Een beleidstoewijzing maken om niet-conforme resources te identificeren.Quickstart: Create a policy assignment to identify non-compliant resources

De eerste stap in het begrijpen van naleving in Azure is het identificeren van de status van uw resources.The first step in understanding compliance in Azure is to identify the status of your resources. In deze quickstart gaat u een beleidstoewijzing maken voor het identificeren van virtuele machines die geen beheerde schijven gebruiken.This quickstart steps you through the process of creating a policy assignment to identify virtual machines that aren't using managed disks.

Als u dit proces helemaal hebt doorlopen, kunt u virtuele machines identificeren die geen beheerde schijven gebruiken.At the end of this process, you'll successfully identify virtual machines that aren't using managed disks. Ze zijn niet-compatibel met de beleidstoewijzing.They're non-compliant with the policy assignment.

VereistenPrerequisites

Als u nog geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.If you don't have an Azure subscription, create a free account before you begin.

Een beleidstoewijzing makenCreate a policy assignment

In deze snelstart maakt u een beleidstoewijzing en wijst u de beleidsdefinitie Virtuele machines zonder beheerde schijven controleren toe.In this quickstart, you create a policy assignment and assign the Audit VMs that do not use managed disks policy definition.

  1. Start de Azure Policy-service in Azure Portal door Alle services te selecteren en dan Beleid te zoeken en te selecteren.Launch the Azure Policy service in the Azure portal by selecting All services, then searching for and selecting Policy.

    Schermopname van het zoeken naar Beleid in Alle services.

  2. Selecteer Toewijzingen in het linkerdeelvenster van de Azure Policy-pagina.Select Assignments on the left side of the Azure Policy page. Een toewijzing is een beleid dat is toegewezen om te worden toegepast binnen een bepaald bereik.An assignment is a policy that has been assigned to take place within a specific scope.

    Schermopname van het selecteren van de pagina Toewijzingen op de pagina Overzicht van het beleid.

  3. Selecteer Beleid toewijzen boven in de pagina Beleidstoewijzingen.Select Assign Policy from the top of the Policy - Assignments page.

    Schermopname van het selecteren van Beleid toewijzen op de pagina Toewijzingen.

  4. Stel op de pagina Beleid toewijzen het bereik in door het beletselteken te selecteren en een beheergroep of abonnement te selecteren.On the Assign Policy page, set the Scope by selecting the ellipsis and then selecting either a management group or subscription. U kunt ook een resourcegroep selecteren.Optionally, select a resource group. Het bereik bepaalt op welke resources of groep resources de beleidstoewijzing wordt afgedwongen.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Gebruik vervolgens de knop Selecteren onderaan de pagina Bereik.Then use the Select button at the bottom of the Scope page.

    In dit voorbeeld wordt het abonnement Contoso gebruikt.This example uses the Contoso subscription. U hebt waarschijnlijk een ander abonnement.Your subscription will differ.

  5. Resources kunnen worden uitgesloten op basis van het bereik.Resources can be excluded based on the Scope. Uitsluitingen starten op één niveau lager dan het niveau van het bereik.Exclusions start at one level lower than the level of the Scope. Uitsluitingen zijn optioneel, dus laat dit veld nu nog leeg.Exclusions are optional, so leave it blank for now.

  6. Selecteer het weglatingsteken Beleidsdefinitie om de lijst van beschikbare definities te openen.Select the Policy definition ellipsis to open the list of available definitions. Azure Policy wordt geleverd met ingebouwde beleidsdefinities die u kunt gebruiken.Azure Policy comes with built-in policy definitions you can use. Er zijn allerlei definities beschikbaar, zoals:Many are available, such as:

    • Tag en waarde afdwingenEnforce tag and its value
    • Tag en waarde toepassenApply tag and its value
    • Een tag overnemen van de resourcegroep indien deze ontbreektInherit a tag from the resource group if missing

    Zie Azure Policy-voorbeelden voor een gedeeltelijke lijst met beschikbare ingebouwde beleidsregels.For a partial list of available built-in policies, see Azure Policy samples.

  7. Doorzoek uw beleidsdefinities en zoek de definitie Controleren van virtuele machines die geen beheerde schijven gebruiken.Search through the policy definitions list to find the Audit VMs that do not use managed disks definition. Selecteer dat beleid en gebruik vervolgens de knop Selecteren.Select that policy and then use the Select button.

    Schermopname van het filteren van de beschikbare definities.

  8. De Toewijzingsnaam wordt automatisch ingevuld met de naam van het beleid dat u hebt geselecteerd, maar u kunt dit wijzigen.The Assignment name is automatically populated with the policy name you selected, but you can change it. In dit geval gebruiken we Controleren van virtuele machines die geen beheerde schijven gebruiken.For this example, leave Audit VMs that do not use managed disks. U kunt ook een optionele Beschrijving opgeven.You can also add an optional Description. De beschrijving bevat details over deze beleidstoewijzing.The description provides details about this policy assignment. Toegewezen door wordt automatisch gevuld op basis van de persoon die is aangemeld.Assigned by will automatically fill based on who is logged in. Dit veld is optioneel, dus u kunt aangepaste waarden invoeren.This field is optional, so custom values can be entered.

  9. Zorg ervoor dat beleids afdwinging is ingeschakeld.Leave policy enforcement Enabled. Zie beleids toewijzing-afdwingings modusvoor meer informatie.For more information, see Policy assignment - enforcement mode.

  10. Selecteer volgende onder aan de pagina of het tabblad para meters boven aan de pagina om naar het volgende segment van de toewijzings wizard te gaan.Select Next at the bottom of the page or the Parameters tab at the top of the page to move to the next segment of the assignment wizard.

  11. Als de beleids definitie is geselecteerd op het tabblad basis beginselen , zijn de para meters geconfigureerd op dit tabblad. Omdat de virtuele machines voor controle die geen gebruik maken van beheerde schijven geen para meters hebben, selecteert u volgende onder aan de pagina of het tabblad herstel bovenaan de pagina om naar het volgende segment van de toewijzings wizard te gaan.If the policy definition selected on the Basics tab included parameters, they are configured on this tab. Since the Audit VMs that do not use managed disks has no parameters, select Next at the bottom of the page or the Remediation tab at the top of the page to move to the next segment of the assignment wizard.

  12. Laat Beheerde identiteit maken uitgeschakeld.Leave Create a Managed Identity unchecked. Dit vak moet worden ingeschakeld wanneer het beleid of initiatief beleid bevat met het effect deployIfNotExists of modify.This box must be checked when the policy or initiative includes a policy with either the deployIfNotExists or modify effect. Omdat het beleid dat voor deze zelfstudie wordt gebruikt deze regel niet bevat, laat u deze optie uitgeschakeld.As the policy used for this quickstart doesn't, leave it blank. Zie Beheerde identiteiten en Hoe herstelbeveiliging werkt voor meer informatie.For more information, see managed identities and how remediation security works.

  13. Selecteer volgende onder aan de pagina of het tabblad niet-nalevings berichten boven aan de pagina om naar het volgende segment van de toewijzings wizard te gaan.Select Next at the bottom of the page or the Non-compliance messages tab at the top of the page to move to the next segment of the assignment wizard.

  14. Het niet-nalevings bericht instellen op virtuele machines moet een beheerde schijf gebruiken.Set the Non-compliance message to Virtual machines should use a managed disk. Dit aangepaste bericht wordt weer gegeven wanneer een resource wordt geweigerd of voor niet-compatibele resources tijdens een reguliere evaluatie.This custom message is displayed when a resource is denied or for non-compliant resources during regular evaluation.

  15. Selecteer volgende onder aan de pagina of het tabblad controleren + maken bovenaan de pagina om naar het volgende segment van de toewijzings wizard te gaan.Select Next at the bottom of the page or the Review + Create tab at the top of the page to move to the next segment of the assignment wizard.

  16. Controleer de geselecteerde opties en selecteer vervolgens maken onder aan de pagina.Review the selected options, then select Create at the bottom of the page.

U kunt nu niet-compatibele resources identificeren om inzicht te krijgen in de nalevingsstatus van uw omgeving.You're now ready to identify non-compliant resources to understand the compliance state of your environment.

Niet-compatibele resources identificerenIdentify non-compliant resources

Selecteer Naleving links op de pagina.Select Compliance in the left side of the page. Zoek dan de beleidstoewijzing Virtuele machines zonder beheerde schijven controleren die u hebt gemaakt.Then locate the Audit VMs that do not use managed disks policy assignment you created.

Schermopname van de compatibiliteitsdetails op de pagina Naleving van het beleid.

Als er bestaande resources zijn die niet conform deze nieuwe toewijzing zijn, worden deze weergegeven bij Niet-conforme resources.If there are any existing resources that aren't compliant with this new assignment, they appear under Non-compliant resources.

Als een voorwaarde wordt geëvalueerd ten opzichte van uw bestaande resources en deze waar blijkt te zijn, worden deze resources gemarkeerd als niet-compatibel met het beleid.When a condition is evaluated against your existing resources and found true, then those resources are marked as non-compliant with the policy. In de volgende tabel ziet u hoe verschillende beleidsacties werken met de evaluatie van voorwaarden voor de resulterende nalevingsstatus.The following table shows how different policy effects work with the condition evaluation for the resulting compliance state. U kunt de evaluatielogica niet zien in Azure Portal, maar de resultaten voor de nalevingsstatus worden wel weergegeven.Although you don't see the evaluation logic in the Azure portal, the compliance state results are shown. Het resultaat voor de nalevingsstatus is compatibel of niet-compatibel.The compliance state result is either compliant or non-compliant.

ResourcestatusResource State EffectEffect BeleidsevaluatiePolicy Evaluation NalevingsstatusCompliance State
Nieuw of bijgewerktNew or Updated Controleren, wijzigen, AuditIfNotExistAudit, Modify, AuditIfNotExist TrueTrue Niet-compatibelNon-Compliant
Nieuw of bijgewerktNew or Updated Controleren, wijzigen, AuditIfNotExistAudit, Modify, AuditIfNotExist FalseFalse CompatibelCompliant
BestaatExists Weigeren, Controleren, Toevoegen, Wijzigen, DeployIfNotExist, AuditIfNotExistDeny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist TrueTrue Niet-compatibelNon-Compliant
BestaatExists Weigeren, Controleren, Toevoegen, Wijzigen, DeployIfNotExist, AuditIfNotExistDeny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist FalseFalse CompatibelCompliant

Notitie

Voor de effecten DeployIfNotExist en AuditIfNotExist moet de IF-instructie TRUE en de bestaansvoorwaarde FALSE zijn om niet-compatibel te zijn.The DeployIfNotExist and AuditIfNotExist effects require the IF statement to be TRUE and the existence condition to be FALSE to be non-compliant. Indien TRUE, activeert de IF-voorwaarde de evaluatie van de bestaansvoorwaarde voor de gerelateerde resources.When TRUE, the IF condition triggers evaluation of the existence condition for the related resources.

Resources opschonenClean up resources

Als u de gemaakte toewijzing wilt verwijderen, volgt u deze stappen:To remove the assignment created, follow these steps:

  1. Selecteer Naleving (of Toewijzingen) aan de linkerkant van de pagina Azure Policy en zoek de beleidstoewijzing Controleren van virtuele machines die geen beheerde schijven gebruiken die u hebt gemaakt.Select Compliance (or Assignments) in the left side of the Azure Policy page and locate the Audit VMs that do not use managed disks policy assignment you created.

  2. Klik met de rechtermuisknop op de beleidstoewijzing Controleer virtuele machines die niet gebruikmaken van beheerde schijven en selecteer Toewijzing verwijderen.Right-click the Audit VMs that do not use managed disks policy assignment and select Delete assignment.

    Schermopname van het gebruik van het contextmenu om een toewijzing te verwijderen van de pagina Naleving.

Volgende stappenNext steps

In deze snelstart wijst u een beleidsdefinitie toe aan een bereik en evalueert u het rapport voor naleving.In this quickstart, you assigned a policy definition to a scope and evaluated its compliance report. De beleidsdefinitie controleert of alle resources in het bereik conform zijn en identificeert welke dit niet zijn.The policy definition validates that all the resources in the scope are compliant and identifies which ones aren't.

Ga voor meer informatie over het toewijzen van beleid om te controleren of nieuwe resources conform zijn verder met de zelfstudie voor:To learn more about assigning policies to validate that new resources are compliant, continue to the tutorial for: