Azure Policy hersteltaakstructuur

De functie Azure Policy hersteltaak wordt gebruikt om resources in overeenstemming te brengen die zijn vastgesteld op basis van een definitie en toewijzing. Resources die niet compatibel zijn met een wijzigings - of deployIfNotExist-definitietoewijzing , kunnen in overeenstemming worden gebracht met behulp van een hersteltaak. De hersteltaak implementeert de sjabloon deployIFNotExist of de wijzigingsbewerkingen naar de geselecteerde niet-compatibele resources met behulp van de identiteit die is opgegeven in de toewijzing. Zie structuur van beleidstoewijzing. om te begrijpen hoe de identiteit niet-compatibele resources definieert en herstelt voor het configureren van de identiteit.

Notitie

Hersteltaken herstellen resources die niet compatibel zijn. Resources die nieuw zijn gemaakt of bijgewerkt en die van toepassing zijn op een deployIfNotExist- of wijzigingsdefinitietoewijzing, worden automatisch hersteld.

U gebruikt JavaScript Object Notation (JSON) om een beleidshersteltaak te maken. De beleidshersteltaak bevat elementen voor:

• weergavenaam
• beschrijving
• beleidstoewijzing
• beleidsdefinities binnen een initiatief
• aantal resources en parallelle implementaties
• drempelwaarde voor fout
• herstelfilters
• modus voor resourcedetectie
• Inrichtingsstatus en implementatieoverzicht

De volgende JSON toont bijvoorbeeld een beleidshersteltaak voor beleidsdefinitie met de naam requiredTags een onderdeel van een initiatieftoewijzing met de naam resourceShouldBeCompliantInit met alle standaardinstellingen.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Stappen voor het activeren van een hersteltaak in de handleiding Voor het herstellen van niet-compatibele resources

Notitie

Deze instellingen kunnen niet worden gewijzigd nadat de hersteltaak is gestart.

Schermnaam en -beschrijving

U gebruikt displayName en beschrijving om de beleidshersteltaak te identificeren en context op te geven voor het gebruik ervan. displayName heeft een maximale lengte van 128 tekens en een maximale lengte van 512 tekens.

Beleidstoewijzings-id

Dit veld moet de volledige padnaam van een beleidstoewijzing of een initiatieftoewijzing zijn. policyAssignmentId is een tekenreeks en geen matrix. Deze eigenschap definieert welke toewijzing de bovenliggende resourcehiërarchie of afzonderlijke resource moet worden hersteld.

Beleidsdefinitie-id

Als de policyAssignmentId voor een initiatieftoewijzing is, moet de eigenschap policyDefinitionReferenceId worden gebruikt om op te geven welke beleidsdefinitie in het initiatief de onderwerpresource(s) moeten worden hersteld. Omdat een herstel slechts in een bereik van één definitie kan worden hersteld, is deze eigenschap een tekenreeks en geen matrix. De waarde moet overeenkomen met de waarde in de initiatiefdefinitie in het policyDefinitions.policyDefinitionReferenceId veld in plaats van de globale id voor beleidsdefinitie Id.

Aantal resources en parallelle implementaties

Gebruik het aantal resources om te bepalen hoeveel niet-compatibele resources in een bepaalde hersteltaak moeten worden hersteld. De standaardwaarde is 500, waarbij het maximumaantal 50.000 is. Parallelle implementaties bepalen hoeveel van deze resources er tegelijkertijd moeten worden hersteld. Het toegestane bereik ligt tussen 1 en 30 en de standaardwaarde is 10.

Notitie

Parallelle implementaties zijn het aantal implementaties binnen een enkelvoudige hersteltaak met een maximum van 30. Er kunnen maximaal 100 hersteltaken parallel worden uitgevoerd voor één beleidsdefinitie of beleidsverwijzing binnen een initiatief.

Drempelwaarde voor fout

Een optionele eigenschap die wordt gebruikt om aan te geven of de hersteltaak moet mislukken als het percentage fouten de opgegeven drempelwaarde overschrijdt. De drempelwaarde voor fouten wordt weergegeven als een percentage van 0 tot 100. Standaard is de drempelwaarde voor fouten 100%, wat betekent dat de hersteltaak andere resources blijft herstellen, zelfs als resources niet kunnen worden hersteld.

Herstelfilters

Een optionele eigenschap verfijnt welke resources van toepassing zijn op de hersteltaak. Het toegestane filter is resourcelocatie. Tenzij opgegeven, kunnen resources uit elke regio worden hersteld.

Modus voor resourcedetectie

Deze eigenschap bepaalt hoe resources worden gedetecteerd die in aanmerking komen voor herstel. Een resource komt alleen in aanmerking als deze niet-compatibel is. Deze eigenschap is standaard ingesteld op ExistingNonCompliant. Het kan ook worden ingesteld op ReEvaluateCompliance, waarmee een nieuwe nalevingsscan voor die toewijzing wordt geactiveerd en resources worden hersteld die niet-compatibel zijn gevonden.

Overzicht van inrichtingsstatus en implementatie

Zodra een hersteltaak is gemaakt, worden de eigenschappen van de inrichtingsstatus en het implementatieoverzicht ingevuld. Inrichtingsstatus geeft de status van de hersteltaak aan. Toegestane waarden zijn Running, Canceled, Cancelling, Failed, Completeof Succeeded. Implementatieoverzicht is een matrixeigenschap die het aantal implementaties aangeeft, samen met het aantal geslaagde en mislukte implementaties.

Voorbeeld van een hersteltaak die is voltooid:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Volgende stappen

• Begrijpen hoe u oorzaken van niet-naleving kunt vaststellen.
• Meer informatie over het ophalen van nalevingsgegevens.
• Ontdek hoe u niet-compatibele resources kunt herstellen.
• Meer informatie over hoe u kunt reageren op Azure Policy statuswijzigingsevenementen.
• Meer informatie over de structuur van beleidsdefinities.
• Meer informatie over de structuur van de beleidstoewijzing.