Effet manuel des définitions Azure Policy

Le nouvel effet manual vous permet d’attester automatiquement la conformité des ressources ou des étendues. Contrairement aux autres définitions de stratégie qui recherchent activement l’évaluation, l’effet Manuel permet des modifications manuelles apportées à l’état de conformité. Pour modifier la conformité d’une ressource ou d’une étendue ciblée par une stratégie manuelle, vous devez créer une attestation. La meilleure pratique consiste à concevoir des stratégies manuelles qui ciblent l’étendue qui définit la limite des ressources dont la conformité a besoin d’être attestée.

Notes

La prise en charge de la stratégie manuelle est disponible via diverses initiatives de conformité réglementaire Microsoft Defender pour le cloud. Si vous êtes un client Microsoft Defender pour le cloud de niveau Premium, reportez-vous à la vue d’ensemble de l’expérience.

Voici des exemples d’initiatives de stratégie réglementaire qui incluent des définitions de stratégie avec l’effet manual :

• FedRAMP Niveau élevé
• FedRAMP Medium
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

L’exemple suivant cible les abonnements Azure et définit l’état de conformité initial sur Unknown.

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

La propriété defaultState a trois valeurs possibles :

• Unknown: état initial et par défaut des ressources ciblées.
• Compliant: la ressource est conforme suivant vos normes de stratégie manuelles
• Non-compliant: la ressource n’est pas conforme conformément à vos normes de stratégie manuelles

Le moteur de conformité Azure Policy évalue toutes les ressources applicables à l’état par défaut spécifié dans la définition (Unknown si elle n’est pas spécifiée). Un état de conformité Unknown indique que vous devez attester manuellement l’état de conformité des ressources. Si l’état de l’effet n’est pas spécifié, il est défini par défaut sur Unknown. L’état de conformité Unknown indique que vous devez attester l’état de conformité vous-même.

La capture d’écran suivante montre comment une affectation de stratégie manuelle avec l’état Unknown apparaît dans le portail Azure :

Lorsqu’une définition de stratégie avec l’effet manual est affectée, vous pouvez définir les états de conformité des ressources ou étendues ciblées par le biais d’attestations personnalisées. Les attestations vous permettent également de fournir des informations supplémentaires facultatives sous la forme de métadonnées et de liens vers des preuves qui accompagnent l’état de conformité choisi. La personne qui attribue la stratégie manuelle peut recommander un emplacement de stockage par défaut pour la preuve en spécifiant la propriété evidenceStorages des métadonnées de l’affectation de stratégie.

Étapes suivantes

• Consultez des exemples à la page Exemples Azure Policy.
• Consultez la Structure de définition Azure Policy.
• Découvrez comment créer des stratégies par programmation.
• Découvrez comment obtenir des données de conformité.
• Découvrez comment corriger des ressources non conformes.
• Passez en revue Groupes d’administration Azure.