États de conformité Azure Policy
Principe de fonctionnement de la conformité
Lorsque des définitions d’initiative ou de stratégie sont attribuées, Azure Policy détermine les ressources applicables, puis évalue celles qui ne sont pas exclues ou exemptées. L’évaluation génère des états de conformité en fonction des conditions de la règle de stratégie et du respect de ces exigences par chaque ressource.
États de conformité disponibles
Non conforme
Les affectations de stratégie avec audit, auditIfNotExists ou modify sont considérées comme non conformes pour les ressources nouvelles, mises à jour ou existantes lorsque les conditions de la règle de stratégie prennent la valeur TRUE.
Les affectations de stratégie avec les effets append, deny et deployIfNotExists sont considérées comme non conformes pour les ressources existantes lorsque les conditions de la règle de stratégie prennent la valeur TRUE. Les ressources nouvelles et mises à jour sont automatiquement corrigées ou refusées au moment de la requête pour appliquer la conformité. Lorsqu’une ressource non conforme existante est mise à jour, l’état de conformité reste non conforme jusqu’à ce que le déploiement de la ressource et l’évaluation de la stratégie se terminent.
Remarque
Les effets deployIfNotExists et auditIfNotExists nécessitent que l’instruction IF ait la valeur TRUE et que la condition d’existence ait la valeur FALSE pour que l’état soit non conforme. Lorsque la valeur est TRUE, la condition IF déclenche l’évaluation de la condition d’existence pour les ressources associées.
Les affectations de stratégie avec des effets manual sont considérées comme non conformes dans deux circonstances :
- La définition de stratégie a un état de conformité non conforme par défaut et il n’existe aucune attestation active pour la ressource applicable indiquant le contraire.
- La ressource a été attestée comme non conforme.
Pour déterminer la raison d’une non conformité de ressource ou pour rechercher le responsable de la modification, consultez Déterminer les causes d’une non-conformité. Pour corriger les ressources non conformes pour les stratégies deployIfNotExists et modify, consultez Corriger les ressources non conformes avec Azure Policy.
Conforme
Les affectations de stratégie avec les effets append, audit, auditIfNotExists, deny, deployIfNotExists ou modify sont considérées comme conformes pour les ressources nouvelles, mises à jour ou existantes lorsque les conditions de la règle de stratégie ont la valeur FALSE.
Les affectations de stratégie avec des effets manual sont considérées comme conformes dans deux circonstances :
- La définition de stratégie a un état de conformité comme conforme par défaut et il n’existe aucune attestation active pour la ressource applicable indiquant le contraire.
- La ressource a été attestée comme conforme.
Error
L’état de conformité des erreurs est attribué aux affectations de stratégie qui génèrent une erreur système, comme une erreur de modèle ou d’évaluation.
en conflit
Une attribution de stratégie est considérée comme étant en conflit lorsqu’il existe au moins deux affectations de stratégie dans la même étendue avec des règles en contradiction ou en conflit. Par exemple, deux définitions de stratégie ajoutent la même balise avec des valeurs différentes.
Exempté
Une ressource applicable a un état de conformité d’exemption pour une attribution de stratégie lorsqu’elle se trouve dans l’étendue d’une exemption.
Notes
Exempt est différent d’exclu. Pour plus d’informations, consultez Comprendre l’étendue d’Azure Policy.
Inconnu
Inconnu est l’état de conformité par défaut pour les définitions avec l’effet manual, sauf si la valeur par défaut a été explicitement définie sur conforme ou non conforme. Cet état indique qu’une attestation de conformité est justifiée. Cet état de conformité se produit uniquement pour les affectations de stratégie avec l’effet manual.
Protected
L’état protégé indique que la ressource est couverte sous une affectation avec un effet denyAction.
Non inscrit
Cet état de conformité est visible dans le Portail Azure lorsque le fournisseur de ressources Azure Policy n’a pas été inscrit ou lorsque le compte connecté n’est pas autorisé à lire les données de conformité.
Remarque
Si l’état de conformité indiqué est Non inscrit, vérifiez que le fournisseur de ressources Microsoft.PolicyInsights est inscrit et que l’utilisateur dispose d’autorisations de contrôle d’accès en fonction du rôle Azure (Azure RBAC) appropriées, comme décrit dans Autorisations Azure RBAC dans Azure Policy.
Pour inscrire Microsoft.PolicyInsights, suivez la procédure dans Fournisseurs et types de ressources Azure.
Non démarré(e)(s)
Cet état de conformité indique que le cycle d’évaluation n’a pas démarré pour la stratégie ou la ressource.
Exemple
Maintenant que vous comprenez quels états de conformité existent et ce que chacun signifie, examinons un exemple utilisant des états conformes et non conformes.
Supposez que vous disposez d’un groupe de ressources (ContosoRG) avec des comptes de stockage (en rouge) exposés à des réseaux publics.
Diagramme montrant des images pour cinq comptes de stockage dans le groupe de ressources Contoso R G. Les comptes de stockage un et trois sont en bleu, tandis que les comptes de stockage deux, quatre et cinq sont en rouge.
Dans cet exemple, vous devez faire attention aux risques de sécurité. Supposons que vous affectiez une définition de stratégie qui audite les comptes de stockage exposés aux réseaux publics et qu’aucune exemption n’est créée pour cette affectation. La stratégie vérifie la présence de ressources applicables (qui incluent tous les comptes de stockage dans le groupe de ressources ContosoRG), puis évalue les ressources qui ne sont pas exclues de l’évaluation. Il audite les trois comptes de stockage exposés aux réseaux publics, en définissant leur état de conformité sur Non conforme. Les autres sont marqués comme conformes.
Diagramme montrant des images pour cinq comptes de stockage dans le groupe de ressources Contoso R G. Des coches vertes apparaissent désormais en dessous des comptes de stockage un et trois, tandis que des signes d’avertissement rouges apparaissent désormais sous les comptes de stockage deux, quatre et cinq.
Résultats de conformité cumulés
L’état de conformité est déterminé par ressource et par affectation de stratégie. Toutefois, nous avons souvent besoin d’une vue d’ensemble de l’état de l’environnement, qui est l’endroit où la conformité globale entre en jeu.
Il existe plusieurs façons d’afficher les résultats de conformité agrégés dans le portail :
| Vue de conformité agrégée | Facteurs déterminant l'état de conformité |
|---|---|
| Étendue | Toutes les stratégies dans l’étendue sélectionnée |
| Initiative | Toutes les stratégies au sein de l’initiative |
| Groupe d'initiative ou contrôle | Toutes les stratégies au sein du groupe ou du contrôle |
| Policy | Toutes les ressources applicables |
| Ressource | Toutes les stratégies applicables |
Comparaison de différents états de conformité
Alors comment l'état de conformité global est-il déterminé si plusieurs ressources ou stratégies ont elles-mêmes différents états de conformité ? Azure Policy classe chaque état de conformité de manière à ce que l’un d’entre eux prévale sur un autre dans cette situation. L’ordre de classement est le suivant :
- Non conforme
- Conforme
- Error
- en conflit
- Protégé (préversion)
- Exempté
- Inconnu (préversion)
Notes
Les états Non démarré et Non inscrit ne sont pas pris en compte dans les calculs cumulatifs de conformité.
Avec ce classement, s’il y a à la fois des états non conformes et conformes, l’agrégat cumulé sera non conforme, et ainsi de suite. Prenons un exemple :
Supposons qu'une initiative contienne 10 stratégies, et qu'une ressource soit exemptée d'une stratégie, mais conforme aux neuf autres. Étant donné qu'un état conforme affiche un rang plus élevé qu'un état exempté, la ressource sera considérée comme conforme dans le résumé de l'initiative. Ainsi, une ressource n'apparaît comme exemptée pour l'ensemble de l'initiative que si elle est exemptée de toutes les autres stratégies applicables à cette initiative, ou si sa conformité à celles-ci est inconnue. À l'inverse, une ressource qui n'est pas conforme à au moins une stratégie applicable dans l'initiative présente un état de conformité global de non-conformité, quelles que soient les stratégies applicables restantes.
Pourcentage de conformité
Le pourcentage de conformité est déterminé en divisant le nombre de ressources conformes, exemptées et inconnues par le nombre total de ressources. Le nombre total de ressources comprend les ressources avec des états Conforme, Non conforme, Inconnu, Dispensé, Conflictuel et Erreur.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Dans l’image présentée, il y a 20 ressources distinctes applicables et une seule non conforme. La conformité globale des ressources est égale à 95 % (soit 19 sur 20).
Étapes suivantes
- Découvrir comment obtenir des données de conformité
- Découvrez comment déterminer les causes de la non-conformité
- Obtenir des données de conformité via Exemples de requêtes Azure Resource Graph pour Azure Policy