Wat is Azure Policy?What is Azure Policy?

Governance valideert dat uw organisatie de doel stellingen kan bereiken via effectief en efficiënt gebruik.Governance validates that your organization can achieve its goals through effective and efficient use of IT. Het zorgt voor duidelijkheid tussen zakelijke doelstellingen en IT-projecten.It meets this need by creating clarity between business goals and IT projects.

Ondervindt uw bedrijf een significant aantal IT-problemen die nooit lijken te worden opgelost?Does your company experience a significant number of IT issues that never seem to get resolved? Goed IT-beheer omvat het plannen van uw initiatieven en het stellen van prioriteiten op strategisch niveau, zodat problemen beheerst en voorkomen kunnen worden.Good IT governance involves planning your initiatives and setting priorities on a strategic level to help manage and prevent issues. Hiervoor gebruikt u Azure Policy.This strategic need is where Azure Policy comes in.

Azure Policy is een service in Azure die u gebruikt om beleidsregels te maken, toe te wijzen en te beheren.Azure Policy is a service in Azure that you use to create, assign, and manage policies. Met deze beleidsregels worden verschillende regels en effecten afgedwongen voor uw resources, zodat deze resources voldoen aan de standaarden en service level agreements in uw bedrijf.These policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service level agreements. Azure Policy voorziet in deze behoefte door uw resources met toegewezen beleid te controleren op niet-naleving.Azure Policy meets this need by evaluating your resources for non-compliance with assigned policies. Alle gegevens die door Azure Policy zijn opgeslagen, worden op rest versleuteld.All data stored by Azure Policy is encrypted at rest.

U kunt bijvoorbeeld beleid hebben op basis waarvan alleen virtuele machines van een bepaalde SKU-grootte in uw omgeving zijn toegestaan.For example, you can have a policy to allow only a certain SKU size of virtual machines in your environment. Wanneer dit beleid is geïmplementeerd, worden nieuwe en bestaande resources gecontroleerd op naleving.Once this policy is implemented, new and existing resources are evaluated for compliance. Met het juiste type beleid kunt u ervoor zorgen dat bestaande resources conform zijn.With the right type of policy, existing resources can be brought into compliance. Verderop in deze documentatie wordt dieper ingegaan op het maken en implementeren van beleidsregels met Azure Policy.Later in this documentation, we'll go over more details on how to create and implement policies with Azure Policy.

Belangrijk

Evaluatie van de naleving van Azure Policy is nu beschikbaar voor alle toewijzingen, ongeacht de prijscategorie.Azure Policy's compliance evaluation is now provided for all assignments regardless of pricing tier. Als uw toewijzingen de nalevingsgegevens niet weergeven, controleert u of het abonnement is geregistreerd bij de resourceprovider Microsoft.PolicyInsights.If your assignments do not show the compliance data, please ensure that the subscription is registered with the Microsoft.PolicyInsights resource provider.

Notitie

Deze service biedt ondersteuning voor het beheer van gedelegeerde resources van Azure, waarmee service providers resources en abonnementen kunnen beheren die door klanten zijn gedelegeerd vanuit de Tenant van de service provider.This service supports Azure delegated resource management which lets service providers manage resources and subscriptions that customers have delegated from within the service provider's tenant. Zie Azure Lighthousevoor meer informatie.For more info, see Azure Lighthouse.

Wat is het verschil met RBAC?How is it different from RBAC?

Er zijn enkele belang rijke verschillen tussen Azure Policy en op rollen gebaseerd toegangs beheer (RBAC).There are a few key differences between Azure Policy and role-based access control (RBAC). RBAC is gericht op de acties van gebruikers in verschillende bereiken.RBAC focuses on user actions at different scopes. Mogelijk wordt u voor een resourcegroep toegevoegd aan de rol Inzender, zodat u wijzigingen kunt aanbrengen in die resourcegroep.You might be added to the contributor role for a resource group, allowing you to make changes to that resource group. Azure Policy richt zich op bron eigenschappen tijdens de implementatie en voor al bestaande resources.Azure Policy focuses on resource properties during deployment and for already existing resources. Met Azure Policy worden eigenschappen bepaald, zoals de typen resources of hun locatie.Azure Policy controls properties such as the types or locations of resources. In tegens telling tot RBAC is Azure Policy een standaard systeem voor toestaan en expliciet weigeren.Unlike RBAC, Azure Policy is a default allow and explicit deny system.

RBAC-machtigingen in Azure PolicyRBAC Permissions in Azure Policy

Azure Policy heeft diverse machtigingen, oftewel bewerkingen, in twee verschillende resourceproviders:Azure Policy has several permissions, known as operations, in two Resource Providers:

Veel ingebouwde rollen wijzen machtigingen toe aan Azure Policy-resources.Many Built-in roles grant permission to Azure Policy resources. De rol Inzender voor resource beleid bevat de meeste Azure Policy bewerkingen.The Resource Policy Contributor role includes most Azure Policy operations. Degene met de rol Eigenaar heeft volledige rechten.Owner has full rights. Zowel Inzender als lezer kunnen alle Lees-Azure Policy bewerkingen gebruiken, maar Inzender kunnen ook herstel activeren.Both Contributor and Reader can use all read Azure Policy operations, but Contributor can also trigger remediation.

Als geen van de ingebouwde rollen de vereiste machtigingen heeft, maakt u een aangepaste rol.If none of the Built-in roles have the permissions required, create a custom role.

BeleidsdefinitiePolicy definition

Het maken en implementeren van een beleidsregel in Azure Policy begint met het maken van een beleidsdefinitie.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Elke beleidsdefinitie heeft voorwaarden voor het afdwingen ervan.Every policy definition has conditions under which it's enforced. Er is een bijbehorend effect dat wordt uitgevoerd als aan de voorwaarden wordt voldaan.And, it has a defined effect that takes place if the conditions are met.

In Azure Policy wordt een aantal ingebouwde beleidsregels geboden dat standaard beschikbaar is.In Azure Policy, we offer several built-in policies that are available by default. Bijvoorbeeld:For example:

  • Toegestane opslag account-sku's: bepaalt of een opslag account dat wordt geïmplementeerd binnen een aantal SKU-grootten valt.Allowed Storage Account SKUs: Determines if a storage account being deployed is within a set of SKU sizes. Het bijbehorende effect is om alle opslagaccounts te weigeren die niet in overeenstemming zijn met de gedefinieerde SKU-grootten.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Toegestaan resource type: definieert de resource typen die u kunt implementeren.Allowed Resource Type: Defines the resource types that you can deploy. Het bijbehorende effect is om alle resources te weigeren die geen deel uitmaken van deze gedefinieerde lijst.Its effect is to deny all resources that aren't part of this defined list.
  • Toegestane locaties: Hiermee beperkt u de beschik bare locaties voor nieuwe resources.Allowed Locations: Restricts the available locations for new resources. Het bijbehorende effect wordt gebruikt om uw geografisch nalevingsvereisten af te dwingen.Its effect is used to enforce your geo-compliance requirements.
  • Toegestane virtuele machine sku's: Hiermee geeft u een set virtuele machine-sku's op die u kunt implementeren.Allowed Virtual Machine SKUs: Specifies a set of virtual machine SKUs that you can deploy.
  • Een tag toevoegen aan resources: past een vereiste tag en de standaard waarde toe als deze niet is opgegeven door de implementatie aanvraag.Add a tag to resources: Applies a required tag and its default value if it's not specified by the deploy request.
  • Tag en de bijbehorende waarde afdwingen: dwingt een vereiste tag en de waarde ervan af voor een resource.Enforce tag and its value: Enforces a required tag and its value to a resource.
  • Niet-toegestane resource typen: Hiermee wordt voor komen dat een lijst met resource typen wordt geïmplementeerd.Not allowed resource types: Prevents a list of resource types from being deployed.

Als u deze beleidsdefinities (zowel de ingebouwde als de aangepaste) wilt implementeren, dient u ze eerst toe te wijzen.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. U kunt elk van deze typen beleid toewijzen via Azure Portal, PowerShell of Azure CLI.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Beleid wordt beoordeeld bij verschillende acties, zoals het toewijzen of bijwerken van beleidsregels.Policy evaluation happens with several different actions, such as policy assignment or policy updates. Zie voor een volledige lijst Beleidbeoordelingstriggers.For a complete list, see Policy evaluation triggers.

Raadpleeg Structuur van beleidsdefinities voor meer informatie over de structuur van beleidsdefinities.To learn more about the structures of policy definitions, review Policy Definition Structure.

BeleidstoewijzingPolicy assignment

Een beleidstoewijzing is een beleidsdefinitie die is toegewezen om te worden toegepast binnen een bepaald bereik.A policy assignment is a policy definition that has been assigned to take place within a specific scope. Dit bereik kan variëren van een beheergroep tot een resourcegroep.This scope could range from a management group to a resource group. De term bereik verwijst naar alle resourcegroepen, abonnementen of beheergroepen waaraan de beleidsdefinitie is toegewezen.The term scope refers to all the resource groups, subscriptions, or management groups that the policy definition is assigned to. Beleidstoewijzingen worden overgenomen door alle onderliggende resources.Policy assignments are inherited by all child resources. Dit betekent dat als beleid wordt toegepast op een resourcegroep, dit beleid ook van toepassing is op alle resources in de resourcegroep.This design means that a policy applied to a resource group is also applied to resources in that resource group. U kunt echter een subbereik uitsluiten van een beleidstoewijzing.However, you can exclude a subscope from the policy assignment.

U kunt op het abonnementsbereik bijvoorbeeld een beleid toepassen op basis waarvan het maken van netwerkresources wordt voorkomen.For example, at the subscription scope, you can assign a policy that prevents the creation of networking resources. U kunt echter één resourcegroep binnen het abonnement uitsluiten, namelijk degene die is bedoeld voor netwerkinfrastructuur.You could exclude a resource group in that subscription that is intended for networking infrastructure. U verleent vervolgens toegang tot deze netwerkresourcegroep aan gebruikers aan wie u het maken van de netwerkresourcegroep toevertrouwt.You then grant access to this networking resource group to users that you trust with creating networking resources.

In een ander voor beeld kunt u een beleids regel voor het toestaan van een resource type toewijzen op het niveau van de beheer groep.In another example, you might want to assign a resource type allow list policy at the management group level. En vervolgens wilt u een ruimer beleid (zodat meer resourcetypen zijn toegestaan) toewijzen via een onderliggende beheergroep of zelfs rechtstreeks in abonnementen.And then assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Dit voorbeeld zou echter niet goed werken, omdat beleid een expliciet weigersysteem is.However, this example wouldn't work because policy is an explicit deny system. In plaats daarvan moet u de onderliggende beheergroep of het abonnement uitsluiten van de beleidstoewijzing op beheergroepniveau.Instead, you need to exclude the child management group or subscription from the management group-level policy assignment. Vervolgens kunt u het ruimere beleid toewijzen aan het niveau van de onderliggende beheergroep of het abonnement.Then, assign the more permissive policy on the child management group or subscription level. Als beleidsresultaten in een resource worden geweigerd, vormt het aanpassen van het weigeringsbeleid de enige manier om de resource toe te staan.If any policy results in a resource getting denied, then the only way to allow the resource is to modify the denying policy.

Zie Een beleidstoewijzing maken om niet-compatibele resources in uw Azure-abonnement te identificeren voor meer informatie over het instellen van beleidsdefinities en -toewijzingen via de portal.For more information on setting policy definitions and assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Er zijn ook stappen voor PowerShell en Azure CLI beschikbaar.Steps for PowerShell and Azure CLI are also available.

BeleidsparametersPolicy parameters

Beleidsparameters helpen uw beleidsbeheer te vereenvoudigen door het aantal beleidsdefinities te verminderen dat u moet maken.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. U kunt bij het maken van een beleidsdefinitie parameters definiëren om deze algemener te maken.You can define parameters when creating a policy definition to make it more generic. Vervolgens kunt u deze beleidsdefinitie hergebruiken voor verschillende scenario's.Then you can reuse that policy definition for different scenarios. Dit doet u door verschillende waarden door te voeren bij het toepassen van de beleidsdefinitie.You do so by passing in different values when assigning the policy definition. Bijvoorbeeld, door een reeks locaties voor een abonnement op te geven.For example, specifying one set of locations for a subscription.

Parameters worden gedefinieerd bij het maken van een beleidsdefinitie.Parameters are defined when creating a policy definition. Als een parameter wordt gedefinieerd, krijgt deze een naam en optioneel een waarde.When a parameter is defined, it's given a name and optionally given a value. U kunt bijvoorbeeld een parameter definiëren voor een beleid met de naam locatie.For example, you could define a parameter for a policy titled location. Vervolgens kunt u deze verschillende waarden toekennen, zoals EastUS of WestUS bij het toewijzen van beleid.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Zie Definitiestructuur - parameters voor meer informatie over beleidsparameters.For more information about policy parameters, see Definition structure - Parameters.

InitiatiefdefinitieInitiative definition

Een initiatiefdefinitie is een verzameling beleidsdefinities die zijn aangepast voor het bereiken van één overkoepelend doel.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. Initiatiefdefinities maken het beheren en toewijzen van beleidsdefinities eenvoudiger.Initiative definitions simplify managing and assigning policy definitions. Dit gebeurt door het groeperen van een reeks beleidsregels als één item.They simplify by grouping a set of policies as one single item. U kunt bijvoorbeeld een initiatief maken met de titel Controleren inschakelen in Azure Security Center met als doel om alle beschikbare beveiligingsaanbevelingen in uw Azure Security Center te controleren.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Notitie

De SDK, zoals Azure CLI en Azure PowerShell, gebruiken eigenschappen en para meters met de naam policyset om te verwijzen naar initiatieven.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Onder dit initiatief vallen beleidsdefinities zoals:Under this initiative, you would have policy definitions such as:

  • Niet-versleutelde SQL-database controleren in Security Center – Voor het controleren van niet-versleutelde SQL-databases en -servers.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • OS-kwetsbaarheden controleren in Security Center: voor het controleren van servers die niet voldoen aan de geconfigureerde uitgangswaarde.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Ontbrekende Endpoint Protection controleren in Security Center – Voor het controleren van servers zonder een geïnstalleerde Endpoint Protection-agent.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

InitiatieftoewijzingInitiative assignment

Net zoals een beleidstoewijzing is een initiatieftoewijzing een initiatiefdefinitie die is toegewezen aan een bepaald bereik.Like a policy assignment, an initiative assignment is an initiative definition assigned to a specific scope. Initiatieftoewijzingen verminderen de noodzaak om verschillende initiatiefdefinities te maken voor elk bereik.Initiative assignments reduce the need to make several initiative definitions for each scope. Dit bereik kan ook variëren van een beheergroep tot een resourcegroep.This scope could also range from a management group to a resource group.

Elk initiatief kan aan meerdere bereiken worden toegewezen.Each initiative is assignable to different scopes. Eén initiatief kan zowel aan subscriptionA als aan subscriptionB worden toegewezen.One initiative can be assigned to both subscriptionA and subscriptionB.

InitiatiefparametersInitiative parameters

Net zoals beleidsparameters helpen initiatiefparameters om initiatiefbeheer te vereenvoudigen door redundantie te verminderen.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Initiatiefparameters zijn de parameters die worden gebruikt voor de beleidsdefinities binnen het initiatief.Initiative parameters are parameters being used by the policy definitions within the initiative.

Neem bijvoorbeeld een scenario met initiatiefdefinitie initiativeC, waarbij voor beleidsdefinities policyA en policyB elk een ander type parameter wordt verwacht:For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

BeleidPolicy Naam van parameterName of parameter Type parameterType of parameter OpmerkingNote
policyApolicyA allowedLocationsallowedLocations matrixarray Op basis van deze parameter wordt een lijst met tekenreeksen verwacht voor een waarde, omdat het parametertype is gedefinieerd als een matrixThis parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation stringstring Op basis van deze parameter wordt één woord verwacht voor een waarde, omdat het parametertype is gedefinieerd als een tekenreeksThis parameter expects one word for a value since the parameter type has been defined as a string

In dit scenario hebt u, bij het definiëren van de initiatiefparameters voor initiativeC, drie opties:In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Gebruik de parameters van de beleidsdefinities binnen dit initiatief: in dit voorbeeld worden allowedLocations en allowedSingleLocation initiatiefparameters voor initiativeC .Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Geef waarden op voor de parameters van de beleidsdefinities binnen deze initiatiefdefinitie.Provide values to the parameters of the policy definitions within this initiative definition. In dit voor beeld kunt u een lijst met locaties opgeven voor de para meter van de beleids regel-allowedLocations en policyB-allowedSingleLocation.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. U kunt ook waarden opgeven bij het toewijzen van dit initiatief.You can also provide values when assigning this initiative.
  • Geef een lijst met waardeopties op die kunnen worden gebruikt bij het toewijzen van dit initiatief.Provide a list of value options that can be used when assigning this initiative. Als u dit initiatief toewijst, kunnen de overgenomen parameters van de beleidsdefinities binnen het initiatief, alleen waarden hebben uit de opgegeven lijst.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

Als u waardeopties maakt in een initiatiefdefinitie, is het niet mogelijk om tijdens het toewijzen van het initiatief andere waarden op te geven, omdat deze niet op de lijst staan.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Maximum aantal Azure Policy objectenMaximum count of Azure Policy objects

Er is een maximum aantal voor elk object type voor Azure Policy.There's a maximum count for each object type for Azure Policy. De vermelding Bereik slaat op het abonnement of op de beheergroep.An entry of Scope means either the subscription or the management group.

WaarWhere WatWhat MaximumMaximum count
ScopeScope BeleidsdefinitiesPolicy definitions 500500
ScopeScope InitiatiefdefinitiesInitiative definitions 100100
TenantTenant InitiatiefdefinitiesInitiative definitions 10001,000
ScopeScope Toewijzing van beleid of initiatiefPolicy or initiative assignments 100100
BeleidsdefinitiePolicy definition ParametersParameters 2020
InitiatiefdefinitieInitiative definition BeleidsregelsPolicies 100100
InitiatiefdefinitieInitiative definition ParametersParameters 100100
Toewijzing van beleid of initiatiefPolicy or initiative assignments Uitzonderingen (geen bereiken)Exclusions (notScopes) 400400
BeleidsregelPolicy rule Geneste voor waardenNested conditionals 512512

Aanbevelingen voor het beheren van beleidRecommendations for managing policies

Enkele tips om rekening mee te houden:Here are a few pointers and tips to keep in mind:

  • Begin met een controle-effect in plaats van een weigeringseffect om bij te houden wat de invloed van uw beleidsdefinitie is op de resources in uw omgeving.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Als u al actieve scripts hebt voor automatische schaalaanpassing van uw toepassingen, kan het instellen van een weigeractie een belemmering vormen voor deze automatische taken die u al hebt geïmplementeerd.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • U kunt bij het maken van definities en toewijzingen gebruikmaken van organisatiehiërarchieën.Consider organizational hierarchies when creating definitions and assignments. Het is raadzaam om op een hoger niveau definities te maken, zoals op het niveau van de beheergroep of het abonnement.We recommend creating definitions at higher levels such as the management group or subscription level. Vervolgens maakt u de toewijzing op het eerstvolgende onderliggende niveau.Then, create the assignment at the next child level. Als u een definitie voor een beheergroep maakt, kan de toewijzing worden gericht op een abonnement of resource in die beheergroep.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Het is raadzaam om initiatiefdefinities te maken en toe te wijzen, zelfs voor slechts één beleidsdefinitie.We recommend creating and assigning initiative definitions even for a single policy definition. U hebt bijvoorbeeld de beleidsdefinitie policyDefA en u maakt deze met de initiatiefdefinitie initiativeDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Als u later nog een beleidsdefinitie maakt voor policyDefB, met doelen die lijken op die van policyDefA, kunt u deze toevoegen bij initiativeDefC en ze samen volgen.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • Als u een initiatieftoewijzing hebt gemaakt, worden beleidsdefinities die worden toegevoegd aan het initiatief ook deel van de toewijzingen van het initiatief.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiatives assignments.

  • Wanneer een initiatieftoewijzing wordt beoordeeld, worden alle beleidsregels in het initiatief ook beoordeeld.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Als u een beleidsregel afzonderlijk wilt beoordelen, is het beter deze niet op te nemen in een initiatief.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Video-overzichtVideo overview

Het volgende overzicht van Azure Policy is afkomstig van build 2018.The following overview of Azure Policy is from Build 2018. Voor het downloaden van dia's of video's, gaat u naar Azure-omgeving beheren via Azure Policy op Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Volgende stappenNext steps

Nu u een overzicht hebt van Azure Policy en enkele van de belangrijkste geïntroduceerde concepten, ziet u hier de voorgestelde volgende stappen:Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: