Bicep 資源定義
policyDefinitions 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Authorization/policyDefinitions 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.Authorization/policyDefinitions@2025-03-01' = {
name: 'string'
properties: {
description: 'string'
displayName: 'string'
externalEvaluationEnforcementSettings: {
endpointSettings: {
details: any(...)
kind: 'string'
}
missingTokenAction: 'string'
resultLifespan: 'string'
roleDefinitionIds: [
'string'
]
}
metadata: any(...)
mode: 'string'
parameters: {
{customized property}: {
allowedValues: [
any(...)
]
defaultValue: any(...)
metadata: {
assignPermissions: bool
description: 'string'
displayName: 'string'
strongType: 'string'
}
schema: any(...)
type: 'string'
}
}
policyRule: any(...)
policyType: 'string'
version: 'string'
versions: [
'string'
]
}
}
屬性值
Microsoft.Authorization/policyDefinitions
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 名稱 | 資源名稱 | 字串 約束: 模式 = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (必要) |
| 屬性 | 原則定義屬性。 | PolicyDefinitionProperties |
ExternalEvaluationEndpointSettings
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 詳細資訊 | 端點的詳細數據。 | 任何 |
| 類型 | 端點的種類。 | 字符串 |
ExternalEvaluationEnforcementSettings (外部評估強制設置)
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| endpointSettings | 提供評估結果的外部端點設定。 | ExternalEvaluationEndpointSettings |
| missingTokenAction | 評估需要外部評估且缺少令牌的強制執行原則時,該怎麼做。 可能的值為 Audit 和 Deny,而且支援語言表達式。 | 字符串 |
| result壽命 | 端點叫用結果的存留期,之後就不再有效。 預期值會遵循 ISO 8601 持續時間格式,且支援語言表達式。 | 字符串 |
| roleDefinitionIds | 角色定義標識碼指派的 MSI 必須有數位,才能叫用端點。 | 字串[] |
ParameterDefinitions 參數定義
| 名稱 | 說明 | 價值觀 |
|---|
ParameterDefinitionsValue 參數定義值
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 允許值 | 參數的允許值。 | 任何[] |
| 預設值 | 如果未提供任何值,則為 參數的預設值。 | 任何 |
| 後設資料 | 參數的一般元數據。 | ParameterDefinitionsValueMetadata |
| 架構 | 使用自我定義 JSON 架構,在指派期間提供參數輸入的驗證。 此屬性僅支持物件類型參數,並遵循架構 2019-09 實作 Json.NET。 您可以在 https://json-schema.org/ 深入瞭解如何使用架構,並在 https://www.jsonschemavalidator.net/測試草稿架構。 | 任何 |
| 類型 | 參數的數據類型。 | '陣列' '布爾值' '日期時間' '浮動' '整數' '物件' '字串' |
ParameterDefinitionsValueMetadata
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 分配許可權 | 設定為 true,讓 Azure 入口網站在原則指派期間,於此參數的資源標識碼或資源範圍值上建立角色指派。 如果您想要在指派範圍之外指派許可權,這個屬性就很有用。 | 布爾 (bool) |
| 說明 | 參數的描述。 | 字符串 |
| 顯示名稱 | 參數的顯示名稱。 | 字符串 |
| strong類型 | 透過入口網站指派原則定義時使用。 提供內容感知值清單,供用戶選擇。 | 字符串 |
PolicyDefinitionProperties
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 說明 | 原則定義描述。 | 字符串 |
| 顯示名稱 | 原則定義的顯示名稱。 | 字符串 |
| externalEvaluationEnforcementSettings | 原則在強制評估期間所需的外部評估結果來源詳細數據。 | ExternalEvaluationEnforcementSettings (外部評估強制設置) |
| 後設資料 | 原則定義元數據。 元數據是開放式物件,通常是索引鍵值組的集合。 | 任何 |
| 模式 | 原則定義模式。 有些範例包括 All、Indexed、Microsoft.KeyVault.Data。 | 字符串 |
| 參數 | 原則規則中使用的參數參數定義。 索引鍵是參數名稱。 | ParameterDefinitions 參數定義 |
| policyRule 策略規則 | 原則規則。 | 任何 |
| policyType | 原則定義的類型。 可能的值為 NotSpecified、BuiltIn、Custom 和 Static。 | “內置” “自定義” “未指定” “靜態” |
| 版本 | #.#.# 格式的原則定義版本。 | 字符串 |
| 版本 | 此原則定義的可用版本清單。 | 字串[] |
使用範例
Azure 快速入門範例
下列 Azure 快速入門範本 包含用於部署此資源類型的 Bicep 範例。
| Bicep 檔案 | 說明 |
|---|---|
| 建立 Azure 虛擬網路管理員和範例 VNET | 此範本會將 Azure 虛擬網路管理員和範例虛擬網路部署到具名資源群組中。 它支援多個連線拓撲和網路群組成員資格類型。 |
| 部署原則 def 並指派給多個 Mgmt 群組 | 此範本是管理群組層級範本,會建立原則定義,並將該原則指派給多個管理群組。 |
| 部署原則定義,並指派給管理群組 | 此範本是管理群組層級範本,會建立原則定義,並將該原則指派給目標管理群組。 目前無法透過 Azure 入口網站部署此範本。 |
ARM 樣本資源定義
policyDefinitions 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Authorization/policyDefinitions 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.Authorization/policyDefinitions",
"apiVersion": "2025-03-01",
"name": "string",
"properties": {
"description": "string",
"displayName": "string",
"externalEvaluationEnforcementSettings": {
"endpointSettings": {
"details": {},
"kind": "string"
},
"missingTokenAction": "string",
"resultLifespan": "string",
"roleDefinitionIds": [ "string" ]
},
"metadata": {},
"mode": "string",
"parameters": {
"{customized property}": {
"allowedValues": [ {} ],
"defaultValue": {},
"metadata": {
"assignPermissions": "bool",
"description": "string",
"displayName": "string",
"strongType": "string"
},
"schema": {},
"type": "string"
}
},
"policyRule": {},
"policyType": "string",
"version": "string",
"versions": [ "string" ]
}
}
屬性值
Microsoft.Authorization/policyDefinitions
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| apiVersion | API 版本 | '2025-03-01' |
| 名稱 | 資源名稱 | 字串 約束: 模式 = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (必要) |
| 屬性 | 原則定義屬性。 | PolicyDefinitionProperties |
| 類型 | 資源類型 | “Microsoft.Authorization/policyDefinitions” |
ExternalEvaluationEndpointSettings
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 詳細資訊 | 端點的詳細數據。 | 任何 |
| 類型 | 端點的種類。 | 字符串 |
ExternalEvaluationEnforcementSettings (外部評估強制設置)
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| endpointSettings | 提供評估結果的外部端點設定。 | ExternalEvaluationEndpointSettings |
| missingTokenAction | 評估需要外部評估且缺少令牌的強制執行原則時,該怎麼做。 可能的值為 Audit 和 Deny,而且支援語言表達式。 | 字符串 |
| result壽命 | 端點叫用結果的存留期,之後就不再有效。 預期值會遵循 ISO 8601 持續時間格式,且支援語言表達式。 | 字符串 |
| roleDefinitionIds | 角色定義標識碼指派的 MSI 必須有數位,才能叫用端點。 | 字串[] |
ParameterDefinitions 參數定義
| 名稱 | 說明 | 價值觀 |
|---|
ParameterDefinitionsValue 參數定義值
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 允許值 | 參數的允許值。 | 任何[] |
| 預設值 | 如果未提供任何值,則為 參數的預設值。 | 任何 |
| 後設資料 | 參數的一般元數據。 | ParameterDefinitionsValueMetadata |
| 架構 | 使用自我定義 JSON 架構,在指派期間提供參數輸入的驗證。 此屬性僅支持物件類型參數,並遵循架構 2019-09 實作 Json.NET。 您可以在 https://json-schema.org/ 深入瞭解如何使用架構,並在 https://www.jsonschemavalidator.net/測試草稿架構。 | 任何 |
| 類型 | 參數的數據類型。 | '陣列' '布爾值' '日期時間' '浮動' '整數' '物件' '字串' |
ParameterDefinitionsValueMetadata
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 分配許可權 | 設定為 true,讓 Azure 入口網站在原則指派期間,於此參數的資源標識碼或資源範圍值上建立角色指派。 如果您想要在指派範圍之外指派許可權,這個屬性就很有用。 | 布爾 (bool) |
| 說明 | 參數的描述。 | 字符串 |
| 顯示名稱 | 參數的顯示名稱。 | 字符串 |
| strong類型 | 透過入口網站指派原則定義時使用。 提供內容感知值清單,供用戶選擇。 | 字符串 |
PolicyDefinitionProperties
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 說明 | 原則定義描述。 | 字符串 |
| 顯示名稱 | 原則定義的顯示名稱。 | 字符串 |
| externalEvaluationEnforcementSettings | 原則在強制評估期間所需的外部評估結果來源詳細數據。 | ExternalEvaluationEnforcementSettings (外部評估強制設置) |
| 後設資料 | 原則定義元數據。 元數據是開放式物件,通常是索引鍵值組的集合。 | 任何 |
| 模式 | 原則定義模式。 有些範例包括 All、Indexed、Microsoft.KeyVault.Data。 | 字符串 |
| 參數 | 原則規則中使用的參數參數定義。 索引鍵是參數名稱。 | ParameterDefinitions 參數定義 |
| policyRule 策略規則 | 原則規則。 | 任何 |
| policyType | 原則定義的類型。 可能的值為 NotSpecified、BuiltIn、Custom 和 Static。 | “內置” “自定義” “未指定” “靜態” |
| 版本 | #.#.# 格式的原則定義版本。 | 字符串 |
| 版本 | 此原則定義的可用版本清單。 | 字串[] |
使用範例
Azure 快速入門範本
下列 Azure 快速入門範本 部署此資源類型。
| 範本 | 說明 |
|---|---|
建立 Azure 虛擬網路管理員和範例 VNET
|
此範本會將 Azure 虛擬網路管理員和範例虛擬網路部署到具名資源群組中。 它支援多個連線拓撲和網路群組成員資格類型。 |
|
部署原則 def 並指派給多個 Mgmt 群組
|
此範本是管理群組層級範本,會建立原則定義,並將該原則指派給多個管理群組。 |
|
部署原則定義,並指派給管理群組
|
此範本是管理群組層級範本,會建立原則定義,並將該原則指派給目標管理群組。 目前無法透過 Azure 入口網站部署此範本。 |
Terraform (AzAPI 提供者) 資源定義
policyDefinitions 資源類型可以使用目標作業來部署:
- 租使用者* 管理群組* 訂用帳戶
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Authorization/policyDefinitions 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/policyDefinitions@2025-03-01"
name = "string"
parent_id = "string"
body = {
properties = {
description = "string"
displayName = "string"
externalEvaluationEnforcementSettings = {
endpointSettings = {
details = ?
kind = "string"
}
missingTokenAction = "string"
resultLifespan = "string"
roleDefinitionIds = [
"string"
]
}
metadata = ?
mode = "string"
parameters = {
{customized property} = {
allowedValues = [
?
]
defaultValue = ?
metadata = {
assignPermissions = bool
description = "string"
displayName = "string"
strongType = "string"
}
schema = ?
type = "string"
}
}
policyRule = ?
policyType = "string"
version = "string"
versions = [
"string"
]
}
}
}
屬性值
Microsoft.Authorization/policyDefinitions
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 名稱 | 資源名稱 | 字串 約束: 模式 = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (必要) |
| 屬性 | 原則定義屬性。 | PolicyDefinitionProperties |
| 類型 | 資源類型 | “Microsoft.Authorization/policyDefinitions@2025-03-01” |
ExternalEvaluationEndpointSettings
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 詳細資訊 | 端點的詳細數據。 | 任何 |
| 類型 | 端點的種類。 | 字符串 |
ExternalEvaluationEnforcementSettings (外部評估強制設置)
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| endpointSettings | 提供評估結果的外部端點設定。 | ExternalEvaluationEndpointSettings |
| missingTokenAction | 評估需要外部評估且缺少令牌的強制執行原則時,該怎麼做。 可能的值為 Audit 和 Deny,而且支援語言表達式。 | 字符串 |
| result壽命 | 端點叫用結果的存留期,之後就不再有效。 預期值會遵循 ISO 8601 持續時間格式,且支援語言表達式。 | 字符串 |
| roleDefinitionIds | 角色定義標識碼指派的 MSI 必須有數位,才能叫用端點。 | 字串[] |
ParameterDefinitions 參數定義
| 名稱 | 說明 | 價值觀 |
|---|
ParameterDefinitionsValue 參數定義值
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 允許值 | 參數的允許值。 | 任何[] |
| 預設值 | 如果未提供任何值,則為 參數的預設值。 | 任何 |
| 後設資料 | 參數的一般元數據。 | ParameterDefinitionsValueMetadata |
| 架構 | 使用自我定義 JSON 架構,在指派期間提供參數輸入的驗證。 此屬性僅支持物件類型參數,並遵循架構 2019-09 實作 Json.NET。 您可以在 https://json-schema.org/ 深入瞭解如何使用架構,並在 https://www.jsonschemavalidator.net/測試草稿架構。 | 任何 |
| 類型 | 參數的數據類型。 | '陣列' '布爾值' '日期時間' '浮動' '整數' '物件' '字串' |
ParameterDefinitionsValueMetadata
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 分配許可權 | 設定為 true,讓 Azure 入口網站在原則指派期間,於此參數的資源標識碼或資源範圍值上建立角色指派。 如果您想要在指派範圍之外指派許可權,這個屬性就很有用。 | 布爾 (bool) |
| 說明 | 參數的描述。 | 字符串 |
| 顯示名稱 | 參數的顯示名稱。 | 字符串 |
| strong類型 | 透過入口網站指派原則定義時使用。 提供內容感知值清單,供用戶選擇。 | 字符串 |
PolicyDefinitionProperties
| 名稱 | 說明 | 價值觀 |
|---|---|---|
| 說明 | 原則定義描述。 | 字符串 |
| 顯示名稱 | 原則定義的顯示名稱。 | 字符串 |
| externalEvaluationEnforcementSettings | 原則在強制評估期間所需的外部評估結果來源詳細數據。 | ExternalEvaluationEnforcementSettings (外部評估強制設置) |
| 後設資料 | 原則定義元數據。 元數據是開放式物件,通常是索引鍵值組的集合。 | 任何 |
| 模式 | 原則定義模式。 有些範例包括 All、Indexed、Microsoft.KeyVault.Data。 | 字符串 |
| 參數 | 原則規則中使用的參數參數定義。 索引鍵是參數名稱。 | ParameterDefinitions 參數定義 |
| policyRule 策略規則 | 原則規則。 | 任何 |
| policyType | 原則定義的類型。 可能的值為 NotSpecified、BuiltIn、Custom 和 Static。 | “內置” “自定義” “未指定” “靜態” |
| 版本 | #.#.# 格式的原則定義版本。 | 字符串 |
| 版本 | 此原則定義的可用版本清單。 | 字串[] |