Was bedeutet Anwendbarkeit in Azure Policy?

Wenn einer Richtliniendefinition ein Bereich zugewiesen wird, bestimmt Azure Policy, welche Ressourcen in diesem Bereich für die Compliancebewertung berücksichtigt werden sollen. Eine Ressource wird nur dann hinsichtlich Compliance bewertet, wenn sie für die angegebene Richtlinienzuweisung als anwendbar gilt.

Die Anwendbarkeit wird durch mehrere Faktoren bestimmt:

  • Bedingungen im if-Block der Richtlinienregel
  • Modus der Richtliniendefinition
  • Ausgeschlossene Bereiche, die in der Zuordnung angegeben sind
  • In der Zuweisung angegebene Ressourcenselektoren.
  • Ausnahmen von Ressourcen oder Ressourcenhierarchien

Bedingung(en) im if-Block der Richtlinienregel werden basierend auf den Auswirkungen auf geringfügig unterschiedliche Weise auf Anwendbarkeit bewertet.

Hinweis

Die Anwendbarkeit unterscheidet sich von der Compliance, und die zum Bestimmen verwendete Logik ist ebenfalls eine andere. Wenn eine Ressource anwendbar ist, bedeutet dies, dass sie für die Richtlinie relevant ist. Wenn eine Ressource konform ist, bedeutet dies, dass sie der Richtlinie entspricht. Manchmal wirken sich nur bestimmte Bedingungen der Richtlinienregel auf die Anwendbarkeit aus, jedoch alle auf den Compliancestatus.

Ressourcen-Manager-Modi

-IfNotExists-Richtlinienauswirkungen

Die Anwendbarkeit der Richtlinien AuditIfNotExists und DeployIfNotExists basiert auf der gesamten if-Bedingung der Richtlinienregel. Wenn if als FALSE ausgewertet wird, ist die Richtlinie nicht anwendbar.

Alle anderen Richtlinienauswirkungen

Azure Policy wertet nur die Bedingungen type, name und kind im Ausdruck if der Richtlinienregel aus und behandelt andere Bedingungen als „true“ – bzw. „false“, wenn negiert. Wenn das endgültige Auswertungsergebnis „true“ lautet, ist die Richtlinie anwendbar. Andernfalls ist sie nicht anwendbar.

Nachfolgend finden Sie spezielle Fälle für die zuvor beschriebene Anwendbarkeitslogik:

Szenario Ergebnis
Ungültige Aliasse in den if-Bedingungen Die Richtlinie ist nicht anwendbar.
Wenn die if-Bedingungen nur aus kind-Bedingungen bestehen Die Richtlinie ist für alle Ressourcen anwendbar.
Wenn die if-Bedingungen nur aus name-Bedingungen bestehen Die Richtlinie ist für alle Ressourcen anwendbar.
Wenn die if-Bedingungen nur aus type- und kind-Bedingungen bestehen Nur type-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt.
Wenn die if-Bedingungen nur aus type- und name-Bedingungen bestehen Nur type-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt.
Wenn die if-Bedingungen aus type- und kind-Bedingungen und anderen Bedingungen bestehen type- und kind-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt.
Wenn die if-Bedingungen aus type- und name-Bedingungen und anderen Bedingungen bestehen type- und name-Bedingungen werden bei der Entscheidung über die Anwendbarkeit berücksichtigt.
Wenn Bedingungen – einschließlich Bereitstellungsparameter – eine location-Bedingung enthalten Ist nicht auf Abonnements anwendbar

Ressourcenanbietermodi

Microsoft.Kubernetes.Data

Die Anwendbarkeit der Microsoft.Kubernetes.Data-Richtlinien basiert auf der gesamten if-Bedingung der Richtlinienregel. Wenn if als FALSE ausgewertet wird, ist die Richtlinie nicht anwendbar.

Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data, und Microsoft.MachineLearningServices.v2.Data

Richtlinien mit diesen RP-Modi gelten, wenn die type -Bedingung der Richtlinienregel als „Wahr“ ausgewertet wird. Der type bezieht sich auf den Komponententyp.

Key Vault-Komponententypen:

  • Microsoft.KeyVault.Data/vaults/certificates
  • Microsoft.KeyVault.Data/vaults/keys
  • Microsoft.KeyVault.Data/vaults/secrets

Verwalteter HSM-Komponententyp:

  • Microsoft.ManagedHSM.Data/managedHsms/keys

Azure Data Factory-Komponententyp:

  • Microsoft.DataFactory.Data/factories/outboundTraffic

Azure Machine Learning-Komponententyp:

  • Microsoft.MachineLearningServices.v2.Data/workspaces/deployments

Microsoft.Network.Data

Richtlinien im Modus Microsoft.Network.Data sind anwendbar, wenn die Bedingung type und name der Richtlinienregel als TRUE ausgewertet werden. type bezieht sich auf den Komponententyp:

  • Microsoft.Network/virtualNetworks

Ressourcen für „Nicht zutreffend“

Es kann Situationen geben, in denen Ressourcen auf Basis von Bedingungen oder Umfang für eine Zuordnung gültig sind, obwohl sie aus geschäftlichen Gründe nicht anwendbar sein sollten. In diesem Fall empfiehlt es sich, Ausschlüsse oder Ausnahmenanzuwenden. Weitere Informationen zur Verwendung dieser Funktionen finden Sie unter Bereichsvergleich

Hinweis

Standardmäßig bewertet Azure Policy keine Ressourcen unter dem Ressourcenanbieter Microsoft.Resources, mit Ausnahme von Abonnements und Ressourcengruppen.

Nächste Schritte