Efeito manual das definições do Azure Policy

O novo efeito manual permite que você autoateste a conformidade de recursos ou escopos. Ao contrário de outras definições de política que verificam ativamente a avaliação, o efeito Manual permite alterações manuais no estado de conformidade. Para alterar a conformidade de um recurso ou escopo direcionado por uma política manual, você precisará criar um atestado. A melhor prática é criar políticas manuais direcionadas ao escopo que define o limite de recursos cuja conformidade precisa ser atestada.

Observação

O suporte à política manual está disponível através de várias iniciativas de conformidade regulatória do Microsoft Defender para Nuvem. Se você for um cliente Premium do Microsoft Defender para Nuvem, veja a visão geral da experiência.

Veja a seguir exemplos de iniciativas de política regulatória que incluem definições de política com o efeito manual:

• FedRAMP Alto
• Meio FedRAMP
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

O exemplo a seguir tem como alvo as assinaturas do Azure e define o estado de conformidade inicial como Unknown.

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

A propriedade defaultState tem três valores possíveis:

• Unknown: o estado padrão inicial dos recursos direcionados.
• Compliant: o recurso está em conformidade de acordo com seus padrões de política manual
• Non-compliant: o recurso não está em conformidade de acordo com seus padrões de política manual

O mecanismo de conformidade do Azure Policy avalia todos os recursos aplicáveis ao estado padrão especificado na definição (Unknown se não especificado). Um estado de conformidade Unknown indica que você deve atestar manualmente o estado de conformidade do recurso. Se o estado de efeito não for especificado, ele será padronizado para Unknown. O estado de conformidade Unknown indica que você deve atestar o estado de conformidade por conta própria.

A captura de tela a seguir mostra como uma atribuição de política manual com o estado Unknown aparece no portal do Azure:

Quando uma definição de política com efeito manual é atribuída, você pode definir os estados de conformidade de recursos ou escopos direcionados por meio de atestados personalizados. Os atestados também permitem que você forneça informações complementares opcionais por meio de metadados e links para evidências que acompanham o estado de conformidade escolhido. A pessoa que atribui a política manual pode recomendar um local de armazenamento padrão para evidências especificando a propriedade evidenceStorages dos metadados da atribuição de política.

Próximas etapas

• Examine os exemplos em amostras do Azure Policy.
• Revise a estrutura de definição do Azure Policy.
• Entenda como criar políticas de forma programática.
• Saiba como obter dados de conformidade.
• Saiba como corrigir recursos fora de conformidade.
• Examine os grupos de gerenciamento do Azure.