couvertes par Azure PolicyResources covered by Azure Policy

Azure Policy évalue toutes les ressources dans Azure.Azure Policy evaluates all resources in Azure. Pour certains fournisseurs de ressources tels que Guest Configuration, Azure Kubernetes Service et Azure Key Vault, il existe une intégration plus poussée pour la gestion des paramètres et des objets.For certain resource providers such as Guest Configuration, Azure Kubernetes Service, and Azure Key Vault, there's a deeper integration for managing settings and objects. Pour en savoir plus, consultez Modes Fournisseur de ressources.To find out more, see Resource Provider modes.

Recommandations pour la gestion des stratégiesRecommendations for managing policies

Voici quelques conseils et astuces à garder à l’esprit :Here are a few pointers and tips to keep in mind:

  • Commencez avec un effet d’audit plutôt qu’un effet de refus pour suivre l’impact de la définition de votre stratégie sur votre environnement.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Si vous avez déjà des scripts en place pour mettre automatiquement à l’échelle vos applications, la définition d’un effet de refus peut entraver ces tâches d’automatisation déjà en place.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • Tenez compte des hiérarchies de l’organisation lors de la création de définitions et d’affectations.Consider organizational hierarchies when creating definitions and assignments. Nous vous recommandons de créer des définitions à des niveaux supérieurs, comme au niveau de l’abonnement ou du groupe d’administration.We recommend creating definitions at higher levels such as the management group or subscription level. Ensuite, créez l’affectation au niveau enfant suivant.Then, create the assignment at the next child level. Si vous créez une définition au niveau d’un groupe d’administration, l’affectation peut être limitée à un abonnement ou groupe de ressources au sein de ce groupe d’administration.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Nous vous recommandons de créer et d’affecter des définitions d’initiative même pour une définition de stratégie unique.We recommend creating and assigning initiative definitions even for a single policy definition. Par exemple, vous avez la définition de stratégie policyDefA et la créez sous la définition d’initiative initiativeDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Si vous créez une autre définition de stratégie ultérieurement pour policyDefB avec des objectifs similaires à policyDefA, vous pouvez l’ajouter sous initiativeDefC et les suivre ensemble.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • Une fois que vous avez créé une affectation d’initiative, les définitions de stratégie ajoutées à l’initiative font également partie des affectations d’initiatives.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiatives assignments.

  • Lors de l’évaluation d’une affectation d’initiative, toutes les stratégies dans l’initiative sont également évaluées.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Si vous devez évaluer une stratégie individuellement, il est préférable de ne pas l’inclure dans une initiative.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Objets Azure PolicyAzure Policy objects

Définition de stratégiePolicy definition

Pour créer et implémenter une stratégie dans Azure Policy, il faut commencer par créer une définition de stratégie.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Chaque définition de stratégie présente des conditions dans lesquelles elle est appliquée.Every policy definition has conditions under which it's enforced. Si les conditions sont remplies, un effet défini se produit.And, it has a defined effect that takes place if the conditions are met.

Dans Azure Policy, nous proposons plusieurs stratégies intégrées qui sont disponibles par défaut.In Azure Policy, we offer several built-in policies that are available by default. Par exemple :For example:

  • Références SKU de compte de stockage autorisées (Refuser) : Détermine si un compte de stockage en cours de déploiement se trouve dans un ensemble de tailles de référence SKU.Allowed Storage Account SKUs (Deny): Determines if a storage account being deployed is within a set of SKU sizes. Son effet consiste à refuser tous les comptes de stockage dont la taille ne fait pas partie de l’ensemble de tailles de référence SKU définies.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Type de ressource autorisé (Refuser) : Définit les types de ressources que vous pouvez déployer.Allowed Resource Type (Deny): Defines the resource types that you can deploy. Son effet consiste à refuser toutes les ressources qui ne font pas partie de cette liste définie.Its effect is to deny all resources that aren't part of this defined list.
  • Emplacements autorisés (Refuser) : Restreint les emplacements disponibles pour les nouvelles ressources.Allowed Locations (Deny): Restricts the available locations for new resources. Son effet permet d’appliquer vos exigences de conformité géographique.Its effect is used to enforce your geo-compliance requirements.
  • Références SKU de machine virtuelle autorisées (Refuser) : Spécifie un ensemble de références SKU de machine virtuelle que vous pouvez déployer.Allowed Virtual Machine SKUs (Deny): Specifies a set of virtual machine SKUs that you can deploy.
  • Ajouter une étiquette aux ressources (Modifier) : Applique une balise requise et sa valeur par défaut si elle n’est pas spécifiée par la requête de déploiement.Add a tag to resources (Modify): Applies a required tag and its default value if it's not specified by the deploy request.
  • Ajouter l’étiquette et sa valeur par défaut (Ajouter) : Applique une balise requise et sa valeur à une ressource.Append tag and its default value (Append): Enforces a required tag and its value to a resource.
  • Types de ressources non autorisés (Refuser) : Empêche une liste de types de ressources d’être déployés.Not allowed resource types (Deny): Prevents a list of resource types from being deployed.

Pour implémenter ces définitions de stratégie (définitions intégrées et personnalisées), vous devez les affecter.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Vous pouvez affecter l’une de ces stratégies par le biais du portail Azure, de PowerShell ou d’Azure CLI.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Une évaluation de la stratégie a lieu avec plusieurs actions différentes comme l’affectation de stratégie ou les mises à jour de stratégie.Policy evaluation happens with several different actions, such as policy assignment or policy updates. Pour obtenir la liste complète, consultez Policy evaluation triggers (Déclencheurs d’évaluation de stratégie).For a complete list, see Policy evaluation triggers.

Pour plus d’informations sur les structures des définitions de stratégie, consultez Structure des définitions de stratégie.To learn more about the structures of policy definitions, review Policy Definition Structure.

Les paramètres de stratégie permettent de simplifier la gestion des stratégies en réduisant le nombre de définitions de stratégies que vous devez créer.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. Vous pouvez définir des paramètres lors de la création d’une définition de stratégie, pour la rendre plus générique.You can define parameters when creating a policy definition to make it more generic. Vous pouvez ensuite réutiliser cette définition de stratégie pour différents scénarios.Then you can reuse that policy definition for different scenarios. Pour ce faire, transmettez différentes valeurs lors de l’affectation de la définition de stratégie.You do so by passing in different values when assigning the policy definition. Par exemple, spécifiez un ensemble d’emplacements pour un abonnement.For example, specifying one set of locations for a subscription.

Les paramètres sont définis lors de la création d’une définition de stratégie.Parameters are defined when creating a policy definition. Quand un paramètre est défini, un nom lui est affecté et éventuellement une valeur.When a parameter is defined, it's given a name and optionally given a value. Par exemple, vous pouvez définir un paramètre pour une stratégie intitulée Emplacement.For example, you could define a parameter for a policy titled location. Vous pouvez ensuite lui attribuer différentes valeurs comme EastUS ou WestUS lors de l’affectation d’une stratégie.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Pour plus d’informations sur les paramètres de stratégie, consultez Definition structure - Parameters (Structure de la définition - Paramètres).For more information about policy parameters, see Definition structure - Parameters.

Définition d’initiativeInitiative definition

Une définition d’initiative est une collection de définitions de stratégie qui sont spécialement conçues pour atteindre un objectif global particulier.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. Les définitions d’initiative simplifient la gestion et l’affectation des définitions de stratégie.Initiative definitions simplify managing and assigning policy definitions. Elles simplifient ces procédures en regroupant un ensemble de stratégies en un seul élément.They simplify by grouping a set of policies as one single item. Par exemple, vous pouvez créer une initiative intitulée Activer la surveillance dans Azure Security Center, avec comme objectif de surveiller toutes les recommandations de sécurité disponibles dans votre centre Azure Security Center.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Notes

Le SDK, et notamment Azure CLI et Azure PowerShell, utilisent des propriétés et des paramètres nommés PolicySet pour référencer les initiatives.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Dans cette initiative, vous avez par exemple des définitions de stratégie comme celles-ci :Under this initiative, you would have policy definitions such as:

  • Surveiller les bases de données non chiffrées dans Security Center : pour surveiller les bases de données et les serveurs SQL Server non chiffrés.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • Surveiller les vulnérabilités du système d’exploitation dans Security Center : pour surveiller les serveurs qui ne répondent pas à la ligne de base configurée.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Surveiller l’absence d’Endpoint Protection dans Security Center : pour surveiller les serveurs où un agent Endpoint Protection n’est pas installé.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

Comme les paramètres de stratégie, les paramètres d’initiative permettent de simplifier la gestion en réduisant la redondance.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Les paramètres d’initiative sont les paramètres utilisés par les définitions de stratégie dans l’initiative.Initiative parameters are parameters being used by the policy definitions within the initiative.

Par exemple, imaginons un scénario où vous avez une définition d’initiative (initiativeC) avec les définitions de stratégie policyA et policyB, et chacune des définitions de stratégie attend un type de paramètre différent :For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

PolicyPolicy Nom de paramètreName of parameter Type de paramètreType of parameter RemarqueNote
policyApolicyA allowedLocationsallowedLocations tableauarray Ce paramètre attend une liste de chaînes pour une valeur, le type de paramètre ayant été défini comme tableauThis parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation stringstring Ce paramètre attend un mot pour une valeur, le type de paramètre ayant été défini comme chaîneThis parameter expects one word for a value since the parameter type has been defined as a string

Dans ce scénario, quand vous définissez les paramètres d’initiative pour initiativeC, vous avec trois options :In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Utilisez les paramètres des définitions de stratégie dans cette initiative : Dans cet exemple, allowedLocations et allowedSingleLocation deviennent des paramètres d’initiative pour initiativeC.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Fournir des valeurs pour les paramètres des définitions de stratégie dans la définition de cette initiative.Provide values to the parameters of the policy definitions within this initiative definition. Dans cet exemple, vous pouvez fournir une liste d’emplacements au paramètre de policyA (allowedLocations) et au paramètre de policyB (allowedSingleLocation.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. Vous pouvez également fournir des valeurs lors de l’affectation de cette initiative.You can also provide values when assigning this initiative.
  • Fournir une liste d’options de valeurs qui peuvent être utilisées lors de l’affectation de cette initiative.Provide a list of value options that can be used when assigning this initiative. Lorsque vous affectez cette initiative, les paramètres hérités des définitions de stratégie dans l’initiative peuvent avoir seulement des valeurs provenant de cette liste fournie.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

Lorsque vous créez des options de valeur dans une définition d’initiative, vous ne pouvez pas entrer de valeur différente lors de l’affectation d’initiative, car elle ne fait pas partie de la liste.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Pour en savoir plus sur les structures des définitions d’initiative, passez en revue structure des définitions d’initiative.To learn more about the structures of initiative definitions, review Initiative Definition Structure.

AttributionsAssignments

Une affectation est une initiative ou définition de stratégie qui a été affectée avec une étendue spécifique.An assignment is a policy definition or initiative that has been assigned to take place within a specific scope. Cette étendue peut aller d’un groupe d’administration à une ressource individuelle.This scope could range from a management group to an individual resource. Le terme étendue désigne l’ensemble des ressources, groupes de ressources, abonnements ou groupes d’administration auxquels la définition est affectée.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the definition is assigned to. Toutes les ressources enfants héritent des affectations.Assignments are inherited by all child resources. Grâce à cette structure, si une définition est appliquée à un groupe de ressources, elle est également appliquée à toutes les ressources de ce groupe.This design means that a definition applied to a resource group is also applied to resources in that resource group. Toutefois, vous pouvez exclure une sous-étendue de l’affectation.However, you can exclude a subscope from the assignment.

Par exemple, dans l’étendue de l’abonnement, vous pouvez affecter une définition qui empêche la création de ressources réseau.For example, at the subscription scope, you can assign a definition that prevents the creation of networking resources. Vous pouvez exclure un groupe de ressources au sein de cet abonnement qui est destiné à l’infrastructure réseau.You could exclude a resource group in that subscription that is intended for networking infrastructure. Vous accordez ensuite l’accès à ce groupe de ressources réseau aux utilisateurs auxquels vous faites confiance avec la création des ressources réseau.You then grant access to this networking resource group to users that you trust with creating networking resources.

Dans un autre exemple, vous souhaiterez peut-être affecter une définition de liste d’autorisation de type de ressource au niveau du groupe d’administration.In another example, you might want to assign a resource type allow list definition at the management group level. Ensuite, vous affecterez une stratégie plus permissive (autorisant plus de types de ressources) à un groupe d’administration enfant ou même directement aux abonnements.Then you assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Toutefois, cet exemple ne fonctionnera pas, car Azure Policy est un système de refus explicite.However, this example wouldn't work because Azure Policy is an explicit deny system. Au lieu de cela, vous devez exclure le groupe d’administration enfant ou l’abonnement de l’affectation au niveau du groupe d’administration.Instead, you need to exclude the child management group or subscription from the management group-level assignment. Affectez ensuite la définition plus permissive au niveau du groupe d’administration enfant ou de l’abonnement.Then, assign the more permissive definition on the child management group or subscription level. Si une affectation se traduit par le refus d’une ressource, alors la seule façon d’autoriser la ressource consiste à modifier l’affectation de refus.If any assignment results in a resource getting denied, then the only way to allow the resource is to modify the denying assignment.

Pour plus d’informations sur les affectations par le biais du portail, consultez Créer une affectation de stratégie pour identifier les ressources non conformes dans votre environnement Azure.For more information on setting assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Les étapes pour PowerShell et Azure CLI sont également disponibles.Steps for PowerShell and Azure CLI are also available. Pour plus d’informations sur la structure des affectations, consultez Structure des affectations.For information on the assignment structure, see Assignments Structure.

Nombre maximal d’objets Azure PolicyMaximum count of Azure Policy objects

Il existe un nombre maximal pour chaque type d'objet concernant Azure Policy.There's a maximum count for each object type for Azure Policy. Pour les définitions, une entrée d’étendue désigne le groupe d’administration ou l’abonnement.For definitions, an entry of Scope means the management group or subscription. Pour les affectations et les exemptions, une entrée d’étendue signifie le groupe d’administration, l’abonnement, le groupe de ressources ou la ressource individuelle.For assignments and exemptions, an entry of Scope means the management group, subscription, resource group, or individual resource.

WhereWhere QuoiWhat Nombre maximalMaximum count
ÉtendueScope Définitions de stratégiesPolicy definitions 500500
ÉtendueScope Définitions d’initiativeInitiative definitions 200200
LocataireTenant Définitions d’initiativeInitiative definitions 2 5002,500
ÉtendueScope Affectations de stratégies et d'initiativesPolicy or initiative assignments 200200
ÉtendueScope ExemptionsExemptions 1 0001000
Définition de stratégiePolicy definition ParamètresParameters 2020
Définition d’initiativeInitiative definition StratégiesPolicies 1 0001000
Définition d’initiativeInitiative definition ParamètresParameters 100100
Affectations de stratégies et d'initiativesPolicy or initiative assignments Exclusion (notScopes)Exclusions (notScopes) 400400
Règle de stratégiePolicy rule Éléments conditionnels imbriquésNested conditionals 512512
Tâche de correctionRemediation task RessourcesResources 500500

Étapes suivantesNext steps

Maintenant que vous avez une vue d’ensemble d’Azure Policy et des autres concepts clés, voici les étapes suivantes que nous suggérons :Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: