建立用來部署 Microsoft Purview 的例外狀況
許多訂用帳戶都已備妥 Azure 原則 ,以限制某些資源的建立或更新。 這是為了維護訂用帳戶安全性和清理。 不過,Microsoft Purview 帳戶會在建立 Azure 儲存體帳戶時加以部署。 它將由 Azure 管理,因此您不需要加以維護,但 Microsoft Purview 必須正確執行。 現有的原則可能會封鎖此部署,而您在嘗試建立 Microsoft Purview 帳戶時可能會收到錯誤。
Microsoft Purview 也會在建立後定期更新其 Azure 儲存體帳戶,因此任何封鎖此儲存體帳戶更新的原則都會在掃描期間造成錯誤。
若要在訂用帳戶中維護您的原則,但仍允許建立和更新這些受控資源,您可以建立例外狀況。
建立 Microsoft Purview 的 Azure 原則例外狀況
流覽至Azure 入口網站並搜尋[原則]。
在 [撰寫] 功能表中選取 [定義]。
選取 [ + 原則定義] 按鈕。
在 [定義位置] 下,選取您要部署 Microsoft Purview 帳戶的訂用帳戶。
為您的原則命名,並將此原則規則 JSON 複製到 [原則規則] 欄位。
注意事項
只要您在所有位置都使用相同的名稱,就可以將標記命名為任何專案。 我們的範例使用
resourceBypass
。{ "mode": "All", "policyRule": { "if": { "anyOf": [ { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "not": { "field": "tags['<resourceBypass>']", "exists": true } }] } ] }, "then": { "effect": "deny" } }, "parameters": {} }
注意事項
您可以編輯現有的原則,而不是建立新的原則,而是使用 標籤新增 「not」 欄位。
選取 [儲存]。
在 [原則] 頁面上,選取 [撰寫] 功能表底下的 [指 派 ]。
選 取 [指派原則 ] 和 [使用 建立的 自訂原則建立原則指派]。
重要事項
根據您訂用帳戶中部署的其他原則,或視您的區域而定,指派原則時,您可能需要在 [進階] 索引標籤下新增資源選取器。 例如,您可能需要將 resourceLocation 的資源選取器新增至您要部署 Microsoft Purview 帳戶的區域。 如需這些條件的詳細資訊,請參閱 有關位置條件的檔。
然後 [檢閱 + 建立]。
建立原則之後,請確定在建立期間或建立之後,標籤已新增至 Microsoft Purview 帳戶的 [標籤 ] 底下。 例如,如果您在建立原則時使用名稱
resourceBypass
,則應該新增resourceBypass
值為 「allowed」 的標籤。
後續步驟
若要使用 Private Link 設定 Microsoft Purview,請參閱為您的 Microsoft Purview 帳戶使用私人端點。