快速入门:使用 Azure 门户创建策略分配以识别不合规的资源
若要了解 Azure 中的符合性,第一步是确定资源的状态。 本快速入门介绍如何使用 Azure 门户创建策略分配,以识别不合规的资源。 策略分配给资源组,并对不使用托管磁盘的虚拟机进行审核。 创建策略分配后,可以识别不合规的虚拟机。
先决条件
- 如果没有 Azure 帐户,请在开始前创建一个试用帐户。
- 具有至少一个不使用托管磁盘的虚拟机的资源组。
创建策略分配
在本快速入门中,你将使用内置策略定义“审核未使用托管磁盘的 VM”创建策略分配。
登录 Azure 门户。
搜索“策略”并从列表中选择“策略”。
在“策略”窗格中选择“分配”。
从“策略分配”窗格中选择“分配策略”。
在“分配策略”窗格的“基本”选项卡中配置以下选项:
字段 操作 范围 使用省略号 ( ...),然后选择订阅和资源组。 然后选择“选择”以应用相应范围。排除项 可选,在此示例中未使用。 策略定义 选择省略号 ( ...) 以打开可用定义列表。可用定义 在策略定义列表中搜索“审核未使用托管磁盘的 VM”定义,选择该策略,然后选择“添加”。 分配名称 默认使用所选策略的名称。 你可以更改它,但对于此示例,请使用默认名称。 描述 可选,用于提供有关此策略分配的详细信息。 策略实施 默认为“已启用”。 有关详细信息,请转到强制模式。 分配者 默认为登录到 Azure 的人员。 此字段是可选的,可以输入自定义值。 
选择“下一步”,查看“高级”、“参数”以及“修正”选项卡。 在此示例中,不需要做任何更改。
选项卡名称 选项 高级 包括针对资源选择器和替代的选项。 Parameters 如果在“基本信息”选项卡上选择的策略定义包含参数,则需要在“参数”选项卡上配置它们。此示例不使用参数。 修正 你可以创建托管标识。 在此示例中,未选中“创建托管标识”。
当策略或计划包含具有 deployIfNotExists 或 modify 效果的策略时,必须勾选此框。 有关详细信息,请转到托管标识和修正访问控制的工作原理。选择“下一步”,然后在“非合规消息”选项卡上创建非合规消息,例如“虚拟机应使用托管磁盘”。
当拒绝某个资源时或在常规评估期间针对不合规资源会显示此自定义消息。
选择“下一步”,然后在“查看 + 创建”选项卡上查看策略分配详细信息。
选择“创建”以创建策略分配。
识别不合规的资源
在“策略”窗格中,选择“符合性”,找到“审核未使用托管磁盘的 VM”策略分配。 新策略分配的“符合性状态”需要几分钟才会变为活动状态并提供关于策略状态的结果。
策略分配会显示不合规的资源(“符合性状态”为“不符合”)。 若要获取更多详细信息,请选择策略分配名称以查看“资源符合性”。
针对现有资源评估某条件时,如果结果为 true,则会将这些资源标记为与策略不符。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为符合或不符合。
| 资源状态 | 效果 | 策略评估 | 符合性状态 |
|---|---|---|---|
| 新功能或更新功能 | Audit、Modify、AuditIfNotExist | True | 不合规 |
| 新功能或更新功能 | Audit、Modify、AuditIfNotExist | False | 符合 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | True | 不合规 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | False | 符合 |
DeployIfNotExist 和 AuditIfNotExist 效果需要 IF 语句为 TRUE,且存在条件为 FALSE 才会不合规。 当为 TRUE 时,IF 条件会触发对相关资源的存在条件的评估。
清理资源
你可以从“符合性”或“分配”中删除策略分配。
若要移除本文中创建的策略分配,请执行以下步骤:
在“策略”窗格中,选择“符合性”,找到“审核未使用托管磁盘的 VM”策略分配。
选择策略分配的省略号,然后选择“删除分配”。
后续步骤
本快速入门已分配一个策略定义用于识别 Azure 环境中的不合规资源。
若要详细了解如何分配验证资源合规性的策略,请继续学习以下教程。