Efekt ręczny definicji usługi Azure Policy

Nowy manual efekt umożliwia samodzielne potwierdzanie zgodności zasobów lub zakresów. W przeciwieństwie do innych definicji zasad, które aktywnie skanują pod kątem oceny, efekt ręczny umożliwia ręczne zmiany stanu zgodności. Aby zmienić zgodność zasobu lub zakresu objętego zasadami ręcznymi, należy utworzyć zaświadczenie. Najlepszym rozwiązaniem jest zaprojektowanie zasad ręcznych przeznaczonych dla zakresu definiującego granicę zasobów, których zgodność wymaga zaświadczania.

Uwaga

Obsługa zasad ręcznych jest dostępna za pośrednictwem różnych inicjatyw dotyczących zgodności z przepisami Microsoft Defender dla Chmury. Jeśli jesteś klientem Microsoft Defender dla Chmury w warstwie Premium, zapoznaj się z omówieniem ich środowiska.

Poniżej przedstawiono przykłady inicjatyw zasad regulacyjnych, które obejmują definicje zasad z manual efektem:

• FedRAMP High
• FedRAMP Medium
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

Poniższy przykład dotyczy subskrypcji platformy Azure i ustawia początkowy stan zgodności na Unknownwartość .

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

Właściwość defaultState ma trzy możliwe wartości:

• Unknown: początkowy, domyślny stan docelowych zasobów.
• Compliant: Zasób jest zgodny ze standardami zasad ręcznych
• Non-compliant: Zasób jest niezgodny zgodnie ze standardami zasad ręcznych

Aparat zgodności usługi Azure Policy ocenia wszystkie odpowiednie zasoby do stanu domyślnego określonego w definicji (Unknown jeśli nie zostanie określony). Stan Unknown zgodności wskazuje, że należy ręcznie potwierdzić stan zgodności zasobów. Jeśli stan efektu jest nieokreślony, wartość domyślna to Unknown. Stan Unknown zgodności wskazuje, że musisz potwierdzić stan zgodności samodzielnie.

Poniższy zrzut ekranu przedstawia sposób ręcznego przypisywania zasad ze stanem Unknown w witrynie Azure Portal:

Po przypisaniu definicji zasad z manual efektem można ustawić stany zgodności docelowych zasobów lub zakresów za pomocą niestandardowych zaświadczeń. Zaświadczania umożliwiają również podawanie opcjonalnych informacji uzupełniających za pośrednictwem postaci metadanych i linków do dowodów towarzyszących wybranemu stanowi zgodności. Osoba przypisując zasady ręczne może zalecić domyślną lokalizację przechowywania dowodów, określając evidenceStorages właściwość metadanych przypisania zasad.

Następne kroki

• Zapoznaj się z przykładami w przykładach usługi Azure Policy.
• Przejrzyj temat Struktura definicji zasad Azure Policy.
• Dowiedz się, jak programowo tworzyć zasady.
• Dowiedz się, jak uzyskać dane zgodności.
• Dowiedz się, jak korygować niezgodne zasoby.
• Przejrzyj grupy zarządzania platformy Azure.