创建例外以部署 Microsoft Purview

许多订阅都有限制某些资源的创建或更新的 Azure 策略 。 这是为了维护订阅安全和清洁。 但是，Microsoft Purview 帐户在创建 Azure 存储帐户时会部署该帐户。 它将由 Azure 管理，因此无需维护它，但 Microsoft Purview 必须正确运行。 现有策略可能会阻止此部署，并且你可能会在尝试创建 Microsoft Purview 帐户时收到错误。

Microsoft Purview 还会在创建后定期更新其 Azure 存储帐户，因此阻止更新此存储帐户的任何策略都会在扫描过程中导致错误。

若要在订阅中维护策略，但仍允许创建和更新这些托管资源，可以创建异常。

为 Microsoft Purview 创建 Azure 策略例外

1. 导航到Azure 门户并搜索“策略”。

   

2. 在“创作”菜单中选择“定义”。

3. 选择“ + 策略定义 ”按钮。

4. 在 “定义位置”下，选择要在其中部署 Microsoft Purview 帐户的订阅。

5. 为策略命名，并将此策略规则 JSON 复制到“策略规则”字段中。

   注意

   标记可以命名为任何内容，前提是在所有位置使用相同的名称。 我们的示例使用 resourceBypass。

   {
   "mode": "All",
     "policyRule": {
       "if": {
         "anyOf": [
         {
           "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.Storage/storageAccounts"
           },
           {
             "not": {
               "field": "tags['<resourceBypass>']",
               "exists": true
             }
           }]
         }
         ]
       },
       "then": {
         "effect": "deny"
       }
     },
     "parameters": {}
   }
   

   注意

   可以编辑现有策略，而不是创建新策略，添加带有 标记的“not”字段。

6. 选择“保存”。

7. 在“策略”页上，选择“创作”菜单下的“ 分配 ”。

8. 选择“ 分配策略 ”，并使用创建的自定义 策略创建策略分配 。

   

   重要

   根据订阅中部署的其他策略或区域，在分配策略时，可能需要在“高级”选项卡下添加资源选择器。 例如，可能需要将 resourceLocation 的资源选择器设置为要在其中部署 Microsoft Purview 帐户的区域。 有关这些条件的详细信息，请参阅 有关位置条件的文档。

9. 然后“审阅 + 创建”。

10. 创建策略后，请确保在创建期间或创建后将标记添加到 Microsoft Purview 帐户的 “标记 ”下。 例如，如果在创建策略时使用了名称 resourceBypass ，则应添加值为 resourceBypass “allowed”的标记。

    

后续步骤

若要使用 专用链接设置 Microsoft Purview，请参阅为 Microsoft Purview 帐户使用专用终结点。