在 Azure 原則中建立、指派及解譯安全性原則與計畫

在保護 Azure 環境方面，您會遇到兩個基本工具：Azure 安全性原則和 Azure 安全性方案。兩者在維護合規性方面都扮演重要角色，但其目的各不相同。讓我們分解其功能和使用案例。

定義：Azure 原則就像是勤奮的守護者，可確保您的資源不背離特定規則。其可讓您定義並強制執行整個 Azure 環境的原則。
元件：
- 原則定義：指定您想要控制的條件 (例如允許的資源類型、強制標記)。
- 原則指派：決定原則在何處生效 (個別資源、資源群組、管理群組)。
- 原則參數：自訂原則行為 (例如虛擬機庫存單位、位置)。
使用案例：
- 始終如一地執行特定規則。
- 確保統一標記。
- 控制資源類型。

Azure 原則 \(部分機器翻譯\)：
- 需要執行特定規則時，可將其用於個別原則。
- 有時單一原則就足以滿足需求。
Azure 方案：
- 即使對於單一原則也建議使用，因為可簡化管理。
- 方案可讓您以統籌性單位來管理多個原則。
- 範例：與其處理 20 個適用於 PCI-DSS 合規性的不同原則，請使用可同時評估這些原則的方案。

Azure 安全性原則專注於細微的控制，而 Azure 安全性方案則提供統一的方法。請根據貴組織的需求和合規性複雜度做出明智的選擇。兩者都是 Azure 安全性工具箱中的基本工具。

建立和管理原則來強制執行合規性

了解如何在 Azure 中建立及管理原則對於遵守您的公司標準和服務等級協定非常重要。在本範例中，您將學習如何使用 Azure 原則來執行一些與在整個組織中建立、指派及管理原則相關的更常見的工作，例如：

如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。

強制遵守 Azure 原則的第一個步驟是制派原則定義。原則定義定義了在何種條件下執行原則以及採取何種效果。在此範例中，如果缺少將指定標記及其值從父代資源群組新增至缺少該標記的新資源或更新資源，則指派名為從資源群組繼承標記的內建原則定義。

螢幕擷取畫面顯示如何在 [原則] 頁面中設定指派。

螢幕擷取畫面顯示如何在製作指派頁面中指派原則。

在 [指派原則] 頁面和 [基本] 索引標籤上，選取省略號並選取管理群組或訂用帳戶來選取 [範圍]。選擇性地選取資源群組。範圍會決定在哪些資源或資源群組上強制執行原則指派。然後，按一下 [範圍] 頁面底部的 [選取]。本範例會使用 Contoso 訂用帳戶。您的訂用帳戶會有所不同。
您可以根據範圍來排除資源。 排除項目從比範圍層級低一層開始。 排除項目是選用的，因此請暫時將其留空。
選取 [原則定義] 省略符號，以開啟可用定義的清單。您可以將原則定義類型篩選為「內建」，以檢視所有內容並閱讀其描述。
選取 [從資源群組繼承標籤 (若遺漏)]。如果您無法立即找到它，請在搜尋方塊中鍵入繼承標籤，然後按 Enter 鍵或從搜尋方塊中進行選取。一旦您找到並選取原則定義之後，請按一下 [可用定義] 頁面底部的 [選取]。

螢幕擷取畫面顯示如何檢視可用的 Azure 原則定義類型。

[指派名稱] 會自動填入您選取的原則名稱，但您可加以變更。對於本範例，請保留 [從資源群組繼承標籤 (若遺漏)]。您也可以新增選擇性的 [描述]。該描述會提供有關此原則指派的詳細資料。
將 [原則強制執行] 保留為 [啟用]。當 [停用] 時，此設定會允許測試原則的結果，而不會觸發效果。如需詳細資訊，請參閱強制模式。
[指派者] 會根據登入的人自動填寫。此欄位是選用的，因此可以輸入自訂值。
選取精靈頂端的 [參數] 索引標籤。
針對 [標籤名稱]，輸入 Environment。
選取精靈頂端的 [補救] 索引標籤。
將 [建立補救工作] 保留為未核取狀態。除了新的或更新的資源之外，此方塊還可讓您建立工作來改變現有的資源。
由於此原則定義會使用修改效果，因此會自動核取 [建立受控識別]。 [權限] 會根據原則定義自動設定為 [參與者]。如需詳細資訊，請參閱受控識別和補救存取控制的運作方式。
選取精靈頂端的 [不符合規範的訊息] 索引標籤。
將 [不符合規範的訊息] 設定為 [此資源沒有必要的標籤]。當資源遭拒絕或在一般評估期間資源不符合規範時，就會顯示此自訂訊息。
選取精靈頂端的 [檢閱 + 建立] 索引標籤。
檢閱您的選取項目，然後選取頁面底部的 [建立]。