Manuell effekt för Azure Policy-definitioner

Med den nya manual effekten kan du själv intyga efterlevnaden av resurser eller omfång. Till skillnad från andra principdefinitioner som aktivt söker efter utvärdering tillåter den manuella effekten manuella ändringar av efterlevnadstillståndet. Om du vill ändra efterlevnaden för en resurs eller ett omfång som mål för en manuell princip måste du skapa en attestering. Det bästa sättet är att utforma manuella principer som är inriktade på det omfång som definierar gränsen för resurser vars efterlevnad behöver intygas.

Kommentar

Stöd för manuell princip finns tillgängligt via olika Microsoft Defender för molnet initiativ för regelefterlevnad. Om du är en Microsoft Defender för molnet Premium-nivåkund kan du läsa översikten över deras upplevelse.

Följande är exempel på regleringspolitiska initiativ som innehåller principdefinitioner med manual effekten:

• FedRAMP High
• FedRAMP Medium
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

Följande exempel riktar in sig på Azure-prenumerationer och anger det inledande efterlevnadstillståndet till Unknown.

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

Egenskapen defaultState har tre möjliga värden:

• Unknown: Det inledande standardtillståndet för målresurserna.
• Compliant: Resursen är kompatibel enligt dina manuella principstandarder
• Non-compliant: Resursen är inte kompatibel enligt dina manuella principstandarder

Azure Policy-efterlevnadsmotorn utvärderar alla tillämpliga resurser till standardtillståndet som anges i definitionen (Unknown om den inte anges). Ett Unknown efterlevnadstillstånd anger att du manuellt måste intyga resursefterlevnadstillståndet. Om effekttillståndet är ospecificerat är standardvärdet Unknown. Efterlevnadstillståndet Unknown anger att du själv måste intyga efterlevnadstillståndet.

Följande skärmbild visar hur en manuell principtilldelning med Unknown tillståndet visas i Azure-portalen:

När en principdefinition med manual verkan tilldelas kan du ange efterlevnadstillstånd för målresurser eller omfång via anpassade attesteringar. Med attesteringar kan du också ange valfri kompletterande information via form av metadata och länkar till bevis som medföljer det valda efterlevnadstillståndet. Den person som tilldelar den manuella principen kan rekommendera en standardlagringsplats för bevis genom att evidenceStorages ange egenskapen för principtilldelningens metadata.

Nästa steg

• Granska exempel i Azure Policy-exempel.
• Granska Azure Policy-definitionsstrukturen.
• Förstå hur du programmatiskt skapar principer.
• Lär dig hur du hämtar efterlevnadsdata.
• Lär dig hur du åtgärdar icke-kompatibla resurser.
• Granska Azure-hanteringsgrupper.