Criteri di Azure stati di conformità
Funzionamento della conformità
Quando vengono assegnate definizioni di iniziativa o criteri, Criteri di Azure determina quali risorse sono applicabili, quindi valuta quelle che non sono state escluse o escluse. La valutazione restituisce gli stati di conformità in base alle condizioni nella regola dei criteri e alla conformità di ogni risorsa a tali requisiti.
Stati di conformità disponibili
Non conforme
Le assegnazioni di criteri con auditgli effetti , auditIfNotExistso modify sono considerate non conformi per le risorse nuove, aggiornate o esistenti quando le condizioni della regola dei criteri restituiscono TRUE.
Le assegnazioni di criteri con appendgli effetti , denye deployIfNotExists vengono considerate non conformi per le risorse esistenti quando le condizioni della regola dei criteri restituiscono TRUE. Le risorse nuove e aggiornate vengono automaticamente corrette o negate in fase di richiesta per applicare la conformità. Quando una risorsa non conforme esistente in precedenza viene aggiornata, lo stato di conformità rimane non conforme fino al completamento della distribuzione delle risorse e della valutazione dei criteri.
Nota
Per gli effetti DeployIfNotExist e AuditIfNotExist è necessario che l'istruzione IF sia TRUE e che la condizione di esistenza sia FALSE per non essere conforme. Se è TRUE, la condizione IF attiva la valutazione della condizione di esistenza per le risorse correlate.
Le assegnazioni di criteri con manual effetti sono considerate non conformi in due circostanze:
- La definizione dei criteri ha uno stato di conformità predefinito non conforme e non esiste alcuna attestazione attiva per la risorsa applicabile in caso contrario.
- La risorsa è stata attestata come non conforme.
Per determinare il motivo per cui una risorsa non è conforme o per trovare la modifica responsabile, vedere Determinare la mancata conformità. Per correggere le risorse non conformi per deployIfNotExists e modify i criteri, vedere Correggere le risorse non conformi con Criteri di Azure.
Conforme
Le assegnazioni di criteri con appendeffetti , auditauditIfNotExists, deny, deployIfNotExists, o modify vengono considerate conformi per le risorse nuove, aggiornate o esistenti quando le condizioni della regola dei criteri restituiscono FAL edizione Standard.
Le assegnazioni di criteri con manual effetti sono considerate conformi in due circostanze:
- La definizione dei criteri ha uno stato di conformità predefinito conforme e non esiste alcuna attestazione attiva per la risorsa applicabile in caso contrario.
- La risorsa è stata attestata come conforme.
Errore
Lo stato di conformità degli errori viene assegnato alle assegnazioni di criteri che generano un errore di sistema, ad esempio un modello o un errore di valutazione.
In conflitto
Un'assegnazione di criteri viene considerata in conflitto quando sono presenti due o più assegnazioni di criteri nello stesso ambito con regole in conflitto o in conflitto. Ad esempio, due definizioni che aggiungono lo stesso tag con valori diversi.
Esente
Una risorsa applicabile ha uno stato di conformità esente per un'assegnazione di criteri quando si trova nell'ambito di un'esenzione.
Nota
L'esenzione è diversa da quella esclusa. Per altri dettagli, vedere Ambito.
Sconosciuto
Sconosciuto è lo stato di conformità predefinito per le definizioni, manual a meno che il valore predefinito non sia stato impostato in modo esplicito su conforme o non conforme. Questo stato indica che viene garantita un'attestazione di conformità. Questo stato di conformità si verifica solo per le assegnazioni di criteri con manual effetto.
Protetto
Lo stato protetto indica che la risorsa è coperta da un'assegnazione con effetto denyAction .
Non registrato
Questo stato di conformità è visibile nel portale quando il provider di risorse Criteri di Azure non è stato registrato o quando l'account connesso non ha l'autorizzazione per leggere i dati di conformità.
Nota
Se lo stato di conformità viene segnalato come Non registrato, verificare che il provider di risorse Microsoft.PolicyInsights sia registrato e che l'utente disponga delle autorizzazioni appropriate per il controllo degli accessi in base al ruolo di Azure, come descritto in Autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Criteri di Azure. Per registrare Microsoft.PolicyInsights, seguire questa procedura.
Non avviato
Questo stato di conformità indica che il ciclo di valutazione non è stato avviato per il criterio o la risorsa.
Esempio
Dopo aver compreso quali stati di conformità esistono e cosa significa ognuno di essi, si esaminerà un esempio che usa stati conformi e non conformi.
Si supponga di avere un gruppo di risorse - ContosoRG, con alcuni account di archiviazione (evidenziati in rosso) esposti alle reti pubbliche.
Diagramma che mostra le immagini per cinque account di archiviazione nel gruppo di risorse Contoso R G. Archiviazione account uno e tre sono blu, mentre gli account di archiviazione due, quattro e cinque sono rossi.
In questo esempio, è necessario essere ben consapevoli dei rischi di sicurezza. Si supponga di assegnare una definizione di criteri che controlla gli account di archiviazione esposti alle reti pubbliche e che non vengano create esenzioni per questa assegnazione. I criteri controllano le risorse applicabili (che includono tutti gli account di archiviazione nel gruppo di risorse ContosoRG), quindi valutano le risorse che non sono escluse dalla valutazione. Controlla i tre account di archiviazione esposti alle reti pubbliche, modificando i relativi stati di conformità in Non conforme. Il resto è contrassegnato come conforme.
Diagramma che mostra le immagini per cinque account di archiviazione nel gruppo di risorse Contoso R G. Archiviazione account uno e tre ora hanno segni di spunta verdi sotto di essi, mentre gli account di archiviazione due, quattro e cinque ora hanno segni di avviso rosso sotto di essi.
Rollup della conformità
Lo stato di conformità viene determinato per ogni risorsa, assegnazione per criterio. Tuttavia, spesso è necessaria una panoramica generale dello stato dell'ambiente, che è il punto in cui entra in gioco la conformità aggregata.
Esistono diversi modi per visualizzare i risultati di conformità aggregati nel portale:
| Visualizzazione di conformità aggregata | Fattori che determinano lo stato di conformità |
|---|---|
| Ambito | Tutti i criteri all'interno dell'ambito selezionato |
| Iniziativa | Tutti i criteri all'interno dell'iniziativa |
| Gruppo o controllo dell'iniziativa | Tutti i criteri all'interno del gruppo o del controllo |
| Criteri | Tutte le risorse applicabili |
| Risorsa | Tutti i criteri applicabili |
Confronto tra stati di conformità diversi
In che modo viene determinato lo stato di conformità aggregato se più risorse o criteri hanno stati di conformità diversi? Criteri di Azure classifica ogni stato di conformità in modo che uno "vince" rispetto a un altro in questa situazione. L'ordine di classificazione è:
- Non conforme
- Conforme
- Errore
- In conflitto
- Protetto (anteprima)
- Esentati
- Sconosciuto (anteprima)
Nota
Non avviato e non registrato non sono considerati nei calcoli di rollup della conformità.
Con questa classificazione, se sono presenti stati non conformi e conformi, l'aggregazione di cui è stato eseguito il rollup sarà non conforme e così via. Ecco un esempio:
Si supponga che un'iniziativa contenga 10 criteri e che una risorsa sia esente da un criterio ma conforme ai nove rimanenti. Poiché uno stato conforme ha un rango superiore a quello di uno stato esente, la risorsa verrà registrata come conforme nel riepilogo di rollup dell'iniziativa. Pertanto, una risorsa viene mostrata come esente solo per l'intera iniziativa, se è esente o ha conformità sconosciuta a, ogni altro criterio applicabile in tale iniziativa. Dall'altro lato, una risorsa non conforme ad almeno un criterio applicabile nell'iniziativa ha uno stato di conformità complessivo non conforme, indipendentemente dai criteri applicabili rimanenti.
Percentuale di conformità
La percentuale di conformità viene determinata dividendo le risorse con stato Conforme, Esente e Sconosciuto per il totale delle risorse. Le risorse totali includono risorse con stati Conforme, Non conforme, Sconosciuto, Esente, In conflitto e Errore.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Nell'immagine mostrata sono disponibili 20 risorse distinte applicabili e solo una non è conforme. La conformità complessiva delle risorse è pari al 95% (19 su 20).
Passaggi successivi
- Informazioni su come ottenere dati sulla conformità
- Informazioni su come determinare le cause della mancata conformità
- Ottenere dati di conformità tramite esempi di query ARG