Structuur van Azure Policy-uitzonde ringAzure Policy exemption structure

De functie Azure Policy uitzonde ringen (preview) wordt gebruikt om een resource hiërarchie of een afzonderlijke resource uit te sluiten van de evaluatie van initiatieven of definities.The Azure Policy exemptions (preview) feature is used to exempt a resource hierarchy or an individual resource from evaluation of initiatives or definitions. Resources met een uitzonde ring op de algehele naleving, maar niet kunnen worden geëvalueerd of die geen tijdelijke ontheffing hebben.Resources that are exempt count toward overall compliance, but can't be evaluated or have a temporary waiver. Zie bereik begrijpen in azure Policyvoor meer informatie.For more information, see Understand scope in Azure Policy. Azure Policy uitzonde ringen werken alleen met de Resource Manager-modus en werken niet met de modi van de resource provider.Azure Policy exemptions only work with Resource Manager modes and don't work with Resource Provider modes.

Belangrijk

Deze functie is gratis tijdens de Preview-versie.This feature is free during preview. Zie Azure Policy prijzenvoor prijs informatie.For pricing details, see Azure Policy pricing. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

U gebruikt JSON om een beleids uitsluiting te maken.You use JSON to create a policy exemption. De beleids uitsluiting bevat elementen voor:The policy exemption contains elements for:

  • weergave naamdisplay name
  • beschrijvingdescription
  • metagegevensmetadata
  • beleids toewijzingpolicy assignment
  • beleids definities binnen een initiatiefpolicy definitions within an initiative
  • categorie uitzonde ringenexemption category
  • vervalexpiration

Notitie

Er wordt een beleids uitsluiting gemaakt als onderliggend object op de resource hiërarchie of de afzonderlijke resource heeft de uitzonde ring toegewezen, zodat het doel niet is opgenomen in de definitie van de uitzonde ring.A policy exemption is created as a child object on the resource hierarchy or the individual resource granted the exemption, so the target isn't included in the exemption definition.

De volgende JSON toont bijvoorbeeld een uitzonde ring van het beleid in de categorie kwijt schel ding van een resource aan een initiatief toewijzing met de naam resourceShouldBeCompliantInit .For example, the following JSON shows a policy exemption in the waiver category of a resource to an initiative assignment named resourceShouldBeCompliantInit. De bron is niet alleen van de beleids definities in het initiatief, de customOrgPolicy aangepaste beleids definitie (verwijzing requiredTags ) en de ingebouwde beleids definitie voor ' toegestane locaties ' (id: e56962a6-4747-49cd-b67b-bf8b01975c4c , referentie allowedLocations ):The resource is exempt from only two of the policy definitions in the initiative, the customOrgPolicy custom policy definition (reference requiredTags) and the 'Allowed locations' built-in policy definition (ID: e56962a6-4747-49cd-b67b-bf8b01975c4c, reference allowedLocations):

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

Fragment van het gerelateerde initiatief met de overeenkomst policyDefinitionReferenceIds die wordt gebruikt door de beleids uitsluiting:Snippet of the related initiative with the matching policyDefinitionReferenceIds used by the policy exemption:

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Weergave naam en beschrijvingDisplay name and description

U gebruikt DisplayName en Beschrijving om de beleids uitzondering te identificeren en context te bieden voor gebruik met de specifieke resource.You use displayName and description to identify the policy exemption and provide context for its use with the specific resource. DisplayName heeft een maximale lengte van 128 tekens en een Beschrijving van Maxi maal 512 tekens.displayName has a maximum length of 128 characters and description a maximum length of 512 characters.

MetagegevensMetadata

Met de eigenschap meta gegevens kunt u een onderliggend element maken dat nodig is voor het opslaan van relevante informatie.The metadata property allows creating any child property needed for storing relevant information. In het bovenstaande voor beeld bevat de eigenschappen requestedBy, approvedBy, approvedOn en ticketRef klant waarden om informatie te geven over wie de uitzonde ring heeft aangevraagd, wie deze heeft goedgekeurd en wanneer en een intern tracking ticket voor de aanvraag.In the example above, properties requestedBy, approvedBy, approvedOn, and ticketRef contains customer values to provide information on who requested the exemption, who approved it and when, and an internal tracking ticket for the request. Deze eigenschappen van meta gegevens zijn voor beelden, maar ze zijn niet vereist en meta gegevens zijn niet beperkt tot deze onderliggende eigenschappen.These metadata properties are examples, but they aren't required and metadata isn't limited to these child properties.

Toewijzings-ID van beleidPolicy assignment ID

Dit veld moet de volledige padnaam zijn van een beleids toewijzing of een initiatief toewijzing.This field must be the full path name of either a policy assignment or an initiative assignment. policyAssignmentId is een teken reeks en geen matrix.policyAssignmentId is a string and not an array. Met deze eigenschap definieert u welke toewijzing de bovenliggende resource hiërarchie of afzonderlijke resource moet worden uitgesloten .This property defines which assignment the parent resource hierarchy or individual resource is exempt from.

Beleids definitie-Id'sPolicy definition IDs

Als de policyAssignmentId is voor een initiatief toewijzing, policyDefinitionReferenceIds kan de eigenschap worden gebruikt om op te geven welke beleids definitie (s) in het initiatief van de onderwerps bron een uitzonde ring op heeft.If the policyAssignmentId is for an initiative assignment, the policyDefinitionReferenceIds property may be used to specify which policy definition(s) in the initiative the subject resource has an exemption to. Omdat de resource kan worden uitgesloten van een of meer opgenomen beleids definities, is deze eigenschap een matrix.As the resource may be exempted from one or more included policy definitions, this property is an array. De waarden moeten overeenkomen met de waarden in de initiatief definitie in de policyDefinitions.policyDefinitionReferenceId velden.The values must match the values in the initiative definition in the policyDefinitions.policyDefinitionReferenceId fields.

Categorie uitzonde ringenExemption category

Er bestaan twee vrijstellings categorieën en worden gebruikt om uitzonde ringen te groeperen:Two exemption categories exist and are used to group exemptions:

  • Verminderd: de uitzonde ring wordt verleend omdat de beleids intentie wordt voldaan via een andere methode.Mitigated: The exemption is granted because the policy intent is met through another method.
  • Afwijzinger: de uitzonde ring wordt verleend omdat de niet-nalevings status van de resource tijdelijk wordt geaccepteerd.Waiver: The exemption is granted because the non-compliance state of the resource is temporarily accepted. Een andere reden voor het gebruik van deze categorie is voor een resource of resource hiërarchie die moet worden uitgesloten van een of meer definities in een initiatief, maar niet moeten worden uitgesloten van het hele initiatief.Another reason to use this category is for a resource or resource hierarchy that should be excluded from one or more definitions in an initiative, but shouldn't be excluded from the entire initiative.

VerloopdatumExpiration

Als u wilt instellen wanneer een resource hiërarchie of een afzonderlijke resource niet meer wordt uitgesloten voor een toewijzing, stelt u de expiresOn eigenschap in.To set when a resource hierarchy or an individual resource is no longer exempt to an assignment, set the expiresOn property. Deze optionele eigenschap moet de DateTime-indeling (Universal ISO 8601) hebben yyyy-MM-ddTHH:mm:ss.fffffffZ .This optional property must be in the Universal ISO 8601 DateTime format yyyy-MM-ddTHH:mm:ss.fffffffZ.

Notitie

De beleids uitzonderingen worden niet verwijderd wanneer de expiresOn datum is bereikt.The policy exemptions isn't deleted when the expiresOn date is reached. Het object blijft behouden voor record behoud, maar de uitzonde ring wordt niet meer nageleefd.The object is preserved for record-keeping, but the exemption is no longer honored.

Vereiste machtigingenRequired permissions

De Azure RBAC-machtigingen die nodig zijn voor het beheren van beleids uitsluiting objecten bevinden zich in de Microsoft.Authorization/policyExemptions bewerkings groep.The Azure RBAC permissions needed to manage Policy exemption objects are in the Microsoft.Authorization/policyExemptions operation group. De ingebouwde rollen Inzender en beveiligings beheerder van het resource beleid hebben beide machtigingen en de read write machtiging gegevens schrijver (preview) van het beleid read .The built-in roles Resource Policy Contributor and Security Admin both have the read and write permissions and Policy Insights Data Writer (Preview) has the read permission.

Uitzonde ringen hebben extra beveiligings maatregelen vanwege de gevolgen van het verlenen van een uitzonde ring.Exemptions have additional security measures because of the impact of granting an exemption. Microsoft.Authorization/policyExemptions/writeDe maker van een uitzonde ring moet de bewerking hebben voor de doel toewijzing, behalve dat hiervoor de resource hiërarchie of afzonderlijke resource wordt vereist exempt/Action .Beyond requiring the Microsoft.Authorization/policyExemptions/write operation on the resource hierarchy or individual resource, the creator of an exemption must have the exempt/Action verb on the target assignment.

Volgende stappenNext steps