你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Policy 定义 manual 效果

新的 manual 效果使你能够自行证明资源或范围的合规性。 与其他主动扫描评估的策略定义不同，“手动”效果允许手动更改符合性状态。 若要更改手动策略针对的资源或范围的合规性，需要创建证明。 最佳做法是设计手动策略，这些策略面向定义其符合性需要证明的资源边界的范围。

注意

通过各种 Microsoft Defender for Cloud 监管合规性计划支持手动策略。 如果你是 Microsoft Defender for Cloud 高级层客户，请参阅其体验概述。

下面的示例显示了包含具有 manual 效果的策略定义的法规策略计划：

• FedRAMP 高
• FedRAMP 中
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 修订版 2
• NIST SP 800-53 修订版 4
• NIST SP 800-53 修订版 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

以下示例针对 Azure 订阅，并将初始符合性状态设置为 Unknown。

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

defaultState 属性有三个可能的值：

• Unknown：目标资源的初始默认状态。
• Compliant：资源符合手动策略标准
• Non-compliant：资源不符合手动策略标准

Azure Policy 符合性引擎将所有适用的资源评估为定义中指定的默认状态（如果未指定，则为 Unknown）。 Unknown 符合性状态指示必须手动证明资源的符合性状态。 如果未指定效果状态，将默认为 Unknown。 Unknown 符合性状态指示必须自己证明符合性状态。

以下屏幕截图显示具有 Unknown 状态的手动策略分配在 Azure 门户中如何显示：

分配具有 manual 效果的策略定义时，可以通过自定义证明设置目标资源或范围的符合性状态。 通过该证明，你还可以通过元数据的形式提供可选的补充信息，以及指向所选符合性状伴随证据的链接。 分配手动策略的人员可以通过指定策略分配元数据的 evidenceStorages 属性来推荐默认的证据存储位置。

后续步骤

• 在 Azure Policy 示例中查看示例。
• 查看 Azure Policy 定义结构。
• 了解如何以编程方式创建策略。
• 了解如何获取符合性数据。
• 了解如何修正不符合的资源。
• 请查看 Azure 管理组。