O que é o Azure Policy?What is Azure Policy?

O Azure Policy ajuda a impor normas organizacionais e a avaliar o cumprimento em escala.Azure Policy helps to enforce organizational standards and to assess compliance at-scale. Através do seu painel de conformidade, proporciona uma visão agregada para avaliar o estado geral do ambiente, com a capacidade de aprofundar a granularidade por recurso, por política.Through its compliance dashboard, it provides an aggregated view to evaluate the overall state of the environment, with the ability to drill down to the per-resource, per-policy granularity. Também ajuda a levar os seus recursos ao cumprimento através da reparação a granel dos recursos existentes e da reparação automática de novos recursos.It also helps to bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources.

Os casos de utilização comum para a Política Azure incluem a implementação da governação para a consistência dos recursos, a conformidade regulamentar, a segurança, os custos e a gestão.Common use cases for Azure Policy include implementing governance for resource consistency, regulatory compliance, security, cost, and management. As definições de política para estes casos de uso comum já estão disponíveis no seu ambiente Azure como incorporados para ajudá-lo a começar.Policy definitions for these common use cases are already available in your Azure environment as built-ins to help you get started.

Todos os dados e objetos da Azure Policy são encriptados em repouso.All Azure Policy data and objects are encrypted at rest. Para obter mais informações, consulte a encriptação de dados do Azure em repouso.For more information, see Azure data encryption at rest.

Descrição geralOverview

A Azure Policy avalia os recursos em Azure comparando as propriedades desses recursos com as regras empresariais.Azure Policy evaluates resources in Azure by comparing the properties of those resources to business rules. Estas regras de negócio, descritas no formato JSON,são conhecidas como definições políticas.These business rules, described in JSON format, are known as policy definitions. Para simplificar a gestão, várias regras empresariais podem ser agrupadas para formar uma iniciativa política (por vezes chamada de PolicySet).To simplify management, several business rules can be grouped together to form a policy initiative (sometimes called a policySet). Uma vez formadas as suas regras de negócio, a definição ou iniciativa de política é atribuída a qualquer âmbito de recursos que a Azure suporte, tais como grupos de gestão,subscrições, grupos de recursosou recursos individuais.Once your business rules have been formed, the policy definition or initiative is assigned to any scope of resources that Azure supports, such as management groups, subscriptions, resource groups, or individual resources. A atribuição aplica-se a todos os recursos no âmbito do Gestor de Recursos dessa atribuição.The assignment applies to all resources within the Resource Manager scope of that assignment. Os subscópios podem ser excluídos, se necessário.Subscopes can be excluded, if necessary. Para mais informações, consulte Scope in Azure Policy.For more information, see Scope in Azure Policy.

A Azure Policy utiliza um formato JSON para formar a lógica que a avaliação utiliza para determinar se um recurso está ou não em conformidade.Azure Policy uses a JSON format to form the logic the evaluation uses to determine if a resource is compliant or not. As definições incluem metadados e a regra da política.Definitions include metadata and the policy rule. A regra definida pode usar funções, parâmetros, operadores lógicos, condições e pseudónimos de propriedade para corresponder exatamente ao cenário que deseja.The defined rule can use functions, parameters, logical operators, conditions, and property aliases to match exactly the scenario you want. A regra da política determina quais os recursos no âmbito da atribuição que são avaliados.The policy rule determines which resources in the scope of the assignment get evaluated.

Compreender os resultados da avaliaçãoUnderstand evaluation outcomes

Os recursos são avaliados em momentos específicos durante o ciclo de vida dos recursos, o ciclo de vida da atribuição de políticas e para uma avaliação regular da conformidade contínua.Resources are evaluated at specific times during the resource lifecycle, the policy assignment lifecycle, and for regular ongoing compliance evaluation. Seguem-se os tempos ou eventos que fazem com que um recurso seja avaliado:The following are the times or events that cause a resource to be evaluated:

  • Um recurso é criado, atualizado ou eliminado num âmbito com uma atribuição de política.A resource is created, updated, or deleted in a scope with a policy assignment.
  • Uma política ou iniciativa é recentemente atribuída a um âmbito de aplicação.A policy or initiative is newly assigned to a scope.
  • Uma política ou iniciativa já atribuída a um âmbito é atualizada.A policy or initiative already assigned to a scope is updated.
  • Durante o ciclo de avaliação padrão de conformidade, que ocorre uma vez a cada 24 horas.During the standard compliance evaluation cycle, which occurs once every 24 hours.

Para obter informações detalhadas sobre quando e como a avaliação da política acontece, consulte os gatilhos de avaliação.For detailed information about when and how policy evaluation happens, see Evaluation triggers.

Controlar a resposta a uma avaliaçãoControl the response to an evaluation

As regras comerciais para o manuseamento de recursos não conformes variam muito entre as organizações.Business rules for handling non-compliant resources vary widely between organizations. Exemplos de como uma organização quer que a plataforma responda a um recurso não conforme incluem:Examples of how an organization wants the platform to respond to a non-compliant resource include:

  • Negar a mudança de recursosDeny the resource change
  • Registar a alteração para o recursoLog the change to the resource
  • Altere o recurso antes da alteraçãoAlter the resource before the change
  • Alterar o recurso após a alteraçãoAlter the resource after the change
  • Implementar recursos compatíveis relacionadosDeploy related compliant resources

A Política Azure torna possível cada uma destas respostas empresariais através da aplicação de efeitos.Azure Policy makes each of these business responses possible through the application of effects. Os efeitos são definidos na parte da regra política da definição de política.Effects are set in the policy rule portion of the policy definition.

Identificar recursos em não conformidadeRemediate non-compliant resources

Embora estes efeitos afetem principalmente um recurso quando o recurso é criado ou atualizado, a Azure Policy também apoia lidar com recursos não conformes existentes sem necessidade de alterar esse recurso.While these effects primarily affect a resource when the resource is created or updated, Azure Policy also supports dealing with existing non-compliant resources without needing to alter that resource. Para obter mais informações sobre a conformidade com os recursos existentes, consulte os recursos de reparação.For more information about making existing resources compliant, see remediating resources.

Descrição geral em vídeoVideo overview

A seguinte descrição geral do Azure Policy é do Build 2018.The following overview of Azure Policy is from Build 2018. Para slides ou download de vídeo, visite O seu ambiente Azure através da Política Azure no Canal 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

IntroduçãoGetting started

Política Azure e Azure RBACAzure Policy and Azure RBAC

Existem algumas diferenças fundamentais entre a Política Azure e o controlo de acesso baseado em funções Azure (Azure RBAC).There are a few key differences between Azure Policy and Azure role-based access control (Azure RBAC). A Azure Policy avalia o estado examinando propriedades sobre recursos que estão representados em Gestor de Recursos e propriedades de alguns Fornecedores de Recursos.Azure Policy evaluates state by examining properties on resources that are represented in Resource Manager and properties of some Resource Providers. A Política Azure não restringe as ações (também chamadas operações).Azure Policy doesn't restrict actions (also called operations). A Azure Policy garante que o estado de recursos está em conformidade com as suas regras de negócio sem se preocupar com quem fez a mudança ou quem tem permissão para fazer uma mudança.Azure Policy ensures that resource state is compliant to your business rules without concern for who made the change or who has permission to make a change.

O Azure RBAC foca-se na gestão das ações dos utilizadores em diferentes âmbitos.Azure RBAC focuses on managing user actions at different scopes. Se for necessário controlar uma ação, então o Azure RBAC é a ferramenta correta a utilizar.If control of an action is required, then Azure RBAC is the correct tool to use. Mesmo que um indivíduo tenha acesso a uma ação, se o resultado for um recurso não conforme, a Azure Policy ainda bloqueia a criação ou a atualização.Even if an individual has access to perform an action, if the result is a non-compliant resource, Azure Policy still blocks the create or update.

A combinação da Azure RBAC e da Política Azure proporciona controlo de âmbito total em Azure.The combination of Azure RBAC and Azure Policy provides full scope control in Azure.

Permissões do Azure RBAC na Política AzureAzure RBAC permissions in Azure Policy

O Azure Policy tem várias permissões, conhecidas como operações, em dois Fornecedores de Recursos:Azure Policy has several permissions, known as operations, in two Resource Providers:

Muitas Funções incorporadas concedem permissão aos recursos do Azure Policy.Many Built-in roles grant permission to Azure Policy resources. O papel de Contribuinte de Política de Recursos inclui a maioria das operações da Política Azure.The Resource Policy Contributor role includes most Azure Policy operations. O dono tem todos os direitos.Owner has full rights. Tanto o Contribuinte como o Reader têm acesso a todas as operações da Azure Policy.Both Contributor and Reader have access to all read Azure Policy operations. O contribuinte pode desencadear a remediação de recursos, mas não pode criar definições ou atribuições.Contributor may trigger resource remediation, but can't create definitions or assignments. O Administrador de Acesso ao Utilizador é necessário para conceder a identidade gerida no deployIfNotExists ou modificar as permissões necessárias.User Access Administrator is necessary to grant the managed identity on deployIfNotExists or modify assignments necessary permissions.

Se nenhuma das Funções incorporadas tiver as permissões exigidas, crie uma função personalizada.If none of the Built-in roles have the permissions required, create a custom role.

Nota

A identidade gerida de um deployIfNotExists ou modificar a atribuição de políticas precisa de permissões suficientes para criar ou atualizar recursos direcionados.The managed identity of a deployIfNotExists or modify policy assignment needs enough permissions to create or update targetted resources. Para obter mais informações, consulte definições de política de configuração para remediação.For more information, see Configure policy definitions for remediation.

Recursos abrangidos pela Política AzureResources covered by Azure Policy

A Azure Policy avalia todos os recursos Azure a nível de subscrição ou abaixo, incluindo recursos ativados pela Arc.Azure Policy evaluates all Azure resources at or below subscription-level, including Arc enabled resources. Para certos fornecedores de recursos, como a Configuração de Hóspedes, Serviço Azure Kubernetese Azure Key Vault,existe uma integração mais profunda para gerir configurações e objetos.For certain resource providers such as Guest Configuration, Azure Kubernetes Service, and Azure Key Vault, there's a deeper integration for managing settings and objects. Para saber mais, consulte os modos Provedor de Recursos.To find out more, see Resource Provider modes.

Recomendações para a gestão de políticasRecommendations for managing policies

Aqui estão algumas dicas e dicas a ter em mente:Here are a few pointers and tips to keep in mind:

  • Comece com um efeito de auditoria em vez de um efeito de negação para acompanhar o impacto da sua definição de política nos recursos no seu ambiente.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Se já tiver scripts para autodimensionar as suas aplicações, definir um efeito de negação pode dificultar tais tarefas de automação já em vigor.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • Considere as hierarquias organizacionais ao criar definições e atribuições.Consider organizational hierarchies when creating definitions and assignments. Recomendamos a criação de definições a níveis mais elevados, como o grupo de gestão ou o nível de subscrição.We recommend creating definitions at higher levels such as the management group or subscription level. Em seguida, criar a tarefa no próximo nível de criança.Then, create the assignment at the next child level. Se criar uma definição num grupo de gestão, a atribuição pode ser avaliada até um grupo de subscrição ou recursos dentro desse grupo de gestão.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Recomendamos a criação e atribuição de definições de iniciativa, mesmo para uma definição política única.We recommend creating and assigning initiative definitions even for a single policy definition. Por exemplo, tem política de definição de políticaDefA e criá-la no âmbito da iniciativa de definição de iniciativaDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Se criar outra definição de política mais tarde para o PolicyEfB com objetivos semelhantes aos da policyDefA, pode adicioná-la sob iniciativaDefC e rastreá-las em conjunto.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • Uma vez criada uma atribuição de iniciativa, as definições políticas adicionadas à iniciativa também se tornam parte das atribuições dessa iniciativa.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiative's assignments.

  • Quando uma atribuição de iniciativa é avaliada, todas as políticas dentro da iniciativa também são avaliadas.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Se precisa de avaliar uma política individualmente, é melhor não incluí-la numa iniciativa.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Objetos da Política AzureAzure Policy objects

Definição de políticaPolicy definition

O percurso de criar e implementar uma política no Azure Policy começa pela criação de uma definição de política.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Cada definição de política tem condições ao abrigo das quais é aplicada.Every policy definition has conditions under which it's enforced. E tem um efeito definido que ocorre se as condições forem cumpridas.And, it has a defined effect that takes place if the conditions are met.

Na Política Azure, oferecemos várias políticas incorporadas que estão disponíveis por padrão.In Azure Policy, we offer several built-in policies that are available by default. Por exemplo:For example:

  • SKUs de conta de armazenamento permitido (Negar): Determina se uma conta de armazenamento que está a ser implantada está dentro de um conjunto de tamanhos SKU.Allowed Storage Account SKUs (Deny): Determines if a storage account being deployed is within a set of SKU sizes. O seu efeito é negar todas as contas de armazenamento que não aderem ao conjunto de tamanhos SKU definidos.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Tipo de recurso permitido (Negar): Define os tipos de recursos que pode implementar.Allowed Resource Type (Deny): Defines the resource types that you can deploy. O seu efeito é negar todos os recursos que não fazem parte desta lista definida.Its effect is to deny all resources that aren't part of this defined list.
  • Locais Permitidos (Negar): Restringe os locais disponíveis para novos recursos.Allowed Locations (Deny): Restricts the available locations for new resources. O efeito é utilizado para impor os requisitos de geoconformidade.Its effect is used to enforce your geo-compliance requirements.
  • SKUs de máquina virtual permitida (Negar): Especifica um conjunto de SKUs de máquina virtual que pode implementar.Allowed Virtual Machine SKUs (Deny): Specifies a set of virtual machine SKUs that you can deploy.
  • Adicionar uma etiqueta aos recursos (Modificar): Aplica uma etiqueta necessária e o seu valor predefinido se não for especificado pelo pedido de implantação.Add a tag to resources (Modify): Applies a required tag and its default value if it's not specified by the deploy request.
  • Não são permitidos tipos de recursos (Negar): Impede a implantação de uma lista de tipos de recursos.Not allowed resource types (Deny): Prevents a list of resource types from being deployed.

Para implementar estas definições de política (ambas as definições incorporadas e personalizadas), terá de as atribuir.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Pode atribuir qualquer uma destas políticas através do portal do Azure, do PowerShell ou da CLI do Azure.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

A avaliação de políticas acontece com várias ações diferentes, tais como atribuição de políticas ou atualizações de políticas.Policy evaluation happens with several different actions, such as policy assignment or policy updates. Para obter uma lista completa, consulte os gatilhos de avaliação de política.For a complete list, see Policy evaluation triggers.

Para saber mais sobre as estruturas de definições de política, veja Estrutura de Definição de Política.To learn more about the structures of policy definitions, review Policy Definition Structure.

Os parâmetros de política ajudam a simplificar a gestão de políticas ao reduzir o número de definições de política que tem de criar.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. Pode definir os parâmetros durante a criação de uma definição de política para torná-la mais genérica.You can define parameters when creating a policy definition to make it more generic. Em seguida, pode reutilizar essa definição de política para diferentes cenários.Then you can reuse that policy definition for different scenarios. Pode fazê-lo ao transmitir diferentes valores quando atribui a definição de política.You do so by passing in different values when assigning the policy definition. Por exemplo, pode especificar um conjunto de localizações para uma subscrição.For example, specifying one set of locations for a subscription.

Os parâmetros são definidos na criação de uma definição de política.Parameters are defined when creating a policy definition. Quando um parâmetro é definido, é fornecido um nome e, opcionalmente, um valor para o mesmo.When a parameter is defined, it's given a name and optionally given a value. Por exemplo, pode definir um parâmetro para uma política intitulada localização.For example, you could define a parameter for a policy titled location. Em seguida, pode atribuir-lhe valores diferentes, tais como EastUS ou WestUS quando atribui uma política.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Para obter mais informações sobre parâmetros de política, consulte a estrutura de Definição - Parâmetros.For more information about policy parameters, see Definition structure - Parameters.

Definição de iniciativaInitiative definition

Uma definição de iniciativa é uma coleção de definições de política adaptadas para alcançar um objetivo único abrangente.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. As definições de iniciativa simplificam a gestão e a atribuição de definições de política.Initiative definitions simplify managing and assigning policy definitions. Simplificam através do agrupamento de um conjunto de políticas num único item.They simplify by grouping a set of policies as one single item. Por exemplo, pode criar uma iniciativa intitulada Ativar Monitorização no Centro de Segurança do Azure, com o objetivo de monitorizar todas as recomendações de segurança disponíveis no Centro de Segurança do Azure.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Nota

O SDK, como Azure CLI e Azure PowerShell, utiliza propriedades e parâmetros chamados PolicySet para se referir a iniciativas.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Ao abrigo desta iniciativa, terá definições de política como:Under this initiative, you would have policy definitions such as:

  • Monitorizar a Base de Dados SQL não encriptada no Centro de Segurança – Para monitorização de servidores e bases de dados SQL não encriptados.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • Monitorize as vulnerabilidades do SO no Centro de Segurança – Para monitorizar servidores que não satisfaçam a linha de base configurada.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Monitorizar a Proteção de Ponto Final em falta no Centro de Segurança – Para monitorização de servidores sem um agente de proteção de ponto final instalado.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

Tal como os parâmetros de política, os parâmetros de iniciativa ajudam a simplificar a gestão de iniciativas ao reduzir a redundância.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Os parâmetros da iniciativa são parâmetros que estão a ser utilizados pelas definições políticas no âmbito da iniciativa.Initiative parameters are parameters being used by the policy definitions within the initiative.

Por exemplo, considere um cenário em que tem uma definição de iniciativa - initiativeC, com as definições de política policyA e policyB, em que cada uma espera um tipo diferente de parâmetro:For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

PolíticaPolicy Nome do parâmetroName of parameter Tipo de parâmetroType of parameter NotaNote
policyApolicyA allowedLocationsallowedLocations matrizarray Este parâmetro espera uma lista de cadeias para um valor, uma vez que o tipo de parâmetro foi definido como uma matrizThis parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation stringstring Este parâmetro espera uma palavra para um valor, uma vez que o tipo de parâmetro foi definido como uma cadeiaThis parameter expects one word for a value since the parameter type has been defined as a string

Neste cenário, quando define os parâmetros da iniciativa para initiativeC, tem três opções:In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Utilizar os parâmetros das definições de política nesta iniciativa: neste exemplo, allowedLocations e allowedSingleLocation tornam-se parâmetros de iniciativa para initiativeC.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Indicar os valores para os parâmetros das definições de política nesta definição de iniciativa.Provide values to the parameters of the policy definitions within this initiative definition. Neste exemplo, pode fornecer uma lista de localizações para o parâmetro da policyApermitiu que as localizações e o parâmetro do PolicyBpermitissem aLocalização.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. Também pode fornecer valores quando atribui esta iniciativa.You can also provide values when assigning this initiative.
  • Fornecer uma lista das opções de valor que podem ser utilizadas quando atribui esta iniciativa.Provide a list of value options that can be used when assigning this initiative. Quando atribui esta iniciativa, os parâmetros herdados das definições de política na iniciativa apenas podem ter valores desta lista fornecida.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

Ao criar opções de valor numa definição de iniciativa, não é capaz de inserir um valor diferente durante a atribuição da iniciativa porque não faz parte da lista.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Para saber mais sobre as estruturas das definições de iniciativa, reveja a Estrutura de Definição de Iniciativa.To learn more about the structures of initiative definitions, review Initiative Definition Structure.

AtribuiçõesAssignments

Uma atribuição é uma definição ou iniciativa política que foi atribuída para ter lugar dentro de um âmbito específico.An assignment is a policy definition or initiative that has been assigned to take place within a specific scope. Este âmbito pode ir de um grupo de gestão a um recurso individual.This scope could range from a management group to an individual resource. O termo scope refere-se a todos os recursos, grupos de recursos, subscrições ou grupos de gestão a que a definição é atribuída.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the definition is assigned to. As atribuições são herdadas por todos os recursos infantis.Assignments are inherited by all child resources. Este desenho significa que uma definição aplicada a um grupo de recursos também é aplicada aos recursos desse grupo de recursos.This design means that a definition applied to a resource group is also applied to resources in that resource group. No entanto, pode excluir um subscópio da atribuição.However, you can exclude a subscope from the assignment.

Por exemplo, no âmbito de subscrição, pode atribuir uma definição que impede a criação de recursos de networking.For example, at the subscription scope, you can assign a definition that prevents the creation of networking resources. Pode excluir um grupo de recursos nessa subscrição destinada a infraestruturas de networking.You could exclude a resource group in that subscription that is intended for networking infrastructure. Em seguida, concede acesso a este grupo de recursos de rede aos utilizadores que confia na criação de recursos de rede.You then grant access to this networking resource group to users that you trust with creating networking resources.

Em outro exemplo, é melhor atribuir uma definição de lista de tipo de recurso ao nível do grupo de gestão.In another example, you might want to assign a resource type allow list definition at the management group level. Em seguida, atribui uma política mais permissiva (permitindo mais tipos de recursos) num grupo de gestão de crianças ou mesmo diretamente em subscrições.Then you assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. No entanto, este exemplo não funcionaria porque a Política Azure é um sistema de negação explícito.However, this example wouldn't work because Azure Policy is an explicit deny system. Em vez disso, você precisa excluir o grupo de gestão de crianças ou a subscrição da atribuição de nível de grupo de gestão.Instead, you need to exclude the child management group or subscription from the management group-level assignment. Em seguida, atribua a definição mais permissiva no grupo de gestão de crianças ou no nível de subscrição.Then, assign the more permissive definition on the child management group or subscription level. Se qualquer atribuição resultar na recusa de um recurso, então a única maneira de permitir o recurso é modificar a atribuição de negação.If any assignment results in a resource getting denied, then the only way to allow the resource is to modify the denying assignment.

Para obter mais informações sobre a definição de atribuições através do portal, consulte Criar uma atribuição de política para identificar recursos não conformes no seu ambiente Azure.For more information on setting assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Também estão disponíveis passos para o PowerShell e a CLI do Azure.Steps for PowerShell and Azure CLI are also available. Para obter informações sobre a estrutura de atribuição, consulte a Estrutura de Atribuições.For information on the assignment structure, see Assignments Structure.

Contagem máxima de objetos da Política AzureMaximum count of Azure Policy objects

Há uma contagem máxima para cada tipo de objeto para Azure Policy.There's a maximum count for each object type for Azure Policy. Para definições, uma entrada de Scope significa o grupo de gestão ou subscrição.For definitions, an entry of Scope means the management group or subscription. Para atribuições e isenções, uma entrada de Scope significa o grupo de gestão,subscrição, grupo de recursos ou recurso individual.For assignments and exemptions, an entry of Scope means the management group, subscription, resource group, or individual resource.

OndeWhere O quêWhat Contagem máximaMaximum count
ÂmbitoScope Definições de políticaPolicy definitions 500500
ÂmbitoScope Definições de iniciativaInitiative definitions 200200
InquilinoTenant Definições de iniciativaInitiative definitions 2.5002,500
ÂmbitoScope Atribuições de política ou iniciativaPolicy or initiative assignments 200200
ÂmbitoScope IsençõesExemptions 10001000
Definição de políticaPolicy definition ParâmetrosParameters 2020
Definição de iniciativaInitiative definition PolíticasPolicies 10001000
Definição de iniciativaInitiative definition ParâmetrosParameters 100100
Atribuições de política ou iniciativaPolicy or initiative assignments Exclusões (notScopes)Exclusions (notScopes) 400400
Regra políticaPolicy rule Condições aninhadasNested conditionals 512512
Tarefa de reparaçãoRemediation task RecursosResources 500500

Passos seguintesNext steps

Agora que tem uma ideia geral do Azure Policy e de alguns dos principais conceitos, seguem-se os passos sugeridos seguintes:Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: