Wat is Azure Policy?

Met Azure Policy kunt u organisatiestandaarden afdwingen en compliance op schaal beoordelen. Via het compliancedashboard biedt het een geaggregeerde weergave om de algehele status van de omgeving te evalueren, met de mogelijkheid om in te zoomen op de granulariteit per resource, per beleid. Hiermee kunt u ook zorgen voor compliance van uw resources via bulkherstel voor bestaande resources en automatisch herstel voor nieuwe resources.

Veelvoorkomende use-cases voor Azure Policy zijn onder andere het implementeren van governance voor consistentie van resources, naleving van de regelgeving, beveiliging, kosten en beheer. Beleidsdefinities voor deze veelvoorkomende use-cases zijn al ingebouwd in uw Azure-omgeving om u op weg te helpen.

Alle gegevens en objecten van Azure Policy worden versleuteld wanneer ze inactief zijn. Zie Versleuteling van inactieve gegevens in Azurevoor meer informatie.

Overzicht

Azure Policy evalueert resources in Azure door de eigenschappen van deze resources te vergelijken met bedrijfsregels. Deze bedrijfsregels, zoals beschreven in JSON-indeling, worden ook wel beleidsdefinities genoemd. Om het beheer te vereenvoudigen, kunnen meerdere bedrijfsregels worden gegroepeerd in een beleidsinitiatief (ook wel een policySet genoemd). Zodra uw bedrijfsregels zijn gemaakt, wordt de beleidsdefinitie of het initiatief toegewezen aan elk bereik van resources dat door Azure wordt ondersteund, zoals beheergroepen, abonnementen, resourcegroepen of afzonderlijke resources. De toewijzing is van toepassing op alle resources binnen het Resource Manager-bereik van deze toewijzing. Subbereiken kunnen zo nodig worden uitgesloten. Zie Bereik in Azure Policy voor meer informatie.

Azure Policy maakt gebruik van een JSON-indeling om de logica te vormen die door de evaluatie wordt gebruikt om te bepalen of een resource compatibel is of niet. Definities bevatten metagegevens en de beleidsregel. De gedefinieerde regel kan gebruikmaken van functies, parameters, logische operators, voorwaarden en eigenschapsaliassen voor een precieze afstemming op het gewenste scenario. De beleidsregel bepaalt welke resources in het bereik van de toewijzing worden geëvalueerd.

Inzicht in evaluatieresultaten

Resources worden geëvalueerd op specifieke tijdstippen tijdens de levenscyclus van resources, de levenscyclus van de beleidstoewijzing en voor een normale doorlopende evaluatie van de compliance. Hierna volgen de tijden waarop of gebeurtenissen waardoor een resource wordt geëvalueerd:

  • Een resource wordt gemaakt, bijgewerkt of verwijderd in een bereik met een beleidstoewijzing.
  • Een beleid of initiatief wordt voor het eerst toegewezen aan een bereik.
  • Een beleid of initiatief dat al is toegewezen aan een bereik, wordt bijgewerkt.
  • Tijdens de standaardevaluatiecyclus van de compliance, één keer elke 24 uur.

Zie Evaluatietriggers voor gedetailleerde informatie over wanneer en hoe de beleidsevaluatie wordt uitgevoerd.

De reactie op een evaluatie beheren

Bedrijfsregels voor het verwerken van niet-compatibele resources verschillen nogal tussen organisaties. Enkele voorbeelden van hoe een organisatie wil dat het platform reageert op een niet-compatibele resource:

  • De resourcewijziging weigeren
  • De wijziging in de resource vastleggen
  • De resource aanpassen vóór de wijziging
  • De resource aanpassen na de wijziging
  • Gerelateerde, compatibele resources implementeren

Azure Policy maakt al deze bedrijfsreacties mogelijk door effecten toe te passen. Effecten worden ingesteld in het gedeelte beleidsregel van de beleidsdefinitie.

Niet-compatibele resources herstellen

Hoewel deze effecten voornamelijk van invloed zijn op een resource wanneer de resource wordt gemaakt of bijgewerkt, ondersteunt Azure Policy ook het verwerken van bestaande niet-compatibele resources zonder dat deze resource hoeft te worden aangepast. Zie Resources herstellen voor meer informatie over het compatibel maken van bestaande resources.

Video-overzicht

Het volgende overzicht van Azure Policy is afkomstig van build 2018. Voor het downloaden van dia's of video's, gaat u naar Azure-omgeving beheren via Azure Policy op Channel 9.

Aan de slag

Azure Policy en Azure RBAC

Er zijn enkele belangrijke verschillen tussen Azure Policy en op rollen gebaseerd toegangsbeheer (Azure RBAC). Azure Policy evalueert de status door de eigenschappen te bekijken van resources die worden weergegeven in Resource Manager en de eigenschappen van sommige resourceproviders. In Azure Policy worden acties (ook wel bewerkingen) niet beperkt. Azure Policy zorgt ervoor dat de resourcestatus voldoet aan uw bedrijfsregels zonder dat het uitmaakt wie de wijziging heeft aangebracht of wie toestemming heeft om een wijziging aan te brengen. Sommige Azure Policy resources, zoals beleidsdefinities, initiatiefdefinitiesen toewijzingen,zijn zichtbaar voor alle gebruikers. Dit ontwerp maakt transparantie mogelijk voor alle gebruikers en services voor welke beleidsregels in hun omgeving zijn ingesteld.

Azure RBAC is gericht op het beheer van gebruikersacties in verschillende bereiken. Als een actie moet worden beheerd, is Azure RBAC het meest geschikte hulpprogramma om te gebruiken. Zelfs als een persoon een actie mag uitvoeren, blokkeert Azure Policy toch het maken of bijwerken als het resultaat een niet-compatibele resource is.

Door de combinatie van Azure RBAC en Azure Policy beschikt u over volledig bereikbeheer in Azure.

Azure RBAC-machtigingen in Azure Policy

Azure Policy heeft diverse machtigingen, oftewel bewerkingen, in twee verschillende resourceproviders:

Veel ingebouwde rollen wijzen machtigingen toe aan Azure Policy-resources. De rol Inzender voor resourcebeleid bevat de meeste Azure Policy-bewerkingen. Degene met de rol Eigenaar heeft volledige rechten. Zowel Inzender als Lezer heeft toegang tot alle lees bewerkingen in Azure Policy. Met Inzender kunnen resourceherstelacties worden geactiveerd, maar kunnen er geen definities of toewijzingen worden gemaakt. De rol Beheerder van gebruikerstoegang is vereist om de benodigde machtigingen voor de beheerde identiteit van deployIfNotExists- of modify-toewijzingen te verlenen. Alle beleidsobjecten kunnen worden gelezen voor alle rollen binnen het bereik.

Als geen van de ingebouwde rollen de vereiste machtigingen heeft, maakt u een aangepaste rol.

Notitie

Voor de beheerde identiteit van een deployIfNotExists- of modify-beleidstoewijzing zijn voldoende machtigingen nodig om resources te maken of bij te werken. Zie Beleidsdefinities voor herstel configureren voor meer informatie.

Resources die worden gedekt door Azure Policy

Azure Policy evalueert alle Azure-resources op of onder het abonnementsniveau, met inbegrip van resources met Arc. Voor bepaalde resourceproviders, zoals gastconfiguratie, Azure Kubernetes Serviceen Azure Key Vault,is er een diepere integratie voor het beheren van instellingen en objecten. Zie Modi van resourceproviders voor meer informatie.

Aanbevelingen voor het beheren van beleid

Enkele tips om rekening mee te houden:

  • Begin met een controle-effect in plaats van een weigeringseffect om bij te houden wat de invloed van uw beleidsdefinitie is op de resources in uw omgeving. Als u al actieve scripts hebt voor automatische schaalaanpassing van uw toepassingen, kan het instellen van een weigeractie een belemmering vormen voor deze automatische taken die u al hebt geïmplementeerd.

  • U kunt bij het maken van definities en toewijzingen gebruikmaken van organisatiehiërarchieën. Het is raadzaam om op een hoger niveau definities te maken, zoals op het niveau van de beheergroep of het abonnement. Vervolgens maakt u de toewijzing op het eerstvolgende onderliggende niveau. Als u een definitie voor een beheergroep maakt, kan de toewijzing worden gericht op een abonnement of resource in die beheergroep.

  • Het is raadzaam om initiatiefdefinities te maken en toe te wijzen, zelfs voor slechts één beleidsdefinitie. U hebt bijvoorbeeld de beleidsdefinitie policyDefA en u maakt deze met de initiatiefdefinitie initiativeDefC. Als u later nog een beleidsdefinitie maakt voor policyDefB, met doelen die lijken op die van policyDefA, kunt u deze toevoegen bij initiativeDefC en ze samen volgen.

  • Als u een initiatieftoewijzing hebt gemaakt, worden beleidsdefinities die worden toegevoegd aan het initiatief ook deel van de toewijzingen van het initiatief.

  • Wanneer een initiatieftoewijzing wordt beoordeeld, worden alle beleidsregels in het initiatief ook beoordeeld. Als u een beleidsregel afzonderlijk wilt beoordelen, is het beter deze niet op te nemen in een initiatief.

Azure Policy-objecten

Beleidsdefinitie

Het maken en implementeren van een beleidsregel in Azure Policy begint met het maken van een beleidsdefinitie. Elke beleidsdefinitie heeft voorwaarden voor het afdwingen ervan. Er is een bijbehorend effect dat wordt uitgevoerd als aan de voorwaarden wordt voldaan.

In Azure Policy wordt een aantal ingebouwde beleidsregels geboden dat standaard beschikbaar is. Bijvoorbeeld:

  • Toegestane opslagaccount-SKU's (Weigeren): Bepaalt of opslagaccounts die worden geïmplementeerd zich in een set SKU-grootten bevinden. Het bijbehorende effect is om alle opslagaccounts te weigeren die niet in overeenstemming zijn met de gedefinieerde SKU-grootten.
  • Toegestaan resourcetype (Weigeren): Hiermee definieert u de resourcetypen die u kunt implementeren. Het bijbehorende effect is om alle resources te weigeren die geen deel uitmaken van deze gedefinieerde lijst.
  • Toegestane locaties (Weigeren): Hiermee beperkt u de beschikbare locaties voor nieuwe resources. Het bijbehorende effect wordt gebruikt om uw geografisch nalevingsvereisten af te dwingen.
  • Toegestane SKU's van virtuele machines (Weigeren): Hiermee wordt een set SKU's voor virtuele machines gespecificeerd die u kunt implementeren.
  • Een tag toevoegen aan resources (Wijzigen): Hiermee wordt een vereiste tag met bijbehorende standaardwaarde toegepast als de tag niet is opgegeven tijdens de implementatieaanvraag.
  • Niet toegestane resourcetypen (Weigeren): Hiermee voorkomt u dat een lijst met resourcetypen wordt geïmplementeerd.

Als u deze beleidsdefinities (zowel de ingebouwde als de aangepaste) wilt implementeren, dient u ze eerst toe te wijzen. U kunt elk van deze typen beleid toewijzen via Azure Portal, PowerShell of Azure CLI.

Beleid wordt beoordeeld bij verschillende acties, zoals het toewijzen of bijwerken van beleidsregels. Zie voor een volledige lijst Beleidbeoordelingstriggers.

Raadpleeg Structuur van beleidsdefinities voor meer informatie over de structuur van beleidsdefinities.

Beleidsparameters helpen uw beleidsbeheer te vereenvoudigen door het aantal beleidsdefinities te verminderen dat u moet maken. U kunt bij het maken van een beleidsdefinitie parameters definiëren om deze algemener te maken. Vervolgens kunt u deze beleidsdefinitie hergebruiken voor verschillende scenario's. Dit doet u door verschillende waarden door te voeren bij het toepassen van de beleidsdefinitie. Bijvoorbeeld, door een reeks locaties voor een abonnement op te geven.

Parameters worden gedefinieerd bij het maken van een beleidsdefinitie. Als een parameter wordt gedefinieerd, krijgt deze een naam en optioneel een waarde. U kunt bijvoorbeeld een parameter definiëren voor een beleid met de naam locatie. Vervolgens kunt u deze verschillende waarden toekennen, zoals EastUS of WestUS bij het toewijzen van beleid.

Zie Definitiestructuur - parameters voor meer informatie over beleidsparameters.

Initiatiefdefinitie

Een initiatiefdefinitie is een verzameling beleidsdefinities die zijn afgestemd op het bereiken van één overkoepelend doel. Initiatiefdefinities maken het beheren en toewijzen van beleidsdefinities eenvoudiger. Dit gebeurt door het groeperen van een reeks beleidsregels als één item. U kunt bijvoorbeeld een initiatief maken met de titel Controleren inschakelen in Azure Security Center met als doel om alle beschikbare beveiligingsaanbevelingen in uw Azure Security Center te controleren.

Notitie

De SDK, zoals Azure CLI en Azure PowerShell, maken gebruiken van eigenschappen en parameters met de naam PolicySet om te verwijzen naar initiatieven.

Onder dit initiatief vallen beleidsdefinities zoals:

  • Niet-versleutelde SQL Database in Security Center: voor het bewaken van niet-versleutelde SQL databases en servers.
  • Beveiligingsproblemen van besturingssystemen in Security Center: voor het bewaken van servers die niet voldoen aan de geconfigureerde basislijn.
  • Ontbrekende Endpoint Protection bewaken in Security Center: voor het bewaken van servers zonder een geïnstalleerde Endpoint Protection-agent.

Net zoals beleidsparameters helpen initiatiefparameters om initiatiefbeheer te vereenvoudigen door redundantie te verminderen. Initiatiefparameters zijn de parameters die worden gebruikt voor de beleidsdefinities binnen het initiatief.

Neem bijvoorbeeld een scenario met initiatiefdefinitie initiativeC, waarbij voor beleidsdefinities policyA en policyB elk een ander type parameter wordt verwacht:

Beleid Naam van parameter Type parameter Opmerking
policyA allowedLocations matrix Op basis van deze parameter wordt een lijst met tekenreeksen verwacht voor een waarde, omdat het parametertype is gedefinieerd als een matrix
policyB allowedSingleLocation tekenreeks Op basis van deze parameter wordt één woord verwacht voor een waarde, omdat het parametertype is gedefinieerd als een tekenreeks

In dit scenario hebt u, bij het definiëren van de initiatiefparameters voor initiativeC, drie opties:

  • Gebruik de parameters van de beleidsdefinities binnen dit initiatief: in dit voorbeeld worden allowedLocations en allowedSingleLocation initiatiefparameters voor initiativeC .
  • Geef waarden op voor de parameters van de beleidsdefinities binnen deze initiatiefdefinitie. In dit voorbeeld kunt u een lijst met locaties opgeven voor de parameter van policyA- allowedLocations en de parameter van policyB- allowedSingleLocation. U kunt ook waarden opgeven bij het toewijzen van dit initiatief.
  • Geef een lijst met waarde opties op die kunnen worden gebruikt bij het toewijzen van dit initiatief. Als u dit initiatief toewijst, kunnen de overgenomen parameters van de beleidsdefinities binnen het initiatief, alleen waarden hebben uit de opgegeven lijst.

Als u waardeopties maakt in een initiatiefdefinitie, is het niet mogelijk om tijdens het toewijzen van het initiatief andere waarden op te geven, omdat deze niet op de lijst staan.

Zie Structuur van initiatiefdefinities voor meer informatie over de structuur van initiatiefdefinities.

Toewijzingen

Een toewijzing is een beleidsdefinitie die of initiatief dat is toegewezen om te worden toegepast binnen een bepaald bereik. Dit bereik kan variëren van een beheergroep tot een afzonderlijke resource. De term bereik verwijst naar alle resources, resourcegroepen, abonnementen of beheergroepen waaraan de definitie is toegewezen. Toewijzingen worden overgenomen door alle onderliggende resources. Dit betekent dat als een definitie wordt toegepast op een resourcegroep, deze ook van toepassing is op alle resources in de resourcegroep. U kunt echter een subbereik uitsluiten van de toewijzing.

U kunt op het abonnementsbereik bijvoorbeeld een definitie toepassen op basis waarvan het maken van netwerkresources wordt voorkomen. U kunt echter één resourcegroep binnen het abonnement uitsluiten, namelijk degene die is bedoeld voor netwerkinfrastructuur. U verleent vervolgens toegang tot deze netwerkresourcegroep aan gebruikers aan wie u het maken van de netwerkresourcegroep toevertrouwt.

In een ander voorbeeld wilt u mogelijk een allowlist-definitie van het resourcetype toewijzen op het niveau van de beheergroep. Vervolgens wijst u een ruimer beleid (zodat meer resourcetypen zijn toegestaan) toe via een onderliggende beheergroep of zelfs rechtstreeks in abonnementen. Dit voorbeeld zou echter niet goed werken, omdat Azure Policy een expliciet weigersysteem is. In plaats daarvan moet u de onderliggende beheergroep of het abonnement uitsluiten van de toewijzing op beheergroepniveau. Vervolgens kunt u de ruimere definitie toewijzen aan het niveau van de onderliggende beheergroep of het abonnement. Als toewijzingsresultaten in een resource worden geweigerd, is het aanpassen van de weigeringstoewijzing de enige manier om de resource toe te staan.

Zie Een beleidstoewijzing maken om niet-compatibele resources in uw Azure-abonnement te identificeren voor meer informatie over het instellen van toewijzingen via de portal. Er zijn ook stappen voor PowerShell en Azure CLI beschikbaar. Zie Toewijzingsstructuur voor meer informatie over de toewijzingsstructuur.

Maximum aantal Azure Policy-objecten

Voor elk objecttype in Azure Policy bestaat er een maximum. Voor definities betekent Bereik de beheergroep of het abonnement. Voor toewijzingen en uitzonderingen betekent Bereik de beheergroep, het abonnement, de resource groep of een afzonderlijke resource.

Waar Wat Maximum
Bereik Beleidsdefinities 500
Bereik Initiatiefdefinities 200
Tenant Initiatiefdefinities 2500
Bereik Beleids- of initiatieftoewijzingen 200
Bereik Uitzonderingen 1000
Beleidsdefinitie Parameters 20
Initiatiefdefinitie Beleidsregels 1000
Initiatiefdefinitie Parameters 300
Beleids- of initiatieftoewijzingen Uitzonderingen (geen bereiken) 400
Beleidsregel Geneste voorwaarden 512
Hersteltaak Resources 500

Volgende stappen

Nu u een overzicht hebt van Azure Policy en enkele van de belangrijkste geïntroduceerde concepten, ziet u hier de voorgestelde volgende stappen: