Guia de início rápido: criar uma atribuição de política para identificar recursos sem conformidade usando o portal do Azure

A primeira etapa para compreender a conformidade no Azure é identificar o status de seus recursos. Nesse início rápido, você cria uma atribuição de política para identificar recursos sem conformidade usando o portal do Azure. A política é atribuída a um grupo de recursos e audita as máquinas virtuais que não usam discos gerenciados. Depois de criar a atribuição de política, você identifica máquinas virtuais não compatíveis.

Ao atribuir uma política interna ou uma definição de iniciativa, é opcional referenciar uma versão. As atribuições de política de definições internas são padrão para a última versão e herdam automaticamente as alterações de versão secundária, a menos que esteja especificado de outra forma.

Pré-requisitos

  • Se você ainda não tiver uma conta do Azure, crie uma conta gratuita antes de começar.
  • Um grupo de recursos com pelo menos uma máquina virtual que não usa discos gerenciados.

Criar uma atribuição de política

Neste guia de início rápido, você criará uma atribuição de política com uma definição de política interna, Auditar VMs que não usam discos gerenciados.

  1. Entre no portal do Azure.

  2. Pesquise a política e selecione-a na lista.

    Captura de tela do portal do Azure para pesquisar pela política.

  3. Selecione Atribuições no painel Política.

    Captura de tela do painel Atribuições que realça a opção de Atribuir política.

  4. Selecione Atribuir Política na parte superior da página Atribuições de Política.

  5. No painel Atribuir Política da guia Informações Básicas, configure as seguintes opções:

    Campo Ação
    Escopo Use as reticências (...) e selecione uma assinatura e um grupo de recursos. Em seguida, escolha Selecionar para aplicar o escopo.
    Exclusões Opcional e não é usado neste exemplo.
    Seletores de recurso Ignore os seletores de recursos para este exemplo. Os seletores de recursos permitem refinar os recursos afetados pela atribuição de política.
    Definição de política Selecione as reticências (...) para abrir a lista de definições disponíveis.
    Definições disponíveis Pesquise a definição Auditar VMs que não usam discos gerenciados na lista de definições de política, selecione a política e selecione Adicionar. Há uma coluna que mostra a versão mais recente da definição.
    Versão (versão prévia) Aceite a versão no formato 1.*.* para ingerir versões principais, secundárias e de patch.

    Selecione as reticências (...) para exibir as versões disponíveis e as opções para se registrar em atualizações de versão secundária ou versões prévias. Você deve selecionar uma versão para alterar as opções. Para obter mais informações, acesse versão de definição na atribuição.
    Nome da atribuição Por padrão, usa o nome da política selecionada. Você pode alterá-lo, mas, para este exemplo, use o nome padrão.
    Descrição Opcional para fornecer detalhes sobre essa atribuição de política.
    Imposição de política Assume Habilitado como padrão. Para mais informações, confira modo de imposição.

    Captura de tela da atribuição de política e definições disponíveis que realça a versão da política.

  6. Depois que uma definição de política for selecionada, você poderá alterar as opções de versão (versão prévia).

    Por exemplo, se você selecionar as opções mostradas na imagem, o Versão (versão prévia) será alterado para 1.0.*.

    Captura de tela das opções de versão de definição de política para registrar em versões secundárias ou de visualização.

  7. Selecione Avançar para exibir as guias Parâmetros e Correção. Não é necessário fazer nenhuma alteração para este exemplo.

    Nome da guia Opções
    Parâmetros Se a definição de política que você selecionou na guia Informações Básicas tiver parâmetros, você os configura na guia Parâmetros. Este exemplo não usa parâmetros.
    Remediação Você pode criar uma identidade gerenciada. Para este exemplo, a opção Criar uma Identidade Gerenciada está desmarcada.

    Esta caixa precisa ser marcada se a política ou iniciativa inclui uma política com o efeito deployIfNotExists ou modify. Para saber mais, acesse identidades gerenciadas e como o controle de acesso de correção funciona.
  8. Selecione Avançar e, na guia Mensagens de não conformidade, crie uma Mensagem de não conformidade como: Máquinas virtuais devem usar discos gerenciados.

    Essa mensagem personalizada é exibida quando um recurso é negado ou para recursos sem conformidade durante a avaliação regular.

  9. Selecione Avançar e, na guia Examinar + criar, analise os detalhes da atribuição de política.

  10. Selecione Criar para criar a atribuição de política.

Identificar recursos fora de conformidade

No painel Política, selecione Conformidade e localize a atribuição de política Auditar VMs que não usam discos gerenciados. O estado de conformidade de uma nova atribuição de política leva alguns minutos para se tornar ativo e fornecer resultados sobre o estado da política.

Captura de tela da Conformidade de Política que realça a atribuição de política não compatível do exemplo.

A atribuição de política mostra recursos que estão com o Estado de conformidade como Sem conformidade. Para obter mais detalhes, selecione o nome da atribuição de política para exibir a Conformidade de Recursos.

Quando uma condição é avaliada em relação a seus recursos existentes e resulta ser verdadeira, então esses recursos são marcados como em não conformidade com a política. A tabela a seguir mostra como os diferentes efeitos da política funcionam com a avaliação da condição para o estado de conformidade resultante: Embora você não veja a lógica de avaliação no portal do Azure, os resultados do estado de conformidade são mostrados. O resultado do estado de conformidade pode ser ou compatível ou incompatível.

Estado do Recurso Efeito Avaliação da política Estado de conformidade
Novo ou atualizado Audit, Modify, AuditIfNotExist True Sem conformidade
Novo ou atualizado Audit, Modify, AuditIfNotExist Falso Em conformidade
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True Sem conformidade
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist Falso Em conformidade

Os efeitos DeployIfNotExist e AuditIfNotExist exigem que a instruçãoIF seja TRUE e a condição de existência seja FALSE para ser considerada não conformidade. Quando TRUE, a condição IF dispara a avaliação da condição de existência para os recursos relacionados.

Limpar os recursos

Você pode excluir uma atribuição de política da Conformidade ou de Atribuições.

Para remover a atribuição de política criada neste artigo, siga estas etapas:

  1. No painel Política, selecione Conformidade e localize a atribuição de política Auditar VMs que não usam discos gerenciados.

  2. Selecione as reticências da atribuição de política e selecione Excluir atribuição.

    Captura de tela do painel Conformidade que realça o menu para excluir uma atribuição de política.

Próximas etapas

Neste guia de início rápido, você atribuiu uma definição de política para identificar recursos sem conformidade em seu ambiente do Azure.

Para saber mais sobre como atribuir políticas que validam a conformidade dos recursos, prossiga para o tutorial.