Informazioni su Criteri di Azure

Criteri di Azure è un servizio che consente di applicare gli standard aziendali e di valutare la conformità su larga scala. Il dashboard di conformità fornisce una visualizzazione aggregata per valutare lo stato complessivo dell'ambiente, con la possibilità di eseguire il drill-down con granularità per risorsa e per criterio. Consente inoltre di ottenere la conformità delle risorse tramite la correzione in blocco per le risorse esistenti e la correzione automatica per le nuove risorse.

Nota

Per altre informazioni sulla correzione, vedere Correggere le risorse non conformi con Criteri di Azure.

I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Le definizioni dei criteri per questi casi d'uso comuni sono già disponibili nell'ambiente Azure come predefinite per iniziare facilmente a usare il servizio.

In particolare, alcune utili azioni di governance che è possibile applicare con Criteri di Azure includono:

  • Garantire che il team distribuisca le risorse di Azure solo nelle aree consentite
  • Applicazione coerente dell'applicazione di tag tassonomici
  • Richiesta di risorse per l'invio di log di diagnostica a un'area di lavoro Log Analytics

È importante riconoscere che con l'introduzione di Azure Arc è possibile estendere la governance basata su criteri in diversi provider di servizi cloud e anche ai data center locali.

Tutti i dati e gli oggetti di Criteri di Azure vengono crittografati quando sono inattivi. Per altre informazioni, vedere Crittografia di dati inattivi di Azure.

Panoramica

Criteri di Azure valuta le risorse e le azioni in Azure confrontando le proprietà di tali risorse con le regole business. Queste regole business, descritte in formato JSON, sono note come definizioni dei criteri. Per semplificare la gestione, è possibile raggruppare diverse regole business per formare un'iniziativa dei criteri (talvolta denominata set di criteri). Una volta formate le regole business, la definizione dei criteri o l'iniziativa viene assegnata a qualsiasi ambito di risorse supportate da Azure, ad esempio gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito di Resource Manager di tale assegnazione. Se necessario, è possibile escludere gli ambiti secondari. Per altre informazioni, vedere Ambito in Criteri di Azure.

Criteri di Azure usa un formato JSON per formare la logica usata dalla valutazione per determinare se una risorsa è conforme o meno. Le definizioni includono i metadati e la regola dei criteri. La regola definita può usare funzioni, parametri, operatori logici, condizioni e alias delle proprietà per corrispondere esattamente allo scenario desiderato. La regola dei criteri determina quali risorse nell'ambito dell'assegnazione vengono valutate.

Informazioni sui risultati della valutazione

Le risorse vengono valutate in momenti specifici durante il ciclo di vita delle risorse, il ciclo di vita dell'assegnazione dei criteri e per la valutazione periodica della conformità. Di seguito sono riportati gli orari o gli eventi che determinano la valutazione di una risorsa:

  • Una risorsa viene creata o aggiornata in un ambito con un'assegnazione di criteri.
  • Un criterio o un'iniziativa è stata appena assegnata a un ambito.
  • Un criterio o un'iniziativa già assegnata a un ambito viene aggiornata.
  • Durante il ciclo di valutazione della conformità standard, che viene eseguito una volta ogni 24 ore.

Per informazioni dettagliate su quando e come viene eseguita la valutazione dei criteri, vedere Trigger di valutazione.

Controllare la risposta a una valutazione

Le regole business per la gestione delle risorse non conformi variano notevolmente tra le organizzazioni. Le risposte della piattaforma in merito a una risorsa non conforme includono:

  • Negare la modifica della risorsa
  • Registrare la modifica alla risorsa
  • Modificare la risorsa prima della modifica
  • Modificare la risorsa dopo la modifica
  • Distribuire risorse conformi correlate
  • Bloccare le azioni sulle risorse

Criteri di Azure consente di attivare queste risposte tramite l'applicazione di effetti. Gli effetti vengono impostati nella parte della regola dei criteri della definizione di criteri.

Correggere le risorse non conformi

Sebbene questi effetti influiscano principalmente su una risorsa quando la risorsa viene creata o aggiornata, Criteri di Azure supporta anche la gestione delle risorse non conformi esistenti senza la necessità di modificare la risorsa. Per altre informazioni su come rendere conformi le risorse esistenti, vedere Correzione delle risorse.

Video introduttivo

La panoramica di Criteri di Azure riportata di seguito è tratta da Build 2018. Per scaricare le diapositive o il video, visitare Govern your Azure environment through Azure Policy (Governance dell'ambiente di Azure tramite Criteri di Azure) su Channel 9.

Introduzione

Criteri di Azure e controllo degli accessi in base al ruolo di Azure

Esistono alcune differenze importanti tra Criteri di Azure e il controllo degli accessi in base al ruolo di Azure. Criteri di Azure valuta lo stato esaminando le proprietà delle risorse rappresentate in Resource Manager e le proprietà di alcuni provider di risorse. Criteri di Azure garantisce che lo stato della risorsa sia conforme alle regole business, indipendentemente da chi ha eseguito la modifica o da chi ha le autorizzazioni per eseguire modifiche. Criteri di Azure tramite l'effetto DenyAction può anche bloccare determinate azioni sulle risorse. Alcune risorse di Criteri di Azure, ad esempio definizioni di criteri, definizioni di iniziativa e assegnazioni, sono visibili a tutti gli utenti. Questa progettazione consente la trasparenza per tutti gli utenti e i servizi per le regole dei criteri impostate nel proprio ambiente.

Il controllo degli accessi in base al ruolo di Azure è incentrato sulla gestione delle azioni dell'utente in ambiti diversi. Se il controllo di un'azione è necessario in base alle informazioni utente, il controllo degli accessi in base al ruolo di Azure è lo strumento corretto da usare. Anche se un utente è autorizzato a eseguire un'azione, se il risultato è una risorsa non conforme Criteri di Azure blocca la creazione o l'aggiornamento.

La combinazione del controllo degli accessi in base al ruolo di Azure e di Criteri di Azure fornisce il controllo completo dell'ambito in Azure.

Autorizzazioni del controllo degli accessi in base al ruolo di Azure in Criteri di Azure

Criteri di Azure dispone di diverse autorizzazioni, note come operazioni, in due provider di risorse:

Molti ruoli predefiniti concedono autorizzazioni alle risorse di Criteri di Azure. Il ruolo Collaboratore ai criteri delle risorse include la maggior parte delle operazioni di Criteri di Azure. Proprietario dispone invece di diritti completi. I ruoli Collaboratore e lettore hanno accesso a tutte le operazioni di Criteri di Azure in lettura.

Il collaboratore può attivare la correzione delle risorse, ma non può creare o aggiornare definizioni e assegnazioni. Il ruolo Amministratore Accesso utenti è necessario per concedere l'identità gestita nelle autorizzazioni necessarie per le assegnazioni di tipo deployIfNotExists o modify.

Nota

Tutti gli oggetti Criteri, incluse definizioni, iniziative e assegnazioni, saranno leggibili per tutti i ruoli nell'ambito. Ad esempio, un'assegnazione di criteri con ambito a un abbonamento di Azure sarà leggibile da tutti i titolari di ruolo nell'ambito della sottoscrizione e di seguito.

Se nessuno dei ruoli predefiniti dispone delle autorizzazioni necessarie, creare un ruolo personalizzato.

Le operazioni di Criteri di Azure possono avere un effetto significativo sull'ambiente Azure. È necessario assegnare solo il set minimo di autorizzazioni necessarie per eseguire un'attività e queste autorizzazioni non devono essere concesse agli utenti che non ne hanno bisogno.

Nota

L'identità gestita di un'assegnazione dei criteri deployIfNotExists o modify richiede autorizzazioni sufficienti per creare o aggiornare le risorse di destinazione. Per altre informazioni, vedere Configurare le definizioni dei criteri per la correzione.

Requisiti di autorizzazioni speciali per Criteri di Azure con Gestione rete virtuale di Azure

Gestione rete virtuale di Azure (anteprima) consente di applicare criteri di sicurezza e gestione coerenti a più reti virtuali di Azure in tutta l'infrastruttura cloud. I gruppi dinamici di Gestione rete virtuale di Azure usano le definizioni di Criteri di Azure per valutare l'appartenenza alla rete virtuale in tali gruppi.

Per creare, modificare o eliminare i criteri di gruppo dinamici di Gestione rete virtuale di Azure, è necessario:

  • Leggere e scrivere le autorizzazioni di Controllo degli accessi in base al ruolo di Azure per i criteri sottostanti
  • Autorizzazioni di Controllo degli accessi in base al ruolo di Azure per l'aggiunta al gruppo di rete (l'autorizzazione di amministrazione classica non è supportata).

In particolare, l'autorizzazione del provider di risorse richiesta è Microsoft.Network/networkManagers/networkGroups/join/action.

Importante

Per modificare i gruppi dinamici AVNM, è necessario che sia stato concesso l'accesso solo tramite l'assegnazione di ruolo Controllo degli accessi in base al ruolo di Azure. L'autorizzazione di amministratore/legacy classica non è supportata; ciò significa che se all'account è stato assegnato solo il ruolo di sottoscrizione coamministratore, non si dispone delle autorizzazioni per i gruppi dinamici AVNM.

Risorse coperte da Criteri di Azure

Anche se un criterio può essere assegnato a livello di gruppo di gestione, vengono valutate solo le risorse a livello di sottoscrizione o gruppo di risorse.

Per alcuni provider di risorse, ad esempio Configurazione macchina, servizio Azure Kubernetes e Azure Key Vault, esiste un'integrazione più profonda per la gestione di impostazioni e oggetti. Per altre informazioni, vedere Modalità provider di risorse.

Raccomandazioni per la gestione dei criteri

Ecco alcuni consigli e suggerimenti da tenere presenti:

  • Iniziare con un effetto audit o auditIfNotExist anziché un'imposizione (deny, modify, deployIfNotExist) per tenere traccia dell'impatto della definizione dei criteri sulle risorse nell'ambiente. Se sono già disponibili script per la scalabilità automatica delle applicazioni, l'impostazione di un effetto di imposizione potrebbe ostacolare tali attività di automazione già in atto.

  • Tenere presente le gerarchie organizzative quando si creano definizioni e assegnazioni. È consigliabile creare definizioni a livelli più generici, ad esempio il gruppo di gestione o a livello di sottoscrizione. Quindi, creare l'assegnazione al livello figlio successivo. Se si crea una definizione in un gruppo di gestione, l'assegnazione può essere limitata a una sottoscrizione o un gruppo di risorse all'interno di tale gruppo.

  • È consigliabile creare e assegnare definizioni di iniziativa anche se si inizia con una singola definizione di criteri. In questo modo è possibile aggiungere definizioni di criteri all'iniziativa in un secondo momento senza aumentare il numero di assegnazioni da gestire.

    • Si supponga, ad esempio, di creare una definizione di criteri policyDefA e aggiungerla alla definizione dell'iniziativa initiativeDefC. Se in un secondo momento si crea un'altra definizione di criteri policyDefB con obiettivi simili a policyDefA, è possibile aggiungerla in initiativeDefC e monitorarle insieme.

    • Dopo aver creato un'assegnazione di iniziativa, le definizioni di criteri aggiunte all'iniziativa diventano anch'esse parte di tale assegnazione.

    • Quando viene valutata un'assegnazione di iniziativa, vengono valutati anche tutti i criteri inclusi nell'iniziativa. Se è necessario convalidare i criteri singolarmente, è preferibile non includerli in un'iniziativa.

  • Gestire le risorse di Criteri di Azure come codice con revisioni manuali sulle modifiche apportate a definizioni, iniziative e assegnazioni di criteri. Per altre informazioni sui modelli e gli strumenti suggeriti, vedere Progettare Criteri di Azure come flussi di lavoro di codice.

Oggetti Criteri di Azure

Definizione criteri

Il processo di creazione e implementazione dei criteri in Criteri di Azure ha inizio con la creazione di una definizione di criteri. Ogni definizione di criteri include condizioni da cui ne dipende l'applicazione. C'è anche un effetto definito associato, che viene applicato se le condizioni sono soddisfatte.

In Criteri di Azure sono disponibili diversi criteri predefiniti. Ad esempio:

  • SKU dell'account di archiviazione consentiti (Nega): determina se un account di archiviazione distribuito si trova all'interno di un set di dimensioni dello SKU. L'effetto consiste nel rifiutare tutti gli account di archiviazione che non rispettano il set di dimensioni di SKU definite.
  • tipo di risorsa consentito (Nega): definisce i tipi di risorsa che è possibile distribuire. L'effetto consiste nel rifiutare tutte le risorse non incluse nell'elenco definito.
  • Percorsi consentiti (Nega): limita le posizioni disponibili per le nuove risorse. L'effetto viene usato per imporre i requisiti di conformità geografica.
  • SKU di macchina virtuale consentiti (Nega): specifica un set di SKU di macchine virtuali che è possibile distribuire.
  • Aggiungere un tag alle risorse (Modifica): applica un tag obbligatorio e il relativo valore predefinito se non è specificato dalla richiesta di distribuzione.
  • Tipi di risorse non consentiti (Nega): impedisce la distribuzione di un elenco di tipi di risorse.

Per implementare queste definizioni di criteri (predefinite e personalizzate), sarà necessario assegnarle. È possibile assegnare uno qualsiasi di questi criteri tramite il portale di Azure, PowerShell o l’interfaccia della riga di comando di Azure.

La valutazione dei criteri avviene con diverse azioni, ad esempio l'assegnazione o l'aggiornamento dei criteri. Per un elenco completo, vedere Trigger di valutazione dei criteri.

Per altre informazioni sulle strutture delle definizioni dei criteri, vedere Struttura delle definizioni di criteri.

I parametri dei criteri consentono di semplificarne la gestione riducendo il numero di definizioni di criteri che è necessario creare. È possibile definire parametri mentre si crea una definizione di criteri per renderla più generica. La definizione di criteri può successivamente essere usata anche per altri scenari. È sufficiente, a tal fine, passare valori diversi durante l'assegnazione della definizione di criteri. Si può ad esempio specificare un set di località per una sottoscrizione.

I parametri vengono definiti quando si crea una definizione di criteri. Quando viene definito un parametro, vengono assegnati un nome e facoltativamente un valore. È ad esempio possibile definire un parametro per i criteri denominato location (posizione) e assegnargli valori diversi durante l'assegnazione dei criteri, ad esempio EastUS o WestUS.

Per altre informazioni sui parametri dei criteri, vedere Struttura definizioni - Parametri.

Definizione di iniziativa

Una definizione di iniziativa è una raccolta di definizioni di criteri ottimizzate per il raggiungimento di un singolo obiettivo globale. Le definizioni di iniziativa semplificano la gestione e l'assegnazione delle definizioni di criteri, in quanto raggruppano un set di criteri in un unico elemento. Ad esempio, è possibile creare un'iniziativa denominata Abilitare il monitoraggio in Microsoft Defender per il cloud, con l'obiettivo di monitorare tutte le raccomandazioni sulla sicurezza disponibili nell'istanza di Microsoft Defender per il cloud.

Nota

L'SDK, ad esempio l'interfaccia della riga di comando di Azure e Azure PowerShell, usa proprietà e parametri denominati PolicySet per fare riferimento alle iniziative.

In questa iniziativa saranno incluse definizioni di criteri come le seguenti:

  • Monitorare il database SQL non crittografato in Microsoft Defender per il cloud : per il monitoraggio di server e database SQL non crittografati.
  • Monitorare le vulnerabilità del sistema operativo in Microsoft Defender per il cloud: per i server di monitoraggio che non soddisfano la baseline configurata.
  • Monitoraggio senza Endpoint Protection in Microsoft Defender per il cloud: per il monitoraggio dei server senza un agente di Endpoint Protection installato.

Analogamente ai parametri dei criteri, i parametri delle iniziative consentono di semplificarne la gestione riducendo la ridondanza. I parametri delle iniziative sono parametri usati dalle definizioni di criteri incluse nell'iniziativa.

Si consideri ad esempio uno scenario con una definizione di iniziativa, initiativeC, che include le definizioni di criteri policyA e policyB, per ognuna delle quali è previsto un diverso tipo di parametro:

Criteri Nome del parametro Tipo di parametro Nota
policyA allowedLocations array Questo parametro prevede come valore un elenco di stringhe, perché il parametro è stato definito come di tipo matrice
policyB allowedSingleLocation string Questo parametro prevede come valore una parola, perché il parametro è stato definito come di tipo stringa

In questo scenario, per la definizione dei parametri dell'iniziativa initiativeC sono disponibili tre opzioni:

  • Sfruttare i parametri delle definizioni di criteri incluse nell'iniziativa. In questo esempio allowedLocations e allowedSingleLocation diventano i parametri dell'iniziativa initiativeC.
  • Specificare valori per i parametri delle definizioni di criteri incluse nella definizione di iniziativa. In questo esempio è possibile specificare un elenco di posizioni per il parametro allowedLocations di policyA e il parametro allowedSingleLocation di policyB. È anche possibile specificare i valori quando si assegna l'iniziativa.
  • Specificare un elenco di opzioni di valore utilizzabili durante l'assegnazione dell'iniziativa. Quando si assegna l'iniziativa, i parametri ereditati dalle definizioni di criteri incluse nell'iniziativa possono contenere solo valori presenti nell'elenco specificato.

Durante la creazione di opzioni di valori in una definizione di iniziativa, non è possibile a immettere un valore diverso durante l'assegnazione dell'iniziativa perché non è incluso nell'elenco.

Per altre informazioni sulle strutture delle definizioni di iniziativa, vedere Struttura delle definizioni di iniziativa.

Attività

Un'assegnazione è una definizione o un'iniziativa di criteri assegnata a un ambito specifico. L'ambito può spaziare da un gruppo di gestione a una singola risorsa. Il termine ambito fa riferimento a tutte le risorse, i gruppi di risorse, le sottoscrizioni o i gruppi di gestione a cui è assegnata la definizione. Le assegnazioni vengono ereditate da tutte le risorse figlio. Questo significa che una definizione applicata a un gruppo di risorse viene anche applicata a tutte le risorse presenti nel gruppo. È tuttavia possibile escludere un ambito secondario dall'assegnazione.

Nell'ambito della sottoscrizione è ad esempio possibile assegnare una definizione che impedisca la creazione di risorse di rete. È possibile escludere un gruppo di risorse nella sottoscrizione che è pensato per l'infrastruttura di rete. e consentire quindi l'accesso a questo gruppo specifico a utenti fidati in grado di creare risorse di rete.

In altri casi, potrebbe essere opportuno assegnare una definizione dell'elenco elementi consentiti per tipo di risorsa a livello di gruppo di gestione. E assegnare quindi un criterio più permissivo, consentendo più tipi di risorse, a un gruppo di gestione figlio o anche direttamente alle sottoscrizioni. Questo esempio tuttavia non funzionerebbe perché Criteri di Azure è un sistema di rifiuto esplicito. È invece necessario escludere il gruppo di gestione figlio o la sottoscrizione dall'assegnazione a livello di gruppo di gestione. Assegnare quindi il criterio più permissivo a livello di gruppo di gestione figlio o di sottoscrizione. Se eventuali assegnazioni provocano il rifiuto di una risorsa, l'unico modo per consentire la risorsa consiste nel modificare l'assegnazione che la rifiuta.

Le assegnazioni di criteri usano sempre lo stato più recente della definizione o dell'iniziativa assegnata durante la valutazione delle risorse. Se viene modificata una definizione di criteri già assegnata, tutte le assegnazioni esistenti di tale definizione useranno la logica aggiornata durante la valutazione.

Per altre informazioni sull'impostazione delle assegnazioni tramite il portale, vedere Creare un'assegnazione di criteri per identificare le risorse non conformi nell'ambiente Azure. Sono inoltre disponibili i passaggi per PowerShell e Interfaccia della riga di comando di Azure. Per informazioni sulla struttura delle assegnazioni, vedere Struttura delle assegnazioni.

Numero massimo di oggetti di Criteri di Azure

Per Criteri di Azure è previsto un numero massimo per ogni tipo di oggetto. Per le definizioni la voce Ambito indica la sottoscrizione o il gruppo di gestione. Per le assegnazioni e le esenzioni, la voce Ambito indica la sottoscrizione, il gruppo di risorse, una singola risorsa o il gruppo di gestione.

Dove Quale Numero massimo
Ambito Definizioni dei criteri 500
Ambito Definizioni di iniziativa 200
Tenant Definizioni di iniziativa 2500
Ambito Assegnazioni di criteri o iniziative 200
Ambito Esenzioni 1000
Definizione di criteri Parametri 20
Definizione di iniziativa Criteri 1000
Definizione di iniziativa Parametri 400
Assegnazioni di criteri o iniziative Esclusioni (notScopes) 400
Regola dei criteri Istruzioni condizionali annidate 512
Attività di correzione Risorse 50,000
Definizione, iniziativa o corpo della richiesta di assegnazione dei criteri Byte 1.048.576

Le regole dei criteri hanno più limiti al numero di condizioni e alla loro complessità. Per altre informazioni, vedere Limiti delle regole dei criteri per altri dettagli.

Passaggi successivi

Di seguito sono riportati i passaggi successivi consigliati dopo questa panoramica di Criteri di Azure e di alcuni dei concetti chiave: