快速入門:使用 Azure 入口網站建立原則指派,以識別不相容資源
了解 Azure 中合規性的第一個步驟是識別您資源的狀態。 在本快速入門中,您將使用 Azure 入口網站來建立一個原則指派,以識別不符合規範的資源。 此原則會指派給資源群組,且其會稽核不使用受控磁碟的虛擬機器。 建立原則指派之後,您將識別不符合規範的虛擬機器。
指派內建原則或計畫定義時,您可以選擇參考版本。 除非另有指定,否則內建定義的原則指派會預設為最新版本,並自動繼承次要版本變更。
必要條件
- 如果您沒有 Azure 帳戶,請在您開始之前先建立 免費帳戶。
- 其中至少有一個虛擬機器不使用受控磁碟的資源群組。
建立原則指派
在本快速入門中,您會使用內建原則定義建立原則指派,稽核不使用受控磁碟的 VM。
登入 Azure 入口網站。
搜尋 [原則],然後從清單中選取它。
選取 [原則] 窗格中的 [指派]。
![[指派] 窗格的螢幕擷取畫面,其中醒目提示 [指派原則] 選項。](media/assign-policy-portal/select-assignments.png)
從 [原則指派] 窗格選取 [指派原則]。
在 [指派原則] 窗格 [基本] 索引標籤上,設定下列選項:
欄位 動作 Scope 使用省略符號 ( ...),然後選取訂用帳戶和資源群組。 然後選擇 [選取] 以套用範圍。排除 為可選性且不會在此範例中使用。 資源選取器 略過此範例的資源選取器。 資源選取器可讓您精簡受原則指派影響的資源。 原則定義 選取省略符號 ( ...) 以開啟可用定義的清單。可用定義 在原則定義清單中搜尋不使用受控磁碟定義的稽核 VM,請選取原則,然後選取 [新增]。 有一個資料行會顯示定義的最新版本。 版本 (預覽) 接受格式 1.*.*的版本,以內嵌主要、次要和修正程式版本。
選取省略符號 (...) 以檢視可用的版本,以及註冊次要版本更新或預覽版本的選項。 您必須選取版本來變更選項。 如需詳細資訊,請移至指派內的定義版本。指派名稱 依預設,會使用所選原則的名稱。 您可以變更它,但在此範例中,請使用預設名稱。 說明 選擇提供有關此原則指派的詳細資料。 原則強制執行 預設為啟用。 如需詳細資訊,請移至強制模式。 
選取 [原則定義] 之後,您可以變更 [版本 (預覽)] 選項。
例如,如果您選取影像中顯示的選項,[版本 (預覽)] 會變更為
1.0.*。
選取 [下一步],以檢視 [參數] 和 [補救] 的每個索引標籤。 此範例不需要進行任何變更。
索引標籤名稱 選項。 參數 如果您在 [基本] 索引標籤上選取的原則定義具有參數,您可以在 [參數] 索引標籤上加以設定。此範例不會使用參數。 補救 您可以建立受控識別。 在此範例中,取消選取 [建立受控識別]。
但是,當原則或計畫包含具有 deployIfNotExists 或 modify 效果的原則時,「必須」勾選此方塊。 如需詳細資訊,請移至受控識別和補救存取控制的運作方式。選取 [下一步],然後在 [不符合規範訊息] 索引標籤上建立 [不符合規範訊息],例如虛擬機器應該使用受控磁碟。
當資源遭拒絕或在一般評估期間資源不符合規範時,就會顯示此自訂訊息。
選取 [下一步],然後在 [檢閱 + 建立] 索引標籤上,檢閱原則指派詳細資料。
選取 [建立] 以建立原則指派。
![[指派] 窗格的螢幕擷取畫面,其中醒目提示 [指派原則] 選項。](media/assign-policy-portal/select-assignments.png#lightbox)
識別不符合規範的資源
在 [原則] 窗格上,選取 [合規性],然後找出 [未使用受控磁碟原則指派稽核 VM]。 新原則指派的合規性狀態需要幾分鐘的時間才會生效,而且其會提供原則狀態的相關結果。
原則指派顯示不符合合規性狀態不符合規範的資源。 若要取得詳細資料,請選取原則指派名稱以檢視資源合規性。
根據現有資源評估條件,而且結果為 true 時,這些資源都會標示為不符合原則規範。 下表顯示不同的原則效果如何與結果合規性狀態的條件評估搭配使用。 雖然您在 Azure 入口網站中沒有看到評估邏輯,但是會顯示合規性狀態結果。 合規性狀態結果為符合規範或不符合規範。
| 資源狀態 | 效果 | 原則評估 | 合規性狀態 |
|---|---|---|---|
| 新功能或更新功能 | Audit、Modify、AuditIfNotExist | True | 不符合標準 |
| 新功能或更新功能 | Audit、Modify、AuditIfNotExist | False | 符合標準 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | True | 不符合標準 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | False | 符合標準 |
DeployIfNotExist 和 AuditIfNotExist 效果需要 IF 陳述式以成為 TRUE,且存在條件成為 FALSE 時不符合規範。 TRUE 時,IF 條件會觸發相關資源的存在條件評估。
清除資源
您可以從 [合規性] 或從 [指派] 刪除原則指派。
若要移除本文中建立的原則指派,請遵循下列步驟:
在 [原則] 窗格上,選取 [合規性],然後找出 [未使用受控磁碟原則指派稽核 VM]。
選取原則指派的省略符號,然後選取 [刪除指派]。
![[合規性] 窗格的螢幕擷取畫面,其中醒目提示要刪除原則指派的功能表。](media/assign-policy-portal/delete-assignment.png)
![[合規性] 窗格的螢幕擷取畫面,其中醒目提示要刪除原則指派的功能表。](media/assign-policy-portal/delete-assignment.png#lightbox)
下一步
在這個快速入門中,您指派原則定義以識別 Azure 環境中的不相容資源。
若要深入了解如何指派驗證資源合規性的原則,請繼續進行教學課程。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: