快速入門:建立原則指派,以使用 Azure 入口網站 識別不符合規範的資源
瞭解 Azure 合規性的第一個步驟是識別資源的狀態。 在本快速入門中,您會建立原則指派,以使用 Azure 入口網站 來識別不符合規範的資源。 原則會指派給資源群組,並稽核不使用受控磁碟的虛擬機。 建立原則指派之後,您會識別不符合規範的虛擬機。
必要條件
- 如果您沒有 Azure 帳戶,請在您開始之前先建立 免費帳戶。
- 至少有一部虛擬機未使用受控磁碟的資源群組。
建立原則指派
在本快速入門中,您會使用內建原則定義來建立原則指派: 稽核不使用受控磁碟的 VM。
登入 Azure 入口網站。
搜尋原則,然後從清單中加以選取。
選取 [原則] 窗格上的 [指派]。
從 [原則指派] 窗格中選取 [指派原則]。
在 [ 指派原則 ] 窗格 [基本數據] 索引 標籤上,設定下列選項:
欄位 動作 範圍 使用省略號 ( ...),然後選取訂用帳戶和資源群組。 然後選擇 [ 選取 ] 以套用範圍。排除 這個範例中不會使用選擇性 和 。 原則定義 選取省略號以開啟可用的定義清單。 可用的定義 搜尋未使用受控磁碟定義的稽核 VM 原則定義清單、選取原則,然後選取 [新增]。 指派名稱 根據預設,會使用所選原則的名稱。 您可以變更它,但在此範例中,請使用預設名稱。 說明 選擇性地提供此原則指派的詳細數據。 原則強制執行 預設值為 Enabled。 如需詳細資訊,請移至 強制模式。 指派者 默認為登入 Azure 的人員。 此欄位是選擇性欄位,而且可以輸入自訂值。 
選取 [下一步] 以檢視 [進階]、[參數] 和 [補救] 的每個索引標籤。 此範例不需要任何變更。
索引標籤名稱 選項。 進階 包含資源選取器和覆寫的選項。 參數 如果您在 [基本] 索引標籤上選取的原則定義包含參數,則會在 [參數] 索引標籤上設定這些定義。此範例不使用參數。 補救 您可以建立受控識別。 在此範例中, 會取消核取 [建立受控識別 ]。
當原則或方案包含具有 deployIfNotExists 的原則或修改效果時,必須核取此方塊。 如需詳細資訊,請移至 受控識別 ,以及 補救訪問控制的運作方式。選取 [下一步 ],然後在 [ 不符合規範訊息 ] 索引卷標上建立 不符合規範的訊息 ,例如 虛擬機應該使用受控磁碟。
當資源遭拒絕或在一般評估期間資源不符合規範時,就會顯示此自訂訊息。
選取 [下一步] ,然後在 [ 檢閱 + 建立] 索引卷標上,檢閱原則指派詳細數據。
選取 [建立] 以建立原則指派。
識別不符合規範的資源
在 [原則 ] 窗格中,選取 [合規性 ],然後找出 [稽核未使用受控磁碟 ] 原則指派的 VM。 新原則指派的合規性狀態需要幾分鐘的時間才能生效,並提供原則狀態的相關結果。
原則指派會顯示不符合合規性狀態之不符合規範的資源。 若要取得詳細數據,請選取原則指派名稱以檢視 資源合規性。
針對現有的資源評估條件並找到 true 時,這些資源會標示為不符合原則規範。 下表顯示不同原則效果如何與結果合規性狀態的條件評估搭配運作。 雖然您在 Azure 入口網站 中看不到評估邏輯,但會顯示合規性狀態結果。 合規性狀態結果為符合規範或不符合規範。
| 資源狀態 | 影響 | 原則評估 | 合規性狀態 |
|---|---|---|---|
| 新功能或更新功能 | Audit、Modify、AuditIfNotExist | True | 不符合標準 |
| 新功能或更新功能 | Audit、Modify、AuditIfNotExist | False | 符合標準 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | True | 不符合標準 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | False | 符合標準 |
DeployIfNotExist和 AuditIfNotExist 效果需要 IF 語句,TRUE而且存在條件必須是FALSE不符合規範。 當 為 時 TRUE, IF 條件會觸發相關資源之存在條件的評估。
清除資源
您可以從 [合規性] 或 [指派] 中刪除原則指派。
若要移除本文中建立的原則指派,請遵循下列步驟:
在 [原則 ] 窗格中,選取 [合規性 ],然後找出 [稽核未使用受控磁碟 ] 原則指派的 VM。
選取原則指派的省略號,然後選取 [ 刪除指派]。
下一步
在本快速入門中,您已指派原則定義來識別 Azure 環境中不符合規範的資源。
若要深入瞭解如何指派驗證資源合規性的原則,請繼續進行教學課程。