Självstudier: Skapa och hantera principer för att använda kompatibilitetTutorial: Create and manage policies to enforce compliance

Det är viktigt att du förstår hur du skapar och hanterar principer i Azure för att du ska fortsätta att efterleva företagets standarder och servicenivåavtal.Understanding how to create and manage policies in Azure is important for staying compliant with your corporate standards and service level agreements. I den här självstudien lär du dig att använda Azure Policy för att utföra några av de vanligaste uppgifterna som att skapa, tilldela och hantera principer i organisationen, exempelvis:In this tutorial, you learn to use Azure Policy to do some of the more common tasks related to creating, assigning, and managing policies across your organization, such as:

  • Tilldela en princip för att genomdriva ett villkor för resurser som du skapar i framtidenAssign a policy to enforce a condition for resources you create in the future
  • Skapa och tilldela en initiativdefinition för att spåra efterlevnad för flera resurserCreate and assign an initiative definition to track compliance for multiple resources
  • Lösa en icke-kompatibel eller nekad resursResolve a non-compliant or denied resource
  • Implementera en ny princip i en organisationImplement a new policy across an organization

Om du vill tilldela en princip för att identifiera dina befintliga resursers efterlevnadstillstånd går artiklarna i snabbstarten igenom det.If you would like to assign a policy to identify the current compliance state of your existing resources, the quickstart articles go over how to do so. Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.If you don't have an Azure subscription, create a free account before you begin.

Tilldela en principAssign a policy

Det första steget för att tillämpa efterlevnad av Azure Policy är att tilldela en principdefinition.The first step in enforcing compliance with Azure Policy is to assign a policy definition. En principdefinition anger enligt vilket villkor en princip tillämpas och vilken åtgärd som ska vidtas.A policy definition defines under what condition a policy is enforced and what effect to take. I det här exemplet ska du tilldela en inbyggd principdefinition som heter Kräv SQL Server version 12.0, för att tillämpa villkoret att alla SQL Server-databaser måste vara v12.0 för att vara kompatibla.In this example, assign a built-in policy definition, called Require SQL Server version 12.0, to enforce the condition that all SQL Server databases must be v12.0 to be compliant.

  1. Starta Azure Policy-tjänsten i Azure Portal genom att klicka på Alla tjänster och sedan söka efter och välja Princip.Launch the Azure Policy service in the Azure portal by clicking All services, then searching for and selecting Policy.

    Sök efter princip i alla tjänster

  2. Välj Tilldelningar till vänster på sidan Azure Policy.Select Assignments on the left side of the Azure Policy page. En tilldelning är en princip som tilldelats ett specifikt område.An assignment is a policy that has been assigned to take place within a specific scope.

    Klicka på tilldelningar från principöversikt

  3. Välj Tilldela princip längst upp på sidan Princip – Tilldelningar.Select Assign Policy from the top of the Policy - Assignments page.

    Tilldela en principdefinition från sidan tilldelningar

  4. På sidan Tilldela princip väljer du Omfång genom att klicka på ellipsen och antingen välja en hanteringsgrupp eller en prenumeration.On the Assign Policy page, select the Scope by clicking the ellipsis and selecting either a management group or subscription. Du kan även välja en resursgrupp.Optionally, select a resource group. En omfattning avgör vilka resurser eller grupper med resurser som principtilldelningen används på.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Klicka sedan på Välj längst ned på sidan Omfång.Then click Select at the bottom of the Scope page.

    I det här exemplet används Contoso-prenumerationen.This example uses the Contoso subscription. Din prenumeration skiljer sig.Your subscription will differ.

  5. Resurser som kan uteslutas baserat på omfång.Resources can be excluded based on the Scope. Undantag startar på en nivå som är lägre än nivån för Omfång.Exclusions start at one level lower than the level of the Scope. Undantag är valfria, så lämna det tomt just nu.Exclusions are optional, so leave it blank for now.

  6. Välj ellipsen Principdefinition för att öppna listan med tillgängliga definitioner.Select the Policy definition ellipsis to open the list of available definitions. Du kan filtrera principdefinitionen Typ som Inbyggt om du vill se alla och läsa deras beskrivningar.You can filter the policy definition Type to Built-in to view all and read their descriptions.

  7. Välj Kräv SQL Server version 12.0.Select Require SQL Server version 12.0. Om du inte hittar det genast skriver du require sql server (kräv sql server) i sökrutan och trycker sedan på RETUR eller klickar utanför sökrutan.If you can't find it right away, type require sql server into the search box and then press ENTER or click out of the search box. Klicka på Välj längst ned på sidan Tillgängliga definitioner när du har hittat och valt principdefinitionen.Click Select at the bottom of the Available Definitions page once you have found and selected the policy definition.

    Använd sökrutan filtrera för att hitta en princip

  8. Tilldelningsnamn fylls i automatiskt med namnet på principen som du valde, men du kan ändra det om du vill.The Assignment name is automatically populated with the policy name you selected, but you can change it. I det här exemplet låter du Kräv SQL Server version 12.0 vara kvar.For this example, leave Require SQL Server version 12.0. Du kan också lägga till en valfri Beskrivning.You can also add an optional Description. Beskrivningen innehåller information om den här principtilldelningen.The description provides details about this policy assignment. Tilldelad av fylls automatiskt i baserat på vem som är inloggad.Assigned by is automatically filled based on who is logged in. Det här fältet är valfritt, så du kan ange anpassade värden.This field is optional, so custom values can be entered.

  9. Lämna Skapa en hanterad identitet avmarkerat.Leave Create a Managed Identity unchecked. Den här rutan måste markeras när den princip eller det initiativ som tilldelas omfattar en princip med effekten deployIfNotExists.This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists effect. Eftersom den princip som används för den här självstudien inte gör det kan du lämna den tom.As the policy used for this tutorial doesn't, leave it blank. Mer information finns i avsnitten hanterade identiteter och hur reparationssäkerhet fungerar.For more information, see managed identities and how remediation security works.

  10. Klicka på Tilldela.Click Assign.

Implementera en ny anpassad principImplement a new custom policy

Nu när du har tilldelat en inbyggd principdefinition kan du göra mer med Azure Policy.Now that you've assigned a built-in policy definition, you can do more with Azure Policy. Sedan skapar du en ny anpassad princip för att spara kostnader genom att kontrollera att de virtuella datorer som skapats i din miljö inte kan vara i G-serien.Next, create a new custom policy to save costs by validating that VMs created in your environment can't be in the G series. På så sätt nekas varje gång en begäran från en användare i organisationen som försöker skapa en virtuell dator i G-serien.This way, every time a user in your organization tries to create VM in the G series, the request is denied.

  1. Välj Definitioner under Redigering till vänster på sidan Azure Policy.Select Definitions under Authoring in the left side of the Azure Policy page.

    Sidan definition under redigering grupp

  2. Välj + Principdefinition överst på sidan.Select + Policy definition at the top of the page. Den här knappen öppnar sidan Principdefinition.This button opens to the Policy definition page.

  3. Ange följande information:Enter the following information:

    • Hanteringsgruppen eller prenumerationen där principdefinitionen sparas.The management group or subscription in which the policy definition is saved. Välj Definitionens plats med ellipsen.Select by using the ellipsis on Definition location.

      Anteckning

      Om du tänker tillämpa denna principdefinition på flera prenumerationer, måste platsen vara en hanteringsgrupp som innehåller de prenumerationer som du tilldelar principen.If you plan to apply this policy definition to multiple subscriptions, the location must be a management group that contains the subscriptions you assign the policy to. Detsamma gäller för en initiativdefinition.The same is true for an initiative definition.

    • Namnet på principdefinitionen – Kräv VM SKU:er som är mindre än G-serienThe name of the policy definition - Require VM SKUs smaller than the G series

    • Beskrivning av vad principdefinitionen är avsedd att göra – Den här principdefinitionen tvingar alla virtuella datorer som är skapade i omfånget att ha SKU:er som är mindre än G-serien för att minska kostnaderna.The description of what the policy definition is intended to do – This policy definition enforces that all VMs created in this scope have SKUs smaller than the G series to reduce cost.

    • Välj mellan befintliga alternativ (som Compute), eller skapa en ny kategori för den här principdefinitionen.Choose from existing options (such as Compute), or create a new category for this policy definition.

    • Kopiera följande JSON-kod och uppdatera den sedan efter dina behov med:Copy the following JSON code and then update it for your needs with:

      • Principparametrarna.The policy parameters.
      • Principens regler/villkor, i det här fallet – VM SKU-storlek som motsvarar G-serienThe policy rules/conditions, in this case – VM SKU size equal to G series
      • Principens effekt, i det här fallet – Neka.The policy effect, in this case – Deny.

    Så här ska din JSON se ut.Here's what the JSON should look like. Klistra in den reviderade koden i Azure-portalen.Paste your revised code into the Azure portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Egenskapen fält i principregeln måste vara något av följande värden: Namn, Typ, Plats, Taggar eller ett alias.The field property in the policy rule must be one of the following values: Name, Type, Location, Tags, or an alias. Ett exempel på ett alias kan vara "Microsoft.Compute/VirtualMachines/Size".An example of an alias might be "Microsoft.Compute/VirtualMachines/Size".

    Fler Azure-principexempel finns i Azure Policy-mallar.To view more Azure policy samples, see Azure Policy samples.

  4. Välj Spara.Select Save.

Skapa en principdefinition med REST APICreate a policy definition with REST API

Du kan skapa en princip med REST API för Principdefinitioner i Azure.You can create a policy with the REST API for Azure Policy Definitions. Med REST API kan du skapa och ta bort principdefinitioner och få information om befintliga definitioner.The REST API enables you to create and delete policy definitions, and get information about existing definitions. Om du vill skapa en principdefinition använder du följande exempel:To create a policy definition, use the following example:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Inkludera en begärantext som liknar följande exempel:Include a request body similar to the following example:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Skapa en principdefinition med PowerShellCreate a policy definition with PowerShell

Innan du fortsätter med PowerShell-exemplet ska du kontrollera att du har installerat den senaste versionen av Azure PowerShell Az-modulen.Before proceeding with the PowerShell example, make sure you've installed the latest version of the Azure PowerShell Az module.

Du kan skapa en principdefinition med cmdleten New-AzPolicyDefinition.You can create a policy definition using the New-AzPolicyDefinition cmdlet.

Om du vill skapa en principdefinition från en fil skickar du sökvägen till filen.To create a policy definition from a file, pass the path to the file. Använd följande exempel för en extern fil:For an external file, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Använd följande exempel för en lokal fil:For a local file use, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Om du vill skapa en principdefinition med en infogad regel använder du följande exempel:To create a policy definition with an inline rule, use the following example:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Utdata lagras i ett $definition-objekt som används under principtilldelningen.The output is stored in a $definition object, which is used during policy assignment. I följande exempel skapas en principdefinition som innehåller parametrarna:The following example creates a policy definition that includes parameters:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Visa principdefinitioner med PowerShellView policy definitions with PowerShell

Om du vill visa alla principdefinitioner i din prenumeration använder du följande kommando:To see all policy definitions in your subscription, use the following command:

Get-AzPolicyDefinition

Den returnerar alla tillgängliga principdefinitioner, inklusive inbyggda principer.It returns all available policy definitions, including built-in policies. Varje princip returneras i följande format:Each policy is returned in the following format:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Skapa en principdefinition med Azure CLICreate a policy definition with Azure CLI

Du kan skapa en principdefinition med Azure CLI med kommandot för principdefinition.You can create a policy definition using Azure CLI with the policy definition command. Om du vill skapa en principdefinition med en infogad regel använder du följande exempel:To create a policy definition with an inline rule, use the following example:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Visa principdefinitioner med Azure CLIView policy definitions with Azure CLI

Om du vill visa alla principdefinitioner i din prenumeration använder du följande kommando:To see all policy definitions in your subscription, use the following command:

az policy definition list

Den returnerar alla tillgängliga principdefinitioner, inklusive inbyggda principer.It returns all available policy definitions, including built-in policies. Varje princip returneras i följande format:Each policy is returned in the following format:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Skapa och tilldela en initiativdefinitionCreate and assign an initiative definition

Med en initiativdefinition kan du gruppera flera principdefinitioner för att uppnå ett övergripande mål.With an initiative definition, you can group several policy definitions to achieve one overarching goal. Ett initiativ utvärderar resurser inom omfånget för tilldelningen för efterlevnad med tillhörande principer.An initiative evaluates resources within scope of the assignment for compliance to the included policies. Se Översikt över Azure Policy för mer information om initiativdefinitioner.For more information about initiative definitions, see Azure Policy overview.

Skapa en initiativdefinitionCreate an initiative definition

  1. Välj Definitioner under Redigering till vänster på sidan Azure Policy.Select Definitions under Authoring in the left side of the Azure Policy page.

    Välj definition från sidan definitioner

  2. Välj + Initiativdefinition överst på sidan för att öppna sidan Initiativdefinition.Select + Initiative Definition at the top of the page to open the Initiative definition page.

    Initiativdefinitionen granskningssidan

  3. Använd ellipsen Definitionens plats och välj en hanteringsgrupp eller en prenumeration där definitionen ska lagras.Use the Definition location ellipsis to select a management group or subscription to store the definition. Om föregående sida begränsades till en enskild hanteringsgrupp eller prenumeration så fylls definitionsplats i automatiskt.If the previous page was scoped to a single management group or subscription, Definition location is automatically populated.

  4. Ange Namn och Beskrivning för initiativet.Enter the Name and Description of the initiative.

    Det här exemplet kontrollerar att resurser efterlever principdefinitioner om säkerhet.This example validates that resources are in compliance with policy definitions about getting secure. Namnge initiativet Get Secure och ange beskrivningen som: Det här initiativet har skapats för att hantera principdefinitioner associerade med att skydda resurser.Name the initiative Get Secure and set the description as: This initiative has been created to handle all policy definitions associated with securing resources.

  5. Välj bland befintliga alternativ eller skapa en ny kategori i Kategori.For Category, choose from existing options or create a new category.

  6. Bläddra igenom listan Tillgängliga definitioner (högre halvan av sidan Initiativdefinition) och välj de principdefinitioner som du vill lägga till i initiativet.Browse through the list of Available Definitions (right half of Initiative definition page) and select the policy definition(s) you would like to add to this initiative. För initiativet Get Secure lägger du till följande inbyggda principdefinitioner genom att klicka på + bredvid principdefinitionens information eller klicka på en rad för principdefinitionen och sedan på alternativet + Lägg till på informationssidan:For the Get secure initiative, add the following built-in policy definitions by clicking the + next to the policy definition information or clicking a policy definition row and then the + Add option in the details page:

    • Kräv SQL Server version 12.0Require SQL Server version 12.0
    • [Preview]: Monitor unprotected web applications in Security Center.
    • [Preview]: Monitor permissive network across in Security Center.
    • [Preview]: Monitor possible app Whitelisting in Security Center.
    • [Preview]: Monitor unencrypted VM Disks in Security Center.

    När du har valt principdefinitionen i listan läggs den till under Principer och parametrar.After selecting the policy definition from the list, it's added under Policies and Parameters.

    Granska initiativdefinitionen parametrar

  7. Om en principdefinition som läggs till i initiativet har parametrar visas de under namnet på principen i området Principer och parametrar.If a policy definition being added to the initiative has parameters, they're shown under the policy name in the Policies and Parameters area. Värdet kan anges till antingen Ange värde (hårdkodat för alla tilldelningar i initiativet) eller Använd initiativparametern (ställs in under varje initiativtilldelning).The value can be set to either 'Set value' (hard coded for all assignments of this initiative) or 'Use Initiative Parameter' (set during each initiative assignment). Om du väljer "Ange värde" kan du via listrutan till höger om Värden ange eller välja värden.If 'Set value' is selected, the drop-down to the right of Values allows entering or selecting the value(s). Om du väljer Använd initiativparametern så visas ett nytt avsnitt Initiativparameter där du kan definiera den parameter som ställs in under initiativtilldelningen.If 'Use Initiative Parameter' is selected, a new Initiative parameters section is displayed allowing you to define the parameter that is set during initiative assignment. Tillåtna värden för den här initiativparametern kan ytterligare begränsa vad du kan ange under initiativtilldelningen.The allowed values on this initiative parameter can further restrict what may be set during initiative assignment.

    Ändra initiativdefinitionen parametrar från tillåtna värden

    Anteckning

    När det gäller vissa parametrar av typen strongType går det inte att automatiskt fastställa listan med värden.In the case of some strongType parameters, the list of values cannot be automatically determined. I de här fallen visas en ellips till höger om parameterraden.In these cases, an ellipsis appears to the right of the parameter row. Om du klickar på den så öppnas sidan Parameteromfång (<Parameternamn>).Clicking it opens the 'Parameter scope (<parameter name>)' page. På den här sidan väljer du den prenumeration som ska användas för att tillhandahålla värdealternativen.On this page, select the subscription to use for providing the value options. Det här parameterområdet används bara när initiativdefinitionen skapas. Den påverkar inte principutvärderingen eller initiativets omfattning efter tilldelningen.This parameter scope is only used during creation of the initiative definition and has no impact on policy evaluation or the scope of the initiative when assigned.

  8. Klicka på Spara.Click Save.

Tilldela en initiativdefinitionAssign an initiative definition

  1. Välj Definitioner under Redigering till vänster på sidan Azure Policy.Select Definitions under Authoring in the left side of the Azure Policy page.

  2. Leta upp initiativdefinitionen Bli säker som du skapade tidigare och markera den.Locate the Get Secure initiative definition you previously created and click it. Välj Tilldela överst på sidan för att öppna sidan Get Secure: Assign initiative (Tilldela initiativ).Select Assign at the top of the page to open to the Get Secure: Assign initiative page.

    Tilldela en definition från sidan för definition av initiativ

    Du kan även högerklicka på den markerade raden eller vänsterklicka på ellipsen i slutet av raden för att få upp en snabbmeny.You can also right-click on the selected row or left-click on the ellipsis at the end of the row for a contextual menu. Välj sedan Tilldela.Then select Assign.

    Alternativ för ett initiativ

  3. Fyll i sidan Get Secure: Assign Initiative genom att ange följande exempelinformation.Fill out the Get Secure: Assign Initiative page by entering the following example information. Du kan använda din egen information.You can use your own information.

    • Omfång: Den hanteringsgrupp eller prenumeration som du sparade initiativet till blir standard.Scope: The management group or subscription you saved the initiative to becomes the default. Du kan ändra omfånget för att tilldela initiativet till en prenumeration eller resursgrupp inom lagringsplatsen.You can change scope to assign the initiative to a subscription or resource group within the save location.
    • Undantag: Konfigurera några resurser inom omfånget för att förhindra att initiativtilldelningen tillämpas på dem.Exclusions: Configure any resources within the scope to prevent the initiative assignment from being applied to them.
    • Initiativdefinition och tilldelningsnamn: Get Secure (förifylld som namnet på det initiativ som tilldelas).Initiative definition and Assignment name: Get Secure (pre-populated as name of initiative being assigned).
    • Beskrivning: Initiativtilldelningen är skräddarsydd för att tillämpa den här gruppen med principdefinitioner.Description: This initiative assignment is tailored to enforce this group of policy definitions.
    • Tilldelad av: Anges automatiskt baserat på vem som är inloggad.Assigned by: Automatically filled based on who is logged in. Det här fältet är valfritt, så du kan ange anpassade värden.This field is optional, so custom values can be entered.
  4. Lämna Skapa en hanterad identitet avmarkerat.Leave Create a Managed Identity unchecked. Den här rutan måste markeras när den princip eller det initiativ som tilldelas omfattar en princip med effekten deployIfNotExists.This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists effect. Eftersom den princip som används för den här självstudien inte gör det kan du lämna den tom.As the policy used for this tutorial doesn't, leave it blank. Mer information finns i avsnitten hanterade identiteter och hur reparationssäkerhet fungerar.For more information, see managed identities and how remediation security works.

  5. Klicka på Tilldela.Click Assign.

Kontrollera inledande efterlevnadCheck initial compliance

  1. Välj Efterlevnad till vänster på Azure Policy-sidan.Select Compliance in the left side of the Azure Policy page.

  2. Leta upp initiativet Hämta källan.Locate the Get Source initiative. Det är sannolikt fortfarande i Efterlevnadstillståndet Inte startat.It's likely still in Compliance state of Not started. Klicka på initiativet att få fullständig information om förloppet för tilldelningen.Click on the initiative to get full details on the progress of the assignment.

    Initiativkompatibilitet sidan – utvärderingar som inte har startats

  3. När initiativtilldelningen har slutförts, uppdateras sidan för efterlevnad med den Efterlevnadstillståndet Efterlever.Once the initiative assignment has been completed, the compliance page is updated with the Compliance state of Compliant.

    Initiativkompatibilitet sidan-resurser kompatibel

  4. När du klickar på en princip på sidan initiativefterlevnad så öppnas sidan med efterlevnadsinformation för principen.Clicking on any policy on the initiative compliance page opens the compliance details page for the policy. Den här sidan ger information på resursnivån för efterlevnad.This page provides details at the resource level for compliance.

Undanta en icke-kompatibel eller nekad resurs med ExkluderingExempt a non-compliant or denied resource using Exclusion

När du har angett att principdefinitionen kräver version 12.0 av SQL Server skulle en SQL-server som har skapats med en annan version än 12.0 nekas, precis som i exemplet ovan.Following the example above, after assigning the policy definition to require SQL server version 12.0, a SQL server created with any version other 12.0 would get denied. I det här avsnittet går vi igenom hur du hanterar en nekad begäran att skapa en SQL-server genom att skapa ett undantag på en enskild resursgrupp.In this section, you walk through resolving a denied request to create a SQL server by creating an exclusion on a single resource group. Undantaget förhindrar att principen (eller initiativet) tillämpas på resursen.The exclusion prevents enforcement of the policy (or initiative) on that resource. Följande exempel tillåter alla SQL-serverversioner i en enskild resursgrupp.In the following example, any SQL server version is allowed in a single resource group. Ett undantag kan gälla för en prenumeration, resursgrupp eller så kan du begränsa undantaget till enskilda resurser.An exclusion can apply to a subscription, resource group, or you can narrow the exclusion to individual resources.

En distribution som har förhindrats av en tilldelad princip eller ett initiativ kan visas på två platser:A deployment prevented by an assigned policy or initiative can be viewed in two locations:

  • I den resursgrupp som är mål för distributionen: Välj Distributioner till vänster på sidan och klicka på Distributionsnamn för den misslyckade distributionen.On the resource group targeted by the deployment: Select Deployments in the left side of the page, then and click on the Deployment Name of the failed deployment. Resursen som nekades visas med statusen Förbjuden.The resource that was denied is listed with a status of Forbidden. För att fastställa den princip, det initiativ och den tilldelning som har nekat resursen, klickar du på Misslyckades. Klicka här för information -> på sidan Distributionsöversikt.To determine the policy or initiative and assignment that denied the resource, click Failed. Click here for details -> on the Deployment Overview page. Ett fönster öppnas till höger om sidan med felinformationen.A window opens on the right side of the page with the error information. Under Felinformation finns GUID för de relaterade principobjekten.Under Error Details are the GUIDs of the related policy objects.

    Distributionen nekas av principtilldelningen

  • På sidan Azure Policy: Välj Efterlevnad till vänster på sidan och klicka på principen Kräv SQL Server version 12.0.On the Azure Policy page: Select Compliance in the left side of the page and click on the Require SQL Server version 12.0 policy. På sidan som öppnas visas en ökning i antalet för Neka.On the page that opens, you would see an increase in the Deny count. På fliken Händelser visas även vem som försökte utföra den distribution som nekades av principen.Under the Events tab, you would also see who tried the deployment that was denied by the policy.

    Efterlevnadsöversikt för en tilldelad princip

I det här exemplet utförde Trent Baker, en av Contosos seniora virtualiseringsspecialister, obligatoriskt arbete.In this example, Trent Baker, one of Contoso's Sr. Virtualization specialists, was doing required work. Vi behöver bevilja Trent ett undantag, men vi vill inte ha de SQL-servrar som inte är av version 12.0 i godtyckliga resursgrupper.We need to grant Trent an exception, but we don't want the non-version 12.0 SQL servers in just any resource group. Vi har skapat den nya resursgruppen SQLServers_Excluded och kommer nu att bevilja ett undantag till den för principtilldelningen.We've created a new resource group, SQLServers_Excluded and will now grant it an exception to this policy assignment.

Uppdatera tilldelning med undantagUpdate assignment with exclusion

  1. Välj Tilldelningar under Redigering till vänster om Azure Policy-sidan.Select Assignments under Authoring in the left side of the Azure Policy page.

  2. Bläddra igenom alla principtilldelningar och öppna tilldelningen Kräv SQL Server version 12.0.Browse through all policy assignments and open the Require SQL Server version 12.0 assignment.

  3. Ange Undantag genom att klicka på ellipsen och välj den resursgrupp som ska exkluderas, vilket är SQLServers_Excluded i det här exemplet.Set the Exclusion by clicking the ellipsis and selecting the resource group to exclude, SQLServers_Excluded in this example.

    Lägga till en exkluderade resursgrupp i principtilldelningen

    Anteckning

    Beroende på principen och dess effekt skulle undantaget också kunna beviljas till specifika resurser i en resursgrupp inom omfånget för tilldelningen.Depending on the policy and its effect, the exclusion could also be granted to specific resources within a resource group inside the scope of the assignment. Eftersom Neka har använts i den här självstudien, gör det ingen skillnad att ange undantag för en specifik resurs som redan finns.As a Deny effect was used in this tutorial, it would not make sense to set the exclusion on a specific resource that already exists.

  4. Klicka på Välj och sedan på Spara.Click Select and then click Save.

I det här avsnittet löste du den nekade begäran genom att skapa ett undantag på en enskild resursgrupp.In this section, you resolved the denied request by creating an exclusion on a single resource group.

Rensa resurserClean up resources

Om du är klar med att arbeta med resurser i den här självstudien kan du använda följande steg för att ta bort tilldelningar eller definitioner som skapades ovan:If you're done working with resources from this tutorial, use the following steps to delete any of the assignments or definitions created above:

  1. Välj Definitioner (eller Tilldelningar om du ska ta bort en tilldelning) under Redigering till vänster på sidan Azure Policy.Select Definitions (or Assignments if you're trying to delete an assignment) under Authoring in the left side of the Azure Policy page.

  2. Sök efter den nya initiativ- eller principdefinition (eller tilldelning) som du vill ta bort.Search for the new initiative or policy definition (or assignment) you want to remove.

  3. Högerklicka på raden eller välj ellipserna i slutet av definitionen (eller tilldelningen) och välj Ta bort definition (eller Ta bort tilldelning).Right-click the row or select the ellipses at the end of the definition (or assignment), and select Delete definition (or Delete assignment).

Nästa stegNext steps

I den här självstudien har du genomfört följande uppgifter:In this tutorial, you successfully accomplished the following tasks:

  • Tilldelat en princip för att genomdriva ett villkor för resurser som du skapar i framtidenAssigned a policy to enforce a condition for resources you create in the future
  • Skapat och tilldelat en initiativdefinition för att spåra efterlevnad för flera resurserCreated and assign an initiative definition to track compliance for multiple resources
  • Löst en icke-kompatibel eller nekad resursResolved a non-compliant or denied resource
  • Implementerat en ny princip i en organisationImplemented a new policy across an organization

Mer information om principdefinitionernas strukturer finns i den här artikeln:To learn more about the structures of policy definitions, look at this article: