Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen mit dem Azure-Portal

  • Artikel

Zum Verständnis der Konformität in Azure müssen Sie zunächst wissen, wie Sie den Status Ihrer Ressourcen ermitteln. In diesem Schnellstart erstellen Sie mit dem Azure-Portal eine Richtlinienzuweisung zum Ermitteln nicht konformer Ressourcen. Die Richtlinie wird einer Ressourcengruppe zugewiesen und überwacht VMs, die keine verwalteten Datenträger verwenden. Nachdem Sie die Richtlinienzuweisung erstellt haben, ermitteln Sie nicht konforme VMs.

Voraussetzungen

  • Sollten Sie kein Azure-Konto haben, erstellen Sie zunächst ein kostenloses Konto.
  • Eine Ressourcengruppe mit mindestens einer VM, die keine verwalteten Datenträger verwendet.

Erstellen einer Richtlinienzuweisung

In diesem Schnellstart erstellen Sie eine Richtlinienzuweisung mit einer integrierten Richtliniendefinition, Überwachen von VMs, die keine verwalteten Datenträger verwenden.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Richtlinie, und wählen Sie dies aus der Liste aus.

    Screenshot of the Azure portal to search for policy.

  3. Wählen Sie Zuweisungen im Bereich Richtlinie aus.

    Screenshot of the Assignments pane that highlights the option to Assign policy.

  4. Wählen Sie Bereich Richtlinienzuweisungen die Option Richtlinie zuweisen aus.

  5. Konfigurieren Sie auf der Registerkarte Grundlagen im Bereich Richtlinie zuweisen die folgenden Optionen:

    Feld Aktion
    Umfang Verwenden Sie die Auslassungspunkte (...), und wählen Sie dann ein Abonnement und eine Ressourcengruppe aus. Wählen Sie dann Auswählen aus, um den Bereich anzuwenden.
    Ausschlüsse Dies ist optional und wird in diesem Beispiel nicht verwendet.
    Richtliniendefinition Wählen Sie die Auslassungspunkte aus, um die Liste der verfügbaren Definitionen zu öffnen.
    Verfügbare Definitionen Durchsuchen Sie die Richtliniendefinitionsliste nach der Definition Überwachen von VMs, die keine verwalteten Datenträger verwenden, wählen Sie die Richtlinie aus, und wählen Sie Hinzufügen aus.
    Zuweisungsname Standardmäßig wird der Name der ausgewählten Richtlinie verwendet. Sie können dies ändern, aber in diesem Beispiel verwenden Sie den Standardnamen.
    Beschreibung Dies ist optional, um Details zu dieser Richtlinienzuweisung anzugeben.
    Richtlinienerzwingung Standardwert ist Aktiviert. Weitere Informationen finden Sie unter Erzwingungsmodus.
    Zugewiesen von Standardwert ist dies, wer bei Azure angemeldet ist. Dieses Feld ist optional. Sie können benutzerdefinierte Werte eingeben.

    Screenshot of filtering the available definitions.

  6. Wählen Sie Weiter aus, um jede Registerkarte für Erweitert, Parameter und Wartung anzuzeigen. Für dieses Beispiel sind keine Änderungen erforderlich.

    Registerkartenname Optionen
    Erweitert Enthält Optionen für Ressourcenselektoren und Außerkraftsetzungen.
    Parameter Wenn die Richtliniendefinition, die Sie auf der Registerkarte Grundlagen ausgewählt haben, Parameter enthielt, werden sie auf der Registerkarte Parameter konfiguriert. In diesem Beispiel werden keine Parameter verwendet.
    Wartung Sie können eine verwaltete Identität erstellen. In diesem Beispiel ist Verwaltete Identität erstellen deaktiviert.

    Dieses Kontrollkästchen muss aktiviert werden, wenn eine Richtlinie oder Initiative eine Richtlinie mit der Auswirkung deployIfNotExists oder modify enthält. Für weitere Informationen wechseln Sie zu Verwaltete Identitäten und Funktionsweise der Zugriffssteuerung für die Wartung.

  7. Wählen Sie Weiter aus, und erstellen Sie auf der Registerkarte Nichtkonformitätsnachrichten eine Nachricht zur Nichtkonformität, z. B. VMs sollten verwaltete Datenträger verwenden.

    Diese benutzerdefinierte Meldung wird bei der Ablehnung einer Ressource oder für nicht konforme Ressourcen bei der regulären Auswertung angezeigt.

  8. Wählen Sie Weiter aus, und überprüfen Sie auf der Registerkarte Überprüfen + Erstellen die Details der Richtlinienzuweisung.

  9. Wählen Sie Erstellen aus, um die Richtlinienzuweisung zu erstellen.

Identifizieren nicht konformer Ressourcen

Wählen Sie im Bereich Richtlinie die Option Konformität aus, und suchen Sie nach der Richtlinienzuweisung Überwachen von VMs, die keine verwalteten Datenträger verwenden. Es dauert einige Minuten, bis der Konformitätszustand für eine neue Richtlinienzuweisung aktiviert ist und Ergebnisse zum Status der Richtlinie liefert.

Screenshot of the Policy Compliance that highlights the example's non-compliant policy assignment.

Die Richtlinienzuordnung zeigt Ressourcen an, die nicht konform sind mit einem KonformitätszustandNicht konform. Um weitere Details zu erhalten, wählen Sie den Richtlinienzuweisungsnamen aus, um die Ressourcenkompatibilität anzuzeigen.

Wenn eine Bedingung für einige Ihrer vorhandenen Ressourcen als erfüllt ausgewertet wird, werden diese Ressourcen als nicht mit der Richtlinie konform markiert. Die folgende Tabelle gibt Aufschluss über das Zusammenspiel zwischen den verschiedenen Richtlinienauswirkungen, der Bedingungsauswertung und dem resultierenden Konformitätszustand. Die Auswertungslogik wird zwar im Azure-Portal nicht angezeigt, Sie sehen aber die Ergebnisse für den Konformitätszustand. Das Ergebnis für den Konformitätszustand ist entweder „konform“ oder „nicht konform“.

Ressourcenzustand Wirkung Richtlinienauswertung Konformitätszustand
Neu oder aktualisiert Audit, Modify, AuditIfNotExist True Nicht konform
Neu oder aktualisiert Audit, Modify, AuditIfNotExist False Konform
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True Nicht konform
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist False Konform

Die Effekte DeployIfNotExist und AuditIfNotExist erfordern, dass die IF-Anweisung TRUE und die Existenzbedingung FALSE sein müssen, um nicht konform zu sein. Bei TRUE löst die IF-Bedingung die Auswertung der Existenzbedingung für die zugehörigen Ressourcen aus.

Bereinigen von Ressourcen

Sie können eine Richtlinienzuweisung aus Konformität oder aus Zuordnungen löschen.

Führen Sie die folgenden Schritte aus, um die in diesem Artikel erstellte Richtlinienzuweisung zu entfernen:

  1. Wählen Sie im Bereich Richtlinie die Option Konformität aus, und suchen Sie nach der Richtlinienzuweisung Überwachen von VMs, die keine verwalteten Datenträger verwenden.

  2. Wählen Sie die Auslassungspunkte der Richtlinienzuweisung und dann Zuweisung löschen aus.

    Screenshot of the Compliance pane that highlights the menu to delete a policy assignment.

Nächste Schritte

In diesem Schnellstart haben Sie eine Richtliniendefinition zum Identifizieren nicht kompatibler Ressourcen in Ihrer Azure-Umgebung zugewiesen.

Fahren Sie mit dem Tutorial fort, um mehr über das Zuweisen von Richtlinien zu lernen, die überprüfen, ob Ressourcen konform sind.

Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung