Oorzaken van niet-naleving bepalenDetermine causes of non-compliance

Wanneer een Azure-resource wordt vastgesteld dat deze niet compatibel is met een beleids regel, is het handig om te begrijpen met welk gedeelte van de regel de resource niet compatibel is.When an Azure resource is determined to be non-compliant to a policy rule, it's helpful to understand which portion of the rule the resource isn't compliant with. Het is ook handig om te begrijpen welke wijziging een eerder compatibele resource heeft gewijzigd om deze niet-compatibel te maken.It's also useful to understand what change altered a previously compliant resource to make it non-compliant. Er zijn twee manieren om deze informatie te vinden:There are two ways to find this information:

Compatibiliteits DetailsCompliance details

Wanneer een bron niet compatibel is, zijn de compatibiliteits Details voor die bron beschikbaar op de pagina naleving van beleid .When a resource is non-compliant, the compliance details for that resource are available from the Policy compliance page. Het deel venster nalevings Details bevat de volgende informatie:The compliance details pane includes the following information:

  • Resource Details, zoals naam, type, locatie en Resource-IDResource details such as name, type, location, and resource ID
  • Nalevings status en tijds tempel van de laatste evaluatie van de huidige beleids toewijzingCompliance state and timestamp of the last evaluation for the current policy assignment
  • Een lijst met redenen voor niet-naleving van de resourceA list of reasons for the resource non-compliance

Belangrijk

Als de compatibiliteits Details voor een niet-compatibele resource de huidige waarde van eigenschappen voor die resource weer geven, moet de gebruiker een Lees bewerking hebben voor het type resource.As the compliance details for a Non-compliant resource shows the current value of properties on that resource, the user must have read operation to the type of resource. Als de niet-compatibele resource bijvoorbeeld micro soft. Compute/informatie is, moet de gebruiker de bewerking micro soft. Compute/informatie/Read hebben.For example, if the Non-compliant resource is Microsoft.Compute/virtualMachines then the user must have the Microsoft.Compute/virtualMachines/read operation. Als de gebruiker niet de benodigde bewerking heeft, wordt er een toegangs fout weer gegeven.If the user doesn't have the needed operation, an access error is displayed.

Voer de volgende stappen uit om de compatibiliteits gegevens weer te geven:To view the compliance details, follow these steps:

  1. Start de Azure Policy-service in Azure Portal door Alle services te selecteren en dan Beleid te zoeken en te selecteren.Launch the Azure Policy service in the Azure portal by selecting All services, then searching for and selecting Policy.

  2. Selecteer op de pagina overzicht of naleving een beleids regel in een nalevings status die niet compatibel is.On the Overview or Compliance page, select a policy in a compliance state that is Non-compliant.

  3. Klik op het tabblad resource naleving van de pagina naleving van beleid met de rechter muisknop of selecteer het weglatings teken van een resource in een compatibiliteits status die niet compatibel is.Under the Resource compliance tab of the Policy compliance page, right-click or select the ellipsis of a resource in a compliance state that is Non-compliant. Selecteer vervolgens nalevings details weer geven.Then select View compliance details.

    Scherm afbeelding van de koppeling ' nalevings details weer geven ' op het tabblad Resource naleving.

  4. In het deel venster nalevings Details worden de gegevens van de laatste evaluatie van de resource weer gegeven aan de huidige beleids toewijzing.The Compliance details pane displays information from the latest evaluation of the resource to the current policy assignment. In dit voor beeld wordt het veld micro soft. SQL/servers/versie 12,0 aangetroffen terwijl de beleids definitie 14,0 werd verwacht.In this example, the field Microsoft.Sql/servers/version is found to be 12.0 while the policy definition expected 14.0. Als de resource meerdere redenen niet voldoet, wordt deze in dit deel venster weer gegeven.If the resource is non-compliant for multiple reasons, each is listed on this pane.

    Scherm afbeelding van het deel venster nalevings Details en de redenen voor niet-naleving van de huidige waarde is twaalf en de doel waarde is 14.

    Voor een auditIfNotExists -of deployIfNotExists -beleids definitie bevatten de details de eigenschap Details. type en eventuele optionele eigenschappen.For an auditIfNotExists or deployIfNotExists policy definition, the details include the details.type property and any optional properties. Zie Eigenschappen van auditIfNotExists en deployIfNotExistsvoor een lijst.For a list, see auditIfNotExists properties and deployIfNotExists properties. De laatste geëvalueerde resource is een gerelateerde resource uit de sectie Details van de definitie.Last evaluated resource is a related resource from the details section of the definition.

    Voor beeld van een gedeeltelijke deployIfNotExists definitie:Example partial deployIfNotExists definition:

    {
        "if": {
            "field": "type",
            "equals": "[parameters('resourceType')]"
        },
        "then": {
            "effect": "DeployIfNotExists",
            "details": {
                "type": "Microsoft.Insights/metricAlerts",
                "existenceCondition": {
                    "field": "name",
                    "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
                },
                "existenceScope": "subscription",
                "deployment": {
                    ...
                }
            }
        }
    }
    

    Scherm opname van het deel venster met nalevings Details voor ifNotExists, inclusief het aantal geëvalueerde resources.

Notitie

Voor het beveiligen van gegevens, wanneer een eigenschaps waarde een geheim is, wordt de huidige waarde sterretjes weer gegeven.To protect data, when a property value is a secret the current value displays asterisks.

In deze details wordt uitgelegd waarom een resource momenteel niet compatibel is, maar niet wanneer de wijziging is aangebracht in de resource waardoor deze niet-compatibel is.These details explain why a resource is currently non-compliant, but don't show when the change was made to the resource that caused it to become non-compliant. Zie voor deze informatie de wijzigings geschiedenis (preview-versie) hieronder.For that information, see Change history (Preview) below.

Nalevings redenenCompliance reasons

De volgende matrix wijst elke mogelijke reden toe aan de verantwoordelijke voor waarde in de beleids definitie:The following matrix maps each possible reason to the responsible condition in the policy definition:

RedenReason VoorwaardeCondition
De huidige waarde moet de doel waarde als sleutel bevatten.Current value must contain the target value as a key. containsKey of niet notContainsKeycontainsKey or not notContainsKey
De huidige waarde moet de doel waarde bevatten.Current value must contain the target value. bevat of niet notContainscontains or not notContains
De huidige waarde moet gelijk zijn aan de doel waarde.Current value must be equal to the target value. is gelijk aan of niet notEqualsequals or not notEquals
De huidige waarde moet kleiner zijn dan de doel waarde.Current value must be less than the target value. minder of niet greaterOrEqualsless or not greaterOrEquals
De huidige waarde moet groter zijn dan of gelijk zijn aan de doel waarde.Current value must be greater than or equal to the target value. greaterOrEquals of niet mindergreaterOrEquals or not less
De huidige waarde moet groter zijn dan de doel waarde.Current value must be greater than the target value. groter of niet lessOrEqualsgreater or not lessOrEquals
De huidige waarde moet kleiner zijn dan of gelijk zijn aan de doel waarde.Current value must be less than or equal to the target value. lessOrEquals of niet groterlessOrEquals or not greater
De huidige waarde moet bestaan.Current value must exist. reedsexists
De huidige waarde moet de doel waarde hebben.Current value must be in the target value. in of niet notInin or not notIn
De huidige waarde moet vergelijkbaar zijn met de doel waarde.Current value must be like the target value. zoals of niet notLikelike or not notLike
De huidige waarde moet hoofdletter gevoelig overeenkomen met de doel waarde.Current value must case-sensitive match the target value. komt overeen met of niet notMatchmatch or not notMatch
De huidige waarde moet hoofdletter gevoelig overeenkomen met de doel waarde.Current value must case-insensitive match the target value. matchInsensitively of niet notMatchInsensitivelymatchInsensitively or not notMatchInsensitively
De huidige waarde mag niet de doel waarde als sleutel bevatten.Current value must not contain the target value as a key. notContainsKey of niet containsKeynotContainsKey or not containsKey
De huidige waarde mag niet de doel waarde bevatten.Current value must not contain the target value. notContains of bevat nietnotContains or not contains
De huidige waarde mag niet gelijk zijn aan de doel waarde.Current value must not be equal to the target value. notEquals of is niet gelijk aannotEquals or not equals
De huidige waarde mag niet bestaan.Current value must not exist. bestaat nietnot exists
De huidige waarde mag niet de doel waarde hebben.Current value must not be in the target value. notIn of niet innotIn or not in
De huidige waarde mag niet gelijk zijn aan de doel waarde.Current value must not be like the target value. notLike of niet alsnotLike or not like
De huidige waarde mag niet hoofdletter gevoelig overeenkomen met de doel waarde.Current value must not case-sensitive match the target value. notMatch of komt niet overeennotMatch or not match
De huidige waarde mag niet hoofdletter gevoelig overeenkomen met de doel waarde.Current value must not case-insensitive match the target value. notMatchInsensitively of niet matchInsensitivelynotMatchInsensitively or not matchInsensitively
Er zijn geen gerelateerde resources die overeenkomen met de effect Details in de beleids definitie.No related resources match the effect details in the policy definition. Een resource van het type dat is gedefinieerd in then. Details. type en gerelateerd aan de resource die is gedefinieerd in het als gedeelte van de beleids regel bestaat niet.A resource of the type defined in then.details.type and related to the resource defined in the if portion of the policy rule doesn't exist.

Onderdeel Details voor resource provider modiComponent details for Resource Provider modes

Voor toewijzingen met een resource provider modusselecteert u de niet-compatibele resource om een diep gaande weer gave te openen.For assignments with a Resource Provider mode, select the Non-compliant resource to open a deeper view. Op het tabblad Compatibiliteit van onderdelen is aanvullende informatie specifiek voor de resource provider modus in het toegewezen beleid met het niet-compatibele onderdeel en de onderdeel-id.Under the Component Compliance tab is additional information specific to the Resource Provider mode on the assigned policy showing the Non-compliant Component and Component ID.

Scherm afbeelding van het tabblad Compatibiliteit van onderdelen en Details van naleving voor een toewijzing van de resource provider modus.

Compliance-details voor gastconfiguratieCompliance details for Guest Configuration

Voor auditIfNotExists -beleid in de categorie gast configuratie kunnen er meerdere instellingen worden geëvalueerd in de virtuele machine en moet u Details per instelling bekijken.For auditIfNotExists policies in the Guest Configuration category, there could be multiple settings evaluated inside the virtual machine and you'll need to view per-setting details. Als u bijvoorbeeld wilt controleren op een lijst met wachtwoord beleid en slechts een van de statussen niet-compatibel is, moet u weten welke specifieke wachtwoord beleidsregels niet voldoen aan de vereisten en waarom.For example, if you're auditing for a list of password policies and only one of them has status Non-compliant, you'll need to know which specific password policies are out of compliance and why.

Het is ook mogelijk dat u niet rechtstreeks toegang hebt tot de virtuele machine, maar u moet rapporteren waarom de virtuele machine niet compatibel is.You also might not have access to sign in to the virtual machine directly but you need to report on why the virtual machine is Non-compliant.

Azure PortalAzure portal

Volg dezelfde stappen in de bovenstaande sectie voor het weer geven van nalevings Details van het beleid.Begin by following the same steps in the section above for viewing policy compliance details.

Selecteer in het deel venster compatibiliteits Details de koppeling laatste geëvalueerde resource.In the Compliance details pane view, select the link Last evaluated resource.

Scherm opname van het weer geven van de compatibiliteits Details van de auditIfNotExists-definitie.

Op de pagina gast toewijzing worden alle beschik bare nalevings details weer gegeven.The Guest Assignment page displays all available compliance details. Elke rij in de weer gave vertegenwoordigt een evaluatie die in de machine is uitgevoerd.Each row in the view represents an evaluation that was performed inside the machine. In de kolom reden wordt een woord groep weer gegeven waarin wordt beschreven waarom de gast toewijzing niet compatibel is.In the Reason column, a phrase is shown describing why the Guest Assignment is Non-compliant. Als u bijvoorbeeld wachtwoord beleid controleert, wordt in de kolom reden tekst weer gegeven, inclusief de huidige waarde voor elke instelling.For example, if you're auditing password policies, the Reason column would display text including the current value for each setting.

Scherm afbeelding van de nalevings Details van de gast toewijzing.

Wijzigings overzicht (preview-versie)Change history (Preview)

Als onderdeel van een nieuwe open bare preview zijn de laatste 14 dagen aan wijzigings geschiedenis beschikbaar voor alle Azure-resources die de verwijdering van de volledige modusondersteunen.As part of a new public preview, the last 14 days of change history are available for all Azure resources that support complete mode deletion. Wijzigings overzicht bevat details over wanneer een wijziging is gedetecteerd en een visueel verschil voor elke wijziging.Change history provides details about when a change was detected and a visual diff for each change. Een wijzigings detectie wordt geactiveerd wanneer de Azure Resource Manager eigenschappen worden toegevoegd, verwijderd of gewijzigd.A change detection is triggered when the Azure Resource Manager properties are added, removed, or altered.

  1. Start de Azure Policy-service in Azure Portal door Alle services te selecteren en dan Beleid te zoeken en te selecteren.Launch the Azure Policy service in the Azure portal by selecting All services, then searching for and selecting Policy.

  2. Selecteer op de pagina overzicht of naleving een beleids regel in elke compatibiliteits status.On the Overview or Compliance page, select a policy in any compliance state.

  3. Selecteer een resource onder het tabblad resource naleving van de pagina naleving van beleid .Under the Resource compliance tab of the Policy compliance page, select a resource.

  4. Selecteer het tabblad wijzigings overzicht (preview) op de pagina resource naleving .Select the Change History (preview) tab on the Resource Compliance page. Er wordt een lijst weer gegeven met gedetecteerde wijzigingen, indien aanwezig.A list of detected changes, if any exist, are displayed.

    Scherm afbeelding van het tabblad wijzigings overzicht en gedetecteerde wijzigings tijden op de pagina Resource naleving.

  5. Selecteer een van de gedetecteerde wijzigingen.Select one of the detected changes. Het visuele verschil voor de resource wordt weer gegeven op de pagina wijzigings overzicht .The visual diff for the resource is presented on the Change history page.

    Scherm afbeelding van het visuele verschil tussen de status van de voor-en after-eigenschap van de wijzigings geschiedenis op de pagina wijzigings overzicht.

De visuele diff -aideds bij het identificeren van wijzigingen aan een resource.The visual diff aides in identifying changes to a resource. De gedetecteerde wijzigingen zijn mogelijk niet gerelateerd aan de huidige nalevings status van de resource.The changes detected may not be related to the current compliance state of the resource.

De wijzigings geschiedenis gegevens worden door Azure resource Graphverschaft.Change history data is provided by Azure Resource Graph. Als u wilt zoeken naar deze informatie buiten de Azure Portal, raadpleegt u resource wijzigingen ophalen.To query this information outside of the Azure portal, see Get resource changes.

Volgende stappenNext steps