Struktur der Azure Policy-Wartungsaufgabe

Das Feature „Azure Policy-Wartungsaufgabe“ wird verwendet, um Ressourcen konform zu bringen, die anhand einer Definition und Zuweisung eingerichtet wurden. Für Ressourcen, die mit einer modify- oder deployIfNotExist-Definitionszuweisung nicht kompatibel sind, kann mithilfe einer Wartungsaufgabe Konformität erzielt werden. Eine Wartungsaufgabe stellt die Vorlage deployIfNotExists oder die modify-Vorgänge für die ausgewählten nicht konformen Ressourcen mithilfe der in der Zuweisung angegebenen Identität bereit. Unter Richtlinienzuweisungsstruktur erfahren Sie, wie die Identität definiert wird, und unter Korrigieren nicht konformer Ressourcen mit Azure Policy, wie Sie die Identität konfigurieren.

Durch Wartungsaufgaben werden vorhandene Ressourcen korrigiert, die nicht konform sind. Neu erstellte oder aktualisierte Ressourcen, die für die Definitionszuweisung deployIfNotExists oder modify gelten, werden automatisch korrigiert.

Sie verwenden JavaScript Object Notation (JSON), um eine Richtlinienwartungsaufgabe zu erstellen. Der Richtlinienwartungsaufgabe enthält Elemente für:

• Anzeigename
• description
• Richtlinienzuweisung
• Richtliniendefinitionen in einer Initiative
• Ressourcenanzahl und parallele Bereitstellungen
• Fehlerschwellenwert
• Wartungsfilter
• Ressourcenermittlungsmodus
• Bereitstellungsstatus und Bereitstellungszusammenfassung

Im folgenden JSON-Code wird beispielsweise eine Richtlinienwartungsaufgabe für die Richtliniendefinition mit dem Namen requiredTags als Teil einer Initiativenzuweisung mit dem Namen resourceShouldBeCompliantInit mit allen Standardeinstellungen angezeigt.

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Schritte zum Auslösen einer Wartungsaufgabe finden Sie im Leitfaden zum Beheben nicht konformer Ressourcen. Diese Einstellungen können nicht mehr geändert werden, nachdem die Wartungsaufgabe gestartet wurde.

Anzeigename und Beschreibung

Sie verwenden displayName und description, um die Richtlinienwartungsaufgabe zu bestimmen und den Kontext für ihre Verwendung anzugeben. displayNamehat eine maximale Länge von 128 Zeichen und description eine maximale Länge von 512 Zeichen.

Richtlinienzuweisungs-ID

Dieses Feld muss den vollständigen Pfadname einer Richtlinien- oder Initiativenzuweisung enthalten. policyAssignmentId ist eine Zeichenfolge und kein Array. Diese Eigenschaft definiert, welche Zuweisung der übergeordneten Ressourcenhierarchie oder der einzelnen Ressource behoben werden soll.

Richtliniendefinitions-ID

Wenn sich policyAssignmentId auf eine Initiativenzuweisung bezieht, kann mit der policyDefinitionReferenceId-Eigenschaft angegeben werden, für welche Richtliniendefinitionen in der Initiative die Objektressourcen korrigiert werden sollen. Da eine Wartung nur im Gültigkeitsbereich einer einzigen Definition ausgeführt werden kann, ist diese Eigenschaft eine Zeichenfolge, kein Array. Der Wert muss mit dem Wert in der Initiativendefinition im Feld policyDefinitions.policyDefinitionReferenceId übereinstimmen, nicht mit dem globalen Bezeichner für die Richtliniendefinition: Id.

Ressourcenanzahl und parallele Bereitstellungen

Verwenden Sie resourceCount, um festzulegen, wie viele nicht konforme Ressourcen in einer bestimmten Wartungsaufgabe korrigiert werden sollen. Der Standardwert ist 500, wobei die maximale Zahl 50 000 ist. parallelDeployments bestimmt, wie viele dieser Ressourcen gleichzeitig korrigiert werden sollen. Der zulässige Bereich liegt zwischen 1 und 30, wobei der Standardwert 10 ist.

Bei parallelen Bereitstellungen handelt es sich um die Anzahl von Bereitstellungen innerhalb einer einzelnen Wartungsaufgabe, der Maximalwert ist 30. Für eine einzelne Richtliniendefinition oder Richtlinienreferenz innerhalb einer Initiative können maximal 100 Wartungsaufgaben parallel ausgeführt werden.

Fehlerschwellenwert

Eine optionale Eigenschaft, die verwendet wird, um anzugeben, ob die Wartungsaufgabe fehlschlagen soll, wenn der Prozentsatz der Fehler den festgelegten Schwellenwert überschreitet. failureThreshold wird als Prozentsatz von 0 bis 100 dargestellt. Standardmäßig liegt der Fehlerschwellenwert bei 100 %, was bedeutet, dass die Wartungsaufgabe weiterhin andere Ressourcen korrigiert, auch wenn Ressourcen nicht korrigiert werden können.

Wartungsfilter

Eine optionale Eigenschaft verfeinern, welche Ressourcen für die Wartungsaufgabe anwendbar sind. Der zulässige Filter ist der Ressourcenspeicherort. Sofern nicht angegeben, können Ressourcen aus einer beliebigen Region korrigiert werden.

Ressourcenermittlungsmodus

Diese Eigenschaft entscheidet, wie Ressourcen entdeckt werden, die für die Wartung in Frage kommen. Damit eine Ressource berechtigt ist, muss sie nicht konform sein. Standardmäßig ist diese Eigenschaft auf ExistingNonCompliantfestgelegt. Sie könnte auch auf ReEvaluateCompliance festgelegt werden, wodurch ein neuer Konformitätsscan für diese Zuweisung ausgelöst wird und alle Ressourcen korrigiert werden, die als nicht konform befunden werden.

Zusammenfassung des Bereitstellungsstatus und der Bereitstellung

Sobald eine Wartungsaufgabe erstellt wurde, werden die Eigenschaften ProvisioningState und DeploymentSummary aufgefüllt. ProvisioningState gibt den Status des Wartungsaufgaben an. Zulässige Werte sind Running, Canceled, Cancelling, Failed, Complete oder Succeeded. DeploymentSummary ist eine Arrayeigenschaft, welche die Anzahl der Bereitstellungen zusammen mit der Anzahl der erfolgreichen und fehlgeschlagenen Bereitstellungen angibt.

Beispiel einer erfolgreich abgeschlossenen Wartungsaufgabe:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Nächste Schritte

• Verstehen, wie Ursachen für Nichtkonformität ermittelt werden.
• Informieren Sie sich über das Abrufen von Konformitätsdaten.
• Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.
• Verstehen, wie Sie auf Azure Policy-Zustandsänderungsereignisse reagieren.
• Erfahren Sie mehr über die Struktur von Richtliniendefinitionen.
• Erfahren Sie mehr über die Struktur von Richtlinienzuweisungen.