Nalevingsstatussen van Azure Policy
Hoe naleving werkt
Wanneer initiatief- of beleidsdefinities worden toegewezen, bepaalt Azure Policy welke resources van toepassing zijn en evalueert deze die niet zijn uitgesloten of uitgesloten. Evaluatie levert nalevingsstatussen op op basis van voorwaarden in de beleidsregel en naleving van elke resource aan deze vereisten.
Beschikbare nalevingsstatussen
Niet-compatibel
Beleidstoewijzingen metaudit, auditIfNotExistsof modify effecten worden beschouwd als niet-compatibel voor nieuwe, bijgewerkte of bestaande resources wanneer de voorwaarden van de beleidsregel WAAR evalueren.
Beleidstoewijzingen metappend, denyen deployIfNotExists effecten worden beschouwd als niet-compatibel voor bestaande resources wanneer de voorwaarden van de beleidsregel WAAR evalueren. Nieuwe en bijgewerkte resources worden op aanvraag automatisch hersteld of geweigerd om naleving af te dwingen. Wanneer een eerder bestaande niet-compatibele resource wordt bijgewerkt, blijft de nalevingsstatus niet-compatibel totdat de resource-implementatie en beleidsevaluatie zijn voltooid.
Notitie
Voor de effecten DeployIfNotExist en AuditIfNotExist moet de IF-instructie TRUE en de bestaansvoorwaarde FALSE zijn om niet-compatibel te zijn. Indien TRUE, activeert de IF-voorwaarde de evaluatie van de bestaansvoorwaarde voor de gerelateerde resources.
Beleidstoewijzingen met manual effecten worden beschouwd als niet-compatibel onder twee omstandigheden:
- De beleidsdefinitie heeft een standaardnalevingsstatus van niet-compatibel en er is geen actieve attestation voor de toepasselijke resource die anders vermeldt.
- De resource is getest als niet-compatibel.
Zie Niet-naleving bepalen om te bepalen waarom een resource niet-compatibel is of om de verantwoordelijke wijziging te vinden. Als u niet-compatibele resources voor en beleidsregels wilt herstellen, raadpleegt u Niet-compatibele resources herstellen met Azure Policy.modifydeployIfNotExists
compatibel
Beleidstoewijzingen metappend, audit, , auditIfNotExists, , denyof modifydeployIfNotExistseffecten worden beschouwd als compatibel voor nieuwe, bijgewerkte of bestaande resources wanneer de voorwaarden van de beleidsregel onwaar evalueren.
Beleidstoewijzingen met manual effecten worden beschouwd als compatibel onder twee omstandigheden:
- De beleidsdefinitie heeft een standaardcompatibiliteitsstatus die voldoet aan het beleid en er is geen actieve attestation voor de toepasselijke resource die anders vermeldt.
- De resource is getest als compatibel.
Fout
De nalevingsstatus van fouten wordt gegeven aan beleidstoewijzingen die een systeemfout genereren, zoals sjabloon of evaluatiefout.
Conflicterende
Een beleidstoewijzing wordt beschouwd als conflicterend wanneer er twee of meer beleidstoewijzingen in hetzelfde bereik bestaan met tegenstrijdige of conflicterende regels. Twee definities die dezelfde tag met verschillende waarden toevoegen.
Vrijstelling
Een toepasselijke resource heeft een nalevingsstatus van uitzondering voor een beleidstoewijzing wanneer deze binnen het bereik van een uitzondering valt.
Notitie
Uitsluiten is anders dan uitgesloten. Zie bereik voor meer informatie.
Onbekend
Onbekend is de standaardnalevingsstatus voor definities die van manual kracht zijn, tenzij de standaardinstelling expliciet is ingesteld op compatibel of niet-compatibel. Deze status geeft aan dat een attestation van naleving gerechtvaardigd is. Deze nalevingsstatus vindt alleen plaats voor beleidstoewijzingen die van kracht zijn manual .
Beveiligd
De beveiligde status geeft aan dat de resource wordt gedekt onder een toewijzing met een denyAction-effect .
Niet geregistreerd
Deze nalevingsstatus is zichtbaar in de portal wanneer de Azure Policy-resourceprovider niet is geregistreerd of wanneer het account dat is aangemeld geen machtiging heeft om nalevingsgegevens te lezen.
Notitie
Als de nalevingsstatus wordt gerapporteerd als Niet geregistreerd, controleert u of de Resourceprovider Microsoft.PolicyInsights is geregistreerd en of de gebruiker over de juiste azure RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure beschikt, zoals beschreven in Azure RBAC-machtigingen in Azure Policy. Volg deze stappen om Microsoft.PolicyInsights te registreren.
Niet gestart
Deze nalevingsstatus geeft aan dat de evaluatiecyclus niet is gestart voor het beleid of de resource.
voorbeeld
Nu u weet welke nalevingsstatussen er bestaan en wat elke status betekent, gaan we eens kijken naar een voorbeeld van het gebruik van compatibele en niet-compatibele statussen.
Stel dat u een resourcegroep hebt: ContosoRG, met enkele opslagaccounts (rood gemarkeerd) die beschikbaar zijn voor openbare netwerken.
Diagram met afbeeldingen voor vijf opslagaccounts in de Contoso R G-resourcegroep. Opslagaccounts één en drie zijn blauw, terwijl opslagaccounts twee, vier en vijf rood zijn.
In dit voorbeeld moet u voorzichtig zijn met beveiligingsrisico's. Stel dat u een beleidsdefinitie toewijst die controleert op opslagaccounts die beschikbaar zijn voor openbare netwerken en dat er geen uitzonderingen worden gemaakt voor deze toewijzing. Het beleid controleert op toepasselijke resources (inclusief alle opslagaccounts in de ContosoRG-resourcegroep) en evalueert vervolgens die resources die niet zijn uitgesloten van evaluatie. Hiermee worden de drie opslagaccounts gecontroleerd die beschikbaar zijn voor openbare netwerken, en worden de nalevingsstatussen gewijzigd in Niet-compatibel. De rest wordt gemarkeerd als compatibel.
Diagram met afbeeldingen voor vijf opslagaccounts in de Contoso R G-resourcegroep. Opslagaccounts één en drie hebben nu groene vinkjes eronder, terwijl opslagaccounts twee, vier en vijf nu rode waarschuwingstekens hebben.
Nalevingspakket
De nalevingsstatus wordt per resource, per beleidstoewijzing bepaald. We hebben echter vaak een algemeen beeld nodig van de status van de omgeving, waar cumulatieve naleving in het spel komt.
Er zijn verschillende manieren om geaggregeerde nalevingsresultaten weer te geven in de portal:
| Weergave voor samenvoeging van naleving | Factoren die de nalevingsstatus bepalen |
|---|---|
| Bereik | Alle beleidsregels binnen het geselecteerde bereik |
| Initiatief | Alle beleidsregels binnen het initiatief |
| Initiatiefgroep of -controle | Alle beleidsregels binnen de groep of het besturingselement |
| Beleid | Alle toepasselijke resources |
| Resource | Alle toepasselijke beleidsregels |
Verschillende nalevingsstatussen vergelijken
Hoe wordt de cumulatieve nalevingsstatus bepaald als meerdere resources of beleidsregels zelf verschillende nalevingsstatussen hebben? Azure Policy rangschikt elke nalevingsstatus, zodat de ene 'wint' over een andere in deze situatie. De rangorde is:
- Niet-compatibel
- compatibel
- Fout
- Conflicterende
- Beveiligd (preview)
- Vrijgesteld
- Onbekend (preview)
Notitie
Niet gestart en niet geregistreerd , worden niet meegenomen in berekeningen voor het samenvouwen van naleving.
Met deze classificatie, als er zowel niet-compatibele als compatibele statussen zijn, is de samengetelde statistische functie niet-compatibel, enzovoort. Laten we eens een voorbeeld bekijken:
Stel dat een initiatief tien beleidsregels bevat en dat een resource is vrijgesteld van één beleid, maar voldoet aan de resterende negen. Omdat een compatibele status een hogere rang heeft dan een uitgesloten status, wordt de resource geregistreerd als compatibel in het samengetelde overzicht van het initiatief. Een resource wordt dus alleen weergegeven als vrijgesteld voor het hele initiatief als deze is vrijgesteld van of onbekende naleving heeft voor elk ander toepasselijk beleid in dat initiatief. Aan de andere kant heeft een resource die niet compatibel is met ten minste één toepasselijk beleid in het initiatief een algehele nalevingsstatus van niet-compatibel, ongeacht het resterende toepasselijke beleid.
Nalevingspercentage
Het nalevingspercentage wordt bepaald door compatibele, vrijgestelde en onbekende resources te delen door het totale aantal resources. Totaal aantal resources zijn resources met de status Compatibel, Niet-compatibel, Onbekend, Uitgesloten, Conflicterend en Fout.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
In de weergegeven afbeelding zijn er 20 afzonderlijke resources die van toepassing zijn en slechts één niet-compatibel is. De algehele resourcecompatibiliteit is 95% (19 van de 20).
Volgende stappen
- Meer informatie over het ophalen van nalevingsgegevens
- Meer informatie over het bepalen van oorzaken van niet-naleving
- Nalevingsgegevens ophalen via ARG-queryvoorbeelden