Freigeben über


Erläuterungen zum Bereich in Azure Policy

Es gibt eine Reihe von Einstellungen, die bestimmen, welche Ressourcen ausgewertet werden können und welche Ressourcen von Azure Policy ausgewertet werden. Das primäre Konzept für diese Steuerungen ist der Bereich. Der Bereich in Azure Policy basiert auf der Funktionsweise des Bereichs in Azure Resource Manager. Eine allgemeine Übersicht finden Sie im Abschnitt „Bereich“ der Übersicht über Azure Resource Manager.

In diesem Artikel werden die Bedeutung des Bereichs in Azure Policy und die entsprechenden Objekte und Eigenschaften erläutert.

Definitionsspeicherort

In Azure Policy wird der Bereich erstmals verwendet, wenn eine Richtliniendefinition erstellt wird. Die Definition kann in einer Verwaltungsgruppe oder in einem Abonnement gespeichert werden. Der Speicherort bestimmt den Bereich, dem die Initiative oder Richtlinie zugewiesen werden kann. Ressourcen müssen sich in der Ressourcenhierarchie des Definitionsspeicherorts für die Zuweisung befinden. Die von Azure Policy abgedeckten Ressourcen beschreiben, wie Richtlinien ausgewertet werden.

Für den Definitionsspeicherort gilt Folgendes:

  • Abonnement: Die Richtliniendefinition kann dem Abonnement, in dem die Richtlinie definiert ist, und Ressourcen innerhalb dieses Abonnements zugewiesen werden.
  • Verwaltungsgruppe: Die Richtliniendefinition kann der Verwaltungsgruppe, in der die Richtlinie definiert ist, und Ressourcen in untergeordneten Verwaltungsgruppen und untergeordneten Abonnements zugewiesen werden. Wenn Sie die Richtliniendefinition auf mehrere Abonnements anwenden möchten, muss der Speicherort eine Verwaltungsgruppe sein, die das jeweilige Abonnement enthält.

Der Speicherort sollte der Ressourcencontainer sein, der von allen vorhandenen Ressourcen gemeinsam genutzt wird, für die Sie die Richtliniendefinition verwenden möchten, sofern vorhanden. Dieser Ressourcencontainer ist in der Regel eine Verwaltungsgruppe in der Nähe der Stammverwaltungsgruppe.

Zuweisungsbereiche

Eine Zuweisung verfügt über mehrere Eigenschaften, die einen Bereich festlegen. Durch die Verwendung dieser Eigenschaften wird festgelegt, welche Ressource für Azure Policy ausgewertet werden soll und welche Ressourcen als konforme Elemente gezählt werden. Diese Eigenschaften entsprechen den folgenden Konzepten:

  • Einschluss: Eine Definition wertet die Konformität für eine Ressourcenhierarchie oder eine einzelne Ressource aus. Der Bereich eines Zuweisungsobjekts bestimmt, was eingeschlossen und auf Konformität überprüft werden soll. Weitere Informationen finden Sie unter Azure Policy-Zuweisungsstruktur.
  • Ausschluss: Eine Definition sollte die Konformität für eine Ressourcenhierarchie oder eine einzelne Ressource nicht auswerten. Die Arrayeigenschaft properties.notScopes bestimmt, was ausgeschlossen werden soll. Ressourcen in diesen Bereichen werden nicht ausgewertet und nicht in die Anzahl konformer Elemente einbezogen. Weitere Informationen finden Sie unter Azure Policy-Zuweisungsstruktur: Ausgeschlossene Bereiche.

Zusätzlich zu den Eigenschaften für die Richtlinienzuweisung ist das Objekt für die Azure Policy-Ausnahmenstruktur vorhanden. Ausnahmen erweitern die Bereichsstory, indem sie eine Methode bieten, einen Teil einer Zuweisung zu identifizieren, die nicht bewertet werden soll.

Ausnahme: Eine Definition wertet die Konformität für eine Ressourcenhierarchie oder einzelne Ressource aus. Sie wird jedoch nicht überprüft, wenn für sie ein Verzicht vorliegt oder wenn sie von einer anderen Methode behandelt wird. Ressourcen in diesem Zustand werden in Konformitätsberichten als Ausnahme angegeben, damit sie nachverfolgt werden können. Das Ausnahmeobjekt wird in der Ressourcenhierarchie oder der einzelnen Ressource als untergeordnetes Objekt erstellt. Dies bestimmt den Bereich der Ausnahme. Eine Ressourcenhierarchie oder eine einzelne Ressource kann von mehreren Zuweisungen ausgenommen werden. Die Ausnahme kann mit der expiresOn-Eigenschaft so konfiguriert werden, dass sie nach einem Zeitplan abläuft. Weitere Informationen finden Sie unter Azure Policy-Ausnahmenstruktur.

Hinweis

Aufgrund der Auswirkungen des Gewährens einer Ausnahme für eine Ressourcenhierarchie oder einzelne Ressource weisen Ausnahmen zusätzliche Sicherheitsmaßnahmen auf. Es ist nicht nur der Microsoft.Authorization/policyExemptions/write-Vorgang für die Ressourcenhierarchie oder einzelne Ressource erforderlich, sondern der Ersteller der Ausnahme muss auch über das Verb exempt/Action für die Zielzuweisung verfügen.

Bereichsvergleich

Die folgende Tabelle enthält einen Vergleich der Bereichsoptionen:

Ressourcen Einschluss Ausschluss (notScopes) Ausnahme
Ressourcen werden ausgewertet - -
Resource Manager-Objekt - -
Erfordert das Ändern des Richtlinienzuweisungsobjekts -

Wie können Sie also auswählen, ob Sie einen Ausschluss oder eine Ausnahme verwenden? In der Regel wird empfohlen, die Auswertung für einen breiten Bereich wie eine Testumgebung, die nicht denselben Governancegrad erfordert, dauerhaft zu umgehen. Ausnahmen werden für zeitgebundene oder spezifischere Szenarien empfohlen, in denen eine Ressource oder Ressourcenhierarchie weiterhin nachverfolgt und anderweitig ausgewertet werden sollte, wenn es aber einen bestimmten Grund gibt, warum sie nicht auf Konformität geprüft werden sollte.

Nächste Schritte