Azure 原則 定義手動效果

新的 manual 效果可讓您自行證明資源或範圍的合規性。 不同於主動掃描評估的其他原則定義，手動效果允許對合規性狀態進行手動變更。 若要變更以手動原則為目標的資源或範圍的合規性，您必須建立 證明。 最佳做法是設計以定義其合規性需要證明之資源界限的範圍為目標的手動原則。

注意

支援手動原則可透過各種 適用於雲端的 Microsoft Defender 法規合規性計劃取得。 如果您是 適用於雲端的 Microsoft Defender 進階版 層客戶，請參閱其體驗概觀。

以下是包含效果原則定義之 manual 法規原則計劃的範例：

• FedRAMP High
• FedRAMP 中型
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

下列範例會以 Azure 訂用帳戶為目標，並將初始合規性狀態設定為 Unknown。

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

屬性 defaultState 有三個可能的值：

• Unknown：目標資源的初始默認狀態。
• Compliant：資源符合您的手動原則標準
• Non-compliant：根據手動原則標準，資源不符合規範

Azure 原則 合規性引擎會將所有適用的資源評估為定義中指定的默認狀態（Unknown如果未指定）。 Unknown合規性狀態表示您必須手動證明資源合規性狀態。 如果未指定效果狀態，則預設為 Unknown。 合規性 Unknown 狀態表示您必須自行證明合規性狀態。

下列螢幕快照顯示狀態的手動原則指派Unknown如何出現在 Azure 入口網站：

指派具有 manual 效果的原則定義時，您可以透過自定義 證明來設定目標資源或範圍的合規性狀態。 證明也可讓您透過元數據形式提供選擇性補充資訊，以及隨附所選合規性狀態之辨識項的連結。 指派手動原則的人員可以藉由指定evidenceStorages原則指派元數據的 屬性，來建議辨識項的預設儲存位置。

下一步

• 在 Azure 原則範例檢閱範例。
• 檢閱 Azure 原則定義結構。
• 了解如何以程式設計方式建立原則。
• 了解如何取得合規性資料。
• 了解如何補救不符合規範的資源。
• 檢閱 Azure 管理群組。