Azure Policy-Konformitätszustände
Funktionsweise der Konformität
Wenn Initiativen- oder Richtliniendefinitionen zugewiesen werden, bestimmt Azure Policy, welche Ressourcen anwendbar sind, und wertet dann diejenigen aus, die nicht ausgeschlossen oder ausgenommen wurden. Die Auswertung führt basierend auf den Bedingungen der Richtlinienregel und der Einhaltung der Anforderungen durch die jeweilige Ressource zu Konformitätszuständen.
Verfügbare Konformitätszustände
Nicht konform
Richtlinienzuweisungen mit den Effekten audit, auditIfNotExists oder modify werden für neue, aktualisierte oder vorhandene Ressourcen als nicht konform betrachtet, wenn die Bedingungen der Richtlinienregel auf TRUE ausgewertet werden.
Richtlinienzuweisungen mit den Effekten append, deny oder deployIfNotExists werden für vorhandene Ressourcen als nicht konform betrachtet, wenn die Bedingungen der Richtlinienregel auf TRUE ausgewertet werden. Neue und aktualisierte Ressourcen werden zum Zeitpunkt der Anforderung automatisch korrigiert oder verweigert, um die Konformität zu erzwingen. Wenn eine zuvor vorhandene nicht konforme Ressource aktualisiert wird, bleibt der Konformitätszustand nicht konform, bis die Ressourcenbereitstellung und die Richtlinienauswertung abgeschlossen sind.
Hinweis
Die Effekte deployIfNotExists und auditIfNotExists erfordern, dass die IF-Anweisung „WAHR“ und die Existenzbedingung „FALSCH“ sein müssen, um nicht konform zu sein. Bei TRUE löst die IF-Bedingung die Auswertung der Existenzbedingung für die zugehörigen Ressourcen aus.
Richtlinienzuweisungen mit manual-Effekten gelten unter zwei Umständen als nicht konform:
- Die Richtliniendefinition weist den Standardkonformitätsstatus nicht konform auf, und es gibt keinen aktiven Nachweis für die entsprechende Ressource, die einen anderen Hinweis gibt.
- Die Ressource wurde als nicht konform bestätigt.
Wie Sie die Ursache für die Nichtkomformität einer Ressource bestimmen oder die dafür verantwortliche Änderung finden können, ist unter Bestimmen der Ursachen für Nichtkomformität beschrieben. Informationen zur Korrektur nicht konformer Ressourcen für deployIfNotExists- und modify-Richtlinien finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure Policy.
Konform
Richtlinienzuweisungen mit den Effekten append, audit, auditIfNotExists, deny, deployIfNotExists oder modify werden für neue, aktualisierte oder vorhandene Ressourcen als nicht konform betrachtet, wenn die Bedingungen der Richtlinienregel auf FALSE ausgewertet werden.
Richtlinienzuweisungen mit manual-Effekten gelten unter zwei Umständen als konform:
- Die Richtliniendefinition weist den Standardkonformitätsstatus konform auf, und es gibt keinen aktiven Nachweis für die entsprechende Ressource, die einen anderen Hinweis gibt.
- Die Ressource wurde als konform bestätigt.
Fehler
Der Fehlerkonformitätsstatus wird Richtlinienzuweisungen zugewiesen, die einen Systemfehler generieren, z. B. Vorlagen- oder Auswertungsfehler.
Konflikt mit
Eine Richtlinienzuweisung gilt als Konflikt, wenn mindestens zwei Richtlinienzuweisungen im selben Bereich mit unvereinbaren oder widersprüchlichen Regeln vorhanden sind. Beispielsweise zwei Definitionen, die das gleiche Tag mit unterschiedlichen Werten anfügen.
Ausnahme
Der Konformitätszustand einer entsprechenden Ressource ist für die Richtlinienzuweisung ausgenommen, wenn sie sich im Bereich einer Ausnahme befindet.
Hinweis
Die ausgenommen unterscheidet sich von ausgeschlossen. Weitere Informationen finden Sie in der Übersicht zu Bereichen in Azure Policy.
Unbekannt
Unbekannt ist der Standardkonformitätszustand für Definitionen mit dem Effekt manual, es sei denn, der Standardwert wurde explizit auf konform oder nicht konform festgelegt. Dieser Zustand gibt an, dass ein Nachweis der Konformität gerechtfertigt ist. Dieser Konformitätszustand tritt nur für Richtlinienzuweisungen mit dem Effekt manual auf.
Protected
Der Zustand „Geschützt“ gibt an, dass die Ressource durch eine Zuweisung mit einer demyAction-Wirkung abgedeckt ist.
Nicht registriert
Dieser Konformitätszustand ist im Azure-Portal sichtbar, wenn der Azure Policy-Ressourcenanbieter nicht registriert ist oder wenn das angemeldete Konto keine Berechtigung zum Lesen von Konformitätsdaten hat.
Hinweis
Wenn der Konformitätszustand als Nicht registriert gemeldet wird, sollten Sie überprüfen, ob der Microsoft.PolicyInsights-Ressourcenanbieter registriert ist und der Benutzer über die entsprechenden Berechtigungen für die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verfügt. Dies ist unter Azure RBAC-Berechtigungen in Azure Policy beschrieben.
Führen Sie zum Registrieren von Microsoft.PolicyInsights die Schritte unter Azure-Ressourcenanbietern und -typen aus.
Nicht begonnen
Dieser Konformitätszustand gibt an, dass der Auswertungszyklus für die Richtlinie oder Ressource nicht gestartet wurde.
Beispiel
Nachdem Sie nun wissen, welche Konformitätszustände vorhanden sind und was jeder bedeutet, sehen wir uns ein Beispiel an, das konforme und nicht konforme Zustände verwendet.
Angenommen, Sie verfügen über die Ressourcengruppe ContosoRG mit einigen Speicherkonten (rot hervorgehoben), die in öffentlichen Netzwerken verfügbar gemacht werden.
Im Diagramm werden Bilder für fünf Speicherkonten in der Ressourcengruppe „ContosoRG“ angezeigt. Die Speicherkonten 1 und 3 sind blau, und die Speicherkonten zwei, vier und fünf sind rot.
In diesem Beispiel ist Vorsicht aufgrund von Sicherheitsrisiken geboten. Angenommen, Sie weisen eine Richtliniendefinition zu, mit der Speicherkonten überwacht werden, die für öffentliche Netzwerke verfügbar gemacht werden, und dass für diese Zuweisung keine Ausnahmen erstellt werden. Die Richtlinie überprüft auf anwendbare Ressourcen (einschließlich aller Speicherkonten in der ContosoRG-Ressourcengruppe), und wertet dann die Ressourcen aus, die nicht von der Auswertung ausgeschlossen sind. Er prüft die drei Speicherkonten, die für öffentliche Netzwerke verfügbar gemacht sind, und ändert deren Konformitätszustände zu Nicht konform. Der Rest ist als konform gekennzeichnet.
Im Diagramm werden Bilder für fünf Speicherkonten in der Ressourcengruppe „ContosoRG“ angezeigt. Unter den Speicherkonten 1 und 3 befinden sich jetzt grüne Häkchen, und unter den Speicherkonten 2, 4 und 5 werden jetzt rote Warnzeichen angezeigt.
Rollup zur Konformität
Der Konformitätszustand wird pro Ressource und Richtlinienzuweisung bestimmt. Häufig benötigen wir jedoch einen Überblick über den Zustand der Umgebung, wo die aggregierte Konformität ins Spiel kommt.
Es gibt mehrere Möglichkeiten, aggregierte Konformitätsergebnisse im Portal anzuzeigen:
| Konformitätsansicht aggregieren | Faktoren, die den Konformitätszustand bestimmen |
|---|---|
| Bereich | Alle Richtlinien innerhalb des ausgewählten Bereichs |
| Initiative | Alle Richtlinien innerhalb der Initiative |
| Initiativengruppe oder -steuerung | Alle Richtlinien innerhalb der Gruppe oder des Steuerelements |
| Richtlinie | Alle zutreffenden Ressourcen |
| Resource | Alle anwendbaren Richtlinien |
Vergleich verschiedener Konformitätszustände
Wie also wird der gesamte Konformitätszustand bestimmt, wenn mehrere Ressourcen oder Richtlinien selbst unterschiedliche Konformitätszustände aufweisen? Azure Policy bewertet einzelne Konformitätszustände in eine Rangfolge, bei der einer in dieser Situation Vorrang vor dem anderen hat. Die Rangfolge ist wie folgt:
- Nicht konform
- Konform
- Fehler
- Konflikt mit
- Geschützt (Vorschau)
- Ausgenommen
- Unbekannt (Vorschau)
Hinweis
Nicht gestartet und nicht registriert werden bei Konformitätsrollupberechnungen nicht berücksichtigt.
Bei dieser Bewertungsfolge gilt das Aggregat, für das ein Rollup durchgeführt wurde, als nicht konform usw., wenn es sowohl nicht konforme als auch konforme Zustände gibt. Betrachten wir dazu ein Beispiel:
Angenommen, eine Initiative enthält zehn Richtlinien, und eine Ressource ist von einer Richtlinie ausgenommen, erfüllt aber die übrigen neun. Da ein konformer Zustand einen höheren Rang als ein ausgenommener hat, wird die Ressource in der Zusammenfassung der Initiative als konform registriert. Eine Ressource gilt also nur dann für die gesamte Initiative als ausgenommen, wenn sie von jeder anderen zutreffenden Richtlinie dieser Initiative ausgenommen ist oder diese nicht erfüllt. Im anderen Extremfall hat die Ressource unabhängig von den übrigen anwendbaren Richtlinien insgesamt den Konformitätszustand „nicht konform“, wenn sie für mindestens eine geltende Richtlinie der Initiative nicht konform ist.
Konformitätsprozentsatz
Der Prozentsatz der Konformität wird ermittelt, indem die konformen, ausgenommenen und unbekannten Ressourcen durch Ressourcen gesamt geteilt werden. Gesamtressourcen umfassen Ressourcen mit den Status Konform, Nicht konform, Unbekannt, Ausgenommen, Konflikt und Fehler.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Die Abbildung unten enthält 20 einzelne Ressourcen, die zutreffen, und nur eine davon ist nicht konform. Daher lautet der Gesamtwert für die Ressourcenkonformität 95 % (19 von 20).
Nächste Schritte
- Informieren Sie sich über das Abrufen von Konformitätsdaten.
- Verstehen, wie Ursachen für Nichtkonformität ermittelt werden
- Abrufen von Compliancedaten über Azure Resource Graph-Beispielabfragen für Azure Policy