Een beleidstoewijzing maken om niet-conforme resources te identificeren.

  • Artikel
  • 4 minuten om te lezen

De eerste stap in het begrijpen van naleving in Azure is het identificeren van de status van uw resources. In deze quickstart gaat u een beleidstoewijzing maken voor het identificeren van virtuele machines die geen beheerde schijven gebruiken.

Als u dit proces helemaal hebt doorlopen, kunt u virtuele machines identificeren die geen beheerde schijven gebruiken. Ze zijn niet-compatibel met de beleidstoewijzing.

Vereisten

Als u nog geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een beleidstoewijzing maken

In deze snelstart maakt u een beleidstoewijzing en wijst u de beleidsdefinitie Virtuele machines zonder beheerde schijven controleren toe.

  1. Start de Azure Policy-service in Azure Portal door Alle services te selecteren en dan Beleid te zoeken en te selecteren.

    Schermopname van het zoeken naar Beleid in Alle services.

  2. Selecteer Toewijzingen in het linkerdeelvenster van de Azure Policy-pagina. Een toewijzing is een beleid dat is toegewezen om te worden toegepast binnen een bepaald bereik.

    Schermopname van het selecteren van de pagina Toewijzingen op de pagina Overzicht van het beleid.

  3. Selecteer Beleid toewijzen boven in de pagina Beleidstoewijzingen.

    Schermopname van het selecteren van Beleid toewijzen op de pagina Toewijzingen.

  4. Stel op de pagina Beleid toewijzen het bereik in door het beletselteken te selecteren en een beheergroep of abonnement te selecteren. U kunt ook een resourcegroep selecteren. Het bereik bepaalt op welke resources of groep resources de beleidstoewijzing wordt afgedwongen. Gebruik vervolgens de knop Selecteren onderaan de pagina Bereik.

    In dit voorbeeld wordt het abonnement Contoso gebruikt. U hebt waarschijnlijk een ander abonnement.

  5. Resources kunnen worden uitgesloten op basis van het bereik. Uitsluitingen starten op één niveau lager dan het niveau van het bereik. Uitsluitingen zijn optioneel, dus laat dit veld nu nog leeg.

  6. Selecteer het weglatingsteken Beleidsdefinitie om de lijst van beschikbare definities te openen. Azure Policy wordt geleverd met ingebouwde beleidsdefinities die u kunt gebruiken. Er zijn allerlei definities beschikbaar, zoals:

    • Tag en waarde afdwingen
    • Tag en waarde toepassen
    • Een tag overnemen van de resourcegroep indien deze ontbreekt

    Zie Azure Policy-voorbeelden voor een gedeeltelijke lijst met beschikbare ingebouwde beleidsregels.

  7. Doorzoek uw beleidsdefinities en zoek de definitie Controleren van virtuele machines die geen beheerde schijven gebruiken. Selecteer dat beleid en gebruik vervolgens de knop Selecteren.

    Schermopname van het filteren van de beschikbare definities.

  8. De Toewijzingsnaam wordt automatisch ingevuld met de naam van het beleid dat u hebt geselecteerd, maar u kunt dit wijzigen. In dit geval gebruiken we Controleren van virtuele machines die geen beheerde schijven gebruiken. U kunt ook een optionele Beschrijving opgeven. De beschrijving bevat details over deze beleidstoewijzing. Toegewezen door wordt automatisch gevuld op basis van de persoon die is aangemeld. Dit veld is optioneel, dus u kunt aangepaste waarden invoeren.

  9. Laat beleids afdwingen ingeschakeld. Zie Beleidstoewijzing - afdwingingsmodus voor meer informatie.

  10. Selecteer Volgende onder aan de pagina of het tabblad Parameters bovenaan de pagina om naar het volgende segment van de toewijzingswizard te gaan.

  11. Als de beleidsdefinitie op het tabblad Basisparameters is geselecteerd, worden deze geconfigureerd op dit tabblad. Omdat de controle-VM's die geen beheerde schijven gebruiken geen parameters heeft, selecteert u Volgende onder aan de pagina of het tabblad Herstel boven aan de pagina om naar het volgende segment van de toewijzingswizard te gaan.

  12. Laat Beheerde identiteit maken uitgeschakeld. Dit vak moet worden ingeschakeld wanneer het beleid of initiatief beleid bevat met het effect deployIfNotExists of modify. Omdat het beleid dat voor deze zelfstudie wordt gebruikt deze regel niet bevat, laat u deze optie uitgeschakeld. Zie Beheerde identiteiten en Hoe herstelbeveiliging werkt voor meer informatie.

  13. Selecteer Volgende onder aan de pagina of het tabblad Niet-nalevingsberichten boven aan de pagina om naar het volgende segment van de toewijzingswizard te gaan.

  14. Stel het bericht Niet-naleving in op Virtuele machines moet een beheerde schijf gebruiken. Dit aangepaste bericht wordt weergegeven wanneer een resource wordt geweigerd of voor niet-compatibele resources tijdens de reguliere evaluatie.

  15. Selecteer Volgende onder aan de pagina of het tabblad Beoordelen en maken bovenaan de pagina om naar het volgende segment van de toewijzingswizard te gaan.

  16. Controleer de geselecteerde opties en selecteer vervolgens Maken onderaan de pagina.

U kunt nu niet-compatibele resources identificeren om inzicht te krijgen in de nalevingsstatus van uw omgeving.

Niet-compatibele resources identificeren

Selecteer Naleving links op de pagina. Zoek dan de beleidstoewijzing Virtuele machines zonder beheerde schijven controleren die u hebt gemaakt.

Schermopname van de compatibiliteitsdetails op de pagina Naleving van het beleid.

Als er bestaande resources zijn die niet conform deze nieuwe toewijzing zijn, worden deze weergegeven bij Niet-conforme resources.

Als een voorwaarde wordt geëvalueerd ten opzichte van uw bestaande resources en deze waar blijkt te zijn, worden deze resources gemarkeerd als niet-compatibel met het beleid. In de volgende tabel ziet u hoe verschillende beleidsacties werken met de evaluatie van voorwaarden voor de resulterende nalevingsstatus. U kunt de evaluatielogica niet zien in Azure Portal, maar de resultaten voor de nalevingsstatus worden wel weergegeven. Het resultaat voor de nalevingsstatus is compatibel of niet-compatibel.

Resourcestatus Effect Beleidsevaluatie Nalevingsstatus
Nieuw of bijgewerkt Controleren, wijzigen, AuditIfNotExist True Niet-compatibel
Nieuw of bijgewerkt Controleren, wijzigen, AuditIfNotExist False Compatibel
Bestaat Weigeren, Controleren, Toevoegen, Wijzigen, DeployIfNotExist, AuditIfNotExist True Niet-compatibel
Bestaat Weigeren, Controleren, Toevoegen, Wijzigen, DeployIfNotExist, AuditIfNotExist False Compatibel

Notitie

Voor de effecten DeployIfNotExist en AuditIfNotExist moet de IF-instructie TRUE en de bestaansvoorwaarde FALSE zijn om niet-compatibel te zijn. Indien TRUE, activeert de IF-voorwaarde de evaluatie van de bestaansvoorwaarde voor de gerelateerde resources.

Resources opschonen

Als u de gemaakte toewijzing wilt verwijderen, volgt u deze stappen:

  1. Selecteer Naleving (of Toewijzingen) aan de linkerkant van de pagina Azure Policy en zoek de beleidstoewijzing Controleren van virtuele machines die geen beheerde schijven gebruiken die u hebt gemaakt.

  2. Klik met de rechtermuisknop op de beleidstoewijzing Controleer virtuele machines die niet gebruikmaken van beheerde schijven en selecteer Toewijzing verwijderen.

    Schermopname van het gebruik van het contextmenu om een toewijzing te verwijderen van de pagina Naleving.

Volgende stappen

In deze snelstart wijst u een beleidsdefinitie toe aan een bereik en evalueert u het rapport voor naleving. De beleidsdefinitie controleert of alle resources in het bereik conform zijn en identificeert welke dit niet zijn.

Ga voor meer informatie over het toewijzen van beleid om te controleren of nieuwe resources conform zijn verder met de zelfstudie voor:

Beleid maken en beheren