Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen mit dem Azure-Portal
Zum Verständnis der Konformität in Azure müssen Sie zunächst wissen, wie Sie den Status Ihrer Ressourcen ermitteln. In diesem Schnellstart erstellen Sie mit dem Azure-Portal eine Richtlinienzuweisung zum Ermitteln nicht konformer Ressourcen. Die Richtlinie wird einer Ressourcengruppe zugewiesen und überwacht VMs, die keine verwalteten Datenträger verwenden. Nachdem Sie die Richtlinienzuweisung erstellt haben, ermitteln Sie nicht konforme VMs.
Beim Zuweisen einer integrierten Richtlinien- oder Initiativendefinition ist der Verweis auf eine Version optional. Richtlinienzuweisungen von integrierten Definitionen entsprechen standardmäßig der aktuellen Version und erben automatisch Nebenversionsänderungen, sofern nicht anders angegeben.
Voraussetzungen
- Sollten Sie kein Azure-Konto haben, erstellen Sie zunächst ein kostenloses Konto.
- Eine Ressourcengruppe mit mindestens einer VM, die keine verwalteten Datenträger verwendet.
Erstellen einer Richtlinienzuweisung
In diesem Schnellstart erstellen Sie eine Richtlinienzuweisung mit einer integrierten Richtliniendefinition, Überwachen von VMs, die keine verwalteten Datenträger verwenden.
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Richtlinie, und wählen Sie dies aus der Liste aus.
Wählen Sie Zuweisungen im Bereich Richtlinie aus.
Wählen Sie Bereich Richtlinienzuweisungen die Option Richtlinie zuweisen aus.
Konfigurieren Sie auf der Registerkarte Grundlagen im Bereich Richtlinie zuweisen die folgenden Optionen:
Feld Aktion Umfang Verwenden Sie die Auslassungspunkte ( ...
), und wählen Sie dann ein Abonnement und eine Ressourcengruppe aus. Wählen Sie dann Auswählen aus, um den Bereich anzuwenden.Ausschlüsse Dies ist optional und wird in diesem Beispiel nicht verwendet. Ressourcenselektoren Überspringen Sie Ressourcenselektoren für dieses Beispiel. Mithilfe von Ressourcenselektoren können Sie die von der Richtlinienzuweisung betroffenen Ressourcen einschränken. Richtliniendefinition Wählen Sie die Auslassungspunkte ( ...
) aus, um die Liste der verfügbaren Definitionen zu öffnen.Verfügbare Definitionen Durchsuchen Sie die Richtliniendefinitionsliste nach der Definition Überwachen von VMs, die keine verwalteten Datenträger verwenden, wählen Sie die Richtlinie aus, und wählen Sie Hinzufügen aus. Es gibt eine Spalte, in der die aktuelle Version der Definition angezeigt wird. Version (Preview) Übernehmen Sie die Version im Format 1.*.*
, um Haupt-, Neben- und Patchversionen zu erfassen.
Wählen Sie die Auslassungspunkte (...
) aus, um verfügbare Versionen und die Optionen für das Registrieren für Nebenversionsupdates oder Vorschauversionen anzuzeigen. Sie müssen eine Version auswählen, um die Optionen zu ändern. Weitere Informationen finden Sie unter Definitionsversion innerhalb einer Zuweisung.Zuweisungsname Standardmäßig wird der Name der ausgewählten Richtlinie verwendet. Sie können dies ändern, aber in diesem Beispiel verwenden Sie den Standardnamen. Beschreibung Dies ist optional, um Details zu dieser Richtlinienzuweisung anzugeben. Richtlinienerzwingung Standardwert ist Aktiviert. Weitere Informationen finden Sie unter Erzwingungsmodus. Nachdem eine Richtliniendefinition ausgewählt wurde, können Sie die Optionen der Version (Preview) ändern.
Wenn Sie beispielsweise die in der Abbildung angezeigten Optionen auswählen, wird die Version (Preview) in
1.0.*
geändert.Wählen Sie Weiter aus, um alle Registerkarten für Parameter und Wartung anzuzeigen. Für dieses Beispiel sind keine Änderungen erforderlich.
Registerkartenname Optionen Parameter Wenn die Richtliniendefinition, die Sie auf der Registerkarte Grundlagen ausgewählt haben, Parameter enthält, konfigurieren Sie sie auf der Registerkarte Parameter. In diesem Beispiel werden keine Parameter verwendet. Wartung Sie können eine verwaltete Identität erstellen. In diesem Beispiel ist Verwaltete Identität erstellen deaktiviert.
Dieses Kontrollkästchen muss aktiviert werden, wenn eine Richtlinie oder Initiative eine Richtlinie mit der Auswirkung deployIfNotExists oder modify enthält. Für weitere Informationen wechseln Sie zu Verwaltete Identitäten und Funktionsweise der Zugriffssteuerung für die Wartung.Wählen Sie Weiter aus, und erstellen Sie auf der Registerkarte Nichtkonformitätsnachrichten eine Nachricht zur Nichtkonformität, z. B. VMs sollten verwaltete Datenträger verwenden.
Diese benutzerdefinierte Meldung wird bei der Ablehnung einer Ressource oder für nicht konforme Ressourcen bei der regulären Auswertung angezeigt.
Wählen Sie Weiter aus, und überprüfen Sie auf der Registerkarte Überprüfen + Erstellen die Details der Richtlinienzuweisung.
Wählen Sie Erstellen aus, um die Richtlinienzuweisung zu erstellen.
Identifizieren nicht konformer Ressourcen
Wählen Sie im Bereich Richtlinie die Option Konformität aus, und suchen Sie nach der Richtlinienzuweisung Überwachen von VMs, die keine verwalteten Datenträger verwenden. Es dauert einige Minuten, bis der Konformitätszustand für eine neue Richtlinienzuweisung aktiviert ist und Ergebnisse zum Status der Richtlinie liefert.
Die Richtlinienzuordnung zeigt Ressourcen an, die nicht konform sind mit einem Konformitätszustand Nicht konform. Um weitere Details zu erhalten, wählen Sie den Richtlinienzuweisungsnamen aus, um die Ressourcenkompatibilität anzuzeigen.
Wenn eine Bedingung für einige Ihrer vorhandenen Ressourcen als erfüllt ausgewertet wird, werden diese Ressourcen als nicht mit der Richtlinie konform markiert. Die folgende Tabelle gibt Aufschluss über das Zusammenspiel zwischen den verschiedenen Richtlinienauswirkungen, der Bedingungsauswertung und dem resultierenden Konformitätszustand. Die Auswertungslogik wird zwar im Azure-Portal nicht angezeigt, Sie sehen aber die Ergebnisse für den Konformitätszustand. Das Ergebnis für den Konformitätszustand ist entweder „konform“ oder „nicht konform“.
Ressourcenzustand | Wirkung | Richtlinienauswertung | Konformitätszustand |
---|---|---|---|
Neu oder aktualisiert | Audit, Modify, AuditIfNotExist | True | Nicht konform |
Neu oder aktualisiert | Audit, Modify, AuditIfNotExist | False | Konform |
Exists | Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist | True | Nicht konform |
Exists | Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist | False | Konform |
Die Effekte DeployIfNotExist
und AuditIfNotExist
erfordern, dass die IF
-Anweisung TRUE
und die Existenzbedingung FALSE
sein müssen, um nicht konform zu sein. Bei TRUE
löst die IF
-Bedingung die Auswertung der Existenzbedingung für die zugehörigen Ressourcen aus.
Bereinigen von Ressourcen
Sie können eine Richtlinienzuweisung aus Konformität oder aus Zuordnungen löschen.
Führen Sie die folgenden Schritte aus, um die in diesem Artikel erstellte Richtlinienzuweisung zu entfernen:
Wählen Sie im Bereich Richtlinie die Option Konformität aus, und suchen Sie nach der Richtlinienzuweisung Überwachen von VMs, die keine verwalteten Datenträger verwenden.
Wählen Sie die Auslassungspunkte der Richtlinienzuweisung und dann Zuweisung löschen aus.
Nächste Schritte
In diesem Schnellstart haben Sie eine Richtliniendefinition zum Identifizieren nicht kompatibler Ressourcen in Ihrer Azure-Umgebung zugewiesen.
Fahren Sie mit dem Tutorial fort, um mehr über das Zuweisen von Richtlinien zu lernen, die überprüfen, ob Ressourcen konform sind.