Stati di conformità di Criteri di Azure
Funzionamento della conformità
Quando vengono assegnate definizioni di iniziative o criteri, Criteri di Azure determina quali risorse sono applicabili, quindi valuta le risorse che non sono escluse o esentate. La valutazione restituisce gli stati di conformità in base alle condizioni nella regola dei criteri e a ogni risorsa conforme a tali requisiti.
Stati di conformità disponibili
Non conforme
Le assegnazioni di criteri con effetti audit, auditIfNotExists o modify vengono considerate non conformi per le risorse nuove, aggiornate o esistenti quando le condizioni della regola dei criteri restituiscono TRUE.
Le assegnazioni di criteri con effetti append, deny e deployIfNotExists vengono considerate non conformi per le risorse esistenti quando le condizioni della regola dei criteri restituiscono TRUE. Le risorse nuove e aggiornate vengono automaticamente corrette o negate in fase di richiesta per applicare la conformità. Quando una risorsa non conforme esistente in precedenza viene aggiornata, lo stato di conformità rimane non conforme fino al completamento della distribuzione delle risorse e della valutazione dei criteri.
Nota
Gli effetti deployIfNotExists e auditIfNotExists richiedono che l'istruzione IF sia TRUE e che la condizione di esistenza sia FALSE per lo stato non conforme. Se è TRUE, la condizione IF attiva la valutazione della condizione di esistenza per le risorse correlate.
Le assegnazioni di criteri con effetti manual sono considerate non conformi in due circostanze:
- La definizione dei criteri ha uno stato di conformità predefinito non conforme e non esiste alcuna attestazione attiva per la risorsa applicabile che determini altrimenti.
- La risorsa è stata attestata come non conforme.
Per determinare il motivo per cui una risorsa non è conforme o per trovare la modifica responsabile, vedere Determinare le cause di non conformità. Per correggere le risorse non conformi per i criteri deployIfNotExists e modify, vedere Correggere le risorse non conformi con i Criteri di Azure.
Conforme
Le assegnazioni di criteri con effetti append, audit, auditIfNotExists, deny, deployIfNotExists o modify vengono considerate conformi per le risorse nuove, aggiornate o esistenti quando le condizioni della regola dei criteri restituiscono FALSE.
Le assegnazioni di criteri con effetti manual sono considerate conformi in due circostanze:
- La definizione dei criteri ha uno stato di conformità predefinito conforme e non esiste alcuna attestazione attiva per la risorsa applicabile che determini altrimenti.
- La risorsa è stata attestata come conforme.
Error
Lo stato di conformità degli errori viene assegnato alle assegnazioni di criteri che generano un errore di sistema, ad esempio un modello o un errore di valutazione.
In conflitto
Un'assegnazione di criteri viene considerata in conflitto quando sono presenti due o più assegnazioni di criteri nello stesso ambito con regole contraddittorie o in conflitto. Ad esempio, due definizioni che aggiungono lo stesso tag con valori diversi.
Esente
Una risorsa applicabile ha uno stato di conformità esente per un'assegnazione di criteri quando si trova nell'ambito di un'esenzione.
Nota
L'esenzione è diversa dall'esclusione. Per altre informazioni, vedere Informazioni sull'ambito in Criteri di Azure.
Sconosciuto
Sconosciuto è lo stato di conformità predefinito per le definizioni con effetti manual, a meno che l'impostazione predefinita non sia stata impostata in modo esplicito su conforme o non conforme. Questo stato indica che viene garantita un'attestazione di conformità. Questo stato di conformità si verifica solo per le assegnazioni di criteri con effetto manual.
Protected
Lo stato protetto indica che la risorsa è coperta da un'assegnazione con effetto denyAction.
Non registrato
Questo stato di conformità è visibile nel portale di Azure quando il provider di risorse di Criteri di Azure non è registrato o quando l'account connesso non ha l'autorizzazione per leggere i dati di conformità.
Nota
Se lo stato di conformità viene segnalato come Non registrato, verificare che il provider di risorse Microsoft.PolicyInsights sia registrato e che l'utente abbia le autorizzazioni di controllo degli accessi in base al ruolo di Azure appropriate, come descritto in Controllo degli accessi in base al ruolo di Azure in Criteri di Azure.
Per registrare Microsoft.PolicyInsights, seguire la procedura descritta in Provider e tipi di risorse di Azure.
Non avviato
Questo stato di conformità indica che il ciclo di valutazione non è stato avviato per il criterio o la risorsa.
Esempio
Dopo aver compreso quali stati di conformità esistono e cosa significa ognuno di essi, si esaminerà un esempio che usa stati conformi e non conformi.
Si supponga di avere un gruppo di risorse, ContosoRG, con alcuni account di archiviazione (evidenziati in rosso) esposti su reti pubbliche.
Diagramma che mostra le immagini di cinque account di archiviazione nel gruppo di risorse Contoso RG. Gli account di archiviazione uno e tre sono blu, mentre gli account di archiviazione due, quattro e cinque sono rossi.
In questo esempio, è necessario essere ben consapevoli dei rischi di sicurezza. Si supponga di assegnare una definizione di criteri che controlla gli account di archiviazione esposti alle reti pubbliche e che non vengano create esenzioni per questa assegnazione. I criteri controllano le risorse applicabili (che includono tutti gli account di archiviazione nel gruppo di risorse ContosoRG), quindi valutano le risorse che non sono escluse dalla valutazione. Controlla i tre account di archiviazione esposti alle reti pubbliche, modificando i relativi stati di conformità in Non conforme. I rimanenti sono contrassegnati come conformi.
Diagramma che mostra le immagini di cinque account di archiviazione nel gruppo di risorse Contoso RG. Gli account di archiviazione uno e tre ora hanno segni di spunta verdi sotto di essi, mentre gli account di archiviazione due, quattro e cinque ora hanno segni di avviso rossi sotto di essi.
Rollup della conformità
Lo stato di conformità viene determinato per ogni risorsa, per ogni assegnazione di criterio. Tuttavia, spesso è necessaria una panoramica generale dello stato dell'ambiente, che è il punto in cui entra in gioco la conformità aggregata.
Esistono diversi modi per visualizzare i risultati di conformità aggregati nel portale:
| Visualizzazione di conformità aggregata | Fattori che determinano lo stato di conformità |
|---|---|
| Ambito | Tutti i criteri all'interno dell'ambito selezionato |
| Iniziativa | Tutti i criteri all'interno dell'iniziativa |
| Gruppo o controllo dell'iniziativa | Tutti i criteri all'interno del gruppo o del controllo |
| Criteri | Tutte le risorse applicabili |
| Conto risorse | Tutti i criteri applicabili |
Confronto tra stati di conformità diversi
In che modo viene determinato lo stato di conformità aggregato se più risorse o criteri hanno stati di conformità diversi? Criteri di Azure classifica ogni stato di conformità in modo che uno prevalga su un altro in questa situazione. L'ordine di classificazione è:
- Non conforme
- Conforme
- Error
- In conflitto
- Protetto (anteprima)
- Esentato
- Sconosciuto (anteprima)
Nota
Non avviato e non registrato non sono considerati nei calcoli di rollup della conformità.
Con questo ordine di classificazione, se sono presenti stati non conformi e conformi, l'aggregazione di cui è stato eseguito il rollup sarà non conforme e così via. Ecco un esempio:
Si supponga che un'iniziativa contenga 10 criteri e che una risorsa sia esente da un criterio ma conforme ai nove rimanenti. Poiché uno stato conforme ha una classificazione superiore a quella di uno stato esente, la risorsa verrà registrata come conforme nel riepilogo di rollup dell'iniziativa. Pertanto, una risorsa viene mostrata come esente per l'intera iniziativa solo se è esente o se ha conformità sconosciuta per tutti gli altri criteri applicabili in tale iniziativa. Dall'altro lato, una risorsa non conforme ad almeno un criterio applicabile nell'iniziativa ha uno stato di conformità complessivo non conforme, indipendentemente dai criteri applicabili rimanenti.
Percentuale di conformità
La percentuale di conformità viene determinata dividendo le risorse con stato Conforme, Esente e Sconosciuto per il totale delle risorse. Le risorse totali includono risorse con stati Conforme, Non conforme, Sconosciuto, Esente, In conflitto e Errore.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Nell'immagine mostrata sono disponibili 20 risorse distinte applicabili e solo una è Non conforme. La conformità complessiva delle risorse è pari al 95% (19 su 20).
Passaggi successivi
- Informazioni su come ottenere dati sulla conformità
- Informazioni su come determinare le cause di non conformità
- Ottenere dati di conformità tramite query di esempio di Azure Resource Graph per Criteri di Azure