更新 Azure 登陸區域自定義原則
一段時間后,Azure 登陸區域自定義原則和原則計劃會更新為可納入 Azure 環境的較新版本。 本文說明如何在較新版本發行時更新您的 Azure 登陸區域自定義原則和原則計劃。
本文說明高階手動更新步驟,並提供處理 Terraform 和 Bicep 模組化實作更新的參考。 若要使用 Bicep 將 Azure 登陸區域自定義原則移轉至 Azure 內建原則,請參閱 將 Azure 登陸區域原則遷移至 Azure 內建原則。
下列資訊圖提供 Azure 登陸區域自定義原則更新的判定樹和程式流程: 
警告
當您刪除現有的原則指派時,您的環境不會在重新指派原則時受到保護。 指派更新的原則之後,請檢閱您的原則合規性區段,以取得任何狀況不良的資源並加以補救。
Azure 登陸區域環境的更新步驟
本節說明將 Azure 登陸區域自定義原則和計劃更新為較新版本的一般高階步驟。
偵測更新
使用下列授權選項來判斷您的一或多個 Azure 登陸區域自定義原則已過期:
- 定期檢閱
What's New,並注意更新一或多個原則,例如 此範例。 - 使用 Azure 治理可視化檢視,並注意一或多個原則標示為過期。
套用更新
若要判斷是否將更新的自定義原則套用至您的 Azure 登陸區域部署:
- 判斷您的 Azure 資產目前是否在任何範圍指派任何過期的自定義原則。 如果您使用 Azure 治理可視化檢視,您可以藉由檢查 TenantSummary 來查看您目前指派的原則。
- 判斷任何過期的自定義原則是否屬於 Azure 登陸區域自定義原則方案。
- 判斷您的 Azure 資產目前是否在任何範圍內指派任何過期的自定義原則計劃。
根據上述調查結果,採取下列動作:
未指派的原則
如果您的 Azure 資產中未指派過期的原則,而且不是現有自訂原則計劃的一部分,請將過期的原則定義取代為 Azure 登陸區域中繼根管理群組的更新原則定義,例如
Contoso。如果自訂原則方案已更新,但未在 Azure 資產中指派,請將過時的自定義原則方案取代為 Azure 登陸區域中繼根管理群組的已更新自定義原則方案,例如
Contoso。
未變更參數且不屬於自定義原則計劃一部分的原則
如果過時的 Azure 登陸區域原則指派給 Azure 資產中的任何範圍,則不屬於現有 Azure 登陸區域自定義原則計劃的一部分,且參數名稱和號碼尚未變更:
- 以 Azure 登陸區域中繼根管理群組的更新自定義原則定義內容取代現有的自定義原則定義內容,例如
Contoso。 如需詳細指引,請參閱 Azure 登陸區域使用者指南。
具有已變更參數且不屬於自定義原則計劃一部分的原則
如果過期的 Azure 登陸區域原則指派給 Azure 資產中的任何範圍,則不屬於現有 Azure 登陸區域自定義原則計劃的一部分,且參數名稱和號碼已變更:
- 擷取所有過期的原則指派、指派的位置,以及其參數值。
- 採取下列其中一個動作:
- 如果原則指派包含多個原則定義,請在指派的所有範圍移除過期的原則,以更新原則指派。
- 如果原則指派只包含過期的原則,請在指派的所有範圍刪除現有的原則指派。
- 從 Azure 登陸區域中繼根管理群組中刪除過時的原則,例如
Contoso。 - 將更新的原則匯入 Azure 登陸區域中繼根管理群組。
- 藉由在預先錄製的範圍中包含更新的原則,更新現有的原則指派或建立新的原則指派。
- 重新指派更新的自定義原則之後,請檢閱原則合規性區段,以驗證資源是否處於狀況良好狀態。
如需詳細指引,請參閱 Azure 登陸區域使用者指南。
透過自定義原則方案指派未變更參數的原則
如果過時的 Azure 登陸區域原則是現有 Azure 登陸區域自定義原則計劃的一部分,則會指派給 Azure 資產中的任何範圍,且參數名稱和數位不變:
- 將現有的自定義原則定義內容取代為更新的自定義原則定義內容。 不需要對自定義原則方案或指派進行進一步的變更,因為參數編號和名稱不會變更。 如需詳細指引,請參閱 Azure 登陸區域使用者指南。
透過自定義原則方案指派已變更參數的原則
如果過期的原則是現有自定義原則計劃的一部分,則會指派給 Azure 資產中的任何範圍,並已變更參數名稱和數位:
擷取所有原則指派、指派的位置,以及自定義原則計劃的參數值。
在指派的所有範圍刪除現有的原則指派。
從自定義原則計劃中刪除過期的原則。
您無法從自定義原則計劃中刪除計劃參數。 請考慮重複使用這些參數。
從 Azure 登陸區域中繼根管理群組中刪除過時的原則,例如
Contoso。將更新的原則匯入 Azure 登陸區域中繼根管理群組。
將更新的原則新增至自定義原則方案。
- 如果適用,請重複使用先前的方案參數。
- 如果適用,請遵循自定義原則方案所定義的現有命名模式來新增其他方案參數。
重新指派更新的自定義原則方案。
重新指派更新的自定義原則方案之後,請檢閱原則合規性一節,以驗證資源處於狀況良好的狀態。
如需詳細指引,請參閱 Azure 登陸區域使用者指南。
已更新指派的自定義原則方案
如果 Azure 登陸區域自定義原則方案已完全更新,且會在 Azure 資產中的任何範圍指派:
擷取所有原則指派、指派的位置,以及其 Azure 登陸區域自定義原則方案的參數值。
在指派的所有範圍刪除現有的原則指派。
從中繼根管理群組中刪除過期的自訂原則方案,例如
Contoso。 刪除之前,請記錄所有自定義原則定義名稱和標識符,假設所有自定義原則定義都是最新的。使用適當的原則參考匯入更新的自定義原則方案定義。
您可以使用自定義原則的一般
contoso範圍,在policySetDefinitions取得更新的計劃。 請記得將contoso範圍變更為每個原則定義標識碼的管理群組階層虛擬根名稱。重新指派更新的自定義原則方案。
重新指派更新的自定義原則方案之後,請檢閱原則合規性一節,以驗證資源處於狀況良好的狀態。
如需詳細指引,請參閱 Azure 登陸區域使用者指南。
Terraform 模組部署的更新步驟
如果您使用 Azure 登陸區域 Terraform 模組 來管理 Azure 登陸區域部署,本節會提供資源來更新 Azure 登陸區域自定義原則和計劃。
使用 Terraform 偵測更新
使用偵測更新中的 方法來判斷原則是否已變更。 在 Terraform 模組中,您也可以在發行頁面上看到原則的變更。 如需範例,請參閱 v2.3.0 的原則更新。
使用 Terraform 更新
Azure 登陸區域 Terraform 模組提供部署重大變更的更新指引。 請遵循升級指南中 版本的升級指引。
Bicep 模組部署的更新步驟
如果您使用 ALZ-Bicep 模組 來管理 Azure 登陸區域部署,本節提供更新 Azure 登陸區域自定義原則和計劃的資源。
使用 Bicep 偵測更新
使用偵測更新中的 方法來判斷原則是否已變更。 您也可以在 ALZ-Bicep 版本中查看 ALZ-Bicep 原則的變更。
使用 Bicep 更新
ALZ-Bicep 提供將 Azure 登陸區域自定義原則更新為較新原則的一般指引。 如需詳細資訊,請參閱 如何將 Azure 登陸區域自定義原則遷移至 Azure 內建原則。
下一步
無論您使用 Azure 入口網站、Bicep 或 Terraform 來管理 Azure 登陸區域基礎結構,您都需要管理一段時間的原則變更。 使用本文中的流程作為起點,以開發 Azure 登陸區域實作原則管理的程式。