Was bedeutet Anwendbarkeit in Azure Policy?
Wenn einer Richtliniendefinition ein Bereich zugewiesen wird, bestimmt Azure Policy, welche Ressourcen in diesem Bereich für die Compliancebewertung berücksichtigt werden sollen. Eine Ressource wird nur dann hinsichtlich Compliance bewertet, wenn sie für die angegebene Richtlinienzuweisung als anwendbar gilt.
Die Anwendbarkeit wird durch mehrere Faktoren bestimmt:
- Bedingungen im
if-Block der Richtlinienregel - Modus der Richtliniendefinition
- Ausgeschlossene Bereiche, die in der Zuordnung angegeben sind
- In der Zuweisung angegebene Ressourcenselektoren.
- Ausnahmen von Ressourcen oder Ressourcenhierarchien
Bedingung(en) im if-Block der Richtlinienregel werden basierend auf den Auswirkungen auf geringfügig unterschiedliche Weise auf Anwendbarkeit bewertet.
Hinweis
Die Anwendbarkeit unterscheidet sich von der Compliance, und die zum Bestimmen verwendete Logik ist ebenfalls eine andere. Wenn eine Ressource anwendbar ist, bedeutet dies, dass sie für die Richtlinie relevant ist. Wenn eine Ressource konform ist, bedeutet dies, dass sie der Richtlinie entspricht. Manchmal wirken sich nur bestimmte Bedingungen der Richtlinienregel auf die Anwendbarkeit aus, jedoch alle auf den Compliancestatus.
Ressourcen-Manager-Modi
-IfNotExists-Richtlinienauswirkungen
Die Anwendbarkeit der Richtlinien AuditIfNotExists und DeployIfNotExists basiert auf der gesamten if-Bedingung der Richtlinienregel. Wenn if als FALSE ausgewertet wird, ist die Richtlinie nicht anwendbar.
Alle anderen Richtlinienauswirkungen
Azure Policy wertet nur die Bedingungen type, name und kind im Ausdruck if der Richtlinienregel aus und behandelt andere Bedingungen als „true“ – bzw. „false“, wenn negiert. Wenn das endgültige Auswertungsergebnis „true“ lautet, ist die Richtlinie anwendbar. Andernfalls ist sie nicht anwendbar.
Nachfolgend finden Sie spezielle Fälle für die zuvor beschriebene Anwendbarkeitslogik:
| Szenario | Ergebnis |
|---|---|
Ungültige Aliasse in den if-Bedingungen |
Die Richtlinie ist nicht anwendbar. |
Wenn die if-Bedingungen nur aus kind-Bedingungen bestehen |
Die Richtlinie ist für alle Ressourcen anwendbar. |
Wenn die if-Bedingungen nur aus name-Bedingungen bestehen |
Die Richtlinie ist für alle Ressourcen anwendbar. |
Wenn die if-Bedingungen nur aus type- und kind-Bedingungen bestehen |
Nur type-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt. |
Wenn die if-Bedingungen nur aus type- und name-Bedingungen bestehen |
Nur type-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt. |
Wenn die if-Bedingungen aus type- und kind-Bedingungen und anderen Bedingungen bestehen |
type- und kind-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt. |
Wenn die if-Bedingungen aus type- und name-Bedingungen und anderen Bedingungen bestehen |
type- und name-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt. |
Wenn Bedingungen – einschließlich Bereitstellungsparameter – eine location-Bedingung enthalten |
Ist nicht auf Abonnements anwendbar |
Ressourcenanbietermodi
Microsoft.Kubernetes.Data
Die Anwendbarkeit der Microsoft.Kubernetes.Data-Richtlinien basiert auf der gesamten if-Bedingung der Richtlinienregel. Wenn if als FALSE ausgewertet wird, ist die Richtlinie nicht anwendbar.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data, und Microsoft.MachineLearningServices.v2.Data
Richtlinien mit diesen RP-Modi gelten, wenn die type -Bedingung der Richtlinienregel als „Wahr“ ausgewertet wird. Der type bezieht sich auf den Komponententyp.
Key Vault-Komponententypen:
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
Verwalteter HSM-Komponententyp:
- Microsoft.ManagedHSM.Data/managedHsms/keys
Azure Data Factory-Komponententyp:
- Microsoft.DataFactory.Data/factories/outboundTraffic
Azure Machine Learning-Komponententyp:
- Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Richtlinien im Modus Microsoft.Network.Data sind anwendbar, wenn die Bedingung type und name der Richtlinienregel als TRUE ausgewertet werden. type bezieht sich auf den Komponententyp:
- Microsoft.Network/virtualNetworks
Ressourcen für „Nicht zutreffend“
Es kann Situationen geben, in denen Ressourcen auf Basis von Bedingungen oder Umfang für eine Zuordnung gültig sind, obwohl sie aus geschäftlichen Gründe nicht anwendbar sein sollten. In diesem Fall empfiehlt es sich, Ausschlüsse oder Ausnahmenanzuwenden. Weitere Informationen zur Verwendung dieser Funktionen finden Sie unter Bereichsvergleich
Hinweis
Standardmäßig bewertet Azure Policy keine Ressourcen unter dem Ressourcenanbieter Microsoft.Resources, mit Ausnahme von Abonnements und Ressourcengruppen.
Nächste Schritte
- Erfahren Sie, wie Sie Ressourcen als nicht anwendbar markieren.
- Mehr auf Anwendbarkeitseinschränkungen
- Hier erfahren Sie mehr zum Abrufen von Compliancedaten von Azure-Ressourcen.
- Überprüfen Sie die Aktualisierung der Richtliniencompliance für Ressourcentyprichtlinien.