Démarrage rapide : créer une attribution de stratégie pour identifier les ressources non conformes à l’aide du portail Azure
La première étape pour comprendre la conformité dans Azure consiste à identifier l’état de vos ressources. Dans ce guide de démarrage rapide, vous créez une attribution de stratégie pour identifier les ressources non conformes à l’aide du portail Azure. La stratégie est attribuée à un groupe de ressources et audite des machines virtuelles qui n’utilisent aucun disque managé. Après avoir créé l’attribution de stratégie, vous identifiez les machines virtuelles non conformes.
Lors de l’affectation d’une définition de stratégie ou d’initiative intégrée, le référencement d’une version est facultatif. Les affectations de stratégie des définitions intégrées utilisent par défaut la dernière version et héritent automatiquement des changements des versions mineures, sauf indication contraire.
Prérequis
- Si vous ne disposez pas d’un compte Azure, créez-en un gratuitement avant de commencer.
- Un groupe de ressources avec au moins une machine virtuelle qui n’utilise aucun disque managé.
Créer une affectation de stratégie
Dans ce guide de démarrage rapide, vous créez une attribution de stratégie avec la définition de stratégie intégrée Auditer les machines virtuelles qui n’utilisent pas de disques managés.
Connectez-vous au portail Azure.
Recherchez policy et sélectionnez le service Policy dans la liste.
Sélectionnez Attributions dans le volet Policy.
Sélectionnez Attribuer une stratégie dans le volet Attributions de stratégie.
Dans le volet Attribuer une stratégie, sous l’onglet Informations de base, configurez les options suivantes :
Champ Action Portée Utilisez les points de suspension ( ...
), puis sélectionnez un abonnement et un groupe de ressources. Choisissez ensuite Sélectionner pour appliquer l’étendue.Exclusions Ce champ est facultatif et n’est pas utilisé dans cet exemple. Sélecteurs de ressources Ignorez les sélecteurs de ressources pour cet exemple. Les sélecteurs de ressources vous permettent d’affiner les ressources concernées par l’affectation de stratégie. Définition de stratégie Sélectionnez les points de suspension ( ...
) pour ouvrir la liste des définitions disponibles.Définitions disponibles Recherchez la définition Auditer les machines virtuelles qui n’utilisent pas de disques managés dans la liste des définitions de stratégie, sélectionnez la stratégie, puis sélectionnez Ajouter. Une colonne indique la dernière version de la définition. Version (préversion) Acceptez la version au format 1.*.*
pour intégrer les versions majeure, mineure et corrective.
Sélectionnez les points de suspension (...
) pour afficher les versions disponibles et les options d’inscription aux mises à jour de version mineure ou aux préversions. Vous devez sélectionner une version pour modifier les options. Pour plus d’informations, accédez à la version de la définition dans l’affectation.Nom de l’attribution Le nom de la stratégie sélectionnée est utilisé par défaut. Vous pouvez le modifier, mais utilisez le nom par défaut pour cet exemple. Description Ce champ facultatif permet de fournir des détails sur cette attribution de stratégie. Application de la stratégie La valeur par défaut est Activée. Pour plus d’informations, consultez le mode de mise en conformité. Une fois qu’une définition de stratégie est sélectionnée, vous pouvez modifier les options de Version (préversion).
Par exemple, si vous sélectionnez les options figurant dans l’image, la valeur de Version (préversion) passe à
1.0.*
.Sélectionnez Suivant pour afficher chaque onglet : Paramètres et Correction. Cet exemple ne nécessite aucune modification.
Nom de l’onglet Options Paramètres Si la définition de stratégie que vous avez sélectionnée sous l’onglet Informations de base comporte des paramètres, vous pouvez les configurer sous l’onglet Paramètres. Cet exemple n’utilise aucun paramètre. Correction Vous pouvez créer une identité managée. Pour cet exemple, l’option Créer une identité managée n’est pas cochée.
Vous devez cocher cette case quand une stratégie ou une initiative inclut une stratégie avec l’effet deployIfNotExists ou modify. Pour plus d’informations, accédez à Identités managées et à Fonctionnement du contrôle d’accès de correction.Sélectionnez Suivant et, sous l’onglet Messages de non-conformité, créez un Message de non-conformité tel que Les machines virtuelles doivent utiliser des disques managés.
Ce message personnalisé s’affiche quand une ressource est refusée ou pour les ressources non conformes durant une évaluation régulière.
Sélectionnez Suivant et, sous l’onglet Vérifier + créer, passez en revue les détails de l’attribution de stratégie.
Sélectionnez Créer pour créer l’attribution de stratégie.
Identifier des ressources non conformes
Dans le volet Policy, sélectionnez Conformité et recherchez l’attribution de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés. L’état de conformité d’une nouvelle affectation de stratégie prend quelques minutes pour devenir actif et fournir des résultats sur l’état de la stratégie.
L’attribution de stratégie affiche les ressources qui ne sont pas conformes, c’est-à-dire dont l’État de conformité est Non conforme. Pour obtenir plus de détails, sélectionnez le nom de l’attribution de stratégie pour afficher la Conformité des ressources.
Si une condition est évaluée par rapport à vos ressources existantes et génère la valeur true, ces ressources sont marquées comme non conformes à la stratégie. Le tableau suivant montre comment les différents effets des stratégies fonctionnent avec l’évaluation des conditions pour l’état de conformité résultant. Même si vous ne voyez pas la logique d’évaluation dans le portail Azure, les résultats de l’état de conformité sont affichés. Le résultat d’état de conformité est soit conforme, soit non conforme.
État de la ressource | Résultat | Évaluation de a stratégie | État de conformité |
---|---|---|---|
Nouveauté ou mise à jour | Audit, Modify, AuditIfNotExist | True | Non conforme |
Nouveauté ou mise à jour | Audit, Modify, AuditIfNotExist | False | Conforme |
Exists | Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist | True | Non conforme |
Exists | Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist | False | Conforme |
Les effets DeployIfNotExist
et AuditIfNotExist
nécessitent que l’instruction IF
soit TRUE
et que la condition d’existence soit FALSE
pour que l’état soit non conforme. Si la valeur est TRUE
, la condition IF
déclenche l’évaluation de la condition d’existence pour les ressources associées.
Nettoyer les ressources
Vous pouvez supprimer une attribution de stratégie dans Conformité ou Attributions.
Pour supprimer l’attribution de stratégie créée dans cet article, effectuez les étapes suivantes :
Dans le volet Policy, sélectionnez Conformité et recherchez l’attribution de stratégie Auditer les machines virtuelles qui n’utilisent pas de disques managés.
Sélectionnez les points de suspension de l’attribution de stratégie, puis sélectionnez Supprimer l’attribution.
Étapes suivantes
Dans ce démarrage rapide, vous avez affecté une définition de stratégie pour identifier les ressources non conformes de votre environnement Azure.
Pour en savoir plus sur l’affectation de stratégies qui valident la conformité des ressources, passez au didacticiel.