Tutoriel : Créer et gérer des stratégies pour appliquer la conformitéTutorial: Create and manage policies to enforce compliance

Il est important de comprendre comment créer et gérer des stratégies dans Azure pour rester conforme aux normes de votre entreprise et aux contrats de niveau de service.Understanding how to create and manage policies in Azure is important for staying compliant with your corporate standards and service level agreements. Dans ce tutoriel, vous allez découvrir comment utiliser Azure Policy pour effectuer certaines des tâches les plus courantes liées à la création, à l’affectation et à la gestion des stratégies dans votre organisation, notamment :In this tutorial, you learn to use Azure Policy to do some of the more common tasks related to creating, assigning, and managing policies across your organization, such as:

  • Affecter une stratégie pour appliquer une condition aux ressources que vous créez dans le futurAssign a policy to enforce a condition for resources you create in the future
  • Créer et affecter une définition d’initiative pour effectuer le suivi de la conformité de plusieurs ressourcesCreate and assign an initiative definition to track compliance for multiple resources
  • Résoudre une ressource non conforme ou refuséeResolve a non-compliant or denied resource
  • Implémenter une nouvelle stratégie dans l’ensemble de l’entrepriseImplement a new policy across an organization

Si vous souhaitez affecter une stratégie pour identifier l’état actuel de la conformité de vos ressources existantes, consultez les articles de démarrage rapide qui passent en revue la marche à suivre.If you would like to assign a policy to identify the current compliance state of your existing resources, the quickstart articles go over how to do so.

Conditions préalables requisesPrerequisites

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.If you don't have an Azure subscription, create a free account before you begin.

Attribution d’une stratégieAssign a policy

La première étape de l’application de la conformité avec une stratégie Azure consiste à affecter une définition de stratégie.The first step in enforcing compliance with Azure Policy is to assign a policy definition. Une définition de stratégie définit dans quelle condition une stratégie est appliquée et l’action à effectuer.A policy definition defines under what condition a policy is enforced and what effect to take. Dans cet exemple, affectez une définition de stratégie intégrée appelée Exiger SQL Server version 12.0 afin d’appliquer la condition selon laquelle toutes les bases de données SQL Server doivent être de version 12.0 pour être compatibles.In this example, assign a built-in policy definition, called Require SQL Server version 12.0, to enforce the condition that all SQL Server databases must be v12.0 to be compliant.

  1. Accédez au portail Azure pour attribuer des stratégies.Go to the Azure portal to assign policies. Recherchez et sélectionnez Stratégie.Search for and select Policy.

    Rechercher Stratégie dans la barre de recherche

  2. Sélectionnez Affectations du côté gauche de la page Azure Policy.Select Assignments on the left side of the Azure Policy page. Une affectation est une stratégie qui a été affectée pour être appliquée dans une étendue spécifique.An assignment is a policy that has been assigned to take place within a specific scope.

    Sélectionner des affectations à partir de la page de vue d’ensemble de la stratégie

  3. Sélectionnez Assigner une stratégie en haut de la pageStratégie - Affectations.Select Assign Policy from the top of the Policy - Assignments page.

    Affecter une définition de stratégie à partir de la page Affectations

  4. Dans la page Assigner une stratégie, sous l’onglet De base, sélectionnez l’étendue en sélectionnant les points de suspension, puis en sélectionnant un groupe d’administration ou un abonnement.On the Assign Policy page and Basics tab, select the Scope by selecting the ellipsis and selecting either a management group or subscription. Sélectionnez éventuellement un groupe de ressources.Optionally, select a resource group. Une étendue détermine les ressources ou le regroupement de ressources sur lequel la stratégie est appliquée.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Cliquez ensuite sur Sélectionner au bas de la page Étendue.Then select Select at the bottom of the Scope page.

    Cet exemple utilise l’abonnement Contoso.This example uses the Contoso subscription. Votre abonnement sera différent.Your subscription will differ.

  5. Vous pouvez exclure des ressources en fonction de l’étendue.Resources can be excluded based on the Scope. Les exclusions commencent à un niveau inférieur à celui de l’étendue.Exclusions start at one level lower than the level of the Scope. Les exclusions étant facultatives, laissez ce champ vide pour l’instant.Exclusions are optional, so leave it blank for now.

  6. Sélectionnez les points de suspension de Définition de stratégie pour ouvrir la liste des définitions disponibles.Select the Policy definition ellipsis to open the list of available definitions. Vous pouvez filtrer le Type de définition de stratégie sur BuiltIn pour les afficher tous et lire leurs descriptions.You can filter the policy definition Type to Built-in to view all and read their descriptions.

  7. Sélectionnez Ajouter ou remplacer une étiquette dans les ressources.Select Add or replace a tag on resources. Si vous ne trouvez pas l’option immédiatement, tapez ajouter ou remplacer dans la zone de recherche, puis appuyez sur Entrée ou cliquez en dehors de la zone de recherche.If you can't find it right away, type add or replace into the search box and then press ENTER or select out of the search box. Cliquez sur Sélectionner au bas de la page Définitions disponibles une fois que vous avez trouvé et sélectionné la définition de stratégie.Select Select at the bottom of the Available Definitions page once you have found and selected the policy definition.

    Utiliser le filtre de recherche pour localiser une stratégie

  8. Le Nom de l’attribution est automatiquement rempli avec le nom de stratégie que vous avez sélectionné, mais vous pouvez le modifier.The Assignment name is automatically populated with the policy name you selected, but you can change it. Pour cet exemple, laissez Ajouter ou remplacer une étiquette dans les ressources.For this example, leave Add or replace a tag on resources. Vous pouvez également ajouter une Description (facultatif).You can also add an optional Description. La description fournit des détails sur cette affectation de stratégie.The description provides details about this policy assignment.

  9. Laissez Application de la stratégie définie sur Activée.Leave Policy enforcement as Enabled. Le paramètre Désactivée permet de tester le résultat de la stratégie sans en déclencher l’effet.When Disabled, this setting allows testing the outcome of the policy without triggering the effect. Pour plus d’informations, consultez Mode de mise en conformité.For more information, see enforcement mode.

  10. Affectée par est automatiquement renseigné en fonction de l’utilisateur connecté.Assigned by is automatically filled based on who is logged in. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.This field is optional, so custom values can be entered.

  11. Sélectionnez l’onglet Paramètres en haut de l’Assistant.Select the Parameters tab at the top of the wizard.

  12. Pour le nom de l’étiquette, entrez Environnement et pour la valeur de l’étiquette, entrez Dev.For Tag Name, enter Environment and for Tag Value enter Dev.

  13. Sélectionnez l’onglet Correction en haut de l’Assistant.Select the Remediation tab at the top of the wizard.

  14. Laissez la case Créer une tâche de correction décochée.Leave Create a remediation task unchecked. Cette case vous permet de créer une tâche pour modifier les ressources existantes en plus des ressources nouvelles ou mises à jour.This box allows you to create a task to alter existing resources in addition to new or updated resources. Pour plus d’informations, consultez Corriger les ressources.For more information, see remediate resources.

  15. La case Créer une identité managée est automatiquement cochée car cette définition de stratégie utilise l’effet modifier.Create a Managed Identity is automatically checked since this policy definition uses the modify effect. L’option Autorisations a automatiquement la valeur Contributeur en fonction de la définition de stratégie.Permissions is set to Contributor automatically based on the policy definition. Pour plus d’informations, consultez Identités managées et Fonctionnement de la sécurité par correction.For more information, see managed identities and how remediation security works.

  16. Sélectionnez l’onglet Vérifier + créer en haut de l’Assistant.Select the Review + create tab at the top of the wizard.

  17. Passez en revue vos sélections, puis sélectionnez Créer au bas de la page.Review your selections, then select Create at the bottom of the page.

Implémenter une nouvelle stratégie personnaliséeImplement a new custom policy

Maintenant que vous avez affecté une définition de stratégie intégrée, vous pouvez continuer avec Azure Policy.Now that you've assigned a built-in policy definition, you can do more with Azure Policy. Créez une stratégie personnalisée pour réduire les coûts en veillant à ce que les machines virtuelles créées dans votre environnement ne puissent pas être dans la série G.Next, create a new custom policy to save costs by validating that VMs created in your environment can't be in the G series. De cette manière, à chaque fois qu’un utilisateur de votre organisation tente de créer une machine virtuelle dans la série G, la requête est refusée.This way, every time a user in your organization tries to create VM in the G series, the request is denied.

  1. Sélectionnez Définitions sous Création dans la partie gauche de la page Azure Policy.Select Definitions under Authoring in the left side of the Azure Policy page.

    Page Définition sous Création de groupe

  2. Sélectionnez + Définition de stratégie en haut de la page.Select + Policy definition at the top of the page. Ce bouton ouvre la page Définition de stratégie.This button opens to the Policy definition page.

  3. Entrez les informations suivantes :Enter the following information:

    • Le groupe d’administration ou l’abonnement dans lequel la définition de stratégie est enregistrée.The management group or subscription in which the policy definition is saved. Sélectionnez-le à l’aide du bouton de sélection Emplacement de définition.Select by using the ellipsis on Definition location.

      Notes

      Si vous envisagez d’appliquer cette définition de stratégie à plusieurs abonnements, l’emplacement doit correspondre à un groupe d’administration qui contient les abonnements auxquels vous affectez la stratégie.If you plan to apply this policy definition to multiple subscriptions, the location must be a management group that contains the subscriptions you assign the policy to. Il en va de même pour une définition d’initiative.The same is true for an initiative definition.

    • Le nom de la définition de stratégie : _*nécessite des références (SKU) de machines virtuelles inférieures à la série GThe name of the policy definition - _*Require VM SKUs smaller than the G series

    • La description de l’objectif de la définition de stratégie : cette définition de stratégie impose que toutes les machines virtuelles créées dans cette étendue possèdent des références SKU inférieures à la série G afin de réduire le coût.The description of what the policy definition is intended to do – This policy definition enforces that all VMs created in this scope have SKUs smaller than the G series to reduce cost.

    • Faites votre choix parmi les options existantes (par exemple Calculer), ou créez une catégorie pour cette définition de stratégie.Choose from existing options (such as Compute), or create a new category for this policy definition.

    • Copiez le code JSON suivant, puis mettez-le à jour selon vos besoins avec :Copy the following JSON code and then update it for your needs with:

      • Les paramètres de la stratégie.The policy parameters.
      • Les règles/conditions de la stratégie, dans ce cas : la taille de la référence (SKU) de la machine virtuelle est égale à la série GThe policy rules/conditions, in this case – VM SKU size equal to G series
      • L’effet de la stratégie, dans ce cas – Refuser.The policy effect, in this case – Deny.

    Voici à quoi le code JSON doit ressembler.Here's what the JSON should look like. Collez le code révisé dans le portail Azure.Paste your revised code into the Azure portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    La propriété champ dans la règle de stratégie doit être une valeur prise en charge.The field property in the policy rule must be a supported value. La liste complète des valeurs est disponible dans les champs de structure de la définition de stratégie.A full list of values is found on policy definition structure fields. Exemple d’alias : "Microsoft.Compute/VirtualMachines/Size".An example of an alias might be "Microsoft.Compute/VirtualMachines/Size".

    Pour voir d’autres exemples relatifs à Azure Policy, consultez Exemples Azure Policy.To view more Azure policy samples, see Azure Policy samples.

  4. Sélectionnez Enregistrer.Select Save.

Créer une définition de stratégie avec l’API RESTCreate a policy definition with REST API

Vous pouvez créer une stratégie avec l’API REST pour les définitions Azure Policy.You can create a policy with the REST API for Azure Policy Definitions. L’API REST vous permet de créer et de supprimer des définitions de stratégies, ainsi que d’obtenir des informations sur les définitions existantes.The REST API enables you to create and delete policy definitions, and get information about existing definitions. Pour créer une définition de stratégie, utilisez l’exemple suivant :To create a policy definition, use the following example:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Incluez un texte de demande semblable à l’exemple suivant :Include a request body similar to the following example:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Créer une définition de stratégie avec PowerShellCreate a policy definition with PowerShell

Avant de passer à l’exemple PowerShell, assurez-vous d’avoir installé la dernière version du module Azure PowerShell Az.Before proceeding with the PowerShell example, make sure you've installed the latest version of the Azure PowerShell Az module.

Vous pouvez créer une définition de stratégie en utilisant l’applet de commande New-AzPolicyDefinition.You can create a policy definition using the New-AzPolicyDefinition cmdlet.

Pour créer une définition de stratégie à partir d’un fichier, transmettez le chemin d’accès au fichier.To create a policy definition from a file, pass the path to the file. Pour un fichier externe, utilisez l’exemple suivant :For an external file, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pour un fichier local, utilisez l’exemple suivant :For a local file use, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pour créer une définition de stratégie avec une règle en ligne, utilisez l’exemple suivant :To create a policy definition with an inline rule, use the following example:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Le résultat est stocké dans un objet $definition utilisé lors de l’attribution de la stratégie.The output is stored in a $definition object, which is used during policy assignment. L’exemple suivant crée une définition de stratégie qui inclut des paramètres :The following example creates a policy definition that includes parameters:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Voir les définitions de stratégie avec PowerShellView policy definitions with PowerShell

Pour afficher toutes les définitions de stratégie dans votre abonnement, utilisez la commande suivante :To see all policy definitions in your subscription, use the following command:

Get-AzPolicyDefinition

Elle renvoie toutes les définitions de stratégie disponibles, y compris les stratégies intégrées.It returns all available policy definitions, including built-in policies. Chaque stratégie est renvoyée au format suivant :Each policy is returned in the following format:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Créer une définition de stratégie avec Azure CLICreate a policy definition with Azure CLI

Vous pouvez créer une définition de stratégie à l’aide d’Azure CLI avec la commande az policy definition.You can create a policy definition using Azure CLI with the az policy definition command. Pour créer une définition de stratégie avec une règle en ligne, utilisez l’exemple suivant :To create a policy definition with an inline rule, use the following example:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Voir les définitions de stratégie avec Azure CLIView policy definitions with Azure CLI

Pour afficher toutes les définitions de stratégie dans votre abonnement, utilisez la commande suivante :To see all policy definitions in your subscription, use the following command:

az policy definition list

Elle renvoie toutes les définitions de stratégie disponibles, y compris les stratégies intégrées.It returns all available policy definitions, including built-in policies. Chaque stratégie est renvoyée au format suivant :Each policy is returned in the following format:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Créer et attribuer une définition d’initiativeCreate and assign an initiative definition

Avec une définition d’initiative, vous pouvez regrouper plusieurs définitions de stratégie pour atteindre un objectif global.With an initiative definition, you can group several policy definitions to achieve one overarching goal. Une initiative vérifie si les ressources figurant dans l’étendue de l’attribution sont conformes aux stratégies incluses.An initiative evaluates resources within scope of the assignment for compliance to the included policies. Pour plus d’informations sur les définitions d’initiative, consultez Vue d’ensemble d’Azure Policy.For more information about initiative definitions, see Azure Policy overview.

Créer une définition d’initiativeCreate an initiative definition

  1. Sélectionnez Définitions sous Création dans la partie gauche de la page Azure Policy.Select Definitions under Authoring in the left side of the Azure Policy page.

    Sélectionner une définition dans la page Définitions

  2. Sélectionnez + Définition d’initiative en haut de la page pour ouvrir la page Définition d’initiative.Select + Initiative Definition at the top of the page to open the Initiative definition page.

    Passer en revue la page de la définition d’initiative

  3. Utilisez le bouton de sélection Emplacement de définition pour sélectionner un groupe d'administration ou un abonnement afin de stocker la définition.Use the Definition location ellipsis to select a management group or subscription to store the definition. Si la page précédente se limite à un seul groupe d’administration ou à un seul abonnement, Emplacement de la définition est automatiquement renseigné.If the previous page was scoped to a single management group or subscription, Definition location is automatically populated. Après sélection, l’option Définitions disponibles est renseignée.Once selected, Available Definitions is populated.

  4. Entrez le nom et la description de l’initiative.Enter the Name and Description of the initiative.

    Cet exemple vérifie que les ressources sont conformes aux définitions de stratégie relatives à la sécurisation.This example validates that resources are in compliance with policy definitions about getting secure. Nommez l’initiative Garantir la sécurité et définissez la description comme suit : Cette initiative a été créée pour gérer toutes les définitions de stratégie associées à la sécurisation des ressources.Name the initiative Get Secure and set the description as: This initiative has been created to handle all policy definitions associated with securing resources.

  5. Pour Catégorie, choisissez une des options existantes ou créez une catégorie.For Category, choose from existing options or create a new category.

  6. Parcourez la liste des définitions disponibles (partie droite de la page Définition d’initiative) et sélectionnez les définitions de stratégie à ajouter à cette initiative.Browse through the list of Available Definitions (right half of Initiative definition page) and select the policy definition(s) you would like to add to this initiative. Pour l’initiative Garantir la sécurité, ajoutez les définitions de stratégie prédéfinies suivantes en sélectionnant + en regard des informations correspondantes ou en sélectionnant une ligne de définition de stratégie, puis l’option + Ajouter dans la page de détails :For the Get Secure initiative, add the following built-in policy definitions by selecting the + next to the policy definition information or selecting a policy definition row and then the + Add option in the details page:

    • Emplacements autorisésAllowed locations
    • Superviser les agents Endpoint Protection manquants dans Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center
    • Les règles de groupe de sécurité réseau pour les machines virtuelles accessibles sur Internet doivent être renforcéesNetwork Security Group Rules for Internet facing virtual machines should be hardened
    • La sauvegarde Azure doit être activée pour les machines virtuellesAzure Backup should be enabled for Virtual Machines
    • Le chiffrement de disque doit être appliqué sur les machines virtuellesDisk encryption should be applied on virtual machines

    Une fois que la définition de stratégie est sélectionnée dans la liste, elle est ajoutée sous Catégorie.After selecting the policy definition from the list, each is added below Category.

    Passer en revue les paramètres de la définition d’initiative

  7. Si une définition de stratégie ajoutée à l’initiative comporte des paramètres, ils apparaissent sous le nom de la stratégie dans la zone située sous la zone Catégorie.If a policy definition being added to the initiative has parameters, they're shown under the policy name in the area under Category area. La valeur peut être définie sur « Définir une valeur » (codée en dur pour toutes les affectations de cette initiative) ou « Utiliser le paramètre d'initiative » (définie au cours de chaque affectation d’initiative).The value can be set to either 'Set value' (hard coded for all assignments of this initiative) or 'Use Initiative Parameter' (set during each initiative assignment). Si « Définir une valeur » est sélectionné, la liste déroulante à droite de Valeurs permet d’entrer ou de sélectionner les valeurs.If 'Set value' is selected, the drop-down to the right of Value(s) allows entering or selecting the value(s). Si l’option Utiliser le paramètre d’initiative est sélectionnée, une nouvelle section Paramètres d’initiative s’affiche, ce qui vous permet de définir le paramètre défini durant l’affectation d’initiative.If 'Use Initiative Parameter' is selected, a new Initiative parameters section is displayed allowing you to define the parameter that is set during initiative assignment. Les valeurs autorisées sur ce paramètre d’initiative peuvent restreindre davantage ce qui peut être défini au cours de l’affectation d’initiative.The allowed values on this initiative parameter can further restrict what may be set during initiative assignment.

    Modifier les paramètres de la définition d’initiative à partir des valeurs autorisées

    Notes

    Dans le cas de certains paramètres strongType, la liste de valeurs ne peut pas être déterminée automatiquement.In the case of some strongType parameters, the list of values cannot be automatically determined. Dans ce cas, un bouton de sélection s’affiche à droite de la ligne de paramètre.In these cases, an ellipsis appears to the right of the parameter row. En le sélectionnant, vous ouvrez la page Étendue du paramètre (<nom du paramètre>).Selecting it opens the 'Parameter scope (<parameter name>)' page. Sur cette page, sélectionnez l’abonnement à utiliser pour fournir les options de valeur.On this page, select the subscription to use for providing the value options. L’étendue de ce paramètre est utilisée uniquement lors de la création de la définition d’initiative et n’a aucun impact sur l’évaluation de la stratégie ou l’étendue de l’initiative lors de l’affectation.This parameter scope is only used during creation of the initiative definition and has no impact on policy evaluation or the scope of the initiative when assigned.

    Définissez le paramètre « Emplacements autorisés » sur « USA Est 2 » et laissez les autres paramètres définis sur la valeur par défaut « AuditifNotExists ».Set the 'Allowed locations' parameter to 'East US 2' and leave the others as the default 'AuditifNotExists'.

  8. Sélectionnez Enregistrer.Select Save.

Créer une définition d’initiative de stratégie avec Azure CLICreate a policy initiative definition with Azure CLI

Vous pouvez créer une définition d’initiative de stratégie à l’aide d’Azure CLI avec la commande az policy set-definition.You can create a policy initiative definition using Azure CLI with the az policy set-definition command. Pour créer une définition d’initiative de stratégie avec une définition de stratégie existante, utilisez l’exemple suivant :To create a policy initiative definition with an existing policy definition, use the following example:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Créer une définition d’initiative de stratégie avec Azure PowerShellCreate a policy initiative definition with Azure PowerShell

Vous pouvez créer une définition d’initiative de stratégie à l’aide d’Azure PowerShell avec la cmdlet New-AzPolicySetDefinition.You can create a policy initiative definition using Azure PowerShell with the New-AzPolicySetDefinition cmdlet. Pour créer une définition d’initiative de stratégie avec une définition de stratégie existante, utilisez le fichier de définition d’initiative de stratégie en tant que VMPolicySet.json :To create a policy initiative definition with an existing policy definition, use the following policy initiative definition file as VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Attribuer une définition d’initiativeAssign an initiative definition

  1. Sélectionnez Définitions sous Création dans la partie gauche de la page Azure Policy.Select Definitions under Authoring in the left side of the Azure Policy page.

  2. Recherchez la définition d’initiative Garantir la sécurité que vous avez précédemment créée et sélectionnez-la.Locate the Get Secure initiative definition you previously created and select it. Sélectionnez Affecter en haut de la page pour ouvrir la page Garantir la sécurité : affecter l’initiative.Select Assign at the top of the page to open to the Get Secure: Assign initiative page.

    Affecter une définition à partir de la page de définition d’initiative

    Vous pouvez également cliquer avec le bouton droit sur la ligne sélectionnée ou sélectionner les points de suspension situé en fin de ligne pour faire apparaître un menu contextuel.You can also right-click on the selected row or select the ellipsis at the end of the row for a contextual menu. Sélectionnez ensuite Affecter.Then select Assign.

    Autres options pour une initiative

  3. Renseignez la page Garantir la sécurité : affecter l’initiative en entrant les exemples d’informations suivants.Fill out the Get Secure: Assign Initiative page by entering the following example information. Vous pouvez utiliser vos propres informations.You can use your own information.

    • Étendue : l’abonnement ou le groupe d’administration dans lequel vous avez enregistré l’initiative devient la valeur par défaut.Scope: The management group or subscription you saved the initiative to becomes the default. Vous pouvez changer l’étendue pour affecter l’initiative à un abonnement ou un groupe de ressources, à l’emplacement d’enregistrement.You can change scope to assign the initiative to a subscription or resource group within the save location.
    • Exclusions : configurez des ressources dans l’étendue afin d’empêcher que l’affectation d’initiative leur soit appliquée.Exclusions: Configure any resources within the scope to prevent the initiative assignment from being applied to them.
    • Définition d’initiative et Nom de l’affectation : Garantir la sécurité (prérenseigné avec le nom de l’initiative assignée).Initiative definition and Assignment name: Get Secure (pre-populated as name of initiative being assigned).
    • Description : cette affectation d’initiative est adaptée afin d’appliquer ce groupe de définitions de stratégie.Description: This initiative assignment is tailored to enforce this group of policy definitions.
    • Application de la stratégie : Conservez la valeur par défaut Activée.Policy enforcement: Leave as the default Enabled.
    • Affectée par : renseigné automatiquement en fonction de l’utilisateur connecté.Assigned by: Automatically filled based on who is logged in. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.This field is optional, so custom values can be entered.
  4. Sélectionnez l’onglet Paramètres en haut de l’Assistant.Select the Parameters tab at the top of the wizard. Si vous avez configuré un paramètre d’initiative dans les étapes précédentes, définissez une valeur ici.If you configured an initiative parameter in previous steps, set a value here.

  5. Sélectionnez l’onglet Correction en haut de l’Assistant.Select the Remediation tab at the top of the wizard. Laissez la case Créer une identité managée non cochée.Leave Create a Managed Identity unchecked. Cette case doit être cochée quand la stratégie ou l’initiative affectée inclut une stratégie avec les effets deployIfNotExists ou modifier.This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists or modify effects. Comme ce n’est pas le cas pour la stratégie utilisée dans ce tutoriel, ne cochez pas la case.As the policy used for this tutorial doesn't, leave it blank. Pour plus d’informations, consultez Identités managées et Fonctionnement de la sécurité par correction.For more information, see managed identities and how remediation security works.

  6. Sélectionnez l’onglet Vérifier + créer en haut de l’Assistant.Select the Review + create tab at the top of the wizard.

  7. Passez en revue vos sélections, puis sélectionnez Créer au bas de la page.Review your selections, then select Create at the bottom of the page.

Vérifier la conformité initialeCheck initial compliance

  1. Sélectionnez Conformité dans la partie gauche de la page Azure Policy.Select Compliance in the left side of the Azure Policy page.

  2. Localisez l’initiative Garantir la sécurité.Locate the Get Secure initiative. Elle est probablement toujours à l’État de conformitéNon démarrée.It's likely still in Compliance state of Not started. Sélectionnez l’initiative pour obtenir tous les détails sur la progression de l’affectation.Select the initiative to get full details on the progress of the assignment.

    Page de conformité de l’initiative - évaluations non démarrées

  3. Une fois l’affectation de l’initiative effectuée, la page de conformité est mise à jour avec l’État de conformitéConforme.Once the initiative assignment has been completed, the compliance page is updated with the Compliance state of Compliant.

    Page de conformité de l’initiative - ressources conformes

  4. Pour ouvrir la page de détails sur la conformité de la stratégie, sélectionnez une stratégie dans la page de conformité de l’initiative.Selecting any policy on the initiative compliance page opens the compliance details page for that policy. Cette page fournit des détails au niveau des ressources pour la conformité.This page provides details at the resource level for compliance.

Exempter une ressource non conforme ou refusée en utilisant l’exclusionExempt a non-compliant or denied resource using Exclusion

Après avoir attribué une initiative de stratégie pour exiger un emplacement spécifique, toutes les ressources créées dans un emplacement différent sont refusées.After assigning a policy initiative to require a specific location, any resource created in a different location is denied. Dans cette section, vous allez résoudre pas à pas une situation dans laquelle la demande de création d’une ressource a été refusée en créant une exclusion sur un seul groupe de ressources.In this section, you walk through resolving a denied request to create a resource by creating an exclusion on a single resource group. L’exclusion empêche l’application de la stratégie (ou de l’initiative) à ce groupe de ressources.The exclusion prevents enforcement of the policy (or initiative) on that resource group. Dans l’exemple suivant, tous les emplacements sont autorisés dans le groupe de ressources exclu.In the following example, any location is allowed in the excluded resource group. Une exclusion peut s’appliquer à un abonnement, à un groupe de ressources ou à des ressources individuelles.An exclusion can apply to a subscription, a resource group, or an individual resources.

Les déploiements empêchés par une stratégie ou une initiative affectée peuvent être vus dans le groupe de ressources ciblé par le déploiement : Sélectionnez Déploiements dans la partie gauche de la page, puis sélectionnez le nom du déploiement qui a échoué.Deployments prevented by an assigned policy or initiative can be viewed on the resource group targeted by the deployment: Select Deployments in the left side of the page, then select the Deployment Name of the failed deployment. La ressource refusée est listée avec l’état Interdit.The resource that was denied is listed with a status of Forbidden. Pour déterminer la stratégie ou l’initiative et l’affectation qui a refusé la ressource, sélectionnez Échec. Cliquez ici pour plus d’informations -> dans la page Vue d’ensemble du déploiement.To determine the policy or initiative and assignment that denied the resource, select Failed. Click here for details -> on the Deployment Overview page. Une fenêtre s’ouvre dans la partie droite de la page pour présenter les informations d’erreur.A window opens on the right side of the page with the error information. Sous Détails de l’erreur figurent les GUID des objets de stratégie associés.Under Error Details are the GUIDs of the related policy objects.

Déploiement refusé par l’affectation de stratégie

Dans la page Azure Policy : Sélectionnez Conformité du côté gauche de la page et sélectionnez l’initiative de stratégie Garantir la sécurité.On the Azure Policy page: Select Compliance in the left side of the page and select the Get Secure policy initiative. Dans cette page figure une augmentation du nombre de refus de ressources bloquées.On this page, there is an increase in the Deny count for blocked resources. Sous l’onglet Événements se trouvent des détails sur les personnes qui ont essayé de créer ou de déployer la ressource refusée par la définition de stratégie.Under the Events tab are details about who tried to create or deploy the resource that was denied by the policy definition.

Vue d’ensemble de la conformité d’une stratégie affectée

Dans cet exemple, Trent Baker, l’un des spécialistes de la virtualisation chez Contoso, effectuait des tâches requises.In this example, Trent Baker, one of Contoso's Sr. Virtualization specialists, was doing required work. Nous avons besoin d’accorder à Trent un espace pour une exception.We need to grant Trent a space for an exception. Créez un groupe de ressources, LocationsExcluded, puis octroyez-lui une exception à cette affectation de stratégie.Created a new resource group, LocationsExcluded, and next grant it an exception to this policy assignment.

Mettre à jour une affectation avec une exclusionUpdate assignment with exclusion

  1. Sélectionnez Affectations sous Création dans la partie gauche de la page Azure Policy.Select Assignments under Authoring in the left side of the Azure Policy page.

  2. Parcourez toutes les affectations de stratégie et ouvrez Garantir la sécurité.Browse through all policy assignments and open the Get Secure policy assignment.

  3. Définissez l’exclusion en sélectionnant les points de suspension, puis en sélectionnant le groupe de ressources à exclure, LocationsExcluded dans cet exemple.Set the Exclusion by selecting the ellipsis and selecting the resource group to exclude, LocationsExcluded in this example. Sélectionnez Ajouter à l’étendue sélectionnée, puis Enregistrer.Select Add to Selected Scope and then select Save.

    Ajouter un groupe de ressources exclues à l’affectation de stratégie

    Notes

    En fonction de la définition de stratégie et de son effet, l’exclusion peut également être octroyée à des ressources spécifiques au sein du groupe de ressources dans l’étendue de l’affectation.Depending on the policy definition and its effect, the exclusion could also be granted to specific resources within a resource group inside the scope of the assignment. Comme un effet Refuser a été utilisé dans ce tutoriel, il ne serait pas judicieux de définir l’exclusion sur une ressource spécifique qui existe déjà.As a Deny effect was used in this tutorial, it wouldn't make sense to set the exclusion on a specific resource that already exists.

  4. Sélectionnez Réviser + enregistrer, puis Enregistrer.Select Review + save and then select Save.

Dans cette section, vous avez résolu la demande refusée en créant une exclusion sur un seul groupe de ressources.In this section, you resolved the denied request by creating an exclusion on a single resource group.

Nettoyer les ressourcesClean up resources

Si vous avez fini d’utiliser les ressources de ce tutoriel, effectuez les étapes suivantes pour supprimer les affectations ou définitions de stratégie créées ci-dessus :If you're done working with resources from this tutorial, use the following steps to delete any of the policy assignments or definitions created above:

  1. Sélectionnez Définitions (ou Affectations si vous essayez de supprimer une affectation) sous Création dans la partie gauche de la page Azure Policy.Select Definitions (or Assignments if you're trying to delete an assignment) under Authoring in the left side of the Azure Policy page.

  2. Recherchez la nouvelle définition d’initiative ou de stratégie (ou affectation) à supprimer.Search for the new initiative or policy definition (or assignment) you want to remove.

  3. Cliquez avec le bouton droit sur la liste ou cliquez sur le bouton de sélection en fin de définition (ou d’affectation), puis sélectionnez Supprimer la définition (ou Supprimer l’affectation).Right-click the row or select the ellipses at the end of the definition (or assignment), and select Delete definition (or Delete assignment).

RévisionReview

Dans ce didacticiel, vous avez effectué avec succès les tâches suivantes :In this tutorial, you successfully accomplished the following tasks:

  • Attribué une stratégie pour appliquer une condition aux ressources que vous créez dans le futurAssigned a policy to enforce a condition for resources you create in the future
  • Créé et attribué une définition d’initiative pour effectuer le suivi de la conformité de plusieurs ressourcesCreated and assign an initiative definition to track compliance for multiple resources
  • Résolu une ressource non conforme ou refuséeResolved a non-compliant or denied resource
  • Implémenté une nouvelle stratégie dans l’ensemble de l’entrepriseImplemented a new policy across an organization

Étapes suivantesNext steps

Pour plus d’informations sur les structures des définitions de stratégie, consultez cet article :To learn more about the structures of policy definitions, look at this article: