Quand une définition de stratégie est affectée à une étendue, Azure Policy détermine les ressources dans celle-ci à prendre en compte pour l’évaluation de la conformité. Une ressource est évaluée pour la conformité seulement si elle est jugée applicable à l’affectation de stratégie donnée.
Sélecteurs de ressources spécifiés dans l’affectation.
Exemptions de ressources ou hiérarchies de ressources.
L’applicabilité des conditions dans le bloc if de la règle de stratégie est évaluée de manière légèrement différente en fonction de leur effet.
Notes
L’applicabilité diffère de la conformité, et la logique utilisée pour déterminer l’une et l’autre est différente. Si une ressource est applicable, cela signifie qu’elle est pertinente pour la stratégie. Si une ressource est conforme, cela signifie qu’elle respecte la stratégie. Parfois, seules certaines conditions de la règle de stratégie ont un impact sur l’applicabilité, alors que toutes les conditions ont un impact sur l’état de conformité.
Modes Resource Manager
Effets de la stratégie IfNotExists
L’applicabilité des stratégies AuditIfNotExists et DeployIfNotExists est basée sur la condition if entière de la règle de stratégie. Quand if prend la valeur false, la stratégie n’est pas applicable.
Tous les autres effets de stratégie
Azure Policy évalue uniquement les conditions type, name et kind dans l’expression if de règle de stratégie, et traite les autres conditions comme true (ou false en cas de négation). Si le résultat final de l’évaluation est true, la stratégie est applicable. Sinon, elle n’est pas applicable.
Voici des cas spéciaux à la logique d’applicabilité décrite précédemment :
Scénario
Résultats
Alias quelconque non valide dans les conditions if
La stratégie n’est pas applicable
Lorsque les conditions if sont uniquement des conditions kind
La stratégie s’applique à toutes les ressources
Lorsque les conditions if sont uniquement des conditions name
La stratégie s’applique à toutes les ressources
Lorsque les conditions if sont uniquement des conditions type et kind
Seules les conditions type sont prises en compte lors de la décision de l’applicabilité
Lorsque les conditions if sont uniquement des conditions type et name
Seules les conditions type sont prises en compte lors de la décision de l’applicabilité
Lorsque les conditions if consistent en type, kind et autres conditions
Seules les conditions type et kind sont prises en compte lors de la décision de l’applicabilité
Lorsque les conditions if consistent en type, name et autres conditions
Seules les conditions type et name sont prises en compte lors de la décision de l’applicabilité
Quand une condition quelconque (y compris des paramètres de déploiement) inclut une condition location
N’est pas applicable aux abonnements
Modes Fournisseur de ressources
Microsoft.Kubernetes.Data
L’applicabilité des stratégies Microsoft.Kubernetes.Data est basée sur la condition if entière de la règle de stratégie. Quand if prend la valeur false, la stratégie n’est pas applicable.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data et Microsoft.MachineLearningServices.v2.Data
Les stratégies avec ces modes de fournisseur de ressources s’appliquent si la condition type de la règle de stratégie prend la valeur true. type fait référence au type de composant.
Types de composants Key Vault :
Microsoft.KeyVault.Data/vaults/certificates
Microsoft.KeyVault.Data/vaults/keys
Microsoft.KeyVault.Data/vaults/secrets
Type de composant du module de sécurité matériel (HSM) managé :
Les stratégies avec le mode Microsoft.Network.Data s’appliquent si les conditions type et name de la règle de stratégie prennent la valeur true. type fait référence au type de composant :
Microsoft.Network/virtualNetworks
Ressources non applicables
Il peut arriver que des ressources soient applicables à une affectation en raison des conditions ou de la portée, alors qu'elles ne devraient pas l'être pour des raisons professionnelles. À ce moment-là, il serait préférable d'appliquer des exclusions ou des exemptions. Pour savoir quand utiliser l'un ou l'autre, reportez-vous à la comparaison des portées
Notes
Par sa conception, Azure Policy n’évalue pas les ressources sous le fournisseur de ressources Microsoft.Resources à partir de l’évaluation de la stratégie, à l’exception des abonnements et des groupes de ressources.
Azure Policy initiatives are a collection of Azure policy definitions that are grouped together toward a specific goal or purpose. By consolidating multiple Azure policies into a single item, Azure Policy initiatives allow centralized control and enforcement of configurations across Azure resources.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.
Décrit la définition d’attribution des stratégies qui est utilisée par Azure Policy pour associer des définitions et des paramètres de stratégie aux ressources à des fins d’évaluation.
Explique comment les définitions d'initiative de stratégie permettent de regrouper les définitions de stratégie à des fins de déploiement sur les ressources Azure de votre organisation.
Décrit comment les informations de base de la définition d’Azure Policy sont utilisées pour établir des conventions pour les ressources Azure dans votre organisation.