Azure Policy-Definitionseffekt „manual“

Mit der neuen Auswirkung manual können Sie die Konformität von Ressourcen oder Bereichen selbst nachweisen. Im Gegensatz zu anderen Richtliniendefinitionen, die aktiv nach Auswertung suchen, ermöglicht die Auswirkung „Manuell“ manuelle Änderungen am Konformitätszustand. Um die Konformität einer Ressource oder eines Bereichs zu ändern, die bzw. der einer manuellen Richtlinie unterliegt, müssen Sie einen Nachweis erstellen. Die bewährte Methode ist das Entwerfen manueller Richtlinien, die auf den Bereich abzielen, der die Grenze von Ressourcen definiert, deren Konformität nachgewiesen werden muss.

Hinweis

Die Unterstützung für manuelle Richtlinien steht über verschiedene Microsoft Defender for Cloud-Complianceinitiativen zur Verfügung. Wenn Sie ein Premium-Abonnement von Microsoft Defender for Cloud haben, lesen Sie die Erfahrungsübersicht.

Im Folgenden sind Beispiele für regulatorische Richtlinieninitiativen aufgeführt, die Richtliniendefinitionen mit dem manual-Effekt enthalten:

  • FedRAMP High
  • FedRAMP Medium
  • HIPAA
  • HITRUST
  • ISO 27001
  • Microsoft CIS 1.3.0
  • Microsoft CIS 1.4.0
  • NIST SP 800-171 Rev. 2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • PCI-DSS 3.2.1
  • PCI DSS 4.0
  • SWIFT CSP CSCF v2022

Im folgenden Beispiel geht es um Azure-Abonnements, wobei der anfängliche Compliancestatus auf Unknown gesetzt wird.

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

Die Eigenschaft defaultState weist drei mögliche Werte auf:

  • Unknown: Der anfängliche Standardstatus der Zielressourcen.
  • Compliant: Die Ressource ist gemäß Ihren manuellen Richtlinienstandards konform
  • Non-compliant: Die Ressource ist gemäß Ihren manuellen Richtlinienstandards nicht konform

Die Azure Policy-Compliance-Engine bewertet alle betreffenden Ressourcen anhand des in der Definition angegebenen Standardstatus (Unknown, falls nicht festgelegt). Der Compliancestatus Unknown gibt an, dass Sie den Ressourcencompliancestatus manuell bestätigen müssen. Wenn der Effektstatus nicht angegeben ist, wird er standardmäßig auf Unknown gesetzt. Der Compliancestatus Unknown gibt an, dass Sie den Compliancestatus selbst bestätigen müssen.

Der folgende Screenshot zeigt, wie eine manuelle Richtlinienzuweisung mit dem Status Unknown im Azure-Portal angezeigt wird:

Screenshot der Tabelle „Ressourcenkonformität“ im Azure-Portal mit einer zugewiesenen manuellen Richtlinie und einem unbekannten Konformitätsgrund.

Wenn eine Richtliniendefinition mit dem Effekt manual zugewiesen wird, können Sie die Compliancestatus von Zielressourcen oder -bereichen über benutzerdefinierte Nachweise festlegen. Mit Nachweisen können Sie auch optionale Zusatzinformationen in Form von Metadaten und Links zu den Beweisen bereitstellen, die den gewählten Compliancestatus ergänzen. Die Person, die die manuelle Richtlinie zuweist, kann einen Standardspeicherort für Beweise vorschlagen, indem sie die Eigenschaft evidenceStorages der Metadaten für die Richtlinienzuweisung angibt.

Nächste Schritte