Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren von nicht konformen Ressourcen mit einer ARM-Vorlage

In diesem Schnellstart verwenden Sie eine Azure Resource Manager-Vorlage (ARM-Vorlage), um eine Richtlinienzuweisung zu erstellen, die die Übereinstimmung der Ressource mit einer Azure-Richtlinie überprüft. Die Richtlinie wird einer Ressourcengruppe zugewiesen und überwacht VMs, die keine verwalteten Datenträger verwenden. Nachdem Sie die Richtlinienzuweisung erstellt haben, ermitteln Sie nicht konforme VMs.

Eine Azure Resource Manager-Vorlage ist eine JSON-Datei (JavaScript Object Notation), die die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

Wenn Ihre Umgebung die Voraussetzungen erfüllt und Sie mit der Verwendung von ARM-Vorlagen vertraut sind, klicken Sie auf die Schaltfläche In Azure bereitstellen. Die Vorlage wird im Azure-Portal geöffnet.

Voraussetzungen

• Sollten Sie kein Azure-Konto haben, erstellen Sie zunächst ein kostenloses Konto.
• Azure PowerShell oder Azure CLI.
• Visual Studio Code und die Azure Resource Manager (ARM)-Tools.
• Microsoft.PolicyInsights muss in Ihrem Azure-Abonnement registriert sein. Um einen Ressourcenanbieter zu registrieren, benötigen Sie die Berechtigung zum Registrieren von Ressourcenanbietern. Diese Berechtigung ist in den Rollen „Mitwirkender“ und „Besitzer“ enthalten.
• Eine Ressourcengruppe mit mindestens einer VM, die keine verwalteten Datenträger verwendet.

Überprüfen der Vorlage

Die ARM-Vorlage erstellt eine Richtlinienzuweisung für einen Ressourcengruppenbereich und weist die integrierte Richtliniendefinition Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden zu.

Erstellen Sie die folgende ARM-Vorlage als policy-assignment.json.

1. Öffnen Sie Visual Studio Code und wählen Sie Datei>Neue Textdatei.
2. Kopieren Sie die ARM-Vorlage, und fügen Sie sie in Visual Studio Code ein.
3. Wählen Sie Datei>Speichern aus, und verwenden Sie den Dateinamen policy-assignment.json.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "defaultValue": "audit-vm-managed-disks",
      "metadata": {
        "description": "Policy assignment name used in assignment's resource ID"
      }
    },
    "policyDefinitionID": {
      "type": "string",
      "defaultValue": "/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d",
      "metadata": {
        "description": "Policy definition ID"
      }
    },
    "policyDisplayName": {
      "type": "string",
      "defaultValue": "Audit VM managed disks",
      "metadata": {
        "description": "Display name for Azure portal"
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Authorization/policyAssignments",
      "apiVersion": "2023-04-01",
      "name": "[parameters('policyAssignmentName')]",
      "properties": {
        "policyDefinitionId": "[parameters('policyDefinitionID')]",
        "description": "Policy assignment to resource group scope created with ARM template",
        "displayName": "[parameters('policyDisplayName')]",
        "nonComplianceMessages": [
          {
            "message": "Virtual machines should use managed disks"
          }
        ]
      }
    }
  ],
  "outputs": {
    "assignmentId": {
      "type": "string",
      "value": "[resourceId('Microsoft.Authorization/policyAssignments', parameters('policyAssignmentName'))]"
    }
  }
}

Der in der ARM-Vorlage definierte Ressourcentyp ist Microsoft.Authorization/policyAssignments.

Die Vorlage verwendet drei Parameter, um die Richtlinienzuweisung bereitzustellen:

• policyAssignmentName erstellt eine Richtlinienzuweisung namens audit-vm-managed-disks.
• policyDefinitionID verwendet die ID der integrierten Richtliniendefinition. Die Befehle zum Abrufen der ID finden Sie im Abschnitt zum Bereitstellen der Vorlage.
• policyDisplayName erstellt einen Anzeigenamen, der im Azure-Portal sichtbar ist.

Weitere Informationen zu ARM-Vorlagendateien:

• Weitere ARM-Vorlagenbeispiele finden Sie unter Codebeispiele durchsuchen.
• Weitere Informationen zu Vorlagenreferenzen für Bereitstellungen finden Sie in der Azure-Vorlagenreferenz.
• Informationen zum Entwickeln von ARM-Vorlagen finden Sie in der ARM-Vorlagendokumentation.
• Informationen zu Bereitstellungen auf Abonnementebene finden Sie unter Abonnementbereitstellungen mit ARM-Vorlage.

Bereitstellen der ARM-Vorlage

Sie können die ARM-Vorlage mit Azure PowerShell oder der Azure CLI bereitstellen.

Stellen Sie in einer Visual Studio Code-Terminalsitzung eine Verbindung mit Azure her. Wenn Sie über mehrere Abonnements verfügen, führen Sie die Befehle aus, um den Kontext für Ihr Abonnement festzulegen. Ersetzen Sie <subscriptionID> durch Ihre Azure-Abonnement-ID.

PowerShell

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

Azure-Befehlszeilenschnittstelle

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

Sie können überprüfen, ob Microsoft.PolicyInsights registriert ist. Wenn dies nicht der Fall ist, können Sie einen Befehl ausführen, um den Ressourcenanbieter zu registrieren.

PowerShell

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Weitere Informationen finden Sie unter Get-AzResourceProvider und Register-AzResourceProvider.

Azure-Befehlszeilenschnittstelle

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Die Azure CLI-Befehle verwenden einen umgekehrten Schrägstrich (\) für die Zeilenfortsetzung, um die Lesbarkeit zu verbessern. Weitere Informationen hierzu finden Sie unter az provider.

Die folgenden Befehle zeigen den Wert des policyDefinitionID-Parameters an:

PowerShell

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

Azure-Befehlszeilenschnittstelle

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

Die folgenden Befehle stellen die Richtliniendefinition in Ihrer Ressourcengruppe bereit. Ersetzen Sie <resourceGroupName> durch den Namen Ihrer Ressourcengruppe:

PowerShell

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.json'
}

New-AzResourceGroupDeployment @deployparms

Die $rg-Variable speichert Eigenschaften für die Ressourcengruppe. Die $deployparms-Variable verwendet Splatting, um Parameterwerte zu erstellen und die Lesbarkeit zu verbessern. Der Befehl New-AzResourceGroupDeployment verwendet die Parameterwerte, die in der $deployparms-Variablen definiert sind.

• Name ist der Bereitstellungsname, der in der Ausgabe und in Azure für die Bereitstellungen der Ressourcengruppe angezeigt wird.
• ResourceGroupName verwendet die $rg.ResourceGroupName-Eigenschaft, um den Namen Ihrer Ressourcengruppe abzurufen, der die Richtlinie zugewiesen ist.
• TemplateFile gibt den Namen und Speicherort der ARM-Vorlage auf Ihrem lokalen Computer an.

Azure-Befehlszeilenschnittstelle

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.json

Die rgname-Variable verwendet einen Ausdruck, um den Namen Ihrer Ressourcengruppe abzurufen, der im Bereitstellungsbefehl verwendet wird.

• name ist der Bereitstellungsname, der in der Ausgabe und in Azure für die Bereitstellungen der Ressourcengruppe angezeigt wird.
• resource-group ist der Name Ihrer Ressourcengruppe, der die Richtlinie zugewiesen ist.
• template-file gibt den Namen und Speicherort der ARM-Vorlage auf Ihrem lokalen Computer an.

Sie können die Bereitstellung der Richtlinienzuweisung mit dem folgenden Befehl überprüfen:

PowerShell

Der Befehl verwendet die $rg.ResourceId-Eigenschaft, um die ID der Ressourcengruppe abzurufen.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

Weitere Informationen finden Sie unter Get-AzPolicyAssignment.

Azure-Befehlszeilenschnittstelle

Die rgid-Variable verwendet einen Ausdruck, um die ID der Ressourcengruppe abzurufen, die zum Anzeigen der Richtlinienzuordnung verwendet wird.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

Die Ausgabe ist ausführlich, ähnelt aber dem folgenden Beispiel:

"description": "Policy assignment to resource group scope created with ARM template",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-26T19:01:23.2777972Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

Weitere Informationen finden Sie unter az policy assignment.

Identifizieren nicht konformer Ressourcen

Nachdem die Richtlinienzuweisung bereitgestellt wurde, werden VMs, die in der Ressourcengruppe bereitgestellt werden, auf die Einhaltung der Richtlinie für verwaltete Datenträger überwacht.

Es dauert einige Minuten, bis der Konformitätszustand für eine neue Richtlinienzuweisung aktiv wird und Ergebnisse zum Status der Richtlinie bereitstellt.

PowerShell

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

Die $complianceparms-Variable erstellt Parameterwerte, die im Befehl Get-AzPolicyState verwendet werden.

• ResourceGroupName ruft den Ressourcengruppennamen aus der $rg.ResourceGroupName-Eigenschaft ab.
• PolicyAssignmentName gibt den Namen an, der beim Erstellen der Richtlinienzuweisung verwendet wird.
• Filter verwendet einen Ausdruck, um Ressourcen zu finden, die nicht mit der Richtlinienzuweisung kompatibel sind.

Ihre Ergebnisse ähneln dem folgenden Beispiel, und ComplianceState zeigt NonCompliant:

Timestamp                : 2/26/2024 19:02:56
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

Weitere Informationen finden Sie unter Get-AzPolicyState.

Azure-Befehlszeilenschnittstelle

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

Die policyid-Variable verwendet einen Ausdruck, um die ID der Richtlinienzuweisung abzurufen. Der filter-Parameter beschränkt die Ausgabe auf nicht kompatible Ressourcen.

Die Ausgabe von az policy state list ist ausführlich, aber für diesen Artikel zeigt der complianceState den Wert NonCompliant an.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

Weitere Informationen finden Sie unter az policy state.

Bereinigen von Ressourcen

PowerShell

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Abmeldung von Ihrer Azure PowerShell-Sitzung:

Disconnect-AzAccount

Azure-Befehlszeilenschnittstelle

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Abmeldung von Ihrer Azure CLI-Sitzung:

az logout

Nächste Schritte

In diesem Schnellstart haben Sie eine Richtliniendefinition zum Identifizieren nicht kompatibler Ressourcen in Ihrer Azure-Umgebung zugewiesen.

Fahren Sie mit dem Tutorial fort, um mehr über das Zuweisen von Richtlinien zu lernen, die überprüfen, ob Ressourcen konform sind.

Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung