A nemmegfelelőség okainak meghatározásaDetermine causes of non-compliance

Ha egy Azure-erőforrás úgy van meghatározva, hogy nem felel meg egy házirend-szabálynak, érdemes megismerni, hogy az erőforrás melyik része nem felel meg a szabálynak.When an Azure resource is determined to be non-compliant to a policy rule, it's helpful to understand which portion of the rule the resource isn't compliant with. Azt is érdemes megismerni, hogy milyen változás lett módosítva egy korábban megfelelő erőforrásnak, hogy az nem megfelelő legyen.It's also useful to understand what change altered a previously compliant resource to make it non-compliant. Ezt az információt kétféleképpen lehet megkeresni:There are two ways to find this information:

Megfelelőség részleteiCompliance details

Ha egy erőforrás nem megfelelő, az adott erőforrás megfelelőségi adatai a szabályzat megfelelőségi lapján érhetők el.When a resource is non-compliant, the compliance details for that resource are available from the Policy compliance page. A megfelelőség részleteit tartalmazó ablaktábla a következő információkat tartalmazza:The compliance details pane includes the following information:

  • Erőforrás részletei, például név, típus, hely és erőforrás-azonosítóResource details such as name, type, location, and resource ID
  • Az aktuális szabályzat-hozzárendelés utolsó kiértékelésének megfelelőségi állapota és időbélyegeCompliance state and timestamp of the last evaluation for the current policy assignment
  • Az erőforrás nem megfelelőségi okainak listájaA list of reasons for the resource non-compliance

Fontos

Mivel a nem megfelelő erőforrások megfelelőségi adatai az adott erőforrás tulajdonságainak aktuális értékét jelenítik meg, a felhasználónak olvasási művelettel kell rendelkeznie az erőforrás típusához .As the compliance details for a Non-compliant resource shows the current value of properties on that resource, the user must have read operation to the type of resource. Ha például a nem megfelelő erőforrás a Microsoft. számítás/virtualMachines , akkor a felhasználónak rendelkeznie kell a Microsoft. számítási/virtualMachines/olvasási művelettel.For example, if the Non-compliant resource is Microsoft.Compute/virtualMachines then the user must have the Microsoft.Compute/virtualMachines/read operation. Ha a felhasználó nem rendelkezik a szükséges művelettel, a rendszer hozzáférési hibaüzenetet jelenít meg.If the user doesn't have the needed operation, an access error is displayed.

A megfelelőségi adatok megtekintéséhez kövesse az alábbi lépéseket:To view the compliance details, follow these steps:

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon. Ehhez kattintson a Minden szolgáltatás elemre, majd keresse meg és válassza ki a Szabályzat elemet.Launch the Azure Policy service in the Azure portal by clicking All services, then searching for and selecting Policy.

  2. Az Áttekintés vagy megfelelőség lapon válassza ki a szabályzatot olyan megfelelőségi állapotban , amely nem megfelelő.On the Overview or Compliance page, select a policy in a compliance state that is Non-compliant.

  3. A szabályzat megfelelősége lap erőforrás-megfelelőség lapján kattintson a jobb gombbal, vagy válassza ki az erőforrás három pontját egy olyan megfelelőségi állapotban , amely nem megfelelő.Under the Resource compliance tab of the Policy compliance page, right-click or select the ellipsis of a resource in a compliance state that is Non-compliant. Ezután válassza a megfelelőségi adatok megtekintéselehetőséget.Then select View compliance details.

    Megfelelőségi részletek megtekintése lehetőség

  4. A megfelelőség részletei ablaktábla az erőforrás legutóbbi kiértékelésével kapcsolatos információkat jeleníti meg az aktuális szabályzat-hozzárendeléshez.The Compliance details pane displays information from the latest evaluation of the resource to the current policy assignment. Ebben a példában a Microsoft. SQL/Servers/Version mező értéke 12,0 , míg a rendszer a 14,0-es szabályzat-definíciót várta.In this example, the field Microsoft.Sql/servers/version is found to be 12.0 while the policy definition expected 14.0. Ha az erőforrás több okból nem megfelelő, az egyes elemek a panelen jelennek meg.If the resource is non-compliant for multiple reasons, each is listed on this pane.

    Megfelelőség részletei ablaktábla és a meg nem felelés okai

    AuditIfNotExists vagy deployIfNotExists házirend-definíció esetén a részletek között szerepel a részletek. Type tulajdonság és a nem kötelező tulajdonságok.For an auditIfNotExists or deployIfNotExists policy definition, the details include the details.type property and any optional properties. A listában tekintse meg a auditIfNotExists tulajdonságai és a deployIfNotExists tulajdonságaicímű témakört.For a list, see auditIfNotExists properties and deployIfNotExists properties. Az utolsó kiértékelt erőforrás a definíció részletek szakaszában található kapcsolódó erőforrás.Last evaluated resource is a related resource from the details section of the definition.

    Példa részleges deployIfNotExists -definícióra:Example partial deployIfNotExists definition:

    {
        "if": {
            "field": "type",
            "equals": "[parameters('resourceType')]"
        },
        "then": {
            "effect": "DeployIfNotExists",
            "details": {
                "type": "Microsoft.Insights/metricAlerts",
                "existenceCondition": {
                    "field": "name",
                    "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
                },
                "existenceScope": "subscription",
                "deployment": {
                    ...
                }
            }
        }
    }
    

    Megfelelőség részletei panel-* ifNotExists

Megjegyzés

Az adatvédelemhez, ha egy tulajdonság értéke titkos , a jelenlegi érték csillagokat jelenít meg.To protect data, when a property value is a secret the current value displays asterisks.

Ezek a részletek ismertetik, hogy egy adott erőforrás miért nem megfelelő, de ne jelenjen meg, ha az erőforrás változása miatt nem megfelelővé vált.These details explain why a resource is currently non-compliant, but don't show when the change was made to the resource that caused it to become non-compliant. Ebben az esetben tekintse meg az alábbi változások előzményeit (előzetes verzió) .For that information, see Change history (Preview) below.

Megfelelőségi okokCompliance reasons

A következő mátrix minden lehetséges okot leképez a szabályzat-definícióban szereplő felelős feltételre :The following matrix maps each possible reason to the responsible condition in the policy definition:

OkReason ÁllapotCondition
A jelenlegi értéknek a célként megadott értéket kell tartalmaznia kulcsként.Current value must contain the target value as a key. containsKey vagy nem notContainsKeycontainsKey or not notContainsKey
A jelenlegi értéknek tartalmaznia kell a célérték értékét.Current value must contain the target value. notContains tartalmaz vagy nemcontains or not notContains
A jelenlegi értéknek meg kell egyeznie a célként megadott értékkel.Current value must be equal to the target value. egyenlő vagy nem notEqualsequals or not notEquals
A jelenlegi értéknek a célként megadott értéknél kisebbnek kell lennie.Current value must be less than the target value. kevesebb vagy nem greaterOrEqualsless or not greaterOrEquals
A jelenlegi értéknek nagyobbnak vagy egyenlőnek kell lennie a célként megadott értékkel.Current value must be greater than or equal to the target value. greaterOrEquals vagy nem kevesebbgreaterOrEquals or not less
A jelenlegi értéknek nagyobbnak kell lennie a célként megadott értéknél.Current value must be greater than the target value. nagyobb vagy nem lessOrEqualsgreater or not lessOrEquals
A jelenlegi érték nem lehet kisebb a célként megadott értéknél.Current value must be less than or equal to the target value. lessOrEquals vagy nem nagyobblessOrEquals or not greater
A jelenlegi értéknek léteznie kell.Current value must exist. létezikexists
A jelenlegi értéknek a célként megadott értéknek kell lennie.Current value must be in the target value. vagy nem notInin or not notIn
A jelenlegi értéknek a célként megadott értéknek kell lennie.Current value must be like the target value. hasonló vagy nem notLikelike or not notLike
A jelenlegi értéknek a kis-és nagybetűk megkülönböztetésével egyezőnek kell lennie.Current value must case-sensitive match the target value. egyezés vagy nem notMatchmatch or not notMatch
A jelenlegi értéknek a kis-és nagybetűk megkülönböztetésével egyeznie kell a célérték értékével.Current value must case-insensitive match the target value. matchInsensitively vagy nem notMatchInsensitivelymatchInsensitively or not notMatchInsensitively
A jelenlegi érték nem tartalmazhatja a célként megadott értéket kulcsként.Current value must not contain the target value as a key. notContainsKey vagy nem containsKeynotContainsKey or not containsKey
A jelenlegi érték nem tartalmazhatja a célérték értékét.Current value must not contain the target value. notContains vagy nem tartalmaznotContains or not contains
A jelenlegi érték nem lehet egyenlő a célként megadott értékkel.Current value must not be equal to the target value. notEquals vagy nem egyenlőnotEquals or not equals
A jelenlegi érték nem lehet létező.Current value must not exist. nem léteziknot exists
A jelenlegi érték nem lehet a célként megadott értékben.Current value must not be in the target value. notIn vagy nemnotIn or not in
A jelenlegi érték nem lehet a célként megadott értékhez hasonló.Current value must not be like the target value. notLike vagy nem hasonlónotLike or not like
A jelenlegi érték nem lehet kis-és nagybetűk megkülönböztetése a célként megadott értékkel.Current value must not case-sensitive match the target value. notMatch vagy nem egyeziknotMatch or not match
A jelenlegi érték nem lehet kis-és nagybetűk megkülönböztetése a célként megadott értékkel.Current value must not case-insensitive match the target value. notMatchInsensitively vagy nem matchInsensitivelynotMatchInsensitively or not matchInsensitively
Egyetlen kapcsolódó erőforrás sem felel meg a szabályzat-definícióban szereplő hatás részleteinek.No related resources match the effect details in the policy definition. A . details. Type és a Policy szabály IF részében definiált erőforráshoz kapcsolódó erőforrás nem létezik.A resource of the type defined in then.details.type and related to the resource defined in the if portion of the policy rule doesn't exist.

A vendég konfigurációjának megfelelőségi adataiCompliance details for Guest Configuration

A vendég konfiguráció kategóriájában a auditIfNotExists házirendek esetében több beállítás is KIÉRTÉKELhető a virtuális gépen, és meg kell tekintenie egy beállítás részleteit.For auditIfNotExists policies in the Guest Configuration category, there could be multiple settings evaluated inside the VM and you'll need to view per-setting details. Ha például a rendszer naplózza a jelszóházirend listáját, és csak az egyikük állapota nem megfelelő, akkor tudnia kell, hogy mely konkrét jelszóházirend-szabályzatok nem felelnek meg az előírásoknak, és miért.For example, if you're auditing for a list of password policies and only one of them has status Non-compliant, you'll need to know which specific password policies are out of compliance and why.

Előfordulhat, hogy nem fér hozzá közvetlenül a virtuális géphez, de jelentenie kell, hogy a virtuális gép miért nem megfelelő.You also might not have access to sign in to the VM directly but you need to report on why the VM is Non-compliant.

Azure portálAzure portal

A szabályzat megfelelőségi részleteinek megtekintéséhez kövesse a fenti szakasz lépéseit.Begin by following the same steps in the section above for viewing policy compliance details.

A megfelelőség részletei ablaktáblán kattintson az utolsó kiértékelt erőforráshivatkozásra.In the Compliance details pane view click the link Last evaluated resource.

AuditIfNotExists-definíció részleteinek megtekintése

A vendég-hozzárendelés lap megjeleníti az összes elérhető megfelelőségi részletet.The Guest Assignment page displays all available compliance details. A nézet minden sora a gépen belül végrehajtott értékelést jelképezi.Each row in the view represents an evaluation that was performed inside the machine. Az OK oszlopban egy olyan kifejezés látható, amely leírja, hogy a vendég-hozzárendelés miért nem megfelelő .In the Reason column, a phrase describing why the Guest Assignment is Non-compliant is shown. Ha például a jelszóházirend naplózása, az OK oszlopban az egyes beállítások aktuális értéke is megjelenik.For example, if you're auditing password policies, the Reason column would display text including the current value for each setting.

Megfelelőségi részletek megtekintése

Azure PowerShellAzure PowerShell

Azure PowerShell a megfelelőségi adatokat is megtekintheti.You can also view compliance details from Azure PowerShell. Először győződjön meg arról, hogy telepítve van a vendég konfigurációs modul.First, make sure you have the Guest Configuration module installed.

Install-Module Az.GuestConfiguration

A virtuális gép összes vendég hozzárendelésének aktuális állapotát a következő parancs használatával tekintheti meg:You can view the current status of all Guest Assignments for a VM using the following command:

Get-AzVMGuestPolicyReport -ResourceGroupName <resourcegroupname> -VMName <vmname>
PolicyDisplayName                                                         ComplianceReasons
-----------------                                                         -----------------
Audit that an application is installed inside Windows VMs                 {[InstalledApplication]bwhitelistedapp}
Audit that an application is not installed inside Windows VMs.            {[InstalledApplication]NotInstalledApplica...

Ha csak az OK kifejezést szeretné megtekinteni, amely leírja, hogy a virtuális gép miért nem megfelelő, csak a gyermek tulajdonságot küldje vissza.To view only the reason phrase that describes why the VM is Non-compliant, return only the Reason child property.

Get-AzVMGuestPolicyReport -ResourceGroupName <resourcegroupname> -VMName <vmname> | % ComplianceReasons | % Reasons | % Reason
The following applications are not installed: '<name>'.

A számítógép hatókörében a vendég-hozzárendelések megfelelőségi előzményeit is kiállíthatja.You can also output a compliance history for Guest Assignments in scope for the machine. A parancs kimenete tartalmazza a virtuális gép jelentéseinek részleteit.The output from this command includes the details of each report for the VM.

Megjegyzés

A kimenet nagy mennyiségű adatokat adhat vissza.The output may return a large volume of data. Azt javasoljuk, hogy a kimenetet egy változóban tárolja.It's recommended to store the output in a variable.

$guestHistory = Get-AzVMGuestPolicyStatusHistory -ResourceGroupName <resourcegroupname> -VMName <vmname>
$guestHistory
PolicyDisplayName                                                         ComplianceStatus ComplianceReasons StartTime              EndTime                VMName LatestRepor
                                                                                                                                                                  tId
-----------------                                                         ---------------- ----------------- ---------              -------                ------ -----------
[Preview]: Audit that an application is installed inside Windows VMs      NonCompliant                       02/10/2019 12:00:38 PM 02/10/2019 12:00:41 PM VM01  ../17fg0...
<truncated>

A nézet egyszerűsítéséhez használja a ShowChanged paramétert.To simplify this view, use the ShowChanged parameter. A parancs kimenete csak azokat a jelentéseket tartalmazza, amelyek követték a megfelelőségi állapot változását.The output from this command only includes the reports that followed a change in compliance status.

$guestHistory = Get-AzVMGuestPolicyStatusHistory -ResourceGroupName <resourcegroupname> -VMName <vmname> -ShowChanged
$guestHistory
PolicyDisplayName                                                         ComplianceStatus ComplianceReasons StartTime              EndTime                VMName LatestRepor
                                                                                                                                                                  tId
-----------------                                                         ---------------- ----------------- ---------              -------                ------ -----------
Audit that an application is installed inside Windows VMs                 NonCompliant                       02/10/2019 10:00:38 PM 02/10/2019 10:00:41 PM VM01  ../12ab0...
Audit that an application is installed inside Windows VMs.                Compliant                          02/09/2019 11:00:38 AM 02/09/2019 11:00:39 AM VM01  ../e3665...
Audit that an application is installed inside Windows VMs                 NonCompliant                       02/09/2019 09:00:20 AM 02/09/2019 09:00:23 AM VM01  ../15ze1...

változási előzmények (előzetes verzió)Change history (Preview)

Egy új nyilvános előzetesverzió részeként az utolsó 14 nap változási előzményei minden olyan Azure-erőforráshoz elérhetők, amely támogatja a teljes módú törlést.As part of a new public preview, the last 14 days of change history are available for all Azure resources that support complete mode deletion. A változási előzmények részletesen ismertetik a változás észlelését és az egyes változtatások vizuális eltéréseit.Change history provides details about when a change was detected and a visual diff for each change. A változás észlelése akkor aktiválódik, ha a Resource Manager-tulajdonságok hozzáadása, eltávolítása vagy módosítása történik.A change detection is triggered when the Resource Manager properties are added, removed, or altered.

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon. Ehhez kattintson a Minden szolgáltatás elemre, majd keresse meg és válassza ki a Szabályzat elemet.Launch the Azure Policy service in the Azure portal by clicking All services, then searching for and selecting Policy.

  2. Az Áttekintés vagy megfelelőség lapon válassza ki a szabályzatot bármilyen megfelelőségi állapotban.On the Overview or Compliance page, select a policy in any compliance state.

  3. A szabályzat megfelelősége lap erőforrás-megfelelőség lapján válasszon ki egy erőforrást.Under the Resource compliance tab of the Policy compliance page, select a resource.

  4. Válassza az erőforrás-megfelelőség lapon az Előzmények módosítása (előzetes verzió) lapot.Select the Change History (preview) tab on the Resource Compliance page. Megjelenik az észlelt módosítások listája, ha vannak ilyenek.A list of detected changes, if any exist, are displayed.

    Az erőforrás-megfelelőség lap Azure Policy módosítási előzmények lapja

  5. Válassza ki az észlelt módosítások egyikét.Select one of the detected changes. Az erőforráshoz tartozó vizualizációs diff a változási előzmények lapon jelenik meg.The visual diff for the resource is presented on the Change history page.

    Azure Policy változási előzmények Visual diff a változási előzmények lapon

A vizualizációs diff segédek egy erőforrás változásainak azonosításához.The visual diff aides in identifying changes to a resource. Előfordulhat, hogy az észlelt változások nem kapcsolódnak az erőforrás aktuális megfelelőségi állapotához.The changes detected may not be related to the current compliance state of the resource.

Az előzmények módosításait az Azure Resource Graphbiztosíthatja.Change history data is provided by Azure Resource Graph. A Azure Portalon kívüli adatok lekérdezéséhez lásd: erőforrás-módosítások beolvasása.To query this information outside of the Azure portal, see Get resource changes.

Következő lépésekNext steps