Sdílet prostřednictvím

Stavy dodržování předpisů pro Azure Policy

  • Článek

Jak funguje dodržování předpisů

Když se přiřadí definice iniciativ nebo zásad, Azure Policy určí, které prostředky se použijí , pak vyhodnotí prostředky, které nejsou vyloučené nebo vyloučené. Vyhodnocení přináší stavy dodržování předpisů na základě podmínek v pravidle zásad a všech prostředků, které tyto požadavky splňují.

Dostupné stavy dodržování předpisů

Neodpovídající

Přiřazení zásad s , auditIfNotExistsnebo účinky se považují za nevyhovující novým, aktualizovaným nebo existujícím audit prostředkům při vyhodnocení TRUEpodmínek pravidla modify zásad .

Přiřazení zásad s , a účinky jsou považovány za nevyhovující stávajícím prostředkům, když se podmínky pravidla zásad vyhodnotí jako TRUE.deployIfNotExists denyappend Nové a aktualizované prostředky se automaticky opraví nebo zamítnou v době žádosti, aby bylo možné vynutit dodržování předpisů. Když se dříve existující prostředek nedodržující předpisy aktualizuje, stav dodržování předpisů zůstane nedodržující předpisy, dokud se nedokončí nasazení prostředků a vyhodnocení zásad.

Poznámka:

auditIfNotExists Účinky deployIfNotExists vyžadují, aby příkaz IF byl TRUE a podmínka existence byla NEPRAVDA, aby byla nedodržovaná. Pokud má hodnotu TRUE, aktivuje podmínka IF vyhodnocení podmínky existence pro související prostředky.

Přiřazení zásad s manual účinky se považují za nevyhovující za dvou okolností:

  1. Definice zásady má výchozí stav dodržování předpisů nedodržující předpisy a pro příslušný prostředek není k dispozici žádná aktivní ověření identity.
  2. Prostředek byl potvrzen jako nevyhovující předpisům.

Pokud chcete zjistit důvod, proč prostředek nedodržuje předpisy, nebo najít zodpovědnou změnu, přečtěte si téma Určení příčin nedodržení předpisů. Pokud chcete napravit nekompatibilní prostředky a deployIfNotExists modify zásady, přečtěte si téma Náprava nevyhovujících prostředků pomocí služby Azure Policy.

Kompatibilní

Přiřazení zásad s append, , audit, auditIfNotExists, deny, deployIfNotExistsnebo modify účinky jsou považovány za vyhovující novým, aktualizovaným nebo existujícím prostředkům při vyhodnocení FALSEpodmínek pravidla zásad .

Přiřazení zásad s manual účinky jsou považována za vyhovující za dvou okolností:

  1. Definice zásady má výchozí stav dodržování předpisů a pro příslušný prostředek není k dispozici žádná aktivní ověření identity .
  2. Prostředek byl potvrzen jako vyhovující.

Chyba

Stav dodržování předpisů chyb se udělí přiřazením zásad, která generují systémovou chybu, například šabloně nebo chybě vyhodnocení.

Konfliktní

Přiřazení zásady se považuje za konfliktní, pokud existují dvě nebo více přiřazení zásad ve stejném oboru s rozporu nebo konfliktními pravidly. Například dvě definice, které připojují stejnou značku s různými hodnotami.

Osvobození

Příslušný prostředek má stav dodržování předpisů, který je pro přiřazení zásady vyloučen, pokud je v rozsahu výjimky.

Poznámka:

Výjimka se liší od vyloučení. Další informace najdete v tématu Vysvětlení oboru ve službě Azure Policy.

Neznámý

Neznámý je výchozí stav dodržování předpisů pro definice s účinkem manual , pokud výchozí nastavení nebylo explicitně nastaveno na vyhovující nebo nedodržování předpisů. Tento stav označuje, že ověření dodržování předpisů je zaručeno. K tomuto stavu dodržování předpisů dochází pouze u přiřazení zásad s účinkem manual .

Chráněno

Chráněný stav označuje, že se prostředek vztahuje na přiřazení s účinkem denyAction .

Nezaregistrováno

Tento stav dodržování předpisů se zobrazí na webu Azure Portal, když není zaregistrovaný poskytovatel prostředků Azure Policy nebo když přihlášený účet nemá oprávnění ke čtení dat dodržování předpisů.

Poznámka:

Pokud se stav dodržování předpisů hlásí jako nezaregistrovaný, ověřte, že Microsoft.PolicyInsights je poskytovatel prostředků zaregistrovaný a že uživatel má příslušná oprávnění řízení přístupu na základě role v Azure (Azure RBAC), jak je popsáno v oprávněních Azure RBAC v Azure Policy. Pokud se chcete zaregistrovat Microsoft.PolicyInsights, postupujte podle kroků v poskytovatelích a typech prostředků Azure.

Nezahájeno

Tento stav dodržování předpisů značí, že pro zásadu nebo prostředek není spuštěn cyklus vyhodnocení.

Příklad

Teď, když už víte, jaké stavy dodržování předpisů existují a co každý z nich znamená, pojďme se podívat na příklad s využitím kompatibilních a nekompatibilních stavů.

Předpokládejme, že máte skupinu prostředků – ContosoRG s některými účty úložiště (zvýrazněnými červeně), které jsou vystavené veřejným sítím.

Diagram účtů úložiště vystavených veřejným sítím ve skupině prostředků Contoso R G

V tomto příkladu musíte být opatrní s bezpečnostními riziky. Předpokládejme, že přiřadíte definici zásad, která provede auditování účtů úložiště, které jsou vystaveny veřejným sítím, a že pro toto přiřazení nejsou vytvořeny žádné výjimky. Zásady kontrolují příslušné prostředky (včetně všech účtů úložiště ve skupině prostředků ContosoRG) a pak vyhodnotí prostředky, které nejsou vyloučené z vyhodnocení. Provede audit tří účtů úložiště vystavených veřejným sítím a změní jejich stavy dodržování předpisů na nekompatibilní. Zbývající části jsou označené jako vyhovující.

Diagram dodržování předpisů účtu úložiště ve skupině prostředků Contoso R G

Souhrn dodržování předpisů

Stav dodržování předpisů se určuje pro jednotlivé prostředky a přiřazení zásad. Často ale potřebujeme celkový přehled o stavu prostředí, což je místo, kde přichází do hry agregace dodržování předpisů.

Na portálu můžete zobrazit agregované výsledky dodržování předpisů několika způsoby:

Agregované zobrazení dodržování předpisů Faktory určující stav dodržování předpisů
Obor Všechny zásady ve vybraném oboru
Iniciativa Všechny zásady v rámci iniciativy
Skupina nebo ovládací prvek iniciativy Všechny zásady v rámci skupiny nebo ovládacího prvku
Zásady Všechny použitelné prostředky
Prostředek Všechny platné zásady

Porovnání různých stavů dodržování předpisů

Jak se tedy určuje agregovaný stav dodržování předpisů, pokud se několik prostředků nebo zásad liší? Azure Policy řadí každý stav dodržování předpisů tak, aby v této situaci vyhrál druhý. Pořadí pořadí je:

  1. Neodpovídající
  2. Kompatibilní
  3. Chyba
  4. Konfliktní
  5. Chráněno (Preview)
  6. Osvobodil
  7. Neznámé (Preview)

Poznámka:

Nezahajováno a nezaregistrováno se nepovažuje za souhrnné výpočty dodržování předpisů.

Pokud se jedná o nevyhovující i vyhovující stavy, pak by souhrnná agregace byla nevyhovující a tak dále. Podívejte se na příklad:

Předpokládejme, že iniciativa obsahuje 10 zásad a prostředek je z jedné zásady vyloučený, ale splňuje zbývající devět zásad. Vzhledem k tomu, že vyhovující stav má vyšší pořadí než vyloučený stav, prostředek se zaregistruje jako vyhovující v souhrnném souhrnu iniciativy. Prostředek se proto zobrazuje jako vyloučený pouze pro celou iniciativu, pokud je z této iniciativy vyloučený nebo má neznámé dodržování předpisů, a to všechny ostatní platné zásady v této iniciativě. Na druhé extrémní úrovni má prostředek, který nedodržuje předpisy alespoň jedné platné zásady v iniciativě, celkový stav dodržování předpisů nedodržování předpisů bez ohledu na zbývající příslušné zásady.

Procento dodržování předpisů

Procento dodržování předpisů se určuje rozdělením vyhovujících, vyloučených a neznámých prostředků celkovými prostředky. Mezi celkové prostředky patří prostředky se stavy Kompatibilní, Nedodržující předpisy, Neznámé, Vyloučené, Konfliktní a Chybové stavy.

overall compliance % = (compliant + exempt + unknown + protected)  / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)

Na obrázku je 20 různých prostředků, které se dají použít a pouze jeden z nich nedodržuje předpisy. Celkové dodržování předpisů prostředků je 95 % (19 z 20).

Snímek obrazovky s podrobnostmi o dodržování předpisů zásad ze stránky Dodržování předpisů

Další kroky