Översikt över Azure Policy tjänstenOverview of the Azure Policy service

Styrningen validerar att organisationen kan uppnå sina mål genom effektiv och effektiv användning av IT.Governance validates that your organization can achieve its goals through effective and efficient use of IT. Detta sker genom att tydlighet skapas mellan affärsmålen och IT-projekten.It meets this need by creating clarity between business goals and IT projects.

Har ditt företag ett stort antal IT-problem som aldrig verkar bli lösta?Does your company experience a significant number of IT issues that never seem to get resolved? God IT-styrning omfattar att planera dina initiativ och ange prioritet på en strategisk nivå för att underlätta hantering och förebyggande av problem.Good IT governance involves planning your initiatives and setting priorities on a strategic level to help manage and prevent issues. Det är för det här strategiska behovet som Azure Policy kommer in i bilden.This strategic need is where Azure Policy comes in.

Azure Policy är en tjänst i Azure som används till att skapa, tilldela och hantera principer.Azure Policy is a service in Azure that you use to create, assign, and manage policies. De här principerna tillämpar olika regler och effekter på dina resurser så att resurserna efterlever dina företagsstandarder och serviceavtal.These policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service level agreements. Azure Policy uppfyller detta behov genom att utvärdera dina resurser för icke-kompatibilitet med tilldelade principer.Azure Policy meets this need by evaluating your resources for non-compliance with assigned policies. Du kan till exempel ha en princip som endast tillåter en viss SKU-storlek för virtuella datorer i din miljö.For example, you can have a policy to allow only a certain SKU size of virtual machines in your environment. När den här principen har implementerats utvärderas nya och befintliga standardresurser för kompatibilitet.Once this policy is implemented, new and existing resources are evaluated for compliance. Med rätt typ av princip kan befintliga resurser bli kompatibla.With the right type of policy, existing resources can be brought into compliance. Senare i den här dokumentationen går vi igenom mer information om hur man skapar och implementerar principer med Azure Policy.Later in this documentation, we'll go over more details on how to create and implement policies with Azure Policy.

Viktigt

Azure Policy:s kompatibilitetsutvärdering tillhandahålls nu för alla tilldelningar oavsett prisnivå.Azure Policy's compliance evaluation is now provided for all assignments regardless of pricing tier. Om dina tilldelningar inte visar kompatibilitetsdata, ser du till att prenumerationen är registrerad med resursprovidern Microsoft.PolicyInsights.If your assignments do not show the compliance data, please ensure that the subscription is registered with the Microsoft.PolicyInsights resource provider.

Anteckning

Den här tjänsten stöder Azure delegerad resurshantering där kan hantera leverantörer resurser och prenumerationer som kunder har delegeras från tjänstleverantörens klient.This service supports Azure Delegated Resource Management which lets service providers manage resources and subscriptions that customers have delegated from within the service provider's tenant. Mer information finns i Azure fyr.For more info, see Azure Lighthouse.

Vad är skillnaden jämfört med RBAC?How is it different from RBAC?

Det finns några viktiga skillnader mellan Azure Policy och rollbaserad åtkomst kontroll (RBAC).There are a few key differences between Azure Policy and role-based access control (RBAC). RBAC fokuserar på användaråtgärder i olika omfång.RBAC focuses on user actions at different scopes. Du kan läggas till deltagarrollen för en resursgrupp, så att du kan göra ändringar i den resursgruppen.You might be added to the contributor role for a resource group, allowing you to make changes to that resource group. Azure Policy fokuserar på resurs egenskaper under distributionen och för redan befintliga resurser.Azure Policy focuses on resource properties during deployment and for already existing resources. Azure Policy kontrollerar egenskaper som resursernas typer eller platser.Azure Policy controls properties such as the types or locations of resources. Till skillnad från RBAC är Azure Policy en standard för att tillåta och explicit neka system.Unlike RBAC, Azure Policy is a default allow and explicit deny system.

RBAC-behörigheter i Azure PolicyRBAC Permissions in Azure Policy

Azure Policy har flera behörigheter, som kallas åtgärder, i två olika resursprovidrar:Azure Policy has several permissions, known as operations, in two Resource Providers:

Många inbyggda roller beviljar behörighet till Azure Policy-resurser.Many Built-in roles grant permission to Azure Policy resources. Rollen resurs princip deltagare (förhands granskning) inkluderar de flesta Azure policy åtgärder.The Resource Policy Contributor (Preview) role includes most Azure Policy operations. Ägare har fullständiga behörigheter.Owner has full rights. Både deltagare och läsare kan använda alla Läs Azure policy-åtgärder, men deltagare kan även utlösa reparationer.Both Contributor and Reader can use all read Azure Policy operations, but Contributor can also trigger remediation.

Om ingen av de inbyggda rollerna har de behörigheter som krävs skapar du en anpassad roll.If none of the Built-in roles have the permissions required, create a custom role.

Definition av principPolicy definition

Resan med att skapa och implementera en princip i Azure Policy börjar med skapandet av en principdefinition.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Varje principdefinition har villkor för när den ska tillämpas.Every policy definition has conditions under which it's enforced. Och den har en definierad effekt som träder ikraft om villkoren är uppfyllda.And, it has a defined effect that takes place if the conditions are met.

Vi erbjuder flera inbyggda principer som är tillgängliga för dig som standard i Azure Policy.In Azure Policy, we offer several built-in policies that are available by default. Exempel:For example:

  • Kräv SQL Server 12.0: Kontrollerar att alla SQL-servrar använder version 12.0.Require SQL Server 12.0: Validates that all SQL servers use version 12.0. Dess effekt är att neka alla servrar som inte uppfyller dessa villkor.Its effect is to deny all servers that don't meet these criteria.
  • Tillåtna SKU:er för lagringskonto: Anger om ett lagringskonto som distribueras befinner sig inom en uppsättning SKU-storlekar.Allowed Storage Account SKUs: Determines if a storage account being deployed is within a set of SKU sizes. Effekten är att neka alla lagringskonton som inte överensstämmer med uppsättningen definierade SKU-storlekar.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Tillåtna resurstyper: Definierar de resurstyper som du kan distribuera.Allowed Resource Type: Defines the resource types that you can deploy. Effekten är att neka alla resurser som inte finns på den definierade listan.Its effect is to deny all resources that aren't part of this defined list.
  • Tillåtna platser: Begränsar de tillgängliga platserna för nya resurser.Allowed Locations: Restricts the available locations for new resources. Effekten används för att genomdriva kraven på geo-efterlevnad.Its effect is used to enforce your geo-compliance requirements.
  • Tillåtna SKU:er för virtuella datorer: Anger en uppsättning SKU:erför virtuella datorer som du kan distribuera.Allowed Virtual Machine SKUs: Specifies a set of virtual machine SKUs that you can deploy.
  • Använd taggen och dess standardvärde: Lägger till en nödvändig tagg och dess standardvärde om den inte har angetts med distributionsbegäran.Apply tag and its default value: Applies a required tag and its default value if it's not specified by the deploy request.
  • Framtvinga tagg och dess värde: Lägger till en nödvändig tagg och dess värde till en resurs.Enforce tag and its value: Enforces a required tag and its value to a resource.
  • Otillåtna resurstyper: Förhindrar en lista över resurstyper från att distribueras.Not allowed resource types: Prevents a list of resource types from being deployed.

För att implementera dessa principdefinitioner (både inbyggda och anpassade definitioner) måste du tilldela dem.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Du kan tilldela de här principerna via Azure Portal, PowerShell eller Azure CLI.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Principutvärdering sker med flera olika åtgärder, till exempel tilldelning av principer eller principuppdateringar.Policy evaluation happens with several different actions, such as policy assignment or policy updates. En fullständig lista finns i Principutvärderingsutlösare.For a complete list, see Policy evaluation triggers.

Läs mer om principdefinitionernas strukturer i artikeln, struktur för principdefinitioner.To learn more about the structures of policy definitions, review Policy Definition Structure.

PrinciptilldelningPolicy assignment

En principtilldelning är en principdefinition som tilldelas att äga rum inom ett specifikt område.A policy assignment is a policy definition that has been assigned to take place within a specific scope. Omfånget kan vara allt från en hanteringsgrupp till en resursgrupp.This scope could range from a management group to a resource group. Termen område avser alla resursgrupper, prenumerationer eller hanteringsgrupper som principdefinitionen har tilldelats.The term scope refers to all the resource groups, subscriptions, or management groups that the policy definition is assigned to. Principtilldelningar ärvs av alla underordnade resurser.Policy assignments are inherited by all child resources. Den här designen innebär att en princip som används för en resursgrupp även används för resurserna i den resursgruppen.This design means that a policy applied to a resource group is also applied to resources in that resource group. Du kan dock utesluta ett delområde från principtilldelningen.However, you can exclude a subscope from the policy assignment.

Du kan till exempel tilldela en princip som förhindrar skapande av nätverksresurser i ett prenumerationsområde.For example, at the subscription scope, you can assign a policy that prevents the creation of networking resources. Du kan undanta en resursgrupp i prenumerationen som är avsedd för nätverksinfrastruktur.You could exclude a resource group in that subscription that is intended for networking infrastructure. Du beviljar därefter åtkomst till den här nätverksresursgruppen för användare som du litar på för att skapa nätverksresurser.You then grant access to this networking resource group to users that you trust with creating networking resources.

I ett annat exempel kanske du vill tilldela en lista över tillåtna grup principer för resurs typer på hanterings grupps nivå.In another example, you might want to assign a resource type allow list policy at the management group level. Och sedan tilldela en mer tillåtande princip (som tillåter fler resurstyper) för en underordnad hanteringsgrupp eller till och med direkt för prenumerationer.And then assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Det här exemplet fungerar dock inte eftersom principen är ett system för uttryckligt nekande.However, this example wouldn't work because policy is an explicit deny system. Du måste i stället utesluta den underordnade hanteringsgruppen eller prenumerationen från principtilldelningen på hanteringsgruppsnivån.Instead, you need to exclude the child management group or subscription from the management group-level policy assignment. Tilldela sedan den mer tillåtande principen på nivån för den underordnade hanteringsgruppen eller prenumerationen.Then, assign the more permissive policy on the child management group or subscription level. Om en princip leder till att en resurs nekas är det enda sättet att tillåta resursen att ändra den nekande principen.If any policy results in a resource getting denied, then the only way to allow the resource is to modify the denying policy.

Mer information om att ange principdefinitioner och tilldelningar via portalen finns i Skapa en principtilldelning för att identifiera icke-kompatibla resurser i Azure-miljön.For more information on setting policy definitions and assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Steg för PowerShell och Azure CLI är också tillgängliga.Steps for PowerShell and Azure CLI are also available.

PrincipparametrarPolicy parameters

Principparametrar underlättar hanteringen av principer genom att minska antalet principdefinitioner du måste skapa.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. Du kan definiera parametrar när du skapar en principdefinition så att den blir mer allmän.You can define parameters when creating a policy definition to make it more generic. Sedan kan du återanvända den principdefinitionen för olika scenarier.Then you can reuse that policy definition for different scenarios. Det gör du genom att ange olika värden när du tilldelar principdefinitionen.You do so by passing in different values when assigning the policy definition. Till exempel ange du en uppsättning platser för en prenumeration.For example, specifying one set of locations for a subscription.

Parametrar definieras när du skapar en principdefinition.Parameters are defined when creating a policy definition. När en parameter definieras ges den ett namn och eventuellt ett givet värde.When a parameter is defined, it's given a name and optionally given a value. Du kan till exempel definiera en parameter för en princip med titeln plats.For example, you could define a parameter for a policy titled location. Sedan kan du ge den olika värden som EastUS eller WestUS när du tilldelar en princip.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Mer information om principparametrar finns i Struktur för definitioner – parametrar.For more information about policy parameters, see Definition structure - Parameters.

InitiativdefinitionInitiative definition

En initiativdefinition är en samling principdefinitioner som är skräddarsydda för att uppnå ett enda övergripande mål.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. Initiativdefinitioner gör det enklare att hantera och tilldela principdefinitionerInitiative definitions simplify managing and assigning policy definitions. genom att de grupperar en uppsättning principer som ett enda objekt.They simplify by grouping a set of policies as one single item. Du kan till exempel skapa ett initiativ med titeln Aktivera övervakning i Azure Security Center, med målet att övervaka alla tillgängliga säkerhetsrekommendationer i Azure Security Center.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Under det här initiativet skulle du ha principdefinitioner som dessa:Under this initiative, you would have policy definitions such as:

  • Övervaka okrypterade SQL-databaser i Security Center – för att övervaka okrypterade SQL-databaser och -servrar.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • Övervaka OS-säkerhetsproblem i Security Center – för att övervaka servrar som inte uppfyller grundkonfigurationen.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Övervaka saknad Endpoint Protection i Security Center – för att övervaka servrar utan en installerad Endpoint Protection-agent.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

InitiativtilldelningInitiative assignment

Precis som en principtilldelning är en initiativtilldelning en initiativdefinition som tilldelats ett specifikt område.Like a policy assignment, an initiative assignment is an initiative definition assigned to a specific scope. Initiativtilldelningar minskar behovet av att göra flera initiativdefinitioner för varje område.Initiative assignments reduce the need to make several initiative definitions for each scope. Området kan även här vara allt från en hanteringsgrupp till en resursgrupp.This scope could also range from a management group to a resource group.

Varje initiativ kan tilldelas till olika omfång.Each initiative is assignable to different scopes. Ett initiativ kan tilldelas till båda prenumeration A och prenumeration B.One initiative can be assigned to both subscriptionA and subscriptionB.

InitiativparametrarInitiative parameters

Precis som principparametrar underlättar initiativparametrar initiativhanteringen genom att minska redundansen.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Initiativparametrar är parametrar som används av principdefinitionerna inom ett initiativ.Initiative parameters are parameters being used by the policy definitions within the initiative.

Ta till exempel scenariot där du har en initiativdefinition, initiativeC, med principdefinitionerna policyA och policyB som vardera förväntar sig olika typer av parametrar:For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

PrincipPolicy ParameternamnName of parameter ParametertypType of parameter Obs!Note
principApolicyA allowedLocationsallowedLocations matrisarray Den här parametern förväntar sig en lista med strängar för ett värde eftersom parametertypen har definierats som en matrisThis parameter expects a list of strings for a value since the parameter type has been defined as an array
principBpolicyB allowedSingleLocationallowedSingleLocation strängstring Den här parametern förväntar sig ett ord som värde eftersom parametertypen har definierats som en strängThis parameter expects one word for a value since the parameter type has been defined as a string

I det här scenariot, när du definierar initiativparametrar för initiativC, har du tre alternativ:In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Använd parametrarna för principdefinitionerna i det här initiativet: I det här exemplet blir allowedLocations och allowedSingleLocation initiativparametrar för initiativeC.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Ange värden för parametrarna för principdefinitionerna i den här initiativdefinitionen.Provide values to the parameters of the policy definitions within this initiative definition. I det här exemplet kan du ange en lista över platser som ska användas för att ställa in parameter-allowedLocations och Principb parameter – allowedSingleLocation.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. Du kan också ange värden när du tilldelar det här initiativet.You can also provide values when assigning this initiative.
  • Ange en lista med alternativ värden som kan användas när du tilldelar det här initiativet.Provide a list of value options that can be used when assigning this initiative. När du tilldelar det här initiativet kan ärvda parametrarna från principdefinitionerna inom initiativet endast ha värden från den här listan.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

När du skapar värdealternativ i en initiativdefinition kan du inte ange ett annat värde under initiativtilldelningen eftersom det inte ingår i listan.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Maximalt antal Azure Policy objektMaximum count of Azure Policy objects

Det finns ett maximalt antal för varje objekt typ för Azure Policy.There's a maximum count for each object type for Azure Policy. En post av typen Omfång betyder antingen prenumerationen eller hanteringsgruppen.An entry of Scope means either the subscription or the management group.

DärWhere VadWhat Maximalt antalMaximum count
OmfångScope PrincipdefinitionerPolicy definitions 500500
OmfångScope InitiativdefinitionerInitiative definitions 100100
KlientTenant InitiativdefinitionerInitiative definitions 1,0001,000
OmfångScope Princip-eller initiativ tilldelningarPolicy or initiative assignments 100100
Definition av principPolicy definition ParametrarParameters 2020
InitiativdefinitionInitiative definition PrinciperPolicies 100100
InitiativdefinitionInitiative definition ParametrarParameters 100100
Princip-eller initiativ tilldelningarPolicy or initiative assignments Undantag (notScopes)Exclusions (notScopes) 400400
PrincipregelPolicy rule Kapslade villkorNested conditionals 512512

Rekommendationer för principhanteringRecommendations for managing policies

Här följer några råd och tips att tänka på:Here are a few pointers and tips to keep in mind:

  • Börja med en spårningsseffekt i stället för en nekandeeffekt för att spåra den påverkan principdefinitionen får på resurserna i miljön.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Om du redan har skript på plats för att automatiskt skala dina program kan dessa automatiserade uppgifter eventuellt blockeras om du anger en nekandeeffekt.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • Ta hänsyn till på organisationens hierarkier när du skapar definitioner och tilldelningar.Consider organizational hierarchies when creating definitions and assignments. Vi rekommenderar att du skapar definitioner på högre nivåer, som på hanteringsgrupps- eller prenumerationsnivå.We recommend creating definitions at higher levels such as the management group or subscription level. Skapa sedan tilldelningen på nästa underordnade nivå.Then, create the assignment at the next child level. Om du skapar en definition för en hanteringsgrupp, kan tilldelningen begränsas till en prenumeration eller resursgrupp inom den hanteringsgruppen.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Vi rekommenderar att du skapar och tilldelar initiativdefinitioner även för en enskild principdefinition.We recommend creating and assigning initiative definitions even for a single policy definition. Om du som exempel har principdefinitionen policyDefA, så skapar du den under initiativdefinitionen initiativeDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Om du skapar en annan principdefinition senare för policyDefB med mål som liknar dem för policyDefA, kan du lägga till den under initiativeDefC och spåra dem tillsammans.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • När du har skapat en initiativtilldelning blir principdefinitioner som lagts till i initiativet också en del av de initiativtilldelningarna.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiatives assignments.

  • När en initiativtilldelning utvärderas, utvärderas även alla principer inom initiativet.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Om du behöver utvärdera en princip individuellt är det bättre att inte inkludera den i ett initiativ.If you need to evaluate a policy individually, it's better to not include it in an initiative.

VideoöversiktVideo overview

Följande översikt över Azure Policy är från Build 2018.The following overview of Azure Policy is from Build 2018. För nedladdning av bilder eller video besöker du sidan om att styra Azure-miljön via Azure Policy på Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Nästa stegNext steps

Nu när du har en översikt över Azure Policy och några av de centrala begreppen föreslår vi följande som nästa steg:Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: