Tutoriel : Créer et gérer des stratégies pour appliquer la conformité

Il est important de comprendre comment créer et gérer des stratégies dans Azure pour rester conforme aux normes de votre entreprise et aux contrats de niveau de service. Dans ce tutoriel, vous allez découvrir comment utiliser Azure Policy pour effectuer certaines des tâches les plus courantes liées à la création, à l’affectation et à la gestion des stratégies dans votre organisation, notamment :

  • Affecter une stratégie pour appliquer une condition aux ressources que vous créez dans le futur
  • Créer et affecter une définition d’initiative pour effectuer le suivi de la conformité de plusieurs ressources
  • Résoudre une ressource non conforme ou refusée
  • Implémenter une nouvelle stratégie dans l’ensemble de l’entreprise

Si vous souhaitez affecter une stratégie pour identifier l’état actuel de la conformité de vos ressources existantes, consultez les articles de démarrage rapide qui passent en revue la marche à suivre.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Attribution d’une stratégie

La première étape de l’application de la conformité avec une stratégie Azure consiste à affecter une définition de stratégie. Une définition de stratégie définit dans quelle condition une stratégie est appliquée et l’action à effectuer. Dans cet exemple, affectez la définition de stratégie intégrée appelée Hériter d’une étiquette du groupe de ressources si elle est manquante pour ajouter l’étiquette spécifiée avec sa valeur du groupe de ressources parent à des ressources nouvelles ou mises à jour auxquelles il manque l’étiquette.

  1. Accédez au portail Azure pour attribuer des stratégies. Recherchez et sélectionnez Stratégie.

    Capture d’écran de la recherche de stratégie dans la barre de recherche.

  2. Sélectionnez Affectations du côté gauche de la page Azure Policy. Une affectation est une stratégie qui a été affectée pour être appliquée dans une étendue spécifique.

    Capture d’écran de la sélection du nœud Affectations dans la page Vue d’ensemble de la stratégie.

  3. Sélectionnez Assigner une stratégie en haut de la page Stratégie - Affectations.

    Capture d’écran de la sélection du bouton « Assigner une stratégie » dans la page Affectations.

  4. Dans la page Assigner une stratégie, sous l’onglet De base, sélectionnez l’étendue en sélectionnant les points de suspension, puis en sélectionnant un groupe d’administration ou un abonnement. Sélectionnez éventuellement un groupe de ressources. Une étendue détermine les ressources ou le regroupement de ressources sur lequel la stratégie est appliquée. Cliquez ensuite sur Sélectionner au bas de la page Étendue.

    Cet exemple utilise l’abonnement Contoso. Votre abonnement sera différent.

  5. Vous pouvez exclure des ressources en fonction de l’étendue. Les exclusions commencent à un niveau inférieur à celui de l’étendue. Les exclusions étant facultatives, laissez ce champ vide pour l’instant.

  6. Sélectionnez les points de suspension de Définition de stratégie pour ouvrir la liste des définitions disponibles. Vous pouvez filtrer le Type de définition de stratégie sur BuiltIn pour les afficher tous et lire leurs descriptions.

  7. Sélectionnez Hériter d’une étiquette du groupe de ressources si elle est manquante. Si vous ne trouvez pas l’option immédiatement, tapez hériter d’une étiquette dans la zone de recherche, puis appuyez sur Entrée ou cliquez en dehors de la zone de recherche. Cliquez sur Sélectionner au bas de la page Définitions disponibles une fois que vous avez trouvé et sélectionné la définition de stratégie.

    Capture d’écran du filtre de recherche lors de la sélection d’une définition de stratégie.

  8. Le Nom de l’attribution est automatiquement rempli avec le nom de stratégie que vous avez sélectionné, mais vous pouvez le modifier. Pour cet exemple, laissez Hériter d’une étiquette du groupe de ressources si elle est manquante. Vous pouvez également ajouter une Description (facultatif). La description fournit des détails sur cette affectation de stratégie.

  9. Laissez Application de la stratégie définie sur Activée. Le paramètre Désactivée permet de tester le résultat de la stratégie sans en déclencher l’effet. Pour plus d’informations, consultez Mode de mise en conformité.

  10. Affectée par est automatiquement renseigné en fonction de l’utilisateur connecté. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.

  11. Sélectionnez l’onglet Paramètres en haut de l’Assistant.

  12. Pour Nom de l’étiquette, entrez Environnement.

  13. Sélectionnez l’onglet Correction en haut de l’Assistant.

  14. Laissez la case Créer une tâche de correction décochée. Cette case vous permet de créer une tâche pour modifier les ressources existantes en plus des ressources nouvelles ou mises à jour. Pour plus d’informations, consultez Corriger les ressources.

  15. La case Créer une identité managée est automatiquement cochée car cette définition de stratégie utilise l’effet modifier. L’option Autorisations a automatiquement la valeur Contributeur en fonction de la définition de stratégie. Pour plus d’informations, consultez Identités managées et Fonctionnement de la sécurité par correction.

  16. Sélectionnez l’onglet Messages de non-conformité en haut de l’Assistant.

  17. Affectez au message de non-conformité la valeur Cette ressource n’a pas l’étiquette nécessaire. Ce message personnalisé s’affiche quand une ressource est refusée ou pour les ressources non conformes durant une évaluation régulière.

  18. Sélectionnez l’onglet Vérifier + créer en haut de l’Assistant.

  19. Passez en revue vos sélections, puis sélectionnez Créer au bas de la page.

Implémenter une nouvelle stratégie personnalisée

Maintenant que vous avez affecté une définition de stratégie intégrée, vous pouvez continuer avec Azure Policy. Créez une stratégie personnalisée pour réduire les coûts en veillant à ce que les machines virtuelles créées dans votre environnement ne puissent pas être dans la série G. Ainsi, à chaque fois qu’un utilisateur de votre organisation tente de créer une machine virtuelle dans la série G, la requête est refusée.

  1. Sélectionnez Définitions sous Création dans la partie gauche de la page Azure Policy.

    Capture d’écran de la page Définitions sous le groupe Création.

  2. Sélectionnez + Définition de stratégie en haut de la page. Ce bouton ouvre la page Définition de stratégie.

  3. Entrez les informations suivantes :

    • Le groupe d’administration ou l’abonnement dans lequel la définition de stratégie est enregistrée. Sélectionnez-le à l’aide du bouton de sélection Emplacement de définition.

      Notes

      Si vous envisagez d’appliquer cette définition de stratégie à plusieurs abonnements, l’emplacement doit correspondre à un groupe d’administration qui contient les abonnements auxquels vous affectez la stratégie. Il en va de même pour une définition d’initiative.

    • Le nom de la définition de stratégie : nécessite des références (SKU) de machines virtuelles qui n’appartiennent pas à la série G

    • La description de l’objectif de la définition de stratégie : cette définition de stratégie impose que toutes les machines virtuelles créées dans cette étendue aient des références SKU autres que la série G afin de réduire le coût.

    • Faites votre choix parmi les options existantes (par exemple Calculer), ou créez une catégorie pour cette définition de stratégie.

    • Copiez le code JSON suivant, puis mettez-le à jour selon vos besoins avec :

      • Les paramètres de la stratégie.
      • Les règles/conditions de la stratégie, dans ce cas : la taille de la référence (SKU) de la machine virtuelle est égale à la série G
      • L’effet de la stratégie, dans ce cas : Refuser.

    Voici à quoi le code JSON doit ressembler. Collez le code révisé dans le portail Azure.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    La propriété champ dans la règle de stratégie doit être une valeur prise en charge. La liste complète des valeurs est disponible dans les champs de structure de la définition de stratégie. Exemple d’alias : "Microsoft.Compute/VirtualMachines/Size".

    Pour voir d’autres exemples Azure Policy, consultez Exemples Azure Policy.

  4. Sélectionnez Enregistrer.

Créer une définition de stratégie avec l’API REST

Vous pouvez créer une stratégie avec l’API REST pour les définitions Azure Policy. L’API REST vous permet de créer et de supprimer des définitions de stratégies, ainsi que d’obtenir des informations sur les définitions existantes. Pour créer une définition de stratégie, utilisez l’exemple suivant :

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Incluez un texte de demande semblable à l’exemple suivant :

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Créer une définition de stratégie avec PowerShell

Avant de passer à l’exemple PowerShell, assurez-vous d’avoir installé la dernière version du module Azure PowerShell Az.

Vous pouvez créer une définition de stratégie en utilisant l’applet de commande New-AzPolicyDefinition.

Pour créer une définition de stratégie à partir d’un fichier, transmettez le chemin d’accès au fichier. Pour un fichier externe, utilisez l’exemple suivant :

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pour un fichier local, utilisez l’exemple suivant :

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pour créer une définition de stratégie avec une règle en ligne, utilisez l’exemple suivant :

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Le résultat est stocké dans un objet $definition utilisé lors de l’attribution de la stratégie. L’exemple suivant crée une définition de stratégie qui inclut des paramètres :

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Voir les définitions de stratégie avec PowerShell

Pour afficher toutes les définitions de stratégie dans votre abonnement, utilisez la commande suivante :

Get-AzPolicyDefinition

Elle renvoie toutes les définitions de stratégie disponibles, y compris les stratégies intégrées. Chaque stratégie est renvoyée au format suivant :

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Créer une définition de stratégie avec Azure CLI

Vous pouvez créer une définition de stratégie à l’aide d’Azure CLI avec la commande az policy definition. Pour créer une définition de stratégie avec une règle en ligne, utilisez l’exemple suivant :

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Voir les définitions de stratégie avec Azure CLI

Pour afficher toutes les définitions de stratégie dans votre abonnement, utilisez la commande suivante :

az policy definition list

Elle renvoie toutes les définitions de stratégie disponibles, y compris les stratégies intégrées. Chaque stratégie est renvoyée au format suivant :

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Créer et attribuer une définition d’initiative

Avec une définition d’initiative, vous pouvez regrouper plusieurs définitions de stratégie pour atteindre un objectif global. Une initiative vérifie si les ressources figurant dans l’étendue de l’attribution sont conformes aux stratégies incluses. Pour plus d’informations sur les définitions d’initiative, consultez Vue d’ensemble d’Azure Policy.

Créer une définition d’initiative

  1. Sélectionnez Définitions sous Création dans la partie gauche de la page Azure Policy.

    Capture d’écran de la page Définitions sous le groupe Création.

  2. Sélectionnez + Définition d’initiative en haut de la page pour ouvrir l’Assistant Définition d’initiative.

    Capture d’écran de la page Définition d’initiative et des propriétés à définir.

  3. Utilisez le bouton de sélection Emplacement de l’initiative pour sélectionner un groupe d’administration ou un abonnement où stocker la définition. Si la page précédente se limite à un seul groupe d’administration ou à un seul abonnement, Emplacement de l’initiative est automatiquement renseigné.

  4. Entrez le nom et la description de l’initiative.

    Cet exemple vérifie que les ressources sont conformes aux définitions de stratégie relatives à la sécurisation. Nommez l’initiative Garantir la sécurité et définissez la description comme suit : Cette initiative a été créée pour gérer toutes les définitions de stratégie associées à la sécurisation des ressources.

  5. Pour Catégorie, choisissez une des options existantes ou créez une catégorie.

  6. Définissez la Version de l’initiative, par exemple 1.0.

    Notes

    La valeur de version est strictement des métadonnées et n’est pas utilisée par le service Azure Policy pour les mises à jour ou autres processus.

  7. Sélectionnez Suivant en bas de la page ou l’onglet Stratégies en haut de l’Assistant.

  8. Sélectionnez le bouton Ajouter une ou plusieurs définitions de stratégie et parcourez la liste. Sélectionnez chaque définition de stratégie que vous souhaitez ajouter à cette initiative. Pour l’initiative Garantir la sécurité, ajoutez les définitions de stratégie intégrées suivantes en cochant la case en regard de la définition de stratégie :

    • Emplacements autorisés
    • Superviser les agents Endpoint Protection manquants dans Azure Security Center
    • Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau
    • La sauvegarde Azure doit être activée pour les machines virtuelles
    • Le chiffrement de disque doit être appliqué sur les machines virtuelles
    • Ajouter ou remplacer une étiquette dans les ressources (ajouter cette définition de stratégie à deux reprises)

    Après avoir sélectionné chaque définition de stratégie dans la liste, sélectionnez Ajouter au bas de la liste. Étant donné qu’elle est ajoutée deux fois, chaque définition de stratégie Ajouter ou remplacer une étiquette dans les ressources reçoit un ID de référence différent.

    Capture d’écran des définitions de stratégie sélectionnées avec leur ID de référence et leur groupe dans la page de définition d’initiative.

    Notes

    Les définitions de stratégie sélectionnées peuvent être ajoutées à des groupes en sélectionnant une ou plusieurs définitions ajoutées et en sélectionnant Ajouter les stratégies sélectionnées à un groupe. Le groupe doit déjà exister et il peut être créé sous l’onglet Groupes de l’Assistant.

  9. Sélectionnez Suivant en bas de la page ou l’onglet Groupes en haut de l’Assistant. Vous pouvez ajouter de nouveaux groupes à partir de cet onglet. Pour ce tutoriel, nous n’ajoutons aucun groupe.

  10. Sélectionnez Suivant en bas de la page ou l’onglet Paramètres d’initiative en haut de l’Assistant. Si nous voulions qu’un paramètre pour l’initiative soit passé à une ou plusieurs définitions de stratégie incluses, le paramètre devrait être défini ici et utilisé dans l’onglet Paramètres de stratégie. Pour ce tutoriel, nous n’ajoutons aucun paramètre d’initiative.

    Notes

    Une fois qu’ils sont enregistrés dans une définition d’initiative, les paramètres d’initiative ne peuvent pas être supprimés de l’initiative. Si un paramètre d’initiative n’est plus utile, supprimez son utilisation par les paramètres de définition de stratégie.

  11. Sélectionnez Suivant en bas de la page ou l’onglet Paramètres de stratégie en haut de l’Assistant.

  12. Définitions de stratégie ajoutées à l’initiative dont les paramètres sont affichés dans une grille. Le type de valeur peut être « Default value » (Valeur par défaut), « Set value » (Définir la valeur) ou « Use Initiative Parameter » (Utiliser un paramètre d’initiative). Si « Set value » est sélectionné, la valeur associée est entrée sous Value(s) [Valeurs]. Si le paramètre de la définition de stratégie a une liste de valeurs autorisées, la zone d’entrée est un sélecteur de liste déroulante. Si l’option « Use Initiative Parameter » est sélectionnée, une liste déroulante est fournie avec les noms des paramètres d’initiative créés sous l’onglet Initiative parameters (Paramètres d’initiative).

    Capture d’écran des options pour les valeurs acceptées du paramètre de définition des emplacements autorisés sous l’onglet des paramètres de stratégie de la page de définition d’initiative.

    Notes

    Dans le cas de certains paramètres strongType, la liste de valeurs ne peut pas être déterminée automatiquement. Dans ce cas, un bouton de sélection s’affiche à droite de la ligne de paramètre. En le sélectionnant, vous ouvrez la page Étendue du paramètre (<nom du paramètre>). Sur cette page, sélectionnez l’abonnement à utiliser pour fournir les options de valeur. L’étendue de ce paramètre est utilisée uniquement lors de la création de la définition d’initiative et n’a aucun impact sur l’évaluation de la stratégie ou l’étendue de l’initiative lors de l’affectation.

    Définissez le type de valeur « Allowed locations » (Emplacements autorisés) sur « Set value » (Définir la valeur), puis sélectionnez « East US 2 » (USA Est 2) dans la liste déroulante. Pour les deux instances des définitions de stratégie Ajouter ou remplacer une étiquette dans les ressources, définissez les paramètres Tag Name (Nom d’étiquette) sur « Env » et « CostCenter », et les paramètres Tag Value (Valeur d’étiquette) sur « Test » et « Lab », comme ci-dessous. Laissez les autres valeurs sur « Default value » (Valeur par défaut). En utilisant la même définition deux fois dans l’initiative mais avec des paramètres différents, cette configuration ajoute ou remplace une étiquette « Env » par la valeur « Test », et une étiquette « CostCenter » par la valeur « Lab », sur les ressources comprises dans l’étendue de l’affectation.

    Capture d’écran des options entrées pour les valeurs acceptées du paramètre de définition des emplacements autorisés et les valeurs des paramètres des deux étiquettes définis sous l’onglet des paramètres de stratégie de la page de définition d’initiative.

  13. Sélectionnez Vérifier + créer en bas de la page ou en haut de l’Assistant.

  14. Passez en revue les paramètres, puis sélectionnez Créer.

Créer une définition d’initiative de stratégie avec Azure CLI

Vous pouvez créer une définition d’initiative de stratégie à l’aide d’Azure CLI avec la commande az policy set-definition. Pour créer une définition d’initiative de stratégie avec une définition de stratégie existante, utilisez l’exemple suivant :

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Créer une définition d’initiative de stratégie avec Azure PowerShell

Vous pouvez créer une définition d’initiative de stratégie à l’aide d’Azure PowerShell avec la cmdlet New-AzPolicySetDefinition. Pour créer une définition d’initiative de stratégie avec une définition de stratégie existante, utilisez le fichier de définition d’initiative de stratégie en tant que VMPolicySet.json :

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Attribuer une définition d’initiative

  1. Sélectionnez Définitions sous Création dans la partie gauche de la page Azure Policy.

  2. Recherchez la définition d’initiative Garantir la sécurité que vous avez précédemment créée et sélectionnez-la. Sélectionnez Affecter en haut de la page pour ouvrir la page Garantir la sécurité : affecter l’initiative.

    Capture d’écran du bouton « Affecter » dans la page Définition d’initiative.

    Vous pouvez également sélectionner et maintenir l’appui (ou cliquer avec le bouton droit) sur la ligne sélectionnée ou sélectionner les points de suspension situé en fin de ligne pour faire apparaître un menu contextuel. Sélectionnez ensuite Affecter.

    Capture d’écran du menu contextuel d’une initiative pour sélectionner la fonctionnalité Affecter.

  3. Renseignez la page Garantir la sécurité : affecter l’initiative en entrant les exemples d’informations suivants. Vous pouvez utiliser vos propres informations.

    • Étendue : l’abonnement ou le groupe d’administration dans lequel vous avez enregistré l’initiative devient la valeur par défaut. Vous pouvez changer l’étendue pour affecter l’initiative à un abonnement ou un groupe de ressources, à l’emplacement d’enregistrement.
    • Exclusions : configurez des ressources dans l’étendue afin d’empêcher que l’affectation d’initiative leur soit appliquée.
    • Définition d’initiative et Nom de l’affectation : Garantir la sécurité (prérenseigné avec le nom de l’initiative assignée).
    • Description : cette affectation d’initiative est adaptée afin d’appliquer ce groupe de définitions de stratégie.
    • Application de la stratégie : Conservez la valeur par défaut Activée.
    • Affectée par : renseigné automatiquement en fonction de l’utilisateur connecté. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.
  4. Sélectionnez l’onglet Paramètres en haut de l’Assistant. Si vous avez configuré un paramètre d’initiative dans les étapes précédentes, définissez une valeur ici.

  5. Sélectionnez l’onglet Correction en haut de l’Assistant. Laissez la case Créer une identité managée non cochée. Cette case doit être cochée quand la stratégie ou l’initiative affectée inclut une stratégie avec les effets deployIfNotExists ou modifier. Comme ce n’est pas le cas pour la stratégie utilisée dans ce tutoriel, ne cochez pas la case. Pour plus d’informations, consultez Identités managées et Fonctionnement de la sécurité par correction.

  6. Sélectionnez l’onglet Vérifier + créer en haut de l’Assistant.

  7. Passez en revue vos sélections, puis sélectionnez Créer au bas de la page.

Vérifier la conformité initiale

  1. Sélectionnez Conformité dans la partie gauche de la page Azure Policy.

  2. Localisez l’initiative Garantir la sécurité. Elle est probablement toujours à l’État de conformitéNon démarrée. Sélectionnez l’initiative pour obtenir tous les détails de l’affectation.

    Capture d’écran de la page Conformité de l’initiative montrant des évaluations d’affectation avec l’état Non démarré.

  3. Une fois l’affectation de l’initiative effectuée, la page de conformité est mise à jour avec l’État de conformitéConforme.

    Capture d’écran de la page Conformité de l’initiative montrant des évaluations d’affectation terminées avec l’état Conforme.

  4. Pour ouvrir la page de détails sur la conformité de la stratégie, sélectionnez une stratégie dans la page de conformité de l’initiative. Cette page fournit des détails au niveau des ressources pour la conformité.

Supprimer une ressource non conforme ou refusée de l’étendue à l’aide d’une exclusion

Après avoir attribué une initiative de stratégie pour exiger un emplacement spécifique, toutes les ressources créées dans un emplacement différent sont refusées. Dans cette section, vous allez résoudre pas à pas une situation dans laquelle la demande de création d’une ressource a été refusée en créant une exclusion sur un seul groupe de ressources. L’exclusion empêche l’application de la stratégie (ou de l’initiative) à ce groupe de ressources. Dans l’exemple suivant, tous les emplacements sont autorisés dans le groupe de ressources exclu. Une exclusion peut s’appliquer à un abonnement, à un groupe de ressources ou à une ressource individuelle.

Notes

Une exemption de stratégie peut également être utilisée pour ignorer l’évaluation d’une ressource. Pour plus d’informations, consultez Étendue d’Azure Policy.

Les déploiements empêchés par une stratégie ou une initiative affectée peuvent être vus dans le groupe de ressources ciblé par le déploiement : Sélectionnez Déploiements dans la partie gauche de la page, puis sélectionnez le nom du déploiement qui a échoué. La ressource refusée est listée avec l’état Interdit. Pour déterminer la stratégie ou l’initiative et l’affectation qui a refusé la ressource, sélectionnez Échec. Cliquez ici pour plus d’informations -> dans la page Vue d’ensemble du déploiement. Une fenêtre s’ouvre dans la partie droite de la page pour présenter les informations d’erreur. Sous Détails de l’erreur figurent les GUID des objets de stratégie associés.

Capture d’écran de l’échec d’un déploiement ayant été refusé par une affectation de stratégie.

Dans la page Azure Policy : Sélectionnez Conformité du côté gauche de la page et sélectionnez l’initiative de stratégie Garantir la sécurité. Dans cette page figure une augmentation du nombre de refus de ressources bloquées. Sous l’onglet Événements se trouvent des détails sur les personnes qui ont essayé de créer ou de déployer la ressource refusée par la définition de stratégie.

Capture d’écran de l’onglet Événements et des détails des événements de stratégie dans la page Conformité de l’initiative.

Dans cet exemple, Trent Baker, l’un des spécialistes de la virtualisation chez Contoso, effectuait des tâches requises. Nous avons besoin d’accorder à Trent un espace pour une exception. Créez un groupe de ressources, LocationsExcluded, puis octroyez-lui une exception à cette affectation de stratégie.

Mettre à jour une affectation avec une exclusion

  1. Sélectionnez Affectations sous Création dans la partie gauche de la page Azure Policy.

  2. Parcourez toutes les affectations de stratégie et ouvrez Garantir la sécurité.

  3. Définissez l’exclusion en sélectionnant les points de suspension, puis en sélectionnant le groupe de ressources à exclure, LocationsExcluded dans cet exemple. Sélectionnez Ajouter à l’étendue sélectionnée, puis Enregistrer.

    Capture d’écran de l’option Exclusions dans la page Affectation d’initiative pour ajouter un groupe de ressources exclu à l’attribution de stratégie.

    Notes

    En fonction de la définition de stratégie et de son effet, l’exclusion peut également être octroyée à des ressources spécifiques au sein du groupe de ressources dans l’étendue de l’affectation. Comme un effet Refuser a été utilisé dans ce tutoriel, il ne serait pas judicieux de définir l’exclusion sur une ressource spécifique qui existe déjà.

  4. Sélectionnez Réviser + enregistrer, puis Enregistrer.

Dans cette section, vous avez résolu la demande refusée en créant une exclusion sur un seul groupe de ressources.

Nettoyer les ressources

Si vous avez fini d’utiliser les ressources de ce tutoriel, effectuez les étapes suivantes pour supprimer les affectations ou définitions de stratégie créées ci-dessus :

  1. Sélectionnez Définitions (ou Affectations si vous essayez de supprimer une affectation) sous Création dans la partie gauche de la page Azure Policy.

  2. Recherchez la nouvelle définition d’initiative ou de stratégie (ou affectation) à supprimer.

  3. Cliquez avec le bouton droit sur la liste ou cliquez sur le bouton de sélection en fin de définition (ou d’affectation), puis sélectionnez Supprimer la définition (ou Supprimer l’affectation).

Révision

Dans ce didacticiel, vous avez effectué avec succès les tâches suivantes :

  • Attribué une stratégie pour appliquer une condition aux ressources que vous créez dans le futur
  • Créé et attribué une définition d’initiative pour effectuer le suivi de la conformité de plusieurs ressources
  • Résolu une ressource non conforme ou refusée
  • Implémenté une nouvelle stratégie dans l’ensemble de l’entreprise

Étapes suivantes

Pour plus d’informations sur les structures des définitions de stratégie, consultez cet article :