Vad är Azure Policy?What is Azure Policy?

Azure Policy hjälper till att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala.Azure Policy helps to enforce organizational standards and to assess compliance at-scale. Instrumentpanelen för efterlevnad ger en sammanställd vy för att utvärdera miljöns övergripande tillstånd, med möjlighet att öka detaljnivå till detaljnivå per resurs och per princip.Through its compliance dashboard, it provides an aggregated view to evaluate the overall state of the environment, with the ability to drill down to the per-resource, per-policy granularity. Det hjälper också till att få dina resurser att uppfylla efterlevnadskrav genom massreparation för befintliga resurser och automatisk reparation för nya resurser.It also helps to bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources.

Vanliga användningsfall för Azure Policy omfattar implementering av styrning för resurskonsekvens, regelefterlevnad, säkerhet, kostnad och hantering.Common use cases for Azure Policy include implementing governance for resource consistency, regulatory compliance, security, cost, and management. Principdefinitioner för dessa vanliga användningsfall är redan tillgängliga i Azure-miljön som inbyggda för att hjälpa dig att komma igång.Policy definitions for these common use cases are already available in your Azure environment as built-ins to help you get started.

Alla Azure Policy data och objekt krypteras i vila.All Azure Policy data and objects are encrypted at rest. Mer information finns i Azure-datakryptering i vila.For more information, see Azure data encryption at rest.

ÖversiktOverview

Azure Policy utvärderar resurser i Azure genom att jämföra egenskaperna för dessa resurser med affärsregler.Azure Policy evaluates resources in Azure by comparing the properties of those resources to business rules. Dessa affärsregler, som beskrivs i JSON-format, kallas principdefinitioner.These business rules, described in JSON format, are known as policy definitions. För att förenkla hanteringen kan flera affärsregler grupperas tillsammans för att bilda ett principinitiativ (kallas ibland en policySet).To simplify management, several business rules can be grouped together to form a policy initiative (sometimes called a policySet). När dina affärsregler har skapats tilldelas principdefinitionen eller initiativet till alla omfång av resurser som Azure stöder, till exempel hanteringsgrupper, prenumerationer,resursgrupper eller enskilda resurser.Once your business rules have been formed, the policy definition or initiative is assigned to any scope of resources that Azure supports, such as management groups, subscriptions, resource groups, or individual resources. Tilldelningen gäller för alla resurser inom Resource Manager omfånget för tilldelningen.The assignment applies to all resources within the Resource Manager scope of that assignment. Underscope kan undantas om det behövs.Subscopes can be excluded, if necessary. Mer information finns i Omfång i Azure Policy.For more information, see Scope in Azure Policy.

Azure Policy använder ett JSON-format för att bilda logiken som utvärderingen använder för att avgöra om en resurs är kompatibel eller inte.Azure Policy uses a JSON format to form the logic the evaluation uses to determine whether a resource is compliant or not. Definitionerna omfattar metadata och principregeln.Definitions include metadata and the policy rule. Den definierade regeln kan använda funktioner, parametrar, logiska operatorer, villkor och egenskapsalias för att matcha exakt det scenario du vill ha.The defined rule can use functions, parameters, logical operators, conditions, and property aliases to match exactly the scenario you want. Principregeln avgör vilka resurser i tilldelningsomfånget som utvärderas.The policy rule determines which resources in the scope of the assignment get evaluated.

Förstå utvärderingsresultatUnderstand evaluation outcomes

Resurser utvärderas vid specifika tidpunkter under resurslivscykeln, principtilldelningslivscykeln och för regelbunden löpande efterlevnadsutvärdering.Resources are evaluated at specific times during the resource lifecycle, the policy assignment lifecycle, and for regular ongoing compliance evaluation. Följande är de tider eller händelser som gör att en resurs utvärderas:The following are the times or events that cause a resource to be evaluated:

  • En resurs skapas, uppdateras eller tas bort i ett omfång med en principtilldelning.A resource is created, updated, or deleted in a scope with a policy assignment.
  • En princip eller ett initiativ har nyligen tilldelats till ett omfång.A policy or initiative is newly assigned to a scope.
  • En princip eller ett initiativ som redan har tilldelats ett omfång uppdateras.A policy or initiative already assigned to a scope is updated.
  • Under utvärderingscykeln för standardefterlevnad, som inträffar en gång var 24:e timme.During the standard compliance evaluation cycle, which occurs once every 24 hours.

Detaljerad information om när och hur principutvärderingen sker finns i Utvärderingsutlösare.For detailed information about when and how policy evaluation happens, see Evaluation triggers.

Kontrollera svaret på en utvärderingControl the response to an evaluation

Affärsregler för hantering av icke-kompatibla resurser varierar mycket mellan olika organisationer.Business rules for handling non-compliant resources vary widely between organizations. Exempel på hur en organisation vill att plattformen ska svara på en icke-kompatibel resurs är:Examples of how an organization wants the platform to respond to a non-compliant resource include:

  • Neka resursändringenDeny the resource change
  • Logga ändringen av resursenLog the change to the resource
  • Ändra resursen före ändringenAlter the resource before the change
  • Ändra resursen efter ändringenAlter the resource after the change
  • Distribuera relaterade kompatibla resurserDeploy related compliant resources

Azure Policy gör vart och ett av dessa affärssvar möjliga genom tillämpning av effekter.Azure Policy makes each of these business responses possible through the application of effects. Effekter anges i principregeldelen av principdefinitionen.Effects are set in the policy rule portion of the policy definition.

Åtgärda icke-kompatibla resurserRemediate non-compliant resources

Även om dessa effekter främst påverkar en resurs när resursen skapas eller uppdateras, Azure Policy även stöd för hantering av befintliga icke-kompatibla resurser utan att behöva ändra den resursen.While these effects primarily affect a resource when the resource is created or updated, Azure Policy also supports dealing with existing non-compliant resources without needing to alter that resource. Mer information om hur du gör befintliga resurser kompatibla finns i Åtgärda resurser.For more information about making existing resources compliant, see remediating resources.

VideoöversiktVideo overview

Följande översikt över Azure Policy är från Build 2018.The following overview of Azure Policy is from Build 2018. För nedladdning av bilder eller video besöker du sidan om att styra Azure-miljön via Azure Policy på Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Komma igångGetting started

Azure Policy och Azure RBACAzure Policy and Azure RBAC

Det finns några viktiga skillnader mellan Azure Policy och rollbaserad åtkomstkontroll i Azure (Azure RBAC).There are a few key differences between Azure Policy and Azure role-based access control (Azure RBAC). Azure Policy utvärderar tillstånd genom att undersöka egenskaper för resurser som representeras i Resource Manager och egenskaper för vissa resursproviders.Azure Policy evaluates state by examining properties on resources that are represented in Resource Manager and properties of some Resource Providers. Azure Policy begränsar inte åtgärder (kallas även åtgärder).Azure Policy doesn't restrict actions (also called operations). Azure Policy säkerställer att resurstillståndet är kompatibelt med dina affärsregler utan att behöva bekymra sig om vem som gjorde ändringen eller vem som har behörighet att göra en ändring.Azure Policy ensures that resource state is compliant to your business rules without concern for who made the change or who has permission to make a change.

Azure RBAC fokuserar på att hantera användaråtgärder i olika omfång.Azure RBAC focuses on managing user actions at different scopes. Om kontroll av en åtgärd krävs är Azure RBAC rätt verktyg att använda.If control of an action is required, then Azure RBAC is the correct tool to use. Även om en person har åtkomst till att utföra en åtgärd, om resultatet är en icke-kompatibel resurs, Azure Policy blockerar fortfarande skapa eller uppdatera.Even if an individual has access to perform an action, if the result is a non-compliant resource, Azure Policy still blocks the create or update.

Kombinationen av Azure RBAC och Azure Policy ger fullständig omfångskontroll i Azure.The combination of Azure RBAC and Azure Policy provides full scope control in Azure.

Azure RBAC-behörigheter i Azure PolicyAzure RBAC permissions in Azure Policy

Azure Policy har flera behörigheter, som kallas åtgärder, i två olika resursprovidrar:Azure Policy has several permissions, known as operations, in two Resource Providers:

Många inbyggda roller beviljar behörighet till Azure Policy-resurser.Many Built-in roles grant permission to Azure Policy resources. Rollen Resursprincipdeltagare innehåller de flesta Azure Policy åtgärder.The Resource Policy Contributor role includes most Azure Policy operations. Ägare har fullständiga behörigheter.Owner has full rights. Både deltagare och läsare har åtkomst till alla Azure Policy åtgärder.Both Contributor and Reader have access to all read Azure Policy operations. Deltagare kan utlösa resursreparation, men kan inte skapa definitioner eller tilldelningar.Contributor may trigger resource remediation, but can't create definitions or assignments. Administratör för användaråtkomst krävs för att bevilja den hanterade identiteten på deployIfNotExists eller ändra tilldelningar som krävs behörigheter.User Access Administrator is necessary to grant the managed identity on deployIfNotExists or modify assignments necessary permissions.

Om ingen av de inbyggda rollerna har de behörigheter som krävs skapar du en anpassad roll.If none of the Built-in roles have the permissions required, create a custom role.

Anteckning

Den hanterade identiteten för en deployIfNotExists eller ändra principtilldelning behöver tillräcklig behörighet för att skapa eller uppdatera målresurser.The managed identity of a deployIfNotExists or modify policy assignment needs enough permissions to create or update targetted resources. Mer information finns i Konfigurera principdefinitioner för reparation.For more information, see Configure policy definitions for remediation.

Resurser som omfattas av Azure PolicyResources covered by Azure Policy

Azure Policy utvärderar alla Azure-resurser på eller under prenumerationsnivå, inklusive Arc-aktiverade resurser.Azure Policy evaluates all Azure resources at or below subscription-level, including Arc enabled resources. För vissa resursproviders, till exempel gästkonfiguration, Azure Kubernetes Serviceoch Azure Key Vault, finns det en djupare integrering för att hantera inställningar och objekt.For certain resource providers such as Guest Configuration, Azure Kubernetes Service, and Azure Key Vault, there's a deeper integration for managing settings and objects. Mer information finns i Resursproviderlägen.To find out more, see Resource Provider modes.

Rekommendationer för principhanteringRecommendations for managing policies

Här följer några råd och tips att tänka på:Here are a few pointers and tips to keep in mind:

  • Börja med en spårningsseffekt i stället för en nekandeeffekt för att spåra den påverkan principdefinitionen får på resurserna i miljön.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Om du redan har skript på plats för att automatiskt skala dina program kan dessa automatiserade uppgifter eventuellt blockeras om du anger en nekandeeffekt.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • Ta hänsyn till på organisationens hierarkier när du skapar definitioner och tilldelningar.Consider organizational hierarchies when creating definitions and assignments. Vi rekommenderar att du skapar definitioner på högre nivåer, som på hanteringsgrupps- eller prenumerationsnivå.We recommend creating definitions at higher levels such as the management group or subscription level. Skapa sedan tilldelningen på nästa underordnade nivå.Then, create the assignment at the next child level. Om du skapar en definition för en hanteringsgrupp, kan tilldelningen begränsas till en prenumeration eller resursgrupp inom den hanteringsgruppen.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Vi rekommenderar att du skapar och tilldelar initiativdefinitioner även för en enskild principdefinition.We recommend creating and assigning initiative definitions even for a single policy definition. Om du som exempel har principdefinitionen policyDefA, så skapar du den under initiativdefinitionen initiativeDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Om du skapar en annan principdefinition senare för policyDefB med mål som liknar dem för policyDefA, kan du lägga till den under initiativeDefC och spåra dem tillsammans.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • När du har skapat en initiativtilldelning blir principdefinitioner som läggs till i initiativet också en del av initiativets tilldelningar.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiative's assignments.

  • När en initiativtilldelning utvärderas, utvärderas även alla principer inom initiativet.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Om du behöver utvärdera en princip individuellt är det bättre att inte inkludera den i ett initiativ.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Azure Policy objektAzure Policy objects

Definition av principPolicy definition

Resan med att skapa och implementera en princip i Azure Policy börjar med skapandet av en principdefinition.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Varje principdefinition har villkor för när den ska tillämpas.Every policy definition has conditions under which it's enforced. Och den har en definierad effekt som träder ikraft om villkoren är uppfyllda.And, it has a defined effect that takes place if the conditions are met.

Vi erbjuder flera inbyggda principer som är tillgängliga för dig som standard i Azure Policy.In Azure Policy, we offer several built-in policies that are available by default. Exempel:For example:

  • Tillåtna SKU:er för lagringskonto (neka): Anger om ett lagringskonto som distribueras ligger inom en uppsättning SKU-storlekar.Allowed Storage Account SKUs (Deny): Determines if a storage account being deployed is within a set of SKU sizes. Effekten är att neka alla lagringskonton som inte överensstämmer med uppsättningen definierade SKU-storlekar.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Tillåten resurstyp (neka): Definierar de resurstyper som du kan distribuera.Allowed Resource Type (Deny): Defines the resource types that you can deploy. Effekten är att neka alla resurser som inte finns på den definierade listan.Its effect is to deny all resources that aren't part of this defined list.
  • Tillåtna platser (neka): Begränsar tillgängliga platser för nya resurser.Allowed Locations (Deny): Restricts the available locations for new resources. Effekten används för att genomdriva kraven på geo-efterlevnad.Its effect is used to enforce your geo-compliance requirements.
  • Tillåtna SKU:er för virtuella datorer (neka): Anger en uppsättning SKU:er för virtuella datorer som du kan distribuera.Allowed Virtual Machine SKUs (Deny): Specifies a set of virtual machine SKUs that you can deploy.
  • Lägg till en tagg till resurser (ändra): Tillämpar en obligatorisk tagg och dess standardvärde om den inte anges av distributionsbegäran.Add a tag to resources (Modify): Applies a required tag and its default value if it's not specified by the deploy request.
  • Inte tillåtna resurstyper (neka): Förhindrar att en lista över resurstyper distribueras.Not allowed resource types (Deny): Prevents a list of resource types from being deployed.

För att implementera dessa principdefinitioner (både inbyggda och anpassade definitioner) måste du tilldela dem.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Du kan tilldela de här principerna via Azure-portalen, PowerShell eller Azure CLI.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Principutvärdering sker med flera olika åtgärder, till exempel tilldelning av principer eller principuppdateringar.Policy evaluation happens with several different actions, such as policy assignment or policy updates. En fullständig lista finns i Principutvärderingsutlösare.For a complete list, see Policy evaluation triggers.

Läs mer om principdefinitionernas strukturer i artikeln, struktur för principdefinitioner.To learn more about the structures of policy definitions, review Policy Definition Structure.

Principparametrar underlättar hanteringen av principer genom att minska antalet principdefinitioner du måste skapa.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. Du kan definiera parametrar när du skapar en principdefinition så att den blir mer allmän.You can define parameters when creating a policy definition to make it more generic. Sedan kan du återanvända den principdefinitionen för olika scenarier.Then you can reuse that policy definition for different scenarios. Det gör du genom att ange olika värden när du tilldelar principdefinitionen.You do so by passing in different values when assigning the policy definition. Till exempel ange du en uppsättning platser för en prenumeration.For example, specifying one set of locations for a subscription.

Parametrar definieras när du skapar en principdefinition.Parameters are defined when creating a policy definition. När en parameter definieras tilldelas den ett namn och eventuellt ett bestämt värde.When a parameter is defined, it's given a name and optionally given a value. Du kan till exempel definiera en parameter för en princip med titeln plats.For example, you could define a parameter for a policy titled location. Sedan kan du ge den olika värden som EastUS eller WestUS när du tilldelar en princip.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Mer information om principparametrar finns i Struktur för definitioner – parametrar.For more information about policy parameters, see Definition structure - Parameters.

InitiativdefinitionInitiative definition

En initiativdefinition är en samling principdefinitioner som är skräddarsydda för att uppnå ett enda övergripande mål.An initiative definition is a collection of policy definitions that are tailored toward achieving a singular overarching goal. Initiativdefinitioner gör det enklare att hantera och tilldela principdefinitionerInitiative definitions simplify managing and assigning policy definitions. genom att de grupperar en uppsättning principer som ett enda objekt.They simplify by grouping a set of policies as one single item. Du kan till exempel skapa ett initiativ med titeln Aktivera övervakning i Azure Security Center, med målet att övervaka alla tillgängliga säkerhetsrekommendationer i Azure Security Center.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Anteckning

SDK, till exempel Azure CLI och Azure PowerShell, använder egenskaper och parametrar med namnet PolicySet för att referera till initiativ.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Under det här initiativet skulle du ha principdefinitioner som dessa:Under this initiative, you would have policy definitions such as:

  • Övervaka okrypterade SQL Database i Security Center – För övervakning av okrypterade SQL-databaser och -servrar.Monitor unencrypted SQL Database in Security Center - For monitoring unencrypted SQL databases and servers.
  • Övervaka OS-sårbarheter i Security Center – För att övervaka servrar som inte uppfyller den konfigurerade baslinjen.Monitor OS vulnerabilities in Security Center - For monitoring servers that don't satisfy the configured baseline.
  • Övervaka saknade Endpoint Protection i Security Center – för att övervaka servrar utan en installerad Endpoint Protection-agent.Monitor missing Endpoint Protection in Security Center - For monitoring servers without an installed endpoint protection agent.

Precis som principparametrar underlättar initiativparametrar initiativhanteringen genom att minska redundansen.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Initiativparametrar är parametrar som används av principdefinitionerna inom ett initiativ.Initiative parameters are parameters being used by the policy definitions within the initiative.

Ta till exempel scenariot där du har en initiativdefinition, initiativeC, med principdefinitionerna policyA och policyB som vardera förväntar sig olika typer av parametrar:For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

PolicyPolicy ParameternamnName of parameter ParametertypType of parameter AnteckningNote
principApolicyA allowedLocationsallowedLocations matrisarray Den här parametern förväntar sig en lista med strängar för ett värde eftersom parametertypen har definierats som en matrisThis parameter expects a list of strings for a value since the parameter type has been defined as an array
principBpolicyB allowedSingleLocationallowedSingleLocation strängstring Den här parametern förväntar sig ett ord som värde eftersom parametertypen har definierats som en strängThis parameter expects one word for a value since the parameter type has been defined as a string

I det här scenariot, när du definierar initiativparametrar för initiativC, har du tre alternativ:In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Använd parametrarna för principdefinitionerna i det här initiativet. I det här exemplet blir allowedLocations och allowedSingleLocation initiativparametrar för initiativC.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Ange värden för parametrarna för principdefinitionerna i den här initiativdefinitionen.Provide values to the parameters of the policy definitions within this initiative definition. I det här exemplet kan du ange en lista över platser till parametern för policyA: allowedLocations och policyB: s parameter - allowedSingleLocation.In this example, you can provide a list of locations to policyA's parameter - allowedLocations and policyB's parameter - allowedSingleLocation. Du kan också ange värden när du tilldelar det här initiativet.You can also provide values when assigning this initiative.
  • Ange en lista med alternativ värden som kan användas när du tilldelar det här initiativet.Provide a list of value options that can be used when assigning this initiative. När du tilldelar det här initiativet kan ärvda parametrarna från principdefinitionerna inom initiativet endast ha värden från den här listan.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

När du skapar värdealternativ i en initiativdefinition kan du inte ange ett annat värde under initiativtilldelningen eftersom det inte ingår i listan.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Mer information om initiativdefinitionens strukturer finns i Initiativdefinitionsstruktur.To learn more about the structures of initiative definitions, review Initiative Definition Structure.

TilldelningarAssignments

En tilldelning är en principdefinition eller ett initiativ som har tilldelats att äga rum inom ett specifikt omfång.An assignment is a policy definition or initiative that has been assigned to take place within a specific scope. Det här omfånget kan vara allt från en hanteringsgrupp till en enskild resurs.This scope could range from a management group to an individual resource. Termen omfång avser alla resurser, resursgrupper, prenumerationer eller hanteringsgrupper som definitionen är tilldelad till.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the definition is assigned to. Tilldelningar ärvs av alla underordnade resurser.Assignments are inherited by all child resources. Den här designen innebär att en definition som tillämpas på en resursgrupp också tillämpas på resurser i den resursgruppen.This design means that a definition applied to a resource group is also applied to resources in that resource group. Du kan dock undanta ett underscope från tilldelningen.However, you can exclude a subscope from the assignment.

I prenumerationsomfånget kan du till exempel tilldela en definition som förhindrar att nätverksresurser skapas.For example, at the subscription scope, you can assign a definition that prevents the creation of networking resources. Du kan undanta en resursgrupp i prenumerationen som är avsedd för nätverksinfrastruktur.You could exclude a resource group in that subscription that is intended for networking infrastructure. Du beviljar därefter åtkomst till den här nätverksresursgruppen för användare som du litar på för att skapa nätverksresurser.You then grant access to this networking resource group to users that you trust with creating networking resources.

I ett annat exempel kanske du vill tilldela en definition för listan över tillåtna resurstyper på hanteringsgruppsnivå.In another example, you might want to assign a resource type allowlist definition at the management group level. Sedan tilldelar du en mer tillåtande princip (som tillåter fler resurstyper) i en underordnad hanteringsgrupp eller till och med direkt på prenumerationer.Then you assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Det här exemplet skulle dock inte fungera eftersom Azure Policy är ett system för uttryckligt nekande.However, this example wouldn't work because Azure Policy is an explicit deny system. I stället måste du undanta den underordnade hanteringsgruppen eller prenumerationen från tilldelningen på hanteringsgruppsnivå.Instead, you need to exclude the child management group or subscription from the management group-level assignment. Tilldela sedan den mer tillåtande definitionen på nivån underordnad hanteringsgrupp eller prenumeration.Then, assign the more permissive definition on the child management group or subscription level. Om en tilldelning leder till att en resurs nekas är det enda sättet att tillåta resursen att ändra tilldelningsnekande.If any assignment results in a resource getting denied, then the only way to allow the resource is to modify the denying assignment.

Mer information om hur du anger tilldelningar via portalen finns i Skapa en principtilldelning för att identifiera icke-kompatibla resurser i Azure-miljön.For more information on setting assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Steg för PowerShell och Azure CLI är också tillgängliga.Steps for PowerShell and Azure CLI are also available. Information om tilldelningsstrukturen finns i Tilldelningsstruktur.For information on the assignment structure, see Assignments Structure.

Maximalt antal Azure Policy objektMaximum count of Azure Policy objects

Det finns ett maximalt antal för varje objekt typ för Azure Policy.There's a maximum count for each object type for Azure Policy. För definitioner innebär en post för scope hanterings gruppen eller prenumerationen.For definitions, an entry of Scope means the management group or subscription. För tilldelningar och undantag innebär en post för omfattning hanterings gruppen, prenumerationen, resurs gruppen eller enskilda resurser.For assignments and exemptions, an entry of Scope means the management group, subscription, resource group, or individual resource.

VarWhere VadWhat Maximalt antalMaximum count
OmfångScope PrincipdefinitionerPolicy definitions 500500
OmfångScope InitiativdefinitionerInitiative definitions 200200
KlientorganisationTenant InitiativdefinitionerInitiative definitions 2 5002,500
OmfångScope Princip-eller initiativ tilldelningarPolicy or initiative assignments 200200
OmfångScope UndantagExemptions 10001000
Definition av principPolicy definition ParametrarParameters 2020
InitiativdefinitionInitiative definition PrinciperPolicies 10001000
InitiativdefinitionInitiative definition ParametrarParameters 100100
Princip-eller initiativ tilldelningarPolicy or initiative assignments Undantag (notScopes)Exclusions (notScopes) 400400
PrincipregelPolicy rule Kapslade villkorNested conditionals 512512
Reparations uppgiftRemediation task ResurserResources 500500

Nästa stegNext steps

Nu när du har en översikt över Azure Policy och några av de centrala begreppen föreslår vi följande som nästa steg:Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: