Quickstart: Een beleidstoewijzing maken om niet-conforme resources met Azure CLI te identificerenQuickstart: Create a policy assignment to identify non-compliant resources with Azure CLI

De eerste stap in het begrijpen van naleving in Azure is het identificeren van de status van uw resources.The first step in understanding compliance in Azure is to identify the status of your resources. In deze quickstart gaat u een beleidstoewijzing maken voor het identificeren van virtuele machines die geen beheerde schijven gebruiken.This quickstart steps you through the process of creating a policy assignment to identify virtual machines that aren't using managed disks.

Als u dit proces helemaal hebt doorlopen, kunt u virtuele machines identificeren die geen beheerde schijven gebruiken.At the end of this process, you'll successfully identify virtual machines that aren't using managed disks. Ze zijn niet-compatibel met de beleidstoewijzing.They're non-compliant with the policy assignment.

Azure CLI wordt gebruikt voor het maken en beheren van Azure-resources vanaf de opdrachtregel of in scripts.Azure CLI is used to create and manage Azure resources from the command line or in scripts. In deze gids wordt Azure CLI gebruikt om een beleidstoewijzing te maken om niet-compatibele resources te identificeren in uw Azure-omgeving.This guide uses Azure CLI to create a policy assignment and to identify non-compliant resources in your Azure environment.

VereistenPrerequisites

  • Als u nog geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.If you don't have an Azure subscription, create a free account before you begin.

  • Voor deze quickstart moet u versie 2.0.76 of hoger van Azure CLI uitvoeren.This quickstart requires that you run Azure CLI version 2.0.76 or later. Voer az --version uit om de versie te bekijken.To find the version, run az --version. Zie Azure CLI installeren als u de CLI wilt installeren of een upgrade wilt uitvoeren.If you need to install or upgrade, see Install Azure CLI.

  • Registreer de resourceprovider Azure Policy Insights met behulp van Azure CLI.Register the Azure Policy Insights resource provider using Azure CLI. Als u de resourceprovider registreert, controleer dan of uw abonnement ermee werkt.Registering the resource provider makes sure that your subscription works with it. Als u een resourceprovider wilt registreren, moet u toestemming hebben om de bewerking van de resourceprovider te registeren.To register a resource provider, you must have permission to the register resource provider operation. Deze bewerking is opgenomen in de rollen Inzender en Eigenaar.This operation is included in the Contributor and Owner roles. Voer de volgende opdracht uit om de resourceprovider te registreren:Run the following command to register the resource provider:

    az provider register --namespace 'Microsoft.PolicyInsights'
    

    Zie Resourceproviders en -typen voor meer informatie over het registreren en weergeven van resourceproviders.For more information about registering and viewing resource providers, see Resource Providers and Types

  • Installeer de ARMClient als u dit nog niet hebt gedaan.If you haven't already, install the ARMClient. Dit is een hulpprogramma waarmee HTTP-aanvragen worden verzonden naar Azure Resource Manager-API’s.It's a tool that sends HTTP requests to Azure Resource Manager-based APIs.

Azure Cloud Shell gebruikenUse Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your browser. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken.You can use either Bash or PowerShell with Cloud Shell to work with Azure services. U kunt de vooraf geïnstalleerde opdrachten van Cloud Shell gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.You can use the Cloud Shell preinstalled commands to run the code in this article without having to install anything on your local environment.

Om Azure Cloud Shell op te starten:To start Azure Cloud Shell:

OptieOption Voorbeeld/koppelingExample/Link
Selecteer Nu proberen in de rechterbovenhoek van een codeblok.Select Try It in the upper-right corner of a code block. Als u Uitproberen selecteert, wordt de code niet automatisch gekopieerd naar Cloud Shell.Selecting Try It doesn't automatically copy the code to Cloud Shell. Voorbeeld van Uitproberen voor Azure Cloud Shell
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.Go to https://shell.azure.com, or select the Launch Cloud Shell button to open Cloud Shell in your browser. Cloud Shell starten in een nieuw vensterLaunch Cloud Shell in a new window
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.Select the Cloud Shell button on the menu bar at the upper right in the Azure portal. Knop Cloud Shell in de Azure Portal

Om de code in dit artikel in Azure Cloud Shell uit te voeren:To run the code in this article in Azure Cloud Shell:

  1. Start Cloud Shell.Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok om de code te kopiëren.Select the Copy button on a code block to copy the code.

  3. Plak de code in de Cloud Shell-sessie door CTRL+Shift+V te selecteren in Windows en Linux of door Cmd+Shift+V op macOS te selecteren.Paste the code into the Cloud Shell session by selecting Ctrl+Shift+V on Windows and Linux or by selecting Cmd+Shift+V on macOS.

  4. Selecteer Invoeren om de code uit te voeren.Select Enter to run the code.

Een beleidstoewijzing makenCreate a policy assignment

In deze snelstart maakt u een beleidstoewijzing en wijst u de definitie Controleer virtuele machines die niet gebruikmaken van beheerde schijven toe.In this quickstart, you create a policy assignment and assign the Audit VMs that do not use managed disks definition. Deze beleidsdefinitie identificeert resources die niet voldoen aan de voorwaarden die zijn vastgelegd in de beleidsdefinitie.This policy definition identifies resources that aren't compliant to the conditions set in the policy definition.

Voer de volgende opdracht uit om een beleidstoewijzing te maken:Run the following command to create a policy assignment:

az policy assignment create --name 'audit-vm-manageddisks' --display-name 'Audit VMs without managed disks Assignment' --scope '<scope>' --policy '<policy definition ID>'

De voorgaande opdracht maakt gebruik van de volgende informatie:The preceding command uses the following information:

  • Naam : de werkelijke naam van de toewijzing.Name - The actual name of the assignment. Voor dit voorbeeld is audit-vm-manageddisks gebruikt.For this example, audit-vm-manageddisks was used.
  • Weergavenaam : de weergavenaam voor de beleidstoewijzing.DisplayName - Display name for the policy assignment. In dit geval gebruikt u de toewijzing Virtuele machines zonder beheerde schijven controleren.In this case, you're using Audit VMs without managed disks Assignment.
  • Beleid : de id van de beleidsdefinitie, op basis waarvan u de toewijzing maakt.Policy – The policy definition ID, based on which you're using to create the assignment. In dit geval is het de id van de beleidsdefinitie Virtuele machines zonder beheerde schijven controleren.In this case, it's the ID of policy definition Audit VMs that do not use managed disks. Voer de volgende opdracht uit om de id van de beleidstoewijzing te verkrijgen: az policy definition list --query "[?displayName=='Audit VMs that do not use managed disks']"To get the policy definition ID, run this command: az policy definition list --query "[?displayName=='Audit VMs that do not use managed disks']"
  • Bereik : een bereik bepaalt voor welke resources of groep resources de beleidstoewijzing wordt afgedwongen.Scope - A scope determines what resources or grouping of resources the policy assignment gets enforced on. Dit kan variëren van een abonnement tot resourcegroepen.It could range from a subscription to resource groups. Vergeet niet om <scope> te vervangen door de naam van uw resourcegroep.Be sure to replace <scope> with the name of your resource group.

Niet-compatibele resources identificerenIdentify non-compliant resources

Als u de resources wilt zien die niet compatibel zijn onder deze nieuwe toewijzing, voert u de volgende opdrachten uit om de id van de beleidstoewijzing te verkrijgen:To view the resources that aren't compliant under this new assignment, get the policy assignment ID by running the following commands:

az policy assignment list --query "[?displayName=='Audit VMs without managed disks Assignment'].id"

Zie az policy assignment voor meer informatie over beleidstoewijzings-id's.For more information about policy assignment IDs, see az policy assignment.

Voer daarna de volgende opdracht uit om de resource-id's te verkrijgen van de niet-compatibele resources. Deze worden uitgevoerd naar een JSON-bestand:Next, run the following command to get the resource IDs of the non-compliant resources that are output into a JSON file:

armclient post "/subscriptions/<subscriptionID>/resourceGroups/<rgName>/providers/Microsoft.PolicyInsights/policyStates/latest/queryResults?api-version=2019-10-01&$filter=IsCompliant eq false and PolicyAssignmentId eq '<policyAssignmentID>'&$apply=groupby((ResourceId))" > <json file to direct the output with the resource IDs into>

De resultaten zien er ongeveer als volgt uit:Your results resemble the following example:

{
    "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest",
    "@odata.count": 3,
    "value": [{
            "@odata.id": null,
            "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest/$entity",
            "ResourceId": "/subscriptions/<subscriptionId>/resourcegroups/<rgname>/providers/microsoft.compute/virtualmachines/<virtualmachineId>"
        },
        {
            "@odata.id": null,
            "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest/$entity",
            "ResourceId": "/subscriptions/<subscriptionId>/resourcegroups/<rgname>/providers/microsoft.compute/virtualmachines/<virtualmachine2Id>"
        },
        {
            "@odata.id": null,
            "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest/$entity",
            "ResourceId": "/subscriptions/<subscriptionName>/resourcegroups/<rgname>/providers/microsoft.compute/virtualmachines/<virtualmachine3ID>"
        }

    ]
}

De resultaten zijn vergelijkbaar met wat in de weergave van de Azure-portal meestal wordt vermeld onder Niet-compatibele resources.The results are comparable to what you'd typically see listed under Non-compliant resources in the Azure portal view.

Resources opschonenClean up resources

Voer de volgende opdracht uit om de beleidstoewijzing te verwijderen:To remove the assignment created, use the following command:

az policy assignment delete --name 'audit-vm-manageddisks' --scope '/subscriptions/<subscriptionID>/<resourceGroupName>'

Volgende stappenNext steps

In deze Quick Start hebt u een beleidsdefinitie toegewezen om niet-compatibele resources in uw Azure-omgeving te identificeren.In this quickstart, you assigned a policy definition to identify non-compliant resources in your Azure environment.

Ga voor meer informatie over het toewijzen van beleid om te controleren of nieuwe resources conform zijn verder met de zelfstudie voor:To learn more about assigning policies to validate that new resources are compliant, continue to the tutorial for: