Wat is Azure Policy?

Met Azure Policy kunt u organisatiestandaarden afdwingen en compliance op schaal beoordelen. Via het compliancedashboard biedt het een geaggregeerde weergave om de algehele status van de omgeving te evalueren, met de mogelijkheid om in te zoomen op de granulariteit per resource, per beleid. Hiermee kunt u ook zorgen voor compliance van uw resources via bulkherstel voor bestaande resources en automatisch herstel voor nieuwe resources.

Notitie

Zie Niet-compatibele resources herstellen met Azure Policy voor meer informatie over herstel.

Veelvoorkomende use-cases voor Azure Policy zijn onder andere het implementeren van governance voor consistentie van resources, naleving van de regelgeving, beveiliging, kosten en beheer. Beleidsdefinities voor deze veelvoorkomende use-cases zijn al ingebouwd in uw Azure-omgeving om u op weg te helpen.

Enkele nuttige beheeracties die u met Azure Policy kunt afdwingen, zijn met name:

  • Ervoor zorgen dat uw team Azure-resources alleen implementeert in toegestane regio's
  • De consistente toepassing van taxonomische tags afdwingen
  • Vereisen dat resources diagnostische logboeken verzenden naar een Log Analytics-werkruimte

Het is belangrijk te erkennen dat u met de introductie van Azure Arc uw op beleid gebaseerde governance kunt uitbreiden tussen verschillende cloudproviders en zelfs naar uw lokale datacenters.

Alle gegevens en objecten van Azure Policy worden versleuteld wanneer ze inactief zijn. Zie Versleuteling van inactieve gegevens in Azurevoor meer informatie.

Overzicht

Azure Policy evalueert resources en acties in Azure door de eigenschappen van deze resources te vergelijken met bedrijfsregels. Deze bedrijfsregels, zoals beschreven in JSON-indeling, worden ook wel beleidsdefinities genoemd. Om het beheer te vereenvoudigen, kunnen meerdere bedrijfsregels worden gegroepeerd in een beleidsinitiatief (ook wel een policySet genoemd). Zodra uw bedrijfsregels zijn gemaakt, wordt de beleidsdefinitie of het initiatief toegewezen aan elk bereik van resources dat door Azure wordt ondersteund, zoals beheergroepen, abonnementen, resourcegroepen of afzonderlijke resources. De toewijzing is van toepassing op alle resources binnen het Resource Manager-bereik van deze toewijzing. Subbereiken kunnen zo nodig worden uitgesloten. Zie Bereik in Azure Policy voor meer informatie.

Azure Policy maakt gebruik van een JSON-indeling om de logica te vormen die door de evaluatie wordt gebruikt om te bepalen of een resource compatibel is of niet. Definities bevatten metagegevens en de beleidsregel. De gedefinieerde regel kan gebruikmaken van functies, parameters, logische operators, voorwaarden en eigenschapsaliassen voor een precieze afstemming op het gewenste scenario. De beleidsregel bepaalt welke resources in het bereik van de toewijzing worden geëvalueerd.

Inzicht in evaluatieresultaten

Resources worden geëvalueerd op specifieke tijdstippen tijdens de levenscyclus van resources, de levenscyclus van de beleidstoewijzing en voor een normale doorlopende evaluatie van de compliance. Hierna volgen de tijden waarop of gebeurtenissen waardoor een resource wordt geëvalueerd:

  • Een resource wordt gemaakt of bijgewerkt in een bereik met een beleidstoewijzing.
  • Een beleid of initiatief wordt voor het eerst toegewezen aan een bereik.
  • Een beleid of initiatief dat al is toegewezen aan een bereik, wordt bijgewerkt.
  • Tijdens de standaardevaluatiecyclus van de compliance, één keer elke 24 uur.

Zie Evaluatietriggers voor gedetailleerde informatie over wanneer en hoe de beleidsevaluatie wordt uitgevoerd.

De reactie op een evaluatie beheren

Bedrijfsregels voor het verwerken van niet-compatibele resources verschillen nogal tussen organisaties. Enkele voorbeelden van hoe een organisatie wil dat het platform reageert op een niet-compatibele resource:

  • De resourcewijziging weigeren
  • De wijziging in de resource vastleggen
  • De resource aanpassen vóór de wijziging
  • De resource aanpassen na de wijziging
  • Gerelateerde, compatibele resources implementeren
  • Acties voor resources blokkeren

Azure Policy maakt al deze bedrijfsreacties mogelijk door effecten toe te passen. Effecten worden ingesteld in het gedeelte beleidsregel van de beleidsdefinitie.

Niet-compatibele resources herstellen

Hoewel deze effecten voornamelijk van invloed zijn op een resource wanneer de resource wordt gemaakt of bijgewerkt, ondersteunt Azure Policy ook het verwerken van bestaande niet-compatibele resources zonder dat deze resource hoeft te worden aangepast. Zie Resources herstellen voor meer informatie over het compatibel maken van bestaande resources.

Video-overzicht

Het volgende overzicht van Azure Policy is afkomstig van build 2018. Voor het downloaden van dia's of video's, gaat u naar Azure-omgeving beheren via Azure Policy op Channel 9.

Aan de slag

Azure Policy en Azure RBAC

Er zijn enkele belangrijke verschillen tussen Azure Policy en op rollen gebaseerd toegangsbeheer (Azure RBAC). Azure Policy evalueert de status door de eigenschappen te bekijken van resources die worden weergegeven in Resource Manager en de eigenschappen van sommige resourceproviders. Azure Policy zorgt ervoor dat de resourcestatus voldoet aan uw bedrijfsregels zonder dat het uitmaakt wie de wijziging heeft aangebracht of wie toestemming heeft om een wijziging aan te brengen. Azure Policy via DenyAction-effect kan ook bepaalde acties voor resources blokkeren. Sommige Azure Policy-resources, zoals beleidsdefinities, initiatiefdefinities en toewijzingen, zijn zichtbaar voor alle gebruikers. Dit ontwerp maakt transparantie mogelijk voor alle gebruikers en services voor welke beleidsregels in hun omgeving worden ingesteld.

Azure RBAC is gericht op het beheer van gebruikersacties in verschillende bereiken. Als het beheer van een actie is vereist op basis van gebruikersgegevens, is Azure RBAC het juiste hulpprogramma om te gebruiken. Zelfs als een persoon een actie mag uitvoeren, blokkeert Azure Policy toch het maken of bijwerken als het resultaat een niet-compatibele resource is.

Door de combinatie van Azure RBAC en Azure Policy beschikt u over volledig bereikbeheer in Azure.

Azure RBAC-machtigingen in Azure Policy

Azure Policy heeft diverse machtigingen, oftewel bewerkingen, in twee verschillende resourceproviders:

Veel ingebouwde rollen verlenen machtigingen aan Azure Policy-resources. De rol Inzender voor resourcebeleid bevat de meeste Azure Policy-bewerkingen. Degene met de rol Eigenaar heeft volledige rechten. Zowel Inzender als Lezer heeft toegang tot alle leesbewerkingen in Azure Policy.

Inzender kan herstel van resources activeren, maar kan geen definities en toewijzingen maken of bijwerken . De rol Beheerder van gebruikerstoegang is vereist om de benodigde machtigingen voor de beheerde identiteit van deployIfNotExists- of modify-toewijzingen te verlenen.

Notitie

Alle beleidsobjecten, inclusief definities, initiatieven en toewijzingen, zijn leesbaar voor alle rollen binnen het bereik. Een beleidstoewijzing die is gericht op een Azure-abonnement, kan bijvoorbeeld worden gelezen door alle rolhouders in het abonnementsbereik en hieronder.

Als geen van de ingebouwde rollen de vereiste machtigingen heeft, maakt u een aangepaste rol.

Azure Policy-bewerkingen kunnen een aanzienlijk effect hebben op uw Azure-omgeving. Alleen de minimale set machtigingen die nodig zijn om een taak uit te voeren, moet worden toegewezen en deze machtigingen mogen niet worden verleend aan gebruikers die ze niet nodig hebben.

Notitie

De beheerde identiteit van een deployIfNotExists of het wijzigen van beleidstoewijzing heeft voldoende machtigingen nodig om gerichte resources te maken of bij te werken. Zie Beleidsdefinities voor herstel configureren voor meer informatie.

Speciale machtigingenvereiste voor Azure Policy met Azure Virtual Network Manager

Met Azure Virtual Network Manager (preview) kunt u consistent beheer- en beveiligingsbeleid toepassen op meerdere virtuele Azure-netwerken (VNets) in uw cloudinfrastructuur. Dynamische groepen van Azure Virtual Network Manager (AVNM) maken gebruik van Azure Policy-definities om het VNet-lidmaatschap van die groepen te evalueren.

Als u dynamisch groepsbeleid voor Azure Virtual Network Manager wilt maken, bewerken of verwijderen, hebt u het volgende nodig:

  • Azure RBAC-machtigingen lezen en schrijven voor het onderliggende beleid
  • Azure RBAC-machtigingen voor deelname aan de netwerkgroep (klassieke Beheer-autorisatie wordt niet ondersteund).

In het bijzonder is Microsoft.Network/networkManagers/networkGroups/join/actionde vereiste machtiging voor de resourceprovider .

Belangrijk

Als u dynamische AVNM-groepen wilt wijzigen, moet u alleen toegang krijgen via Azure RBAC-roltoewijzing. Klassieke Beheer/verouderde autorisatie wordt niet ondersteund. Dit betekent dat als uw account alleen de rol van co-beheerder-abonnement heeft toegewezen, u geen machtigingen hebt voor dynamische AVNM-groepen.

Resources die worden gedekt door Azure Policy

Hoewel een beleid kan worden toegewezen op het niveau van de beheergroep, worden alleen resources op abonnements- of resourcegroepniveau geëvalueerd.

Voor bepaalde resourceproviders, zoals machineconfiguratie, Azure Kubernetes Service en Azure Key Vault, is er een diepere integratie voor het beheren van instellingen en objecten. Voor meer informatie gaat u naar de resourceprovidermodi.

Aanbevelingen voor het beheren van beleid

Enkele tips om rekening mee te houden:

  • Begin met een audit of auditIfNotExist effect in plaats van een afdwingingseffect (deny, modify, deployIfNotExist) om de impact van uw beleidsdefinitie op de resources in uw omgeving bij te houden. Als u al scripts hebt om uw toepassingen automatisch te schalen, kan het instellen van een afdwingingseffect dergelijke automatiseringstaken belemmeren.

  • U kunt bij het maken van definities en toewijzingen gebruikmaken van organisatiehiërarchieën. Het is raadzaam om op een hoger niveau definities te maken, zoals op het niveau van de beheergroep of het abonnement. Vervolgens maakt u de toewijzing op het eerstvolgende onderliggende niveau. Als u een definitie voor een beheergroep maakt, kan de toewijzing worden gericht op een abonnement of resource in die beheergroep.

  • Het is raadzaam om initiatiefdefinities te maken en toe te wijzen, zelfs voor slechts één beleidsdefinitie. U hebt bijvoorbeeld de beleidsdefinitie policyDefA en u maakt deze met de initiatiefdefinitie initiativeDefC. Als u later nog een beleidsdefinitie maakt voor policyDefB, met doelen die lijken op die van policyDefA, kunt u deze toevoegen bij initiativeDefC en ze samen volgen.

    • Als u een initiatieftoewijzing hebt gemaakt, worden beleidsdefinities die worden toegevoegd aan het initiatief ook deel van de toewijzingen van het initiatief.

    • Wanneer een initiatieftoewijzing wordt beoordeeld, worden alle beleidsregels in het initiatief ook beoordeeld. Als u een beleidsregel afzonderlijk wilt beoordelen, is het beter deze niet op te nemen in een initiatief.

  • Beheer Azure Policy-resources als code met handmatige beoordelingen over wijzigingen in beleidsdefinities, initiatieven en toewijzingen. Zie Azure Policy ontwerpen als codewerkstromen voor meer informatie over voorgestelde patronen en hulpprogramma's.

Azure Policy-objecten

Beleidsdefinitie

Het maken en implementeren van een beleidsregel in Azure Policy begint met het maken van een beleidsdefinitie. Elke beleidsdefinitie heeft voorwaarden voor het afdwingen ervan. Er is een bijbehorend effect dat wordt uitgevoerd als aan de voorwaarden wordt voldaan.

In Azure Policy wordt een aantal ingebouwde beleidsregels geboden dat standaard beschikbaar is. Bijvoorbeeld:

  • Toegestane SKU's voor opslagaccounts (weigeren): bepaalt of een opslagaccount dat wordt geïmplementeerd zich binnen een set SKU-grootten bevindt. Het bijbehorende effect is om alle opslagaccounts te weigeren die niet in overeenstemming zijn met de gedefinieerde SKU-grootten.
  • Toegestaan resourcetype (weigeren): definieert de resourcetypen die u kunt implementeren. Het bijbehorende effect is om alle resources te weigeren die geen deel uitmaken van deze gedefinieerde lijst.
  • Toegestane locaties (Weigeren): Hiermee beperkt u de beschikbare locaties voor nieuwe resources. Het bijbehorende effect wordt gebruikt om uw geografisch nalevingsvereisten af te dwingen.
  • Toegestane SKU's voor virtuele machines (weigeren): Hiermee geeft u een set SKU's voor virtuele machines op die u kunt implementeren.
  • Voeg een tag toe aan resources (Wijzigen): Hiermee past u een vereiste tag en de standaardwaarde toe als deze niet is opgegeven door de implementatieaanvraag.
  • Niet-toegestane resourcetypen (Weigeren): Hiermee voorkomt u dat een lijst met resourcetypen wordt geïmplementeerd.

Als u deze beleidsdefinities (zowel ingebouwde als aangepaste definities) wilt implementeren, moet u deze toewijzen. U kunt elk van deze typen beleid toewijzen via Azure Portal, PowerShell of Azure CLI.

Beleid wordt beoordeeld bij verschillende acties, zoals het toewijzen of bijwerken van beleidsregels. Zie voor een volledige lijst Beleidbeoordelingstriggers.

Raadpleeg Structuur van beleidsdefinities voor meer informatie over de structuur van beleidsdefinities.

Beleidsparameters helpen uw beleidsbeheer te vereenvoudigen door het aantal beleidsdefinities te verminderen dat u moet maken. U kunt bij het maken van een beleidsdefinitie parameters definiëren om deze algemener te maken. Vervolgens kunt u deze beleidsdefinitie hergebruiken voor verschillende scenario's. Dit doet u door verschillende waarden door te voeren bij het toepassen van de beleidsdefinitie. Bijvoorbeeld, door een reeks locaties voor een abonnement op te geven.

Parameters worden gedefinieerd bij het maken van een beleidsdefinitie. Als een parameter wordt gedefinieerd, krijgt deze een naam en optioneel een waarde. U kunt bijvoorbeeld een parameter definiëren voor een beleid met de naam locatie. Vervolgens kunt u deze verschillende waarden toekennen, zoals EastUS of WestUS bij het toewijzen van beleid.

Zie Definitiestructuur - parameters voor meer informatie over beleidsparameters.

Initiatiefdefinitie

Een initiatiefdefinitie is een verzameling beleidsdefinities die zijn afgestemd op het bereiken van een enkel overkoepelend doel. Initiatiefdefinities maken het beheren en toewijzen van beleidsdefinities eenvoudiger. Dit gebeurt door het groeperen van een reeks beleidsregels als één item. U kunt bijvoorbeeld een initiatief maken met de titel Bewaking inschakelen in Microsoft Defender voor Cloud, met als doel alle beschikbare beveiligingsaankopen in uw Microsoft Defender voor Cloud exemplaar te bewaken.

Notitie

De SDK, zoals Azure CLI en Azure PowerShell, maken gebruiken van eigenschappen en parameters met de naam PolicySet om te verwijzen naar initiatieven.

Onder dit initiatief vallen beleidsdefinities zoals:

  • Niet-versleutelde SQL Database bewaken in Microsoft Defender voor Cloud: voor het bewaken van niet-versleutelde SQL-databases en -servers.
  • Besturingssysteemproblemen bewaken in Microsoft Defender voor Cloud: voor het bewaken van servers die niet voldoen aan de geconfigureerde basislijn.
  • Ontbrekende Endpoint Protection bewaken in Microsoft Defender voor Cloud: voor het bewaken van servers zonder een geïnstalleerde Endpoint Protection-agent.

Net zoals beleidsparameters helpen initiatiefparameters om initiatiefbeheer te vereenvoudigen door redundantie te verminderen. Initiatiefparameters zijn de parameters die worden gebruikt voor de beleidsdefinities binnen het initiatief.

Neem bijvoorbeeld een scenario met initiatiefdefinitie initiativeC, waarbij voor beleidsdefinities policyA en policyB elk een ander type parameter wordt verwacht:

Beleid Naam van parameter Type parameter Notitie
policyA allowedLocations matrix Op basis van deze parameter wordt een lijst met tekenreeksen verwacht voor een waarde, omdat het parametertype is gedefinieerd als een matrix
policyB allowedSingleLocation tekenreeks Op basis van deze parameter wordt één woord verwacht voor een waarde, omdat het parametertype is gedefinieerd als een tekenreeks

In dit scenario hebt u, bij het definiëren van de initiatiefparameters voor initiativeC, drie opties:

  • Gebruik de parameters van de beleidsdefinities binnen dit initiatief: in dit voorbeeld worden allowedLocations en allowedSingleLocation initiatiefparameters voor initiativeC .
  • Geef waarden op voor de parameters van de beleidsdefinities binnen deze initiatiefdefinitie. In dit voorbeeld kunt u een lijst met locaties opgeven voor de parameter van policyA , allowedLocations en policyB's parameter - allowedSingleLocation. U kunt ook waarden opgeven bij het toewijzen van dit initiatief.
  • Geef een lijst met waardeopties op die kunnen worden gebruikt bij het toewijzen van dit initiatief. Als u dit initiatief toewijst, kunnen de overgenomen parameters van de beleidsdefinities binnen het initiatief, alleen waarden hebben uit de opgegeven lijst.

Als u waardeopties maakt in een initiatiefdefinitie, is het niet mogelijk om tijdens het toewijzen van het initiatief andere waarden op te geven, omdat deze niet op de lijst staan.

Zie Structuur van initiatiefdefinities voor meer informatie over de structuur van initiatiefdefinities.

Toewijzingen

Een toewijzing is een beleidsdefinitie of initiatief die is toegewezen aan een specifiek bereik. Dit bereik kan variëren van een beheergroep tot een afzonderlijke resource. De term bereik verwijst naar alle resources, resourcegroepen, abonnementen of beheergroepen waaraan de definitie is toegewezen. Toewijzingen worden overgenomen door alle onderliggende resources. Dit betekent dat als een definitie wordt toegepast op een resourcegroep, deze ook van toepassing is op alle resources in de resourcegroep. U kunt echter een subbereik uitsluiten van de toewijzing.

U kunt op het abonnementsbereik bijvoorbeeld een definitie toepassen op basis waarvan het maken van netwerkresources wordt voorkomen. U kunt echter één resourcegroep binnen het abonnement uitsluiten, namelijk degene die is bedoeld voor netwerkinfrastructuur. U verleent vervolgens toegang tot deze netwerkresourcegroep aan gebruikers aan wie u het maken van de netwerkresourcegroep toevertrouwt.

In een ander voorbeeld kunt u een acceptatielijstdefinitie van het resourcetype toewijzen op het niveau van de beheergroep. Vervolgens wijst u een ruimer beleid (zodat meer resourcetypen zijn toegestaan) toe via een onderliggende beheergroep of zelfs rechtstreeks in abonnementen. Dit voorbeeld zou echter niet goed werken, omdat Azure Policy een expliciet weigersysteem is. In plaats daarvan moet u de onderliggende beheergroep of het abonnement uitsluiten van de toewijzing op beheergroepniveau. Vervolgens kunt u de ruimere definitie toewijzen aan het niveau van de onderliggende beheergroep of het abonnement. Als toewijzingsresultaten in een resource worden geweigerd, is het aanpassen van de weigeringstoewijzing de enige manier om de resource toe te staan.

Beleidstoewijzingen gebruiken altijd de meest recente status van hun toegewezen definitie of initiatief bij het evalueren van resources. Als een beleidsdefinitie die al is toegewezen, wordt gewijzigd, gebruiken alle bestaande toewijzingen van die definitie de bijgewerkte logica bij het evalueren.

Zie Een beleidstoewijzing maken om niet-compatibele resources in uw Azure-abonnement te identificeren voor meer informatie over het instellen van toewijzingen via de portal. Er zijn ook stappen voor PowerShell en Azure CLI beschikbaar. Zie Toewijzingsstructuur voor meer informatie over de toewijzingsstructuur.

Maximum aantal Azure Policy-objecten

Voor elk objecttype in Azure Policy bestaat er een maximum. Voor definities betekent Bereik de beheergroep of het abonnement. Voor toewijzingen en uitzonderingen betekent Bereik de beheergroep, het abonnement, de resource groep of een afzonderlijke resource.

Waar Wat Maximum
Bereik Beleidsdefinities 500
Bereik Initiatiefdefinities 200
Tenant Initiatiefdefinities 2500
Bereik Beleids- of initiatieftoewijzingen 200
Bereik Vrijstellingen 1000
Beleidsdefinitie Parameters 20
Initiatiefdefinitie Beleidsregels 1000
Initiatiefdefinitie Parameters 400
Beleids- of initiatieftoewijzingen Uitzonderingen (geen bereiken) 400
Beleidsregel Geneste voorwaarden 512
Hersteltaak Resources 50,000
Hoofdtekst van beleidsdefinitie, initiatief of toewijzingsaanvraag Bytes 1.048.576

Beleidsregels hebben extra limieten voor het aantal voorwaarden en hun complexiteit. Zie Limieten voor beleidsregels voor meer informatie.

Volgende stappen

Nu u een overzicht hebt van Azure Policy en enkele van de belangrijkste geïntroduceerde concepten, ziet u hier de voorgestelde volgende stappen: