Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren von nicht konformen Ressourcen mit einer Bicep-Datei

Zum Verständnis der Konformität in Azure müssen Sie zunächst wissen, wie Sie den Status Ihrer Ressourcen ermitteln. Dieser Schnellstart führt Sie durch den Prozess der Verwendung einer Bicep-Datei, die zu einer Azure Resource Manager(ARM)-Bereitstellungsvorlage kompiliert wurde, um eine Richtlinienzuweisung zu erstellen, die virtuelle Maschinen identifiziert, die keine verwalteten Festplatten verwenden. Am Ende dieses Prozesses können Sie erfolgreich virtuelle Computer identifizieren, die keine verwalteten Datenträger verwenden. Sie sind mit der Richtlinienzuweisung nicht konform.

Eine ARM-Vorlage ist eine JSON-Datei (JavaScript Object Notation), in der die Infrastruktur und die Konfiguration für Ihr Projekt definiert sind. Die Vorlage verwendet eine deklarative Syntax. In deklarativer Syntax beschreiben Sie Ihre beabsichtigte Bereitstellung, ohne die Reihenfolge der Programmierbefehle zur Erstellung der Bereitstellung zu schreiben.

Wenn Ihre Umgebung die Voraussetzungen erfüllt und Sie mit der Verwendung von ARM-Vorlagen vertraut sind, klicken Sie auf die Schaltfläche In Azure bereitstellen. Die Vorlage wird im Azure-Portal geöffnet.

Button to deploy the ARM template for assigning an Azure Policy to Azure.

Voraussetzungen

  • Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Eine BICEP-Version 0.3 oder höher ist installiert. Wenn Sie noch nicht über Bicep CLI verfügen oder ein Update benötigen, lesen Sie Bicep installieren.

Überprüfen der Bicep-Datei

In dieser Schnellstartanleitung erstellen Sie eine Richtlinienzuweisung und weisen eine integrierte Richtliniendefinition mit dem Namen Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden zu. Eine Liste mit einem Teil der verfügbaren integrierten Richtlinien finden Sie unter Azure Policy-Beispiele.

Erstellen Sie die folgende BICEP-Datei als assignment.bicep:

param policyAssignmentName string = 'audit-vm-manageddisks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'

resource assignment 'Microsoft.Authorization/policyAssignments@2021-09-01' = {
    name: policyAssignmentName
    scope: subscriptionResourceId('Microsoft.Resources/resourceGroups', resourceGroup().name)
    properties: {
        policyDefinitionId: policyDefinitionID
    }
}

output assignmentId string = assignment.id

In der Vorlage ist die folgende Datei definiert:

Bereitstellen der Vorlage

Hinweis

Der Azure Policy-Dienst ist kostenlos. Weitere Informationen finden Sie in der Übersicht über Azure Policy.

Nachdem die BICEP-CLI installiert und die Datei erstellt wurde, können Sie die Bicep-Datei bereitstellen mit:

New-AzResourceGroupDeployment `
  -Name PolicyDeployment `
  -ResourceGroupName PolicyGroup `
  -TemplateFile assignment.bicep

Einige weitere Ressourcen:

Überprüfen der Bereitstellung

Wählen Sie links auf der Seite die Option Konformität aus. Suchen Sie dann die von Ihnen erstellte Richtlinienzuweisung Überwachen Sie die virtuellen Computer, die nicht verwaltete Datenträger verwenden.

Screenshot of compliance details on the Policy Compliance page.

Falls Ressourcen vorhanden sind, die mit dieser neuen Zuweisung nicht konform sind, werden diese unter Nicht konforme Ressourcen angezeigt.

Weitere Informationen finden Sie unter Funktionsweise der Konformität.

Bereinigen von Ressourcen

Um die erstellte Zuweisung zu entfernen, gehen Sie folgendermaßen vor:

  1. Wählen Sie links auf der Seite „Azure Policy“ Konformität (oder Zuweisungen), und suchen Sie die von Ihnen erstellte Richtlinienzuweisung Überwachen Sie die virtuellen Computer, die nicht verwaltete Datenträger verwenden.

  2. Klicken Sie mit der rechten Maustaste auf die Richtlinienzuweisung Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden, und wählen Sie Zuweisung löschen.

    Screenshot of using the context menu to delete an assignment from the Compliance page.

  3. Löschen Sie die Datei assignment.bicep.

Nächste Schritte

In dieser Schnellstartanleitung haben Sie einem Bereich eine integrierte Richtliniendefinition zugewiesen und deren Konformitätsbericht ausgewertet. Die Richtliniendefinition überprüft, ob alle Ressourcen im Bereich konform sind, und identifiziert die Ressourcen, die nicht konform sind.

Weitere Informationen zum Zuweisen von Richtlinien, die die Konformität neuer Ressourcen überprüfen, finden Sie im folgenden Tutorial: