Determinar as causas de não conformidadeDetermine causes of non-compliance

Quando um recurso do Azure é determinado como estando em não conformidade com uma regra de política, é importante entender a parte da regra com a qual o recurso não está em conformidade.When an Azure resource is determined to be non-compliant to a policy rule, it's helpful to understand which portion of the rule the resource isn't compliant with. Também é útil entender qual alteração alterou um recurso de forma que ele se ficasse em não conformidade.It's also useful to understand what change altered a previously compliant resource to make it non-compliant. Há duas maneiras de encontrar essas informações:There are two ways to find this information:

Detalhes de conformidadeCompliance details

Quando um recurso não está em conformidade, os detalhes de conformidade desse recurso estão disponíveis na página Conformidade da política.When a resource is non-compliant, the compliance details for that resource are available from the Policy compliance page. O painel de detalhes de conformidade inclui as seguintes informações:The compliance details pane includes the following information:

  • Detalhes do recurso, como nome, tipo, local e ID do recursoResource details such as name, type, location, and resource ID
  • Estado de conformidade e carimbo de data/hora da última avaliação para a atribuição de política atualCompliance state and timestamp of the last evaluation for the current policy assignment
  • Uma lista de motivos para a não conformidade do recursoA list of reasons for the resource non-compliance

Importante

Como os detalhes de conformidade de um recurso em não conformidade mostram o valor atual das propriedades nesse recurso, o usuário deve ter a operação de leitura para o tipo do recurso.As the compliance details for a Non-compliant resource shows the current value of properties on that resource, the user must have read operation to the type of resource. Por exemplo, se o recurso de em não conformidade for Microsoft.Compute/virtualMachines, o usuário deverá ter a operação Microsoft.Compute/virtualMachines/read.For example, if the Non-compliant resource is Microsoft.Compute/virtualMachines then the user must have the Microsoft.Compute/virtualMachines/read operation. Se o usuário não tiver a operação necessária, um erro de acesso será exibido.If the user doesn't have the needed operation, an access error is displayed.

Para exibir os detalhes de conformidade, siga estas etapas:To view the compliance details, follow these steps:

  1. Inicie o serviço do Azure Policy no portal do Azure selecionando Todos os serviços e, em seguida, pesquisando e selecionando Política.Launch the Azure Policy service in the Azure portal by selecting All services, then searching for and selecting Policy.

  2. Na página Visão geral ou Conformidade, escolha uma política em um estado de conformidade que seja de Não conformidade.On the Overview or Compliance page, select a policy in a compliance state that is Non-compliant.

  3. Na guia Conformidade de recursos da página Conformidade de política, clique com o botão direito do mouse ou selecione as reticências de um recurso em um estado de conformidade que seja de Não conformidade.Under the Resource compliance tab of the Policy compliance page, right-click or select the ellipsis of a resource in a compliance state that is Non-compliant. Em seguida, selecione Exibir detalhes de conformidade.Then select View compliance details.

    Captura de tela do link ' Exibir detalhes de conformidade ' na guia conformidade de recursos.

  4. O painel Detalhes de conformidade exibe informações da avaliação mais recente do recurso para a atribuição de política atual.The Compliance details pane displays information from the latest evaluation of the resource to the current policy assignment. Neste exemplo, o campo Microsoft.Sql/servers/version é considerado como 12.0 enquanto a definição de política esperada era de 14.0.In this example, the field Microsoft.Sql/servers/version is found to be 12.0 while the policy definition expected 14.0. Se o recurso não estiver em conformidade por vários motivos, cada um será listado nesse painel.If the resource is non-compliant for multiple reasons, each is listed on this pane.

    Captura de tela do painel detalhes de conformidade e motivos para não conformidade que o valor atual é doze e o valor de destino é quatorze.

    Para uma definição de política auditIfNotExists ou deployIfNotExists, os detalhes incluem a propriedade details.type e todas as propriedades opcionais.For an auditIfNotExists or deployIfNotExists policy definition, the details include the details.type property and any optional properties. Para obter uma lista, confira Propriedades auditIfNotExists e Propriedades deployIfNotExists.For a list, see auditIfNotExists properties and deployIfNotExists properties. Último recurso avaliado é um recurso relacionado da seção detalhes da definição.Last evaluated resource is a related resource from the details section of the definition.

    Exemplo de definição deployIfNotExists parcial:Example partial deployIfNotExists definition:

    {
        "if": {
            "field": "type",
            "equals": "[parameters('resourceType')]"
        },
        "then": {
            "effect": "DeployIfNotExists",
            "details": {
                "type": "Microsoft.Insights/metricAlerts",
                "existenceCondition": {
                    "field": "name",
                    "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
                },
                "existenceScope": "subscription",
                "deployment": {
                    ...
                }
            }
        }
    }
    

    Captura de tela do painel detalhes de conformidade para ifNotExists, incluindo a contagem de recursos avaliados.

Observação

Para proteger os dados, quando um valor de propriedade for um segredo, o valor atual exibirá asteriscos.To protect data, when a property value is a secret the current value displays asterisks.

Esses detalhes explicam por que um recurso não está em conformidade no momento, mas não mostram quando foi feita a alteração no recurso que fez com que ele se passasse a não estar em conformidade.These details explain why a resource is currently non-compliant, but don't show when the change was made to the resource that caused it to become non-compliant. Para saber mais, confira Histórico de alterações (versão preliminar) abaixo.For that information, see Change history (Preview) below.

Motivos de conformidadeCompliance reasons

A matriz a seguir mapeia cada motivo possível para a condição responsável na definição de política:The following matrix maps each possible reason to the responsible condition in the policy definition:

MotivoReason CondiçãoCondition
O valor atual deve conter o valor de destino como uma chave.Current value must contain the target value as a key. containsKey ou not notContainsKeycontainsKey or not notContainsKey
O valor atual deve conter o valor de destino.Current value must contain the target value. contains ou not notContainscontains or not notContains
O valor atual deve ser igual ao valor de destino.Current value must be equal to the target value. equals ou not notEqualsequals or not notEquals
O valor atual deve ser menor do que o valor de destino.Current value must be less than the target value. less ou not greaterOrEqualsless or not greaterOrEquals
O valor atual deve ser maior ou igual ao valor de destino.Current value must be greater than or equal to the target value. greaterOrEquals ou not lessgreaterOrEquals or not less
O valor atual deve ser maior que o valor de destino.Current value must be greater than the target value. greater ou not lessOrEqualsgreater or not lessOrEquals
O valor atual deve ser menor ou igual ao valor de destino.Current value must be less than or equal to the target value. lessOrEquals ou not greaterlessOrEquals or not greater
O valor atual deve existir.Current value must exist. existsexists
O valor atual deve estar no valor de destino.Current value must be in the target value. in ou not notInin or not notIn
O valor atual deve ser como o valor de destino.Current value must be like the target value. like ou not notLikelike or not notLike
O valor atual precisa corresponder ao valor de destino diferenciando maiúsculas de minúsculas.Current value must case-sensitive match the target value. match ou not notMatchmatch or not notMatch
O valor atual precisa corresponder ao valor de destino sem diferenciar maiúsculas de minúsculas.Current value must case-insensitive match the target value. matchInsensitively ou not notMatchInsensitivelymatchInsensitively or not notMatchInsensitively
O valor atual não deve conter o valor de destino como uma chave.Current value must not contain the target value as a key. notContainsKey ou not containsKeynotContainsKey or not containsKey
O valor atual não deve conter o valor de destino.Current value must not contain the target value. notContains ou not containsnotContains or not contains
O valor atual não deve ser igual ao valor de destino.Current value must not be equal to the target value. notEquals ou not equalsnotEquals or not equals
O valor atual não deve existir.Current value must not exist. not existsnot exists
O valor atual não deve estar no valor de destino.Current value must not be in the target value. notIn ou not innotIn or not in
O valor atual não deve ser como o valor de destino.Current value must not be like the target value. notLike ou not likenotLike or not like
O valor atual não pode corresponder ao valor de destino diferenciando maiúsculas de minúsculas.Current value must not case-sensitive match the target value. notMatch ou not matchnotMatch or not match
O valor atual não pode corresponder ao valor de destino sem diferenciar maiúsculas de minúsculas.Current value must not case-insensitive match the target value. notMatchInsensitively ou not matchInsensitivelynotMatchInsensitively or not matchInsensitively
Não há recursos relacionados que correspondam aos detalhes de efeito na definição de política.No related resources match the effect details in the policy definition. Um recurso do tipo definido em then.details.type e relacionado ao recurso definido na parte if da regra de política não existe.A resource of the type defined in then.details.type and related to the resource defined in the if portion of the policy rule doesn't exist.

Detalhes do componente para modos de provedor de recursosComponent details for Resource Provider modes

Para atribuições com um modo de provedor de recursos, selecione o recurso sem conformidade para abrir uma exibição mais profunda.For assignments with a Resource Provider mode, select the Non-compliant resource to open a deeper view. Na guia conformidade do componente , são informações adicionais específicas do modo do provedor de recursos na política atribuída, mostrando o componente não compatível e a ID do componente.Under the Component Compliance tab is additional information specific to the Resource Provider mode on the assigned policy showing the Non-compliant Component and Component ID.

Captura de tela da guia conformidade do componente e detalhes de conformidade para uma atribuição de modo do provedor de recursos.

Detalhes de conformidade para configuração de convidadoCompliance details for Guest Configuration

Para políticas de auditIfNotExists na categoria de configuração de convidado , pode haver várias configurações avaliadas dentro da máquina virtual e você precisará exibir os detalhes por configuração.For auditIfNotExists policies in the Guest Configuration category, there could be multiple settings evaluated inside the virtual machine and you'll need to view per-setting details. Por exemplo, se você estiver auditando uma lista de políticas de senha e apenas uma delas tiver o status de Não conformidade, será preciso saber quais políticas de senha específicas estão fora de conformidade e por quê.For example, if you're auditing for a list of password policies and only one of them has status Non-compliant, you'll need to know which specific password policies are out of compliance and why.

Você também pode não ter acesso para entrar na máquina virtual diretamente, mas precisa relatar por que a máquina virtual não está em conformidade.You also might not have access to sign in to the virtual machine directly but you need to report on why the virtual machine is Non-compliant.

Portal do AzureAzure portal

Comece seguindo as mesmas etapas da seção acima para exibir os detalhes de conformidade da política.Begin by following the same steps in the section above for viewing policy compliance details.

Na exibição do painel detalhes de conformidade, selecione o link último recurso avaliado.In the Compliance details pane view, select the link Last evaluated resource.

Captura de tela da exibição dos detalhes de conformidade da definição de auditIfNotExists.

A página Atribuição de convidado exibe todos os detalhes de conformidade disponíveis.The Guest Assignment page displays all available compliance details. Cada linha na exibição representa uma avaliação que foi executada dentro da máquina.Each row in the view represents an evaluation that was performed inside the machine. Na coluna Motivo, uma frase é mostrada descrevendo por que a atribuição de convidado é não está em conformidade.In the Reason column, a phrase is shown describing why the Guest Assignment is Non-compliant. Por exemplo, se você estiver auditando políticas de senha, a coluna Motivo exibirá texto, incluindo o valor atual para cada configuração.For example, if you're auditing password policies, the Reason column would display text including the current value for each setting.

Captura de tela dos detalhes de conformidade da atribuição de convidado.

Alterar histórico (versão preliminar)Change history (Preview)

Como parte de uma nova versão preliminar pública, os últimos 14 dias de histórico de alterações estão disponíveis para todos os recursos do Azure que dão suporte à exclusão de modo completo.As part of a new public preview, the last 14 days of change history are available for all Azure resources that support complete mode deletion. O histórico de alterações fornece detalhes sobre quando uma alteração foi detectada e uma comparação visual para cada alteração.Change history provides details about when a change was detected and a visual diff for each change. Uma detecção de alteração é disparada quando as propriedades de Azure Resource Manager são adicionadas, removidas ou alteradas.A change detection is triggered when the Azure Resource Manager properties are added, removed, or altered.

  1. Inicie o serviço do Azure Policy no portal do Azure selecionando Todos os serviços e, em seguida, pesquisando e selecionando Política.Launch the Azure Policy service in the Azure portal by selecting All services, then searching for and selecting Policy.

  2. Na página Visão geral ou Conformidade, escolha uma política em qualquer estado de conformidade.On the Overview or Compliance page, select a policy in any compliance state.

  3. Na guia Conformidade do recurso da página Conformidade com a política, escolha um recurso.Under the Resource compliance tab of the Policy compliance page, select a resource.

  4. Escolha a guia Histórico de Alterações (versão prévia) na página Conformidade do Recurso.Select the Change History (preview) tab on the Resource Compliance page. Se houver uma lista de alterações detectadas, ela será exibida.A list of detected changes, if any exist, are displayed.

    Captura de tela da guia histórico de alterações e detectados tempos de alteração na página conformidade de recursos.

  5. Escolha uma das alterações detectadas.Select one of the detected changes. A comparação visual para o recurso é apresentada na página Histórico de alterações.The visual diff for the resource is presented on the Change history page.

    Captura de tela da diferença visual do histórico de alterações do estado anterior e posterior das propriedades na página Histórico de alterações.

A comparação visual ajuda a identificar alterações em um recurso.The visual diff aides in identifying changes to a resource. As alterações detectadas podem não estar relacionadas ao estado de conformidade atual do recurso.The changes detected may not be related to the current compliance state of the resource.

Os dados do histórico de alterações são fornecidos pelo Azure Resource Graph.Change history data is provided by Azure Resource Graph. Para consultar essas informações fora do portal do Azure, confira Obter alterações de recurso.To query this information outside of the Azure portal, see Get resource changes.

Próximas etapasNext steps