Wat is Azure Policy?What is Azure Policy?

Met Azure Policy kunt u organisatiestandaarden afdwingen en compliance op schaal beoordelen.Azure Policy helps to enforce organizational standards and to assess compliance at-scale. Via het compliancedashboard biedt het een geaggregeerde weergave om de algehele status van de omgeving te evalueren, met de mogelijkheid om in te zoomen op de granulariteit per resource, per beleid.Through its compliance dashboard, it provides an aggregated view to evaluate the overall state of the environment, with the ability to drill down to the per-resource, per-policy granularity. Hiermee kunt u ook zorgen voor compliance van uw resources via bulkherstel voor bestaande resources en automatisch herstel voor nieuwe resources.It also helps to bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources.

Veelvoorkomende use-cases voor Azure Policy zijn onder andere het implementeren van governance voor consistentie van resources, naleving van de regelgeving, beveiliging, kosten en beheer.Common use cases for Azure Policy include implementing governance for resource consistency, regulatory compliance, security, cost, and management. Beleidsdefinities voor deze veelvoorkomende use-cases zijn al ingebouwd in uw Azure-omgeving om u op weg te helpen.Policy definitions for these common use cases are already available in your Azure environment as built-ins to help you get started.

Alle gegevens en objecten van Azure Policy worden versleuteld wanneer ze inactief zijn.All Azure Policy data and objects are encrypted at rest. Zie Versleuteling van inactieve gegevens in Azurevoor meer informatie.For more information, see Azure data encryption at rest.

OverzichtOverview

Azure Policy evalueert resources in Azure door de eigenschappen van deze resources te vergelijken met bedrijfsregels.Azure Policy evaluates resources in Azure by comparing the properties of those resources to business rules. Deze bedrijfsregels, zoals beschreven in JSON-indeling, worden ook wel beleidsdefinities genoemd.These business rules, described in JSON format, are known as policy definitions. Om het beheer te vereenvoudigen, kunnen meerdere bedrijfsregels worden gegroepeerd in een beleidsinitiatief (ook wel een policySet genoemd).To simplify management, several business rules can be grouped together to form a policy initiative (sometimes called a policySet). Zodra uw bedrijfsregels zijn gemaakt, wordt de beleidsdefinitie of het initiatief toegewezen aan elk bereik van resources dat door Azure wordt ondersteund, zoals beheergroepen, abonnementen, resourcegroepen of afzonderlijke resources.Once your business rules have been formed, the policy definition or initiative is assigned to any scope of resources that Azure supports, such as management groups, subscriptions, resource groups, or individual resources. De toewijzing is van toepassing op alle resources binnen het Resource Manager-bereik van deze toewijzing.The assignment applies to all resources within the Resource Manager scope of that assignment. Subbereiken kunnen zo nodig worden uitgesloten.Subscopes can be excluded, if necessary. Zie Bereik in Azure Policy voor meer informatie.For more information, see Scope in Azure Policy.

Azure Policy gebruikt een JSON-indeling om de logica te vormen waarmee de evaluatie bepaalt of een resource compatibel is.Azure Policy uses a JSON format to form the logic the evaluation uses to determine if a resource is compliant or not. Definities bevatten metagegevens en de beleidsregel.Definitions include metadata and the policy rule. De gedefinieerde regel kan gebruikmaken van functies, parameters, logische operators, voorwaarden en eigenschapsaliassen voor een precieze afstemming op het gewenste scenario.The defined rule can use functions, parameters, logical operators, conditions, and property aliases to match exactly the scenario you want. De beleidsregel bepaalt welke resources in het bereik van de toewijzing worden geëvalueerd.The policy rule determines which resources in the scope of the assignment get evaluated.

Inzicht in evaluatieresultatenUnderstand evaluation outcomes

Resources worden geëvalueerd op specifieke tijdstippen tijdens de levenscyclus van resources, de levenscyclus van de beleidstoewijzing en voor een normale doorlopende evaluatie van de compliance.Resources are evaluated at specific times during the resource lifecycle, the policy assignment lifecycle, and for regular ongoing compliance evaluation. Hierna volgen de tijden waarop of gebeurtenissen waardoor een resource wordt geëvalueerd:The following are the times or events that cause a resource to be evaluated:

  • Een resource wordt gemaakt, bijgewerkt of verwijderd in een bereik met een beleidstoewijzing.A resource is created, updated, or deleted in a scope with a policy assignment.
  • Een beleid of initiatief wordt voor het eerst toegewezen aan een bereik.A policy or initiative is newly assigned to a scope.
  • Een beleid of initiatief dat al is toegewezen aan een bereik, wordt bijgewerkt.A policy or initiative already assigned to a scope is updated.
  • Tijdens de standaardevaluatiecyclus van de compliance, één keer elke 24 uur.During the standard compliance evaluation cycle, which occurs once every 24 hours.

Zie Evaluatietriggers voor gedetailleerde informatie over wanneer en hoe de beleidsevaluatie wordt uitgevoerd.For detailed information about when and how policy evaluation happens, see Evaluation triggers.

De reactie op een evaluatie beherenControl the response to an evaluation

Bedrijfsregels voor het verwerken van niet-compatibele resources verschillen nogal tussen organisaties.Business rules for handling non-compliant resources vary widely between organizations. Enkele voorbeelden van hoe een organisatie wil dat het platform reageert op een niet-compatibele resource:Examples of how an organization wants the platform to respond to a non-compliant resource include:

  • De resourcewijziging weigerenDeny the resource change
  • De wijziging in de resource vastleggenLog the change to the resource
  • De resource aanpassen vóór de wijzigingAlter the resource before the change
  • De resource aanpassen na de wijzigingAlter the resource after the change
  • Gerelateerde, compatibele resources implementerenDeploy related compliant resources

Azure Policy maakt al deze bedrijfsreacties mogelijk door effecten toe te passen.Azure Policy makes each of these business responses possible through the application of effects. Effecten worden ingesteld in het gedeelte beleidsregel van de beleidsdefinitie.Effects are set in the policy rule portion of the policy definition.

Niet-compatibele resources herstellenRemediate non-compliant resources

Hoewel deze effecten voornamelijk van invloed zijn op een resource wanneer de resource wordt gemaakt of bijgewerkt, ondersteunt Azure Policy ook het verwerken van bestaande niet-compatibele resources zonder dat deze resource hoeft te worden aangepast.While these effects primarily affect a resource when the resource is created or updated, Azure Policy also supports dealing with existing non-compliant resources without needing to alter that resource. Zie Resources herstellen voor meer informatie over het compatibel maken van bestaande resources.For more information about making existing resources compliant, see remediating resources.

Video-overzichtVideo overview

Het volgende overzicht van Azure Policy is afkomstig van build 2018.The following overview of Azure Policy is from Build 2018. Voor het downloaden van dia's of video's, gaat u naar Azure-omgeving beheren via Azure Policy op Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Aan de slagGetting started

Azure Policy en Azure RBACAzure Policy and Azure RBAC

Er zijn enkele belangrijke verschillen tussen Azure Policy en op rollen gebaseerd toegangsbeheer (Azure RBAC).There are a few key differences between Azure Policy and Azure role-based access control (Azure RBAC). Azure Policy evalueert de status door de eigenschappen te bekijken van resources die worden weergegeven in Resource Manager en de eigenschappen van sommige resourceproviders.Azure Policy evaluates state by examining properties on resources that are represented in Resource Manager and properties of some Resource Providers. In Azure Policy worden acties (ook wel bewerkingen) niet beperkt.Azure Policy doesn't restrict actions (also called operations). Azure Policy zorgt ervoor dat de resourcestatus voldoet aan uw bedrijfsregels zonder dat het uitmaakt wie de wijziging heeft aangebracht of wie toestemming heeft om een wijziging aan te brengen.Azure Policy ensures that resource state is compliant to your business rules without concern for who made the change or who has permission to make a change.

Azure RBAC is gericht op het beheer van gebruikersacties in verschillende bereiken.Azure RBAC focuses on managing user actions at different scopes. Als een actie moet worden beheerd, is Azure RBAC het meest geschikte hulpprogramma om te gebruiken.If control of an action is required, then Azure RBAC is the correct tool to use. Zelfs als een persoon een actie mag uitvoeren, blokkeert Azure Policy toch het maken of bijwerken als het resultaat een niet-compatibele resource is.Even if an individual has access to perform an action, if the result is a non-compliant resource, Azure Policy still blocks the create or update.

Door de combinatie van Azure RBAC en Azure Policy beschikt u over volledig bereikbeheer in Azure.The combination of Azure RBAC and Azure Policy provides full scope control in Azure.

Azure RBAC-machtigingen in Azure PolicyAzure RBAC permissions in Azure Policy

Azure Policy heeft diverse machtigingen, oftewel bewerkingen, in twee verschillende resourceproviders:Azure Policy has several permissions, known as operations, in two Resource Providers:

Veel ingebouwde rollen wijzen machtigingen toe aan Azure Policy-resources.Many Built-in roles grant permission to Azure Policy resources. De rol Inzender voor resourcebeleid bevat de meeste Azure Policy-bewerkingen.The Resource Policy Contributor role includes most Azure Policy operations. Degene met de rol Eigenaar heeft volledige rechten.Owner has full rights. Zowel Inzender als Lezer heeft toegang tot alle lees bewerkingen in Azure Policy.Both Contributor and Reader have access to all read Azure Policy operations. Met Inzender kunnen resourceherstelacties worden geactiveerd, maar kunnen er geen definities of toewijzingen worden gemaakt.Contributor may trigger resource remediation, but can't create definitions or assignments. De rol Beheerder van gebruikerstoegang is vereist om de benodigde machtigingen voor de beheerde identiteit van deployIfNotExists- of modify-toewijzingen te verlenen.User Access Administrator is necessary to grant the managed identity on deployIfNotExists or modify assignments necessary permissions.

Als geen van de ingebouwde rollen de vereiste machtigingen heeft, maakt u een aangepaste rol.If none of the Built-in roles have the permissions required, create a custom role.

Notitie

Voor de beheerde identiteit van een deployIfNotExists- of modify-beleidstoewijzing zijn voldoende machtigingen nodig om resources te maken of bij te werken.The managed identity of a deployIfNotExists or modify policy assignment needs enough permissions to create or update targetted resources. Zie Beleidsdefinities voor herstel configureren voor meer informatie.For more information, see Configure policy definitions for remediation.

Resources die worden gedekt door Azure PolicyResources covered by Azure Policy

Azure Policy evalueert alle resources in Azure en met ingeschakelde Arc.Azure Policy evaluates all resources in Azure and Arc enabled resources. Voor bepaalde resourceproviders, zoals Gastconfiguratie, Azure Kubernetes Service en Azure Key Vault, is er een uitgebreidere integratie voor het beheren van instellingen en objecten.For certain resource providers such as Guest Configuration, Azure Kubernetes Service, and Azure Key Vault, there's a deeper integration for managing settings and objects. Zie Modi van resourceproviders voor meer informatie.To find out more, see Resource Provider modes.

Aanbevelingen voor het beheren van beleidRecommendations for managing policies

Enkele tips om rekening mee te houden:Here are a few pointers and tips to keep in mind:

  • Begin met een controle-effect in plaats van een weigeringseffect om bij te houden wat de invloed van uw beleidsdefinitie is op de resources in uw omgeving.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Als u al actieve scripts hebt voor automatische schaalaanpassing van uw toepassingen, kan het instellen van een weigeractie een belemmering vormen voor deze automatische taken die u al hebt geïmplementeerd.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • U kunt bij het maken van definities en toewijzingen gebruikmaken van organisatiehiërarchieën.Consider organizational hierarchies when creating definitions and assignments. Het is raadzaam om op een hoger niveau definities te maken, zoals op het niveau van de beheergroep of het abonnement.We recommend creating definitions at higher levels such as the management group or subscription level. Vervolgens maakt u de toewijzing op het eerstvolgende onderliggende niveau.Then, create the assignment at the next child level. Als u een definitie voor een beheergroep maakt, kan de toewijzing worden gericht op een abonnement of resource in die beheergroep.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Het is raadzaam om initiatiefdefinities te maken en toe te wijzen, zelfs voor slechts één beleidsdefinitie.We recommend creating and assigning initiative definitions even for a single policy definition. U hebt bijvoorbeeld de beleidsdefinitie policyDefA en u maakt deze met de initiatiefdefinitie initiativeDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Als u later nog een beleidsdefinitie maakt voor policyDefB, met doelen die lijken op die van policyDefA, kunt u deze toevoegen bij initiativeDefC en ze samen volgen.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • Als u een initiatieftoewijzing hebt gemaakt, worden beleidsdefinities die worden toegevoegd aan het initiatief ook deel van de toewijzingen van het initiatief.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiative's assignments.

  • Wanneer een initiatieftoewijzing wordt beoordeeld, worden alle beleidsregels in het initiatief ook beoordeeld.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Als u een beleidsregel afzonderlijk wilt beoordelen, is het beter deze niet op te nemen in een initiatief.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Azure Policy-objectenAzure Policy objects

BeleidsdefinitiePolicy definition

Het maken en implementeren van een beleidsregel in Azure Policy begint met het maken van een beleidsdefinitie.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Elke beleidsdefinitie heeft voorwaarden voor het afdwingen ervan.Every policy definition has conditions under which it's enforced. Er is een bijbehorend effect dat wordt uitgevoerd als aan de voorwaarden wordt voldaan.And, it has a defined effect that takes place if the conditions are met.

In Azure Policy wordt een aantal ingebouwde beleidsregels geboden dat standaard beschikbaar is.In Azure Policy, we offer several built-in policies that are available by default. Bijvoorbeeld:For example:

  • Toegestane opslagaccount-SKU's (Weigeren): Bepaalt of opslagaccounts die worden geïmplementeerd zich in een set SKU-grootten bevinden.Allowed Storage Account SKUs (Deny): Determines if a storage account being deployed is within a set of SKU sizes. Het bijbehorende effect is om alle opslagaccounts te weigeren die niet in overeenstemming zijn met de gedefinieerde SKU-grootten.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Toegestaan resourcetype (Weigeren): Hiermee definieert u de resourcetypen die u kunt implementeren.Allowed Resource Type (Deny): Defines the resource types that you can deploy. Het bijbehorende effect is om alle resources te weigeren die geen deel uitmaken van deze gedefinieerde lijst.Its effect is to deny all resources that aren't part of this defined list.
  • Toegestane locaties (Weigeren): Hiermee beperkt u de beschikbare locaties voor nieuwe resources.Allowed Locations (Deny): Restricts the available locations for new resources. Het bijbehorende effect wordt gebruikt om uw geografisch nalevingsvereisten af te dwingen.Its effect is used to enforce your geo-compliance requirements.
  • Toegestane SKU's van virtuele machines (Weigeren): Hiermee wordt een set SKU's voor virtuele machines gespecificeerd die u kunt implementeren.Allowed Virtual Machine SKUs (Deny): Specifies a set of virtual machine SKUs that you can deploy.
  • Een tag toevoegen aan resources (Wijzigen): Hiermee wordt een vereiste tag met bijbehorende standaardwaarde toegepast als de tag niet is opgegeven tijdens de implementatieaanvraag.Add a tag to resources (Modify): Applies a required tag and its default value if it's not specified by the deploy request.
  • Niet toegestane resourcetypen (Weigeren): Hiermee voorkomt u dat een lijst met resourcetypen wordt geïmplementeerd.Not allowed resource types (Deny): Prevents a list of resource types from being deployed.

Als u deze beleidsdefinities (zowel de ingebouwde als de aangepaste) wilt implementeren, dient u ze eerst toe te wijzen.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. U kunt elk van deze typen beleid toewijzen via Azure Portal, PowerShell of Azure CLI.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Beleid wordt beoordeeld bij verschillende acties, zoals het toewijzen of bijwerken van beleidsregels.Policy evaluation happens with several different actions, such as policy assignment or policy updates. Zie voor een volledige lijst Beleidbeoordelingstriggers.For a complete list, see Policy evaluation triggers.

Raadpleeg Structuur van beleidsdefinities voor meer informatie over de structuur van beleidsdefinities.To learn more about the structures of policy definitions, review Policy Definition Structure.

Beleidsparameters helpen uw beleidsbeheer te vereenvoudigen door het aantal beleidsdefinities te verminderen dat u moet maken.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. U kunt bij het maken van een beleidsdefinitie parameters definiëren om deze algemener te maken.You can define parameters when creating a policy definition to make it more generic. Vervolgens kunt u deze beleidsdefinitie hergebruiken voor verschillende scenario's.Then you can reuse that policy definition for different scenarios. Dit doet u door verschillende waarden door te voeren bij het toepassen van de beleidsdefinitie.You do so by passing in different values when assigning the policy definition. Bijvoorbeeld, door een reeks locaties voor een abonnement op te geven.For example, specifying one set of locations for a subscription.

Parameters worden gedefinieerd bij het maken van een beleidsdefinitie.Parameters are defined when creating a policy definition. Als een parameter wordt gedefinieerd, krijgt deze een naam en optioneel een waarde.When a parameter is defined, it's given a name and optionally given a value. U kunt bijvoorbeeld een parameter definiëren voor een beleid met de naam locatie.For example, you could define a parameter for a policy titled location. Vervolgens kunt u deze verschillende waarden toekennen, zoals EastUS of WestUS bij het toewijzen van beleid.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Zie Definitiestructuur - parameters voor meer informatie over beleidsparameters.For more information about policy parameters, see Definition structure - Parameters.

InitiatiefdefinitieInitiative definition

Een initiatiefdefinitie is een verzameling beleidsdefinities die zijn aangepast voor het bereiken van één overkoepelend doel.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. Initiatiefdefinities maken het beheren en toewijzen van beleidsdefinities eenvoudiger.Initiative definitions simplify managing and assigning policy definitions. Dit gebeurt door het groeperen van een reeks beleidsregels als één item.They simplify by grouping a set of policies as one single item. U kunt bijvoorbeeld een initiatief maken met de titel Controleren inschakelen in Azure Security Center met als doel om alle beschikbare beveiligingsaanbevelingen in uw Azure Security Center te controleren.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Notitie

De SDK, zoals Azure CLI en Azure PowerShell, maken gebruiken van eigenschappen en parameters met de naam PolicySet om te verwijzen naar initiatieven.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Onder dit initiatief vallen beleidsdefinities zoals:Under this initiative, you would have policy definitions such as:

  • Niet-versleutelde SQL-database controleren in Security Center – Voor het controleren van niet-versleutelde SQL-databases en -servers.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • OS-kwetsbaarheden controleren in Security Center: voor het controleren van servers die niet voldoen aan de geconfigureerde uitgangswaarde.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Ontbrekende Endpoint Protection controleren in Security Center – Voor het controleren van servers zonder een geïnstalleerde Endpoint Protection-agent.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

Net zoals beleidsparameters helpen initiatiefparameters om initiatiefbeheer te vereenvoudigen door redundantie te verminderen.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Initiatiefparameters zijn de parameters die worden gebruikt voor de beleidsdefinities binnen het initiatief.Initiative parameters are parameters being used by the policy definitions within the initiative.

Neem bijvoorbeeld een scenario met initiatiefdefinitie initiativeC, waarbij voor beleidsdefinities policyA en policyB elk een ander type parameter wordt verwacht:For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

BeleidPolicy Naam van parameterName of parameter Type parameterType of parameter OpmerkingNote
policyApolicyA allowedLocationsallowedLocations matrixarray Op basis van deze parameter wordt een lijst met tekenreeksen verwacht voor een waarde, omdat het parametertype is gedefinieerd als een matrixThis parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation tekenreeksstring Op basis van deze parameter wordt één woord verwacht voor een waarde, omdat het parametertype is gedefinieerd als een tekenreeksThis parameter expects one word for a value since the parameter type has been defined as a string

In dit scenario hebt u, bij het definiëren van de initiatiefparameters voor initiativeC, drie opties:In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Gebruik de parameters van de beleidsdefinities binnen dit initiatief: in dit voorbeeld worden allowedLocations en allowedSingleLocation initiatiefparameters voor initiativeC .Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Geef waarden op voor de parameters van de beleidsdefinities binnen deze initiatiefdefinitie.Provide values to the parameters of the policy definitions within this initiative definition. In dit voorbeeld kunt u een lijst met locaties opgeven naar parameter van policyAallowedLocations en parameter van policyBallowedSingleLocation.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. U kunt ook waarden opgeven bij het toewijzen van dit initiatief.You can also provide values when assigning this initiative.
  • Geef een lijst met waarde opties op die kunnen worden gebruikt bij het toewijzen van dit initiatief.Provide a list of value options that can be used when assigning this initiative. Als u dit initiatief toewijst, kunnen de overgenomen parameters van de beleidsdefinities binnen het initiatief, alleen waarden hebben uit de opgegeven lijst.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

Als u waardeopties maakt in een initiatiefdefinitie, is het niet mogelijk om tijdens het toewijzen van het initiatief andere waarden op te geven, omdat deze niet op de lijst staan.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Zie Structuur van initiatiefdefinities voor meer informatie over de structuur van initiatiefdefinities.To learn more about the structures of initiative definitions, review Initiative Definition Structure.

ToewijzingenAssignments

Een toewijzing is een beleidsdefinitie die of initiatief dat is toegewezen om te worden toegepast binnen een bepaald bereik.An assignment is a policy definition or initiative that has been assigned to take place within a specific scope. Dit bereik kan variëren van een beheergroep tot een afzonderlijke resource.This scope could range from a management group to an individual resource. De term bereik verwijst naar alle resources, resourcegroepen, abonnementen of beheergroepen waaraan de definitie is toegewezen.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the definition is assigned to. Toewijzingen worden overgenomen door alle onderliggende resources.Assignments are inherited by all child resources. Dit betekent dat als een definitie wordt toegepast op een resourcegroep, deze ook van toepassing is op alle resources in de resourcegroep.This design means that a definition applied to a resource group is also applied to resources in that resource group. U kunt echter een subbereik uitsluiten van de toewijzing.However, you can exclude a subscope from the assignment.

U kunt op het abonnementsbereik bijvoorbeeld een definitie toepassen op basis waarvan het maken van netwerkresources wordt voorkomen.For example, at the subscription scope, you can assign a definition that prevents the creation of networking resources. U kunt echter één resourcegroep binnen het abonnement uitsluiten, namelijk degene die is bedoeld voor netwerkinfrastructuur.You could exclude a resource group in that subscription that is intended for networking infrastructure. U verleent vervolgens toegang tot deze netwerkresourcegroep aan gebruikers aan wie u het maken van de netwerkresourcegroep toevertrouwt.You then grant access to this networking resource group to users that you trust with creating networking resources.

In een ander voorbeeld wilt u mogelijk een acceptatielijstdefinitie voor resourcetypen toewijzen op het niveau van de beheergroep.In another example, you might want to assign a resource type allow list definition at the management group level. Vervolgens wijst u een ruimer beleid (zodat meer resourcetypen zijn toegestaan) toe via een onderliggende beheergroep of zelfs rechtstreeks in abonnementen.Then you assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Dit voorbeeld zou echter niet goed werken, omdat Azure Policy een expliciet weigersysteem is.However, this example wouldn't work because Azure Policy is an explicit deny system. In plaats daarvan moet u de onderliggende beheergroep of het abonnement uitsluiten van de toewijzing op beheergroepniveau.Instead, you need to exclude the child management group or subscription from the management group-level assignment. Vervolgens kunt u de ruimere definitie toewijzen aan het niveau van de onderliggende beheergroep of het abonnement.Then, assign the more permissive definition on the child management group or subscription level. Als toewijzingsresultaten in een resource worden geweigerd, is het aanpassen van de weigeringstoewijzing de enige manier om de resource toe te staan.If any assignment results in a resource getting denied, then the only way to allow the resource is to modify the denying assignment.

Zie Een beleidstoewijzing maken om niet-compatibele resources in uw Azure-abonnement te identificeren voor meer informatie over het instellen van toewijzingen via de portal.For more information on setting assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Er zijn ook stappen voor PowerShell en Azure CLI beschikbaar.Steps for PowerShell and Azure CLI are also available. Zie Toewijzingsstructuur voor meer informatie over de toewijzingsstructuur.For information on the assignment structure, see Assignments Structure.

Maximum aantal Azure Policy-objectenMaximum count of Azure Policy objects

Voor elk objecttype in Azure Policy bestaat er een maximum.There's a maximum count for each object type for Azure Policy. Voor definities betekent Bereik de beheergroep of het abonnement.For definitions, an entry of Scope means the management group or subscription. Voor toewijzingen en uitzonderingen betekent Bereik de beheergroep, het abonnement, de resource groep of een afzonderlijke resource.For assignments and exemptions, an entry of Scope means the management group, subscription, resource group, or individual resource.

WaarWhere WatWhat MaximumMaximum count
BereikScope BeleidsdefinitiesPolicy definitions 500500
BereikScope InitiatiefdefinitiesInitiative definitions 200200
TenantTenant InitiatiefdefinitiesInitiative definitions 25002,500
BereikScope Beleids- of initiatieftoewijzingenPolicy or initiative assignments 200200
BereikScope UitzonderingenExemptions 10001000
BeleidsdefinitiePolicy definition ParametersParameters 2020
InitiatiefdefinitieInitiative definition BeleidsregelsPolicies 10001000
InitiatiefdefinitieInitiative definition ParametersParameters 100100
Beleids- of initiatieftoewijzingenPolicy or initiative assignments Uitzonderingen (geen bereiken)Exclusions (notScopes) 400400
BeleidsregelPolicy rule Geneste voorwaardenNested conditionals 512512
HersteltaakRemediation task ResourcesResources 500500

Volgende stappenNext steps

Nu u een overzicht hebt van Azure Policy en enkele van de belangrijkste geïntroduceerde concepten, ziet u hier de voorgestelde volgende stappen:Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: