Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Azure-Richtlinie in einer getrennten lokalen Azure-Umgebung verwenden, um die Compliance zu erzwingen und Ressourcen im großen Maßstab zu verwalten. Die Azure-Richtlinie hilft Organisationen dabei, Standards zu erfüllen, indem Ressourceneigenschaften auf Geschäftsregeln überprüft werden, auch wenn die Verbindung mit der Azure-Cloud getrennt wird.
Informationen zur Verwendung von Azure Policy in Azure Local im Offline-Modus
Azure Policy hilft Ihnen dabei, die Organisationsstandards zu erfüllen, indem Sie Ressourceneigenschaften anhand von Geschäftsregeln überprüfen. Diese Regeln, die im JSON-Format beschrieben werden, werden als Richtliniendefinitionen bezeichnet. Weisen Sie diese Regeln Bereichen wie Abonnements oder einzelnen Ressourcen im Ressourcen-Manager-Bereich zu. Weitere Informationen finden Sie unter Übersicht über Azure Policy.
In lokalen, von Azure getrennten Operationen unterstützt die Richtliniendurchsetzung Arc-fähige Kubernetes und Arc-fähige Server. Die Bereitstellung von Azure Local für Offlinevorgänge umfasst einige integrierte Richtliniendefinitionen. Operatoren aktivieren diese Richtlinien, indem sie Richtlinienzuweisungen für den Ziel-Scope mithilfe des Portals für getrennte Operationen oder der CLI erstellen. Die Erzwingung hängt vom Richtlinientyp ab.
Vorteile
Mit Azure-Richtlinie für lokale getrennte Azure-Vorgänge können Sie Richtlinien für alle unterstützten Azure-Dienste erzwingen, sodass Sie Ressourcen im großen Maßstab verwalten und einrichten.
Mithilfe von Azure Policy in einer getrennten lokalen Azure-Umgebung können Sie:
- Stellen Sie sicher, dass die Ressourcenerstellung konsistent und konform ist.
- Konzentrieren Sie sich auf vorgänge mit hoher Empfindlichkeit. Getrennte Vorgänge eignen sich ideal für Branchen mit strengen Vorschriften, und Azure Policy ist für den Erfolg der Funktion "Getrennter Vorgänge" unerlässlich.
- Erzwingen Sie Richtlinien für alle unterstützten Arc-Dienste bei Offline-Vorgängen.
Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
- Zugriff auf eine lokale Azure-Instanz mit getrennten Vorgängen für die lokale Bereitstellung von Azure.
- Überprüfen Sie integrierte Richtlinien.
- Identifizieren Sie die Richtliniendefinition, die Sie zuweisen möchten.
Weitere Informationen finden Sie unter "Unterstützte integrierte Richtlinien".
Aktivieren der Azure-Richtlinie
Sie können Azure-Richtlinie verwenden, um Tags für verschiedene Ressourcen zu erzwingen. In diesem Beispiel verwenden Sie eine integrierte Richtlinie, die Tags für Ressourcengruppen erzwingt. Diese Richtlinie verhindert die Erstellung von Ressourcengruppen ohne das erforderliche Tag. Führen Sie die folgenden Schritte aus, um eine Azure-Richtlinie zu aktivieren:
Grundlagen einrichten
Melden Sie sich beim lokalen Azure-Portal an, und navigieren Sie zu Richtlinie.
Wählen Sie im Abschnitt " Dokumenterstellung " die Option "Aufgaben" und dann "+Richtlinie zuweisen" aus.
Identifizieren Sie den Bereich, die Richtliniendefinitionund den Zuordnungsnamen.
Setzen Sie die Richtlinienerzwingung auf Aktiviert.
Um mit dem nächsten Schritt fortzufahren, wählen Sie Parameter aus.
Festlegen der Parameter
Geben Sie im Abschnitt "Parameter" den erforderlichen Tagnamen ein.
Geben Sie einen Namen für Ihr Tag ein, und wählen Sie Überprüfen + erstellen aus.
Nachdem Sie die Richtlinie erstellt haben, können Sie keine Ressourcengruppen ohne das erforderliche Tag erstellen.
Unterstützte integrierte Richtlinien
In der folgenden Tabelle sind die integrierten Richtlinien zusammengefasst, die für Azure Local-Disconnected-Operationen unterstützt werden.
| Richtlinienname | Beschreibung | Link "Azure-Dokumentation" |
|---|---|---|
| Kategorie: Tags | ||
| Hinzufügen oder Ersetzen eines Tags für Ressourcen. | – Fügt das angegebene Tag und den angegebenen Wert hinzu oder ersetzt sie jedes Mal, wenn eine Ressource erstellt oder aktualisiert wird. – Vorhandene Ressourcen können durch Auslösen einer Korrekturaufgabe wiederhergestellt werden. – Ändert keine Tags in Ressourcengruppen. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Hinzufügen oder Ersetzen eines Tags für Ressourcengruppen. | - Fügt das angegebene Tag und den entsprechenden Wert hinzu oder ersetzt sie, wenn eine Ressourcengruppe erstellt oder aktualisiert wird. – Vorhandene Ressourcengruppen können durch Auslösen einer Korrekturaufgabe behoben werden. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Hinzufügen oder Ersetzen eines Tags für Abonnements. | – Fügt das angegebene Tag und den Wert für Abonnements über eine Wartungsaufgabe hinzu oder ersetzt sie. – Vorhandene Ressourcengruppen können durch Auslösen einer Korrekturaufgabe behoben werden. Weitere Informationen finden Sie unter Azure Policy Remediation. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Fügen Sie einem Ressource ein Tag hinzu. | – Fügt das angegebene Tag und den angegebenen Wert hinzu, wenn eine Ressource erstellt oder aktualisiert wird, der dieses Tag fehlt. – Vorhandene Ressourcen können durch Auslösen einer Korrekturaufgabe wiederhergestellt werden. - Wenn das Tag mit einem anderen Wert vorhanden ist, wird es nicht geändert. – Ändert keine Tags in Ressourcengruppen. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Fügen Sie ein Tag zu Ressourcengruppen hinzu. | – Fügt das angegebene Tag und den angegebenen Wert hinzu, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, der dieses Tag fehlt. – Vorhandene Ressourcengruppen können durch Auslösen einer Korrekturaufgabe behoben werden. - Wenn das Tag mit einem anderen Wert vorhanden ist, wird es nicht geändert. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Hinzufügen eines Tags zu Abonnements. | – Fügt das angegebene Tag und den Wert über eine Wartungsaufgabe zu Abonnements hinzu. - Wenn das Tag mit einem anderen Wert vorhanden ist, wird es nicht geändert. Weitere Informationen finden Sie unter Azure Policy Remediation. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Übernehmen Sie einen Tag von der Ressourcengruppe. | – Fügt das angegebene Tag und den Wert aus der übergeordneten Ressourcengruppe hinzu oder ersetzt sie, wenn eine Ressource erstellt oder aktualisiert wird. – Vorhandene Ressourcen können durch Auslösen einer Korrekturaufgabe wiederhergestellt werden. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Wird ein Tag vom Abonnement geerbt, wenn er fehlt? | – Fügt das angegebene Tag mit seinem Wert aus dem zugehörigen Abonnement hinzu, wenn eine Ressource ohne dieses Tag erstellt oder aktualisiert wird. – Vorhandene Ressourcen können durch Auslösen einer Korrekturaufgabe wiederhergestellt werden. - Wenn das Tag mit einem anderen Wert vorhanden ist, wird es nicht geändert. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Ein Tag aus der Ressourcengruppe erben, wenn er fehlt. | – Fügt das angegebene Tag und den Wert aus der Ressourcengruppe hinzu, wenn eine Ressource ohne dieses Tag erstellt oder aktualisiert wird. – Vorhandene Ressourcen können durch Auslösen einer Korrekturaufgabe wiederhergestellt werden. - Wenn das Tag mit einem anderen Wert vorhanden ist, wird es nicht geändert. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Fügen Sie ein Tag und dessen Wert aus der Ressourcengruppe an. | – Fügt das angegebene Tag und den Wert aus der Ressourcengruppe hinzu, wenn eine Ressource erstellt oder aktualisiert wird, der dieses Tag fehlt. – Ändert die Tags von Ressourcen, die vor der Anwendung dieser Richtlinie erstellt wurden, nicht, es sei denn, diese Ressourcen werden geändert. – Neue Richtlinien für den Effekt 'Ändern' sind verfügbar, die die Korrektur von Tags auf vorhandenen Ressourcen unterstützen. Weitere Informationen finden Sie unter Ändern von Effektrichtlinien. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Fügen Sie ein Tag und seinen Wert an Ressourcen an. | – Fügt das angegebene Tag und den angegebenen Wert hinzu, sobald eine Ressource erstellt oder aktualisiert wird, die dieses Tag nicht enthält. – Ändert die Tags von Ressourcen, die vor der Anwendung dieser Richtlinie erstellt wurden, nicht, es sei denn, diese Ressourcen werden geändert. – Gilt nicht für Ressourcengruppen. - Neue Richtlinien zum Ändern von Effekten stehen zur Verfügung, die die Behebung von Tags für vorhandene Ressourcen unterstützen (siehe https://aka.ms/modifydoc). |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Hängen Sie ein Tag und dessen Wert an Ressourcengruppen an. | – Fügt das angegebene Tag und den angegebenen Wert hinzu, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, der dieses Tag fehlt. – Ändert die Tags von Ressourcengruppen, die vor der Anwendung dieser Richtlinie erstellt wurden, nicht, es sei denn, diese Ressourcengruppen werden geändert. – Neue Richtlinien für den Effekt 'Ändern' sind verfügbar, die die Korrektur von Tags auf vorhandenen Ressourcen unterstützen. Weitere Informationen finden Sie unter Ändern von Effektrichtlinien. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Erfordert ein Tag und seinen Wert für Ressourcen. | Erzwingt ein vorgeschriebenes Tag und dessen Wert für Ressourcengruppen. | Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Festlegen eines Tags für Ressourcen | Erzwingt das Vorhandensein eines Tags. Gilt nicht für Ressourcengruppen. | Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Ein Tag und dessen Wert sind für Ressourcengruppen erforderlich. | Erzwingt ein vorgeschriebenes Tag und dessen Wert für Ressourcengruppen. | Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Erfordern Sie ein Tag auf Ressourcengruppen. | Erzwingt das Vorhandensein eines Tags für Ressourcengruppen. | Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Kategorie: Azure Kubernetes-Dienst | ||
| Kubernetes-Clustercontainer CPU- und Speicherressourcengrenzwerte sollten die angegebenen Grenzwerte nicht überschreiten. | – Erzwingen Sie Cpu- und Speicherressourcenbeschränkungen für Container, um Ressourcenausschöpfungsangriffe in einem Kubernetes-Cluster zu verhindern. – Diese Richtlinie ist allgemein verfügbar für Kubernetes Service (AKS) und als Vorschauversion für Azure Arc-aktivierte Kubernetes. - Weitere Informationen finden Sie unter Azure Kubernetes-Dienstrichtlinie. |
Eingebaute Azure-Richtliniendefinitionen für den Azure Kubernetes Service |
| Kubernetes-Clustercontainer sollten nur zulässige Images verwenden. | – Verwenden Sie Bilder aus vertrauenswürdigen Registrierungen, um das Risiko des Kubernetes-Clusters für unbekannte Sicherheitsrisiken, Sicherheitsprobleme und böswillige Bilder zu verringern. - Weitere Informationen finden Sie unter Azure Kubernetes-Dienstrichtlinie. |
Eingebaute Azure-Richtliniendefinitionen für den Azure Kubernetes Service |
| Kubernetes-Cluster-Pod-HostPath-Volumes sollten nur zulässige Hostpfade verwenden. | – Beschränken Sie pod HostPath-Volume-Mounts auf die zulässigen Hostpfade in einem Kubernetes-Cluster. – Diese Richtlinie ist allgemein für Azure Kubernetes Service (AKS) und Azure Arc aktivierte Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. |
Eingebaute Azure-Richtliniendefinitionen für den Azure Kubernetes Service |
| Kategorie: Gastkonfiguration | ||
| Konfigurieren Sie Linux Server, um lokale Benutzer zu deaktivieren. | – Erstellt eine Gastkonfigurationszuweisung, um das Deaktivieren lokaler Benutzer auf Linux Server zu konfigurieren. – Diese Richtlinie stellt sicher, dass nur ein Microsoft Entra-Konto oder eine Liste der explizit zugelassenen Benutzer auf Linux-Server zugreifen können, um den allgemeinen Sicherheitsstatus zu verbessern. |
Eingebaute Azure-Richtliniendefinitionen für Azure-VMs |
| Konfigurieren sie sichere Kommunikationsprotokolle, Transport Layer Security (TLS) 1.2 oder TLS 1.3 auf Windows-Servern. | – Erstellt eine Gastkonfigurationszuweisung zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.2 oder TLS 1.3) auf Windows-Computern. | Eingebaute Azure-Richtliniendefinitionen für Azure-VMs |
| Konfigurieren Sie die Zeitzone auf Windows-Computern. | Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf virtuellen Windows-Computern festzulegen. | Eingebaute Azure-Richtliniendefinitionen für Azure-VMs |
| Erfordert, dass Ressourcen kein bestimmtes Tag haben. | ||
| Erben Sie ein Tag aus dem Abonnement. | – Fügt das angegebene Tag und den Wert aus dem Abonnement hinzu oder ersetzt sie, wenn Sie eine Ressource erstellen oder aktualisieren. – Vorhandene Ressourcen können durch Auslösen einer Korrekturaufgabe wiederhergestellt werden. |
Zuweisen von Richtliniendefinitionen für die Tag-Konformität |
| Windows-Webserver sollten so konfiguriert werden, dass sichere Kommunikationsprotokolle verwendet werden. |
Nicht unterstützte Features
Das Compliance-Dashboard, Wartungsaktionen und Richtlinienausnahmen werden nicht unterstützt.
Dieses Feature ist nur in Azure Local 2602 oder höher verfügbar.