Quickstart: Met behulp van Azure PowerShell een beleidstoewijzing maken om niet-conforme resources te identificerenQuickstart: Create a policy assignment to identify non-compliant resources using Azure PowerShell

De eerste stap in het begrijpen van naleving in Azure is het identificeren van de status van uw resources.The first step in understanding compliance in Azure is to identify the status of your resources. In deze snelstart maakt u een beleidstoewijzing om te identificeren welke virtuele machines geen beheerde schijven gebruiken.In this quickstart, you create a policy assignment to identify virtual machines that aren't using managed disks. Zodra de toewijzing is voltooid, kunt u de virtuele machines identificeren die niet-compatibel zijn.When complete, you'll identify virtual machines that are non-compliant.

De Azure PowerShell-module wordt gebruikt om Azure-resources vanaf de opdrachtregel of in scripts te beheren.The Azure PowerShell module is used to manage Azure resources from the command line or in scripts. In deze handleiding wordt uitgelegd hoe u de Az-module gebruikt om een beleidstoewijzing te maken.This guide explains how to use Az module to create a policy assignment.

VereistenPrerequisites

  • Als u nog geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.If you don't have an Azure subscription, create a free account before you begin.

  • Voordat u begint, moet u ervoor zorgen dat de nieuwste versie van Azure PowerShell is geïnstalleerd.Before you start, make sure that the latest version of Azure PowerShell is installed. Zie Azure PowerShell-module installeren voor gedetailleerde informatie.See Install Azure PowerShell module for detailed information.

  • Registreer de resourceprovider van Azure Policy Insights met behulp van Azure PowerShell.Register the Azure Policy Insights resource provider using Azure PowerShell. Als u de resourceprovider registreert, controleer dan of uw abonnement ermee werkt.Registering the resource provider makes sure that your subscription works with it. Als u een resourceprovider wilt registreren, moet u toestemming hebben om de bewerking van de resourceprovider te registeren.To register a resource provider, you must have permission to the register resource provider operation. Deze bewerking is opgenomen in de rollen Inzender en Eigenaar.This operation is included in the Contributor and Owner roles. Voer de volgende opdracht uit om de resourceprovider te registreren:Run the following command to register the resource provider:

    # Register the resource provider if it's not already registered
    Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
    

    Zie Resourceproviders en -typen voor meer informatie over het registreren en weergeven van resourceproviders.For more information about registering and viewing resource providers, see Resource Providers and Types.

Azure Cloud Shell gebruikenUse Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your browser. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken.You can use either Bash or PowerShell with Cloud Shell to work with Azure services. U kunt de vooraf geïnstalleerde opdrachten van Cloud Shell gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.You can use the Cloud Shell preinstalled commands to run the code in this article without having to install anything on your local environment.

Om Azure Cloud Shell op te starten:To start Azure Cloud Shell:

OptieOption Voorbeeld/koppelingExample/Link
Selecteer Nu proberen in de rechterbovenhoek van een codeblok.Select Try It in the upper-right corner of a code block. Als u Uitproberen selecteert, wordt de code niet automatisch gekopieerd naar Cloud Shell.Selecting Try It doesn't automatically copy the code to Cloud Shell. Voorbeeld van Uitproberen voor Azure Cloud Shell
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.Go to https://shell.azure.com, or select the Launch Cloud Shell button to open Cloud Shell in your browser. Cloud Shell starten in een nieuw vensterLaunch Cloud Shell in a new window
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.Select the Cloud Shell button on the menu bar at the upper right in the Azure portal. Knop Cloud Shell in de Azure Portal

Om de code in dit artikel in Azure Cloud Shell uit te voeren:To run the code in this article in Azure Cloud Shell:

  1. Start Cloud Shell.Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok om de code te kopiëren.Select the Copy button on a code block to copy the code.

  3. Plak de code in de Cloud Shell-sessie door CTRL+Shift+V te selecteren in Windows en Linux of door Cmd+Shift+V op macOS te selecteren.Paste the code into the Cloud Shell session by selecting Ctrl+Shift+V on Windows and Linux or by selecting Cmd+Shift+V on macOS.

  4. Selecteer Invoeren om de code uit te voeren.Select Enter to run the code.

Een beleidstoewijzing makenCreate a policy assignment

In deze quickstart maakt u een beleidstoewijzing voor de definitie Virtuele machines zonder beheerde schijven controleren.In this quickstart, you create a policy assignment for the Audit VMs without managed disks definition. Met deze beleidsdefinitie worden virtuele machines geïdentificeerd die geen beheerde schijven gebruiken.This policy definition identifies virtual machines not using managed disks.

Voer de volgende opdrachten uit om een nieuwe beleidstoewijzing te maken:Run the following commands to create a new policy assignment:

# Get a reference to the resource group that is the scope of the assignment
$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

# Get a reference to the built-in policy definition to assign
$definition = Get-AzPolicyDefinition | Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }

# Create the policy assignment with the built-in definition against your resource group
New-AzPolicyAssignment -Name 'audit-vm-manageddisks' -DisplayName 'Audit VMs without managed disks Assignment' -Scope $rg.ResourceId -PolicyDefinition $definition

In de voorgaande opdrachten wordt de volgende informatie gebruikt:The preceding commands use the following information:

  • Naam: de werkelijke naam van de toewijzing.Name - The actual name of the assignment. Voor dit voorbeeld is audit-vm-manageddisks gebruikt.For this example, audit-vm-manageddisks was used.
  • Weergavenaam: de weergavenaam voor de beleidstoewijzing.DisplayName - Display name for the policy assignment. In dit geval gebruikt u de toewijzing Virtuele machines zonder beheerde schijven controleren.In this case, you're using Audit VMs without managed disks Assignment.
  • Definitie: de beleidsdefinitie, op basis waarvan u de toewijzing maakt.Definition – The policy definition, based on which you're using to create the assignment. In dit geval is het de id van de beleidsdefinitie Virtuele machines zonder beheerde schijven controleren.In this case, it's the ID of policy definition Audit VMs that do not use managed disks.
  • Bereik: een bereik bepaalt voor welke resources of groep resources de beleidstoewijzing wordt afgedwongen.Scope - A scope determines what resources or grouping of resources the policy assignment gets enforced on. Dit kan variëren van een abonnement tot resourcegroepen.It could range from a subscription to resource groups. Vergeet niet om <scope> te vervangen door de naam van uw resourcegroep.Be sure to replace <scope> with the name of your resource group.

U kunt nu niet-compatibele resources identificeren om inzicht te krijgen in de nalevingsstatus van uw omgeving.You're now ready to identify non-compliant resources to understand the compliance state of your environment.

Niet-compatibele resources identificerenIdentify non-compliant resources

Gebruik de volgende informatie om te identificeren welke resources niet compatibel zijn met de beleidstoewijzing die u hebt gemaakt.Use the following information to identify resources that aren't compliant with the policy assignment you created. Voer de volgende opdrachten uit:Run the following commands:

# Get the resources in your resource group that are non-compliant to the policy assignment
Get-AzPolicyState -ResourceGroupName $rg.ResourceGroupName -PolicyAssignmentName 'audit-vm-manageddisks' -Filter 'IsCompliant eq false'

Zie Get-AzPolicyState voor meer informatie over het ophalen van de beleidsstatus.For more information about getting policy state, see Get-AzPolicyState.

De resultaten zien er ongeveer als volgt uit:Your results resemble the following example:

Timestamp                   : 3/9/19 9:21:29 PM
ResourceId                  : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vmId}
PolicyAssignmentId          : /subscriptions/{subscriptionId}/providers/microsoft.authorization/policyassignments/audit-vm-manageddisks
PolicyDefinitionId          : /providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant                 : False
SubscriptionId              : {subscriptionId}
ResourceType                : /Microsoft.Compute/virtualMachines
ResourceTags                : tbd
PolicyAssignmentName        : audit-vm-manageddisks
PolicyAssignmentOwner       : tbd
PolicyAssignmentScope       : /subscriptions/{subscriptionId}
PolicyDefinitionName        : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction      : audit
PolicyDefinitionCategory    : Compute
ManagementGroupIds          : {managementGroupId}

De resultaten komen overeen met wat u ziet op het tabblad Resourcenaleving van een beleidstoewijzing in de Azure Portal-weergave.The results match what you see in the Resource compliance tab of a policy assignment in the Azure portal view.

Resources opschonenClean up resources

Voer de volgende opdracht uit om de beleidstoewijzing te verwijderen:To remove the assignment created, use the following command:

# Removes the policy assignment
Remove-AzPolicyAssignment -Name 'audit-vm-manageddisks' -Scope '/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>'

Volgende stappenNext steps

In deze Quick Start hebt u een beleidsdefinitie toegewezen om niet-compatibele resources in uw Azure-omgeving te identificeren.In this quickstart, you assigned a policy definition to identify non-compliant resources in your Azure environment.

Ga voor meer informatie over het toewijzen van beleid om te controleren of nieuwe resources conform zijn verder met de zelfstudie voor:To learn more about assigning policies to validate that new resources are compliant, continue to the tutorial for: