Nalevingsstatussen van Azure Policy
Hoe naleving werkt
Wanneer initiatief- of beleidsdefinities worden toegewezen, bepaalt Azure Policy welke resources van toepassing zijn en evalueert deze resources die niet zijn uitgesloten of uitgesloten. Evaluatie levert nalevingsstatussen op op basis van voorwaarden in de beleidsregel en elke resources die voldoen aan deze vereisten.
Beschikbare nalevingsstatussen
Niet-compatibel
Beleidstoewijzingen metaudit, auditIfNotExistsof modify effecten worden beschouwd als niet-compatibel voor nieuwe, bijgewerkte of bestaande resources wanneer de voorwaarden van de beleidsregel evalueren.TRUE
Beleidstoewijzingen met append, denyen deployIfNotExists effecten worden beschouwd als niet-compatibel voor bestaande resources wanneer de voorwaarden van de beleidsregel worden TRUEgeëvalueerd. Nieuwe en bijgewerkte resources worden op aanvraag automatisch hersteld of geweigerd om naleving af te dwingen. Wanneer een eerder bestaande niet-compatibele resource wordt bijgewerkt, blijft de nalevingsstatus niet-compatibel totdat de resource-implementatie en beleidsevaluatie zijn voltooid.
Notitie
De deployIfNotExists en auditIfNotExists effecten vereisen dat de IF-instructie WAAR is en dat de bestaansvoorwaarde ONWAAR is om niet-compatibel te zijn. Indien TRUE, activeert de IF-voorwaarde de evaluatie van de bestaansvoorwaarde voor de gerelateerde resources.
Beleidstoewijzingen met manual effecten worden beschouwd als niet-compatibel onder twee omstandigheden:
- De beleidsdefinitie heeft een standaardnalevingsstatus van niet-compatibel en er is geen actieve attestation voor de toepasselijke resource die anders vermeldt.
- De resource is getest als niet-compatibel.
Zie Oorzaken van niet-naleving bepalen om te bepalen waarom een resource niet compatibel is of om de verantwoordelijke wijziging te vinden. Als u niet-compatibele resources voor en beleidsregels wilt herstellen, raadpleegt u Niet-compatibele resources herstellen met Azure Policy.modify deployIfNotExists
compatibel
Beleidstoewijzingen met append, audit, auditIfNotExists, , , denyof modify deployIfNotExistseffecten worden beschouwd als compatibel voor nieuwe, bijgewerkte of bestaande resources wanneer de voorwaarden van de beleidsregel evalueren .FALSE
Beleidstoewijzingen met manual effecten worden beschouwd als compatibel onder twee omstandigheden:
- De beleidsdefinitie heeft een standaardcompatibiliteitsstatus die voldoet aan het beleid en er is geen actieve attestation voor de toepasselijke resource die anders vermeldt.
- De resource is getest als compatibel.
Error
De nalevingsstatus van fouten wordt gegeven aan beleidstoewijzingen die een systeemfout genereren, zoals sjabloon of evaluatiefout.
Conflicterende
Een beleidstoewijzing wordt beschouwd als conflicterend wanneer er twee of meer beleidstoewijzingen in hetzelfde bereik bestaan met tegenstrijdige of conflicterende regels. Twee definities die dezelfde tag met verschillende waarden toevoegen.
Vrijstelling
Een toepasselijke resource heeft een nalevingsstatus van uitzondering voor een beleidstoewijzing wanneer deze binnen het bereik van een uitzondering valt.
Notitie
Uitsluiten is anders dan uitgesloten. Zie Bereik in Azure Policy begrijpen voor meer informatie.
Onbekend
Onbekend is de standaardnalevingsstatus voor definities die van manual kracht zijn, tenzij de standaardinstelling expliciet is ingesteld op compatibel of niet-compatibel. Deze status geeft aan dat een attestation van naleving gerechtvaardigd is. Deze nalevingsstatus vindt alleen plaats voor beleidstoewijzingen die van kracht zijn manual .
Beveiligd
De beveiligde status geeft aan dat de resource wordt gedekt onder een toewijzing met een denyAction-effect .
Niet geregistreerd
Deze nalevingsstatus is zichtbaar in Azure Portal wanneer de Azure Policy-resourceprovider niet is geregistreerd of wanneer het aangemelde account geen machtiging heeft om nalevingsgegevens te lezen.
Notitie
Als de nalevingsstatus wordt gerapporteerd als Niet geregistreerd, controleert u of de Microsoft.PolicyInsights resourceprovider is geregistreerd en of de gebruiker de juiste azure RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) heeft, zoals beschreven in Azure RBAC-machtigingen in Azure Policy.
Volg de stappen in Azure-resourceproviders en -typen om u te registrerenMicrosoft.PolicyInsights.
Niet gestart
Deze nalevingsstatus geeft aan dat de evaluatiecyclus niet is gestart voor het beleid of de resource.
Opmerking
Nu u weet welke nalevingsstatussen er bestaan en wat elke status betekent, gaan we eens kijken naar een voorbeeld van het gebruik van compatibele en niet-compatibele statussen.
Stel dat u een resourcegroep hebt: ContosoRG, met enkele opslagaccounts (rood gemarkeerd) die beschikbaar zijn voor openbare netwerken.
Diagram met afbeeldingen voor vijf opslagaccounts in de Contoso R G-resourcegroep. Opslagaccounts één en drie zijn blauw, terwijl opslagaccounts twee, vier en vijf rood zijn.
In dit voorbeeld moet u voorzichtig zijn met beveiligingsrisico's. Stel dat u een beleidsdefinitie toewijst die controleert op opslagaccounts die beschikbaar zijn voor openbare netwerken en dat er geen uitzonderingen worden gemaakt voor deze toewijzing. Het beleid controleert op toepasselijke resources (inclusief alle opslagaccounts in de ContosoRG-resourcegroep) en evalueert vervolgens die resources die niet zijn uitgesloten van evaluatie. Hiermee worden de drie opslagaccounts gecontroleerd die beschikbaar zijn voor openbare netwerken, en worden de nalevingsstatussen gewijzigd in Niet-compatibel. De resten zijn gemarkeerd als compatibel.
Diagram met afbeeldingen voor vijf opslagaccounts in de Contoso R G-resourcegroep. Opslagaccounts één en drie hebben nu groene vinkjes eronder, terwijl opslagaccounts twee, vier en vijf nu rode waarschuwingstekens hebben.
Nalevingspakket
De nalevingsstatus wordt per resource, per beleidstoewijzing bepaald. We hebben echter vaak een algemeen beeld nodig van de status van de omgeving, waar cumulatieve naleving in het spel komt.
Er zijn verschillende manieren om geaggregeerde nalevingsresultaten weer te geven in de portal:
| Weergave voor samenvoeging van naleving | Factoren die de nalevingsstatus bepalen |
|---|---|
| Bereik | Alle beleidsregels binnen het geselecteerde bereik |
| Initiatief | Alle beleidsregels binnen het initiatief |
| Initiatiefgroep of -controle | Alle beleidsregels binnen de groep of het besturingselement |
| Beleid | Alle toepasselijke resources |
| Bron | Alle toepasselijke beleidsregels |
Verschillende nalevingsstatussen vergelijken
Hoe wordt de cumulatieve nalevingsstatus bepaald als meerdere resources of beleidsregels zelf verschillende nalevingsstatussen hebben? Azure Policy rangschikt elke nalevingsstatus, zodat de ene de andere in deze situatie wint . De rangorde is:
- Niet-compatibel
- compatibel
- Error
- Conflicterende
- Beveiligd (preview)
- Vrijgesteld
- Onbekend (preview)
Notitie
Niet gestart en niet geregistreerd , worden niet meegenomen in berekeningen voor het samenvouwen van naleving.
Als er in deze rangorde zowel niet-compatibele als compatibele statussen zijn, is de samengetelde statistische functie niet-compatibel, enzovoort. Laten we eens een voorbeeld bekijken:
Stel dat een initiatief tien beleidsregels bevat en dat een resource is vrijgesteld van één beleid, maar voldoet aan de resterende negen. Omdat een compatibele status een hogere rang heeft dan een uitgesloten status, wordt de resource geregistreerd als compatibel in het samengetelde overzicht van het initiatief. Een resource wordt dus alleen weergegeven als vrijgesteld voor het hele initiatief als deze is vrijgesteld van of onbekende naleving heeft voor elk ander toepasselijk beleid in dat initiatief. Aan de andere kant heeft een resource die niet compatibel is met ten minste één toepasselijk beleid in het initiatief een algehele nalevingsstatus van niet-compatibel, ongeacht het resterende toepasselijke beleid.
Nalevingspercentage
Het nalevingspercentage wordt bepaald door compatibele, vrijgestelde en onbekende resources te delen door het totale aantal resources. Totaal aantal resources zijn resources met de status Compatibel, Niet-compatibel, Onbekend, Uitgesloten, Conflicterend en Fout.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
In de weergegeven afbeelding zijn er 20 afzonderlijke resources die van toepassing zijn en slechts één niet-compatibel is. De algehele resourcecompatibiliteit is 95% (19 van de 20).
Volgende stappen
- Meer informatie over het ophalen van nalevingsgegevens
- Meer informatie over het bepalen van oorzaken van niet-naleving
- Nalevingsgegevens ophalen via Azure Resource Graph-voorbeeldquery's voor Azure Policy