创建例外以部署 Microsoft Purview
许多订阅都有限制某些资源的创建或更新的 Azure 策略 。 这是为了维护订阅安全和清洁。 但是,Microsoft Purview 帐户在创建 Azure 存储帐户时会部署该帐户。 它将由 Azure 管理,因此无需维护它,但 Microsoft Purview 必须正确运行。 现有策略可能会阻止此部署,并且你可能会在尝试创建 Microsoft Purview 帐户时收到错误。
Microsoft Purview 还会在创建后定期更新其 Azure 存储帐户,因此阻止更新此存储帐户的任何策略都会在扫描过程中导致错误。
若要在订阅中维护策略,但仍允许创建和更新这些托管资源,可以创建异常。
为 Microsoft Purview 创建 Azure 策略例外
导航到Azure 门户并搜索“策略”。
在“创作”菜单中选择“定义”。
选择“ + 策略定义 ”按钮。
在 “定义位置”下,选择要在其中部署 Microsoft Purview 帐户的订阅。
为策略命名,并将此策略规则 JSON 复制到“策略规则”字段中。
注意
标记可以命名为任何内容,前提是在所有位置使用相同的名称。 我们的示例使用
resourceBypass
。{ "mode": "All", "policyRule": { "if": { "anyOf": [ { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "not": { "field": "tags['<resourceBypass>']", "exists": true } }] } ] }, "then": { "effect": "deny" } }, "parameters": {} }
注意
可以编辑现有策略,而不是创建新策略,添加带有 标记的“not”字段。
选择“保存”。
在“策略”页上,选择“创作”菜单下的“ 分配 ”。
选择“ 分配策略 ”,并使用创建的自定义 策略创建策略分配 。
重要
根据订阅中部署的其他策略或区域,在分配策略时,可能需要在“高级”选项卡下添加资源选择器。 例如,可能需要将 resourceLocation 的资源选择器设置为要在其中部署 Microsoft Purview 帐户的区域。 有关这些条件的详细信息,请参阅 有关位置条件的文档。
然后“审阅 + 创建”。
创建策略后,请确保在创建期间或创建后将标记添加到 Microsoft Purview 帐户的 “标记 ”下。 例如,如果在创建策略时使用了名称
resourceBypass
,则应添加值为resourceBypass
“allowed”的标记。
后续步骤
若要使用 专用链接设置 Microsoft Purview,请参阅为 Microsoft Purview 帐户使用专用终结点。