Determinare le cause di non conformità

Quando si determina che una risorsa di Azure non è conforme a una regola dei criteri, è utile comprendere a quale parte della regola la risorsa non è conforme. È anche importante conoscere quale modifica ha trasformato una risorsa precedentemente conforme in una risorsa non conforme. È possibile trovare queste informazioni in due modi:

Dettagli di conformità

Quando una risorsa non è conforme, è possibile trovare i dettagli di conformità della risorsa nella pagina Conformità dei criteri. Il riquadro dei dettagli di conformità include le informazioni seguenti:

  • Dettagli della risorsa, ad esempio nome, tipo, posizione e ID risorsa
  • Stato di conformità e timestamp dell'ultima valutazione per l'assegnazione dei criteri corrente
  • Elenco dei motivi per cui la risorsa non è conforme

Importante

Poiché i dettagli di conformità per una risorsa Non conforme indicano il valore corrente delle proprietà di tale risorsa, è necessario che l'utente disponga dell'operazione di lettura per la proprietà type della risorsa. Se ad esempio la risorsa Non conforme è Microsoft.Compute/virtualMachines, l'utente deve disporre dell'operazione Microsoft.Compute/virtualMachines/read. Se l'utente non dispone dell'operazione necessaria, viene visualizzato un errore di accesso.

Per visualizzare i dettagli di conformità, attenersi alla procedura seguente:

  1. Avviare il servizio Criteri di Azure nel portale di Azure facendo clic su Tutti i servizi e quindi cercando e selezionando Criteri.

  2. Nella pagina Panoramica o Conformità selezionare un criterio il cui stato di conformità sia Non conforme.

  3. Nella scheda Conformità risorsa della pagina Conformità dei criteri selezionare e tenere premuto (oppure fare clic con il pulsante destro del mouse) o selezionare i puntini di sospensione di una risorsa in uno stato di conformità non conforme. Quindi selezionare Visualizzare i dettagli sulla conformità.

    Screenshot of the 'View compliance details' link on the Resource compliance tab.

  4. Il riquadro Dettagli conformità visualizza le informazioni della valutazione più recente della risorsa rispetto all'assegnazione dei criteri corrente. In questo esempio il valore del campo Microsoft.Sql/servers/version è 12.0 mentre la definizione del criterio prevedeva 14.0. Se la risorsa non è conforme per più motivi, in questo riquadro vengono elencati tutti i motivi.

    Screenshot of the Compliance details pane and reasons for non-compliance that current value is twelve and target value is fourteen.

    Per una definizione dei criteri auditIfNotExists o deployIfNotExists, i dettagli includono la proprietà details.type e tutte le proprietà facoltative. Per un elenco, vedere Proprietà di AuditIfNotExists e Proprietà di DeployIfNotExists. Ultima risorsa valutata collega a una risorsa correlata della sezione dei dettagli della definizione.

    Esempio parziale della definizione di deployIfNotExists:

    {
        "if": {
            "field": "type",
            "equals": "[parameters('resourceType')]"
        },
        "then": {
            "effect": "DeployIfNotExists",
            "details": {
                "type": "Microsoft.Insights/metricAlerts",
                "existenceCondition": {
                    "field": "name",
                    "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
                },
                "existenceScope": "subscription",
                "deployment": {
                    ...
                }
            }
        }
    }
    

    Screenshot of Compliance details pane for ifNotExists including evaluated resource count.

Nota

Per proteggere i dati, quando il valore di una proprietà è segreto, il valore corrente visualizza gli asterischi.

Questi dettagli spiegano il motivo per cui una risorsa non è attualmente conforme, ma non indicano quando è stata apportata alla risorsa la modifica che l'ha resa non conforme. Per questo tipo di informazioni, vedere la sezione Cronologia modifiche (anteprima) più avanti.

Motivi di conformità

Resource Manager e le modalità provider di risorse hanno motivi diversi per la mancata conformità.

Motivi generali Resource Manager conformità alla modalità di gestione

Nella tabella seguente viene eseguito il mapping Resource Manager motivo della modalità utente alla condizione responsabile nella definizione dei criteri:

Motivo Condizione
Il valore corrente deve contenere il valore di destinazione come chiave. containsKey o not notContainsKey
Il valore corrente deve contenere il valore di destinazione. contains o not notContains
Il valore corrente deve essere uguale al valore di destinazione. equals o not notEquals
Il valore corrente deve essere minore del valore di destinazione. less o not greaterOrEquals
Il valore corrente deve essere maggiore o uguale al valore di destinazione. greaterOrEquals o not less
Il valore corrente deve essere maggiore del valore di destinazione. greater o not lessOrEquals
Il valore corrente deve essere minore o uguale al valore di destinazione. lessOrEquals o not greater
Il valore corrente deve esistere. esiste
Il valore corrente deve essere nel valore di destinazione. in o not notIn
Il valore corrente deve essere uguale al valore di destinazione. like o not notLike
Il valore corrente deve corrispondere al valore di destinazione con distinzione tra maiuscole/minuscole. match o not notMatch
Il valore corrente deve corrispondere al valore di destinazione senza distinzione tra maiuscole/minuscole. matchInsensitively o not notMatchInsensitively
Il valore corrente non deve contenere il valore di destinazione come chiave. notContainsKey o not containsKey
Il valore corrente non deve contenere il valore di destinazione. notContains o not contains
Il valore corrente non deve essere uguale al valore di destinazione. notEquals o not equals
Il valore corrente non deve esistere. not exists
Il valore corrente non deve essere nel valore di destinazione. notIn o not in
Il valore corrente non deve essere uguale al valore di destinazione. notLike o not like
Il valore corrente non deve corrispondere al valore di destinazione con distinzione tra maiuscole/minuscole. notMatch o not match
Il valore corrente non deve corrispondere al valore di destinazione senza distinzione tra maiuscole/minuscole. notMatchInsensitively o not matchInsensitively
Non esistono risorse correlate corrispondenti ai dettagli dell'effetto nella definizione dei criteri. Non esiste una risorsa del tipo definito in then.details.type e relativa alla risorsa definita nella parte if della regola dei criteri.

Motivi di conformità della modalità del provider di risorse del servizio Web Diaks

Nella tabella seguente viene eseguito il mapping di ogni motivo della modalità provider di risorse allo Microsoft.Kubernetes.DataMicrosoft.Kubernetes.Data stato responsabile del modello di vincolo nella definizione dei criteri:

Motivo Descrizione del motivo del modello di vincolo
Constraint/TemplateCreateFailed Non è stato possibile creare la risorsa per una definizione di criteri con un vincolo/modello che non corrisponde a un vincolo/modello esistente nel cluster in base al nome dei metadati della risorsa.
Constraint/TemplateUpdateFailed Impossibile aggiornare il vincolo/modello per una definizione di criteri con un vincolo/modello che corrisponde a un vincolo/modello esistente nel cluster in base al nome dei metadati della risorsa.
Constraint/TemplateInstallFailed Impossibile compilare il vincolo/modello e non è stato possibile installare nel cluster per l'operazione di creazione o aggiornamento.
ConstraintTemplateConflicts Il modello è in conflitto con una o più definizioni di criteri che usano lo stesso nome di modello con un'origine diversa.
ConstraintStatusStale Esiste uno stato "Controllo", ma Gatekeeper non ha eseguito un controllo nell'ultima ora.
ConstraintNotProcessed Non è presente alcuno stato e Gatekeeper non ha eseguito un controllo nell'ultima ora.
InvalidConstraint/Template Il server API ha rifiutato la risorsa a causa di un YAML non erto. Questo motivo può essere causato anche da una mancata corrispondenza del tipo di parametro (ad esempio: stringa fornita per un numero intero)

Nota

Per le assegnazioni di criteri esistenti e i modelli di vincolo già presenti nel cluster, se tale vincolo/modello ha esito negativo, il cluster viene protetto mantenendo il vincolo/modello esistente. Il cluster segnala come non conforme fino a quando l'errore non viene risolto nell'assegnazione dei criteri o nell'auto-cura del componente aggiuntivo. Per altre informazioni sulla gestione dei conflitti, vedere Conflitti dei modelli di vincolo.

Dettagli dei componenti per le modalità del provider di risorse

Per le assegnazioni in modalità Provider di risorse,selezionare la risorsa Non conforme per aprire una visualizzazione più approfondita. Nella scheda Conformità componente sono disponibili informazioni aggiuntive specifiche per la modalità Provider di risorse nei criteri assegnati che mostrano l'IDcomponentee componente non conforme.

Screenshot of Component Compliance tab and compliance details for a Resource Provider mode assignment.

Dettagli di conformità per la configurazione guest

Per le definizioni dei criteri nella categoria Configurazione guest, possono essere valutate più impostazioni all'interno della macchina virtuale ed è necessario visualizzare i dettagli per impostazione. Ad esempio, se si sta controllando un elenco di impostazioni di sicurezza e solo una di esse ha lo stato Nonconforme, è necessario sapere quali impostazioni specifiche non sono conformi e perché.

È anche possibile che non si abbia accesso direttamente alla macchina virtuale, ma è necessario segnalare il motivo per cui la macchina virtuale non è conforme.

Portale di Azure

Per iniziare, seguire la stessa procedura descritta nella sezione precedente per visualizzare i dettagli di conformità dei criteri.

Nella visualizzazione del riquadro Dettagli conformità selezionare il collegamento Ultima risorsa valutata.

Screenshot of viewing the auditIfNotExists definition compliance details.

Nella pagina Assegnazione guest vengono visualizzati tutti i dettagli di conformità disponibili. Ogni riga della vista rappresenta una valutazione eseguita all'interno del computer. Nella colonna Motivo viene visualizzata una frase che descrive il motivo per cui l'assegnazione guest è Non conforme. Se ad esempio si controllano i criteri password, nella colonna Motivo verrà visualizzato il testo che include il valore corrente per ogni impostazione.

Screenshot of the Guest Assignment compliance details.

Visualizzare i dettagli dell'assegnazione di configurazione su larga scala

La funzionalità di configurazione guest può essere usata al di fuori Criteri di Azure assegnazioni. Ad esempio, Gestione automatica di Azure crea assegnazioni di configurazione guest oppure è possibile assegnare configurazioni quando si distribuiscono i computer.

Per visualizzare tutte le assegnazioni di configurazione guest nel tenant, dal portale di Azure aprire la pagina Assegnazioni guest. Per visualizzare informazioni dettagliate sulla conformità, selezionare ogni assegnazione usando il collegamento nella colonna "Nome".

Screenshot of the Guest Assignment page.

Cronologia modifiche (anteprima)

La nuova anteprima pubblica include gli ultimi 14 giorni di cronologia delle modifiche per tutte le risorse di Azure che supportano l'eliminazione in modalità completa. La cronologia modifiche fornisce informazioni dettagliate su quando è stata rilevata una modifica e offre un diff visivo per ogni modifica. Un rilevamento delle modifiche viene attivato quando le Azure Resource Manager vengono aggiunte, rimosse o modificate.

  1. Avviare il servizio Criteri di Azure nel portale di Azure facendo clic su Tutti i servizi e quindi cercando e selezionando Criteri.

  2. Nella pagina Panoramica o Conformità selezionare un criterio con uno stato di conformità qualsiasi.

  3. Nella scheda Conformità risorsa della pagina Conformità dei criteri selezionare una risorsa.

  4. Selezionare la scheda Cronologia modifiche (anteprima) nella pagina Conformità risorsa. Verrà visualizzato un elenco delle eventuali modifiche rilevate.

    Screenshot of the Change History tab and detected change times on Resource Compliance page.

  5. Selezionare una delle modifiche rilevate. Verrà visualizzato il diff visivo per la risorsa nella pagina Cronologia modifiche.

    Screenshot of the Change History Visual Diff of the before and after state of properties on the Change history page.

Il diff visivo facilita l'identificazione delle modifiche di una risorsa. Le modifiche rilevate potrebbero non essere correlate allo stato di conformità corrente della risorsa.

I dati della cronologia delle modifiche vengono forniti da Azure Resource Graph. Per eseguire una query su queste informazioni all'esterno del portale di Azure, vedere Ottenere le modifiche delle risorse.

Passaggi successivi