Efeito manual de definições da Política do Azure

O novo manual efeito permite autoatestar a conformidade de recursos ou escopos. Ao contrário de outras definições de política que verificam ativamente para avaliação, o efeito Manual permite alterações manuais no estado de conformidade. Para alterar a conformidade de um recurso ou escopo direcionado por uma política manual, você precisa criar um atestado. A prática recomendada é projetar políticas manuais direcionadas ao escopo que define o limite de recursos cuja conformidade precisa ser atestada.

Nota

O suporte para políticas manuais está disponível por meio de várias iniciativas de conformidade regulatória do Microsoft Defender for Cloud. Se você for um cliente da camada Microsoft Defender for Cloud Premium , consulte a visão geral da experiência.

Seguem-se exemplos de iniciativas de política regulamentar que incluem definições de políticas com efeito manual :

• FedRAMP High
• FedRAMP Médio
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

O exemplo a seguir tem como alvo assinaturas do Azure e define o estado de conformidade inicial como Unknown.

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

A defaultState propriedade tem três valores possíveis:

• Unknown: O estado inicial, padrão, dos recursos de destino.
• Compliant: O recurso está em conformidade com seus padrões de política manual
• Non-compliant: O recurso não está em conformidade de acordo com seus padrões de política manual

O mecanismo de conformidade da Política do Azure avalia todos os recursos aplicáveis ao estado padrão especificado na definição (Unknown se não for especificado). Um Unknown estado de conformidade indica que você deve atestar manualmente o estado de conformidade do recurso. Se o estado do efeito não for especificado, o padrão será Unknown. O Unknown estado de conformidade indica que você mesmo deve atestar o estado de conformidade.

A captura de tela a seguir mostra como uma atribuição manual de política com o Unknown estado aparece no portal do Azure:

Quando uma definição de política com manual efeito é atribuída, você pode definir os estados de conformidade de recursos ou escopos direcionados por meio de atestados personalizados. Os atestados também permitem que você forneça informações suplementares opcionais por meio da forma de metadados e links para evidências que acompanham o estado de conformidade escolhido. A pessoa que atribui a política manual pode recomendar um local de armazenamento padrão para evidências, especificando a evidenceStorages propriedade dos metadados da atribuição de política.

Próximos passos

• Analise exemplos em Exemplos de Política do Azure.
• Reveja a estrutura de definição do Azure Policy.
• Entenda como criar políticas de forma programática.
• Saiba como obter dados de conformidade.
• Saiba como corrigir recursos não compatíveis.
• Revise os grupos de gerenciamento do Azure.