ما Azure Policy؟

يساعد نهج Azure على تطبيق المعايير المؤسسية وتقييم التوافق على نطاق واسع. من خلال لوحة معلومات الامتثال الخاصة به، فإنه يوفر عرضًا مجمعًا لتقييم الحالة العامة للبيئة، مع القدرة على التنقل التفصيلي إلى مستوى الدقة لكل مورد، ولكل سياسة. كما أنه يساعد على تحقيق التوافق مع مواردك من خلال المعالجة الجماعية للموارد الحالية والمعالجة التلقائية للموارد الجديدة.

إشعار

لمزيد من المعلومات حول الإصلاح، راجع معالجة الموارد غير المتوافقة مع سياسة Azure .

تتضمن حالات الاستخدام الشائعة لـ Azure Policy تطبيق التحكم لاتساق الموارد والتوافق التنظيمي والأمان والتكلفة والإدارة. تتوفر تعريفات النهج لحالات الاستخدام الشائعة هذه بالفعل في بيئة Azure كمضمَّنات لمساعدتك على البدء.

على وجه التحديد، تتضمن بعض إجراءات الحوكمة المفيدة التي يمكنك فرضها باستخدام Azure Policy ما يلي:

  • ضمان نشر فريقك لموارد Azure فقط في المناطق المسموح بها
  • فرض التطبيق المتسق للعلامات التصنيفية
  • طلب موارد لإرسال سجلات التشخيص إلى مساحة عمل Log Analytics

من المهم أن تدرك أنه مع إدخال Azure Arc، يمكنك توسيع الحوكمة المستندة إلى النهج عبر موفري السحابة المختلفين وحتى مراكز البيانات المحلية.

تُشفير كل بيانات Azure Policy وعناصره في حالة ثبات البيانات. للحصول على مزيد من المعلومات، راجع تشفير بيانات Azure في حالة ثبات البيانات.

نظرة عامة

يقيم نهج Azure الموارد والإجراءات في Azure من خلال مقارنة خصائص هذه الموارد بقواعد العمل. تُعرف قواعد العمل هذه، الموضحة في تنسيق JSON، بتعريفات النهج. لتبسيط الإدارة، يمكن تجميع العديد من قواعد العمل معاً لتشكيل مبادرة النهج (تسمى أحياناً policySet). يتعين تعريف النهج أو المبادرة بمجرد تشكيل قواعد العمل إلى أي نطاق للموارد التي يدعمها Azure، مثل مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو الموارد الفردية. ينطبق التعيين على كل الموارد ضمن نطاق Resource Manager لهذا التعيين. يمكن استبعاد النطاقات الفرعية، إذا لزم الأمر. للحصول على مزيد من المعلومات، راجع النطاق في Azure Policy.

تستخدم Azure Policy تنسيق JSON لتشكيل المنطق الذي يستخدمه التقييم لتحديد ما إذا كان المورد متوافقاً أم لا. تتضمن التعريفات بيانات التعريف وقاعدة النهج. يمكن أن تستخدم قاعدة المعرفة الدالات والمعلمات والعوامل المنطقية والشروط والأسماء المستعارة للخاصية لمطابقة السيناريو الذي تريده بالضبط. تحدد قاعدة النهج الموارد الموجودة في نطاق التعيين التي تقيَّم.

فهم نتائج التقييم

تقيَّم الموارد في أوقات محددة خلال دورة حياة الموارد ودورة حياة تعيين النهج ولتقييم الامتثال المستمر المنتظم. فيما يلي الأوقات أو الحالات التي تتسبب في تقييم أحد الموارد:

  • يتم إنشاء مورد أو تحديثه في نطاق مع تعيين سياسة.
  • يتم تعيين منهج أو مبادرة حديثاً إلى نطاق.
  • يتم تحديث منهج أو مبادرة حديثاً بالفعل إلى نطاق.
  • أثناء دورة تقييم التوافق القياسية، التي تحدث مرة واحدة كل 24 ساعة.

للحصول على معلومات مفصلة حول الوقت الذي يحدث فيه تقييم النهج وكيفيته، راجع مشغلات التقييم.

التحكم في الاستجابة للتقييم

تختلف قواعد العمل للتعامل مع الموارد غير المتوافقة بشكل كبير بين المؤسسات. تتضمن الأمثلة على كيفية رغبة المؤسسة في استجابة النظام الأساسي لمورد غير متوافق ما يلي:

  • رفض تغيير المورد
  • تسجيل التغيير إلى المورد
  • تبديل المورد قبل التغيير
  • تبديل المورد بعد التغيير
  • نشر الموارد المتوافقة ذات الصلة
  • حظر الإجراءات على الموارد

تجعل Azure Policy كلاً من هذه الاستجابات التجارية ممكنة من خلال تطبيق التأثيرات. يتم تعيين التأثيرات في جزء قاعدة النهج من تعريف النهج.

معالجة الموارد غير المتوافقة

بينما تؤثر هذه التأثيرات بشكل أساسي على المورد عند إنشاء المورد أو تحديثه، تدعم Azure Policy أيضاً التعامل مع الموارد غير المتوافقة الموجودة من دون الحاجة إلى تبديل هذا المورد. للحصول على مزيد من المعلومات عن جعل الموارد الحالية متوافقة، راجع معالجة الموارد.

نظرة عامة على مقطع الفيديو

النظرة العامة التالية لخدمة Azure Policy من مؤتمر Build 2018. بالنسبة إلى تنزيل الشرائح أو الفيديو، قم بزيارة تحكم في بيئة Azure من خلال Azure Policy على القناة 9.

الشروع في العمل

Azure Policy والتحكم في الوصول استناداً إلى الدور (RBAC) في Azure

توجد بعض الاختلافات الأساسية بين Azure Policy والتحكم في الوصول استناداً إلى الدور (RBAC) في Azure. تقيّم Azure Policy الحالة من خلال فحص الخصائص على الموارد الممثلة في إدارة الموارد وخصائص بعض موفري الموارد. يضمن Azure Policy أن تكون حالة المورد متوافقة مع قواعد عملك من دون القلق بشأن من أجرى التغيير أو من لديه الإذن لإجراء تغيير. يمكن لنهج Azure من خلال تأثير DenyAction أيضا حظر إجراءات معينة على الموارد. تظهر بعض موارد Azure Policy، مثل تعريفات النهج وتعريفات المبادرة والتعيينات، لجميع المستخدمين. يتيح هذا التصميم الشفافية لجميع المستخدمين والخدمات فيما يتعلق بقواعد النهج المعينة في بيئتهم.

يركز التحكم في الوصول استناداً إلى الدور (RBAC) في Azure على إدارة إجراءات المستخدم في نطاقات مختلفة. إذا كان التحكم في إجراء ما مطلوبا استنادا إلى معلومات المستخدم، فإن Azure RBAC هو الأداة الصحيحة التي يجب استخدامها. حتى إذا كان لدى الفرد حق الوصول لتنفيذ أحد الإجراءات، وكانت النتيجة مورداً غير متوافق، فإن Azure Policy لا تزال تحظر الإنشاء أو التحديث.

يوفر الجمع بين التحكم في الوصول استناداً إلى الدور (RBAC) في Azure وAzure Policy التحكم الكامل في النطاق في Azure.

أذونات التحكم في الوصول استناداً إلى الدور (RBAC) في Azure في Azure Policy

لدى Azure Policy أذونات عديدة، تعرف باسم العمليات، في اثنين من موفري الموارد:

تمنح العديد من الأدوار المضمنة الإذن لموارد Azure Policy. ويتضمن دور المساهم في نهج الموارد معظم عمليات Azure Policy. يتمتع المالك بكامل الحقوق. ويتمتع المساهم والقارئ بإمكانية الوصول إلى كل عمليات قراءة Azure Policy.

قد يقوم المساهم بتشغيل إصلاح الموارد، لكن لا يمكنه إنشاء أو تحديث التعاريف والمهام. يُعد مسؤول وصول المستخدم ضرورياً لمنح الهوية المدارة على deployIfNotExists أو تعديل الأذونات اللازمة للتعيينات.

إشعار

جميع عناصر النهج، بما في ذلك التعريفات والمبادرات والتعيينات، ستكون قابلة للقراءة لجميع الأدوار عبر نطاقها. على سبيل المثال، سيكون تعيين السياسة الذي تم تحديد نطاقه لاشتراك Azure قابلًا للقراءة من جميع أصحاب الأدوار في نطاق الاشتراك وما يليه.

إذا لم يكن لدى أي من الأدوار المضمنة الأذونات المطلوبة، فقم بإنشاء دور مخصص.

يمكن أن يكون لعمليات نهج Azure تأثير كبير على بيئة Azure الخاصة بك. يجب تعيين الحد الأدنى فقط من مجموعة الأذونات اللازمة لتنفيذ مهمة ولا يجب منح هذه الأذونات للمستخدمين الذين لا يحتاجون إليها.

إشعار

تحتاج الهوية المدارة ل deployIfNotExists أو تعديل تعيين النهج إلى أذونات كافية لإنشاء الموارد المستهدفة أو تحديثها. للحصول على مزيد من المعلومات، راجع تكوين تعريفات النهج من أجل المعالجة.

متطلبات الأذونات الخاصة لنهج Azure باستخدام Azure Virtual Network Manager

Azure Virtual Network Manager (معاينة) يمكنك من تطبيق نهج إدارة وأمان متسقة على شبكات Azure الظاهرية المتعددة (VNets) في جميع أنحاء البنية الأساسية السحابية. تستخدم المجموعات الديناميكية ل Azure Virtual Network Manager (AVNM) تعريفات نهج Azure لتقييم عضوية VNet في تلك المجموعات.

لإنشاء نهج المجموعة الديناميكية ل Azure Virtual Network Manager أو تحريرها أو حذفها، تحتاج إلى:

  • قراءة وكتابة أذونات Azure RBAC إلى النهج الأساسي
  • أذونات Azure RBAC للانضمام إلى مجموعة الشبكة (تخويل المسؤول الكلاسيكي غير مدعوم).

على وجه التحديد، إذن موفر الموارد المطلوب هو Microsoft.Network/networkManagers/networkGroups/join/action.

هام

لتعديل المجموعات الديناميكية AVNM، يجب منحك حق الوصول عبر تعيين دور Azure RBAC فقط. التخويل الكلاسيكي للمسؤول/القديم غير مدعوم؛ وهذا يعني أنه إذا تم تعيين دور اشتراك المسؤول المشارك لحسابك فقط، فلن يكون لديك أذونات على المجموعات الديناميكية AVNM.

الموارد التي تغطيها Azure Policy

على الرغم من أنه يمكن تعيين نهج على مستوى مجموعة الإدارة، يتم تقييم الموارد فقط على مستوى الاشتراك أو مجموعة الموارد.

بالنسبة إلى بعض موفري الموارد مثل Machine configuration وAzure Kubernetes Service وAzure Key Vault، يوجد تكامل أعمق لإدارة الإعدادات والعناصر. لمعرفة المزيد، انتقل إلى أوضاع موفر الموارد.

التوصيات لإدارة النُهج

إليك بعض المؤشرات والنصائح التي يجب وضعها في الاعتبار:

  • ابدأ بتأثير audit أو auditIfNotExist بدلا من تأثير فرض (deny، modify، deployIfNotExist) لتتبع تأثير تعريف النهج الخاص بك على الموارد في بيئتك. إذا كان لديك برامج نصية موجودة بالفعل للتحجيم التلقائي للتطبيقات الخاصة بك، فقد يؤدي تعيين تأثير فرض إلى إعاقة مهام التنفيذ التلقائي هذه بالفعل.

  • ضع في الاعتبار التسلسلات الهرمية التنظيمية عند إنشاء التعريفات والتعيينات. نوصي بإنشاء تعريفات على مستويات أعلى مثل مجموعة الإدارة أو مستوى الاشتراك. ثم قم بإنشاء التعيين في المستوى التابع التالي. إذا أنشأت تعريفاً في مجموعة الإدارة، يمكن تحديد نطاق التعيين وصولاً إلى اشتراك أو مجموعة موارد ضمن مجموعة الإدارة تلك.

  • نوصي بإنشاء وتعيين تعريفات المبادرة حتى إذا بدأت بتعريف نهج واحد. يمكنك هذا من إضافة تعريفات النهج إلى المبادرة لاحقا دون زيادة عدد التعيينات التي يجب إدارتها.

    • على سبيل المثال، تخيل إنشاء نهج تعريف النهجDefA وإضافته إلى تعريف المبادرة initiativeDefC. إذا قمت لاحقا بإنشاء نهج تعريف نهج آخر ل policyDefB مع أهداف مشابهة ل policyDefA، يمكنك إضافته ضمن initiativeDefC وتعقبها معا.

    • بمجرد إنشاء تعيين مبادرة، تصبح تعريفات النهج المضافة إلى المبادرة جزءاً من تعيينات تلك المبادرة كذلك.

    • عند تقييم تعيين المبادرة، تقيَّم كل النُهج داخل المبادرة أيضاً. وإذا كنت بحاجة إلى تقييم نهج بشكل فردي، فمن الأفضل عدم تضمينه في مبادرة.

  • إدارة موارد سياسة Azure كرمز مع مراجعات يدوية حول التغييرات في تعريفات السياسة والمبادرات والمهام. لمعرفة المزيد حول الأنماط والأدوات المقترحة، راجع سياسة التصميم الأزرق مثل سير عمل التعليمات البرمجية .

عناصر Azure Policy

تعريف النهج

تبدأ رحلة إنشاء نهج وتنفيذه في Azure Policy بإنشاء تعريف نهج. كل تعريف نهج له شروط يُطبق بموجبها. وله تأثير محدد يحدث في حال استيفاء الشروط.

نقدم العديد من النُهج المضمَّنة المتوفرة بشكل افتراضي في Azure Policy. على سبيل المثال:

  • وحدات حفظ المخزون لحساب التخزين المسموح بها (رفض): تحدد ما إذا كان حساب التخزين الذي يتم نشره ضمن مجموعة من أحجام وحدات حفظ المخزون. تأثيرها هو رفض جميع حسابات التخزين التي لا تلتزم بمجموعة أحجام وحدات حفظ المخزون المحددة.
  • نوع المورد المسموح به (رفض): يعرف أنواع الموارد التي يمكنك نشرها. تأثيره هو رفض كل الموارد التي ليست جزءاً من هذه القائمة المعرفة.
  • المواقع المسموح بها (رفض): تقيد المواقع المتوفرة للموارد الجديدة. يُستخدم تأثيرها لفرض متطلبات التوافق الجغرافي.
  • وحدات حفظ المخزون للأجهزة الظاهرية المسموح بها (رفض): تحدد مجموعة من وحدات حفظ المخزون للأجهزة الظاهرية التي يمكنك نشرها.
  • إضافة علامة إلى الموارد (تعديل): تطبق علامة مطلوبة وقيمتها الافتراضية إذا لم يحددها طلب النشر.
  • أنواع الموارد غير المسموح بها (رفض): تمنع نشر قائمة أنواع الموارد.

لتنفيذ تعريفات النهج هذه (كل من التعريفات المضمنة والمخصصة)، تحتاج إلى تعيينها. يمكنك تعيين أي من هذه النُهج من خلال مدخل Azure أو PowerShell أو Azure CLI.

يحدث تقييم النهج مع العديد من الإجراءات المختلفة، مثل تعيين النهج أو تحديثات النهج. للحصول على قائمة كاملة، راجع مشغلات تقييم النهج.

لمعرفة المزيد حول بنى تعريفات النهج، راجع بنية تعريف النهج.

تساعد معلمات النهج على تبسيط إدارة النهج من خلال تقليل عدد تعريفات النهج التي يجب إنشاؤها. يمكنك تعريف المعلمات عند إنشاء تعريف النهج لجعله أكثر عمومية. ثم يمكنك إعادة استخدام تعريف النهج هذا لسيناريوهات مختلفة. ويمكنك القيام بذلك من خلال تمرير قيم مختلفة عند تعيين تعريف النهج. على سبيل المثال، تحديد مجموعة مواقع واحدة للاشتراك.

تُعرَّف المعلمات عند إنشاء تعريف نهج. عند تعريف معلمة، تُمنح اسماً وتُعطى قيمة بشكل اختياري. على سبيل المثال، يمكنك تعريف معلمة لنهج بعنوان موقع. ثم يمكنك إعطاؤها قيماً مختلفة مثل EastUS أو WestUS عند تعيين نهج.

للحصول على مزيد من المعلومات حول معلمات النهج، راجع بنية التعريف - المعلمات.

تعريف المبادرة

تعريف المبادرة هو مجموعة من تعريفات السياسات المصممة خصوصاً لتحقيق هدف شامل فريد. تبسط تعاريف المبادرة إدارة تعاريف النُهج وتعيينها. فهي تبسط من خلال تجميع مجموعة من السياسات كعنصر واحد. على سبيل المثال، يمكنك إنشاء مبادرة بعنوان تمكين المراقبة في Microsoft Defender for Cloud، بهدف مراقبة جميع توصيات الأمان المتاحة في Microsoft Defender الخاص بك لمثيل Cloud.

إشعار

يستخدم SDK، مثل Azure CLI وAzure PowerShell، خصائص ومعلمات تسمى PolicySet للإشارة إلى المبادرات.

في إطار هذه المبادرة، ستكون لديك تعريفات للنُهج مثل:

  • مراقبة قاعدة بيانات SQL غير المشفرة في Microsoft Defender for Cloud - لمراقبة قواعد بيانات وخوادم SQL غير المشفرة.
  • راقب ثغرات نظام التشغيل في Microsoft Defender for Cloud - لمراقبة الخوادم التي لا تلبي خط الأساس الذي تم تكوينه.
  • مراقبة حماية نقطة النهاية المفقودة في Microsoft Defender for Cloud - لمراقبة الخوادم دون عامل الملفات لـ Data Protection Server لنقطة نهاية مثبتة.

تساعد معلمات المبادرة، على غرار معلمات النهج، على تبسيط إدارة المبادرات من خلال الحد من التكرار. فمعلمات المبادرة هي معلمات تستخدمها تعريفات النهج داخل المبادرة.

على سبيل المثال، خذ سيناريو يكون لديك فيه تعريف مبادرة - initiativeC، مع تعريفين للنهج PolicyA وPolicyB يتوقع كل منهما نوعاً مختلفاً من المعلمات:

النهج اسم المعلمة نوع المعلمة إشعار
policyA allowedLocations صفيف تتوقع هذه المعلمة قائمة سلاسل لقيمة حيث تم تعريف نوع المعلمة كصفيف
policyB allowedSingleLocation سلسلة تتوقع هذه المعلمة كلمة واحدة لقيمة حيث تم تعريف نوع المعلمة كسلسلة

عند تحديد معلمات المبادرة initiativeC في هذا السيناريو، ستكون لديك ثلاثة خيارات:

  • استخدام معلمات تعريفات النهج ضمن هذه المبادرة: في هذا المثال، تصبح allowedLocations وallowedSingleLocation معلمتي مبادرة لـ initiativeC.
  • تقديم قيم لمعلمات تعريفات السياسة ضمن تعريف المبادرة هذا. في هذا المثال، يمكنك توفير قائمة بالمواقع لمعلمة policyA - allowedLocations ومعلمة policyB - allowedSingleLocation. كما يمكنك توفير القيم عند تعيين هذه المبادرة.
  • تقديم قائمة بخيارات القيمة التي يمكن استخدامها عند تعيين هذه المبادرة. عند تعيين هذه المبادرة، لا يمكن أن تحتوي المعلمات الموروثة من تعريفات النهج داخل المبادرة إلا على قيم من هذه القائمة المقدمة.

عند إنشاء خيارات القيمة في تعريف المبادرة، لن تتمكن من إدخال قيمة مختلفة في أثناء تعيين المبادرة لأنها ليست جزءاً من القائمة.

لمعرفة المزيد حول بِنى تعريفات المبادرة، راجع بنية تعريف المبادرة.

تعيينات

تمثل المهمة تعريف للسياسة أو مبادرة تم تعيينها لنطاق محدد. قد يتراوح هذا النطاق من مجموعة إدارة إلى مورد فردي. يشير نطاق المصطلح إلى كل الموارد أو مجموعات الموارد أو الاشتراكات أو مجموعات الإدارة التي تم تعيين التعريف إليها. تورث جميع الموارد التابعة التعيينات. يعني هذا التصميم أن التعريف المطبق على مجموعة الموارد يُطبق أيضاً على الموارد في مجموعة الموارد تلك. ومع ذلك، يمكنك استبعاد نطاق فرعي من التعيين.

على سبيل المثال، في نطاق الاشتراك، يمكنك تعيين تعريف يمنع إنشاء موارد الشبكات. ويمكنك استبعاد مجموعة موارد في هذا الاشتراك المخصص للبنية الأساسية للشبكات. ثم منح حق الوصول إلى مجموعة موارد الشبكات هذه للمستخدمين الذين تثق بهم في إنشاء موارد الشبكات.

في مثال آخر، قد ترغب في تعيين تعريف قائمة السماح لنوع المورد على مستوى مجموعة الإدارة. ثم تعيّن نهجاً أكثر تساهلاً (السماح بأنواع موارد أكثر) على مجموعة إدارة تابعة أو حتى على الاشتراكات مباشرةً. لكن، لن ينجح هذا المثال لأن Azure Policy نظام رفض صريح. بدلاً من ذلك، يجب استبعاد مجموعة الإدارة التابعة أو الاشتراك من التعيين على مستوى مجموعة الإدارة. ثم عيّن تعريفاً أكثر تساهلاً على مجموعة إدارة تابعة أو مستوى الاشتراك. إذا أدى أي تعيين إلى رفض أحد الموارد، فإن الطريقة الوحيدة للسماح للمورد هو تعديل رفض التعيين.

تستخدم مهام السياسة دائمًا أحدث حالة من التعريف أو المبادرة المعينة لها عند تقييم الموارد. إذا تم تغيير تعريف نهج تم تعيينه بالفعل، فستستخدم جميع التعيينات الموجودة لهذا التعريف المنطق المحدث عند التقييم.

للحصول على مزيد من المعلومات حول إعداد التعيينات من خلال المدخل، راجع إنشاء تعيين نهج لتحديد الموارد غير المتوافقة في بيئة Azure. كما أن خطوات PowerShell وAzure CLI متاحة. للحصول على معلومات حول بنية التعيين، راجع بنية التعيينات.

الحد الأقصى لعدد عناصر Azure Policy

يوجد حد أقصى لعدد كل نوع من أنواع الكائنات في خدمة Azure Policy. وبالنسبة للتعريفات، فإن إدخال النطاق يُقصد به مجموعة الإدارة أو الاشتراك. بالنسبة للتعيينات والإعفاءات، يعني إدخال النطاق مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد الفردي.

الموقع ماذا العدد الأقصى
النطاق تعريفات النهج 500
النطاق تعريفات المبادرة 200
المستأجر تعريفات المبادرة 2,500
النطاق تعيينات السياسة أو المبادرة 200
النطاق الإعفاءات 1000
تعريف النهج المعلمات 20
تعريف المبادرة السياسات 1000
تعريف المبادرة المعلمات 400
تعيينات السياسة أو المبادرة الاستثناءات (غير النطاقات) 400
قاعدة السياسة الشروط المتداخلة 512
مهمة الإصلاح الموارد 50,000
تعريف النهج أو المبادرة أو هيئة طلب التخصيص بايت 1,048,576

قواعد النهج لها حدود أكثر لعدد الشروط وتعقيدها. لمزيد من المعلومات، انتقل إلى حدود قاعدة النهج لمزيد من التفاصيل.

الخطوات التالية

بعد أن أصبحت الآن لديك نظرة عامة على Azure Policy وبعض المفاهيم الأساسية، إليك الخطوات التالية المقترحة: