Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In dieser Übersicht wird beschrieben, wie Azure Policy dazu beiträgt, organisatorische Standards zu erzwingen und die Compliance im großen Maßstab zu bewerten. Über sein Compliance-Dashboard bietet der Dienst eine aggregierte Ansicht zur Bewertung des Gesamtzustands der Umgebung mit der Möglichkeit, einen Drilldown zur Granularität pro Ressource und Richtlinie durchzuführen. Außerdem trägt er durch Massenwartung für vorhandene Ressourcen und automatische Wartung dazu bei, dass Ihre Ressourcen Compliance-Anforderungen erfüllen.
Hinweis
Weitere Informationen zur Behebung finden Sie unter "Korrigieren nicht konformer Ressourcen mit Azure-Richtlinie".
Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung. Richtliniendefinitionen für diese häufigen Anwendungsfälle sind in ihrer Azure-Umgebung bereits integriert bereitgestellt, um Ihnen den Einstieg zu erleichtern.
Zu den nützlichen Governanceaktionen, die Sie mit Azure-Richtlinien erzwingen können, gehören:
- Stellen Sie sicher, dass Ihr Team Azure-Ressourcen nur für zulässige Regionen bereitstellt.
- Erzwingen Sie die konsistente Anwendung taxonomischer Tags.
- Ressourcen sind erforderlich, um Diagnoseprotokolle an einen Log Analytics-Arbeitsbereich zu senden.
Es ist wichtig zu erkennen, dass Sie mit der Einführung von Azure Arc Ihre richtlinienbasierte Governance auf verschiedene Cloudanbieter und sogar auf Ihre lokalen Rechenzentren erweitern können.
Alle Azure Policy-Daten und -Objekte werden im Ruhezustand verschlüsselt. Weitere Informationen finden Sie unter Datenverschlüsselung ruhender Azure-Daten.
Übersicht
Azure Policy wertet Ressourcen und Aktionen in Azure aus, indem die Eigenschaften dieser Ressourcen mit Geschäftsregeln verglichen werden. Diese im JSON-Format beschriebenen Geschäftsregeln werden als Richtliniendefinitionen bezeichnet. Um die Verwaltung zu vereinfachen, können mehrere Geschäftsregeln gruppiert werden, um eine Richtlinieninitiative zu bilden, die auch als policySet bezeichnet wird.
Nachdem Ihre Geschäftsregeln gebildet wurden, wird die Richtliniendefinition oder -initiative jedem Umfang von Ressourcen zugewiesen , die Azure unterstützt. Beispielsweise Verwaltungsgruppen, Abonnements, Ressourcengruppen oder einzelne Ressourcen. Die Zuweisung gilt für alle Ressourcen innerhalb des Resource Manager-Bereichs dieser Zuweisung. Unterbereiche können ggf. ausgeschlossen werden. Weitere Informationen finden Sie unter Erläuterungen zum Bereich in Azure Policy.
Azure Policy verwendet ein JSON-Format zum Erstellen der Logik, mit der die Auswertung bestimmt, ob eine Ressource konform ist. Definitionen enthalten Metadaten und die Richtlinienregel. Die definierte Regel kann Funktionen, Parameter, logische Operatoren, Bedingungen und Eigenschaftenaliase verwenden, um genau dem gewünschten Szenario zu entsprechen. Die Richtlinienregel bestimmt, welche Ressourcen im Bereich der Zuweisung ausgewertet werden.
Grundlegendes zu den Auswertungsergebnissen
Die Auswertung von Ressourcen erfolgt zu bestimmten Zeitpunkten während des Ressourcenlebenszyklus, des Lebenszyklus der Richtlinienzuweisung und für regelmäßige kontinuierliche Compliance-Auswertungen. Nachfolgend sind die Uhrzeiten oder Ereignisse aufgeführt, die dazu führen, dass eine Ressource ausgewertet wird:
- Eine Ressource wird in einem Bereich mit einer Richtlinienzuweisung erstellt oder aktualisiert.
- Ein Bereich erhält eine neue Zuordnung einer Richtlinie oder Initiative.
- Eine Richtlinie oder Initiative, die bereits einem Bereich zugewiesen ist, wird aktualisiert.
- Der standardmäßige Complianceauswertungszyklus, der einmal alle 24 Stunden auftritt.
Ausführliche Informationen darüber, wann und wie die Richtlinienauswertung erfolgt, finden Sie unter Auswertungsauslöser.
Steuern der Reaktion auf eine Auswertung
Geschäftsregeln für die Behandlung nicht konformer Ressourcen sind von Organisation zu Organisation sehr unterschiedlich. Beispiele dafür, wie die Plattform einer Organisation auf eine nicht konforme Ressource reagieren soll:
- Die Ressourcenänderung verweigern.
- Protokollieren Sie die Änderung an der Ressource.
- Ändern Sie die Ressource vor der Änderung.
- Ändern Sie die Ressource nach der Änderung.
- Stellen Sie verwandte kompatible Ressourcen bereit.
- Blockieren Sie Aktionen für Ressourcen.
Azure Policy ermöglicht jede dieser geschäftlichen Reaktionen durch die Anwendung von Effekten. Effekte werden in der Richtlinienregel der Richtliniendefinition festgelegt.
Korrigieren nicht konformer Ressourcen
Diese Effekte wirken sich in erster Linie auf eine Ressource aus, wenn die Ressource erstellt oder aktualisiert wird. Azure Policy unterstützt auch den Umgang mit vorhandenen nicht konformen Ressourcen, ohne diese Ressource ändern zu müssen. Weitere Informationen zur Einhaltung vorhandener Ressourcen finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure-Richtlinie.
Erste Schritte
Azure Policy und Azure RBAC
Zwischen Azure Policy und der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) gibt es einige entscheidende Unterschiede. Azure Policy wertet den Status aus, indem Eigenschaften für Ressourcen, die in Resource Manager dargestellt sind, und Eigenschaften einiger Ressourcenanbieter überprüft werden. Azure Policy stellt sicher, dass der Ressourcenzustand Ihren Geschäftsregeln entspricht, unabhängig davon, wer die Änderung vorgenommen hat oder wer die Berechtigung hat, eine Änderung vorzunehmen. Der „Azure Policy über DenyAction“-Effekt kann auch bestimmte Aktionen für Ressourcen blockieren. Einige Azure Policy-Ressourcen wie Richtliniendefinitionen, Initiativdefinitionen und Zuweisungen sind für alle Benutzer sichtbar. So wissen alle Benutzer und Dienste, welche Richtlinienregeln in einer Umgebung festgelegt wurden.
Bei Azure RBAC steht die Verwaltung von Benutzeraktionen in verschiedenen Bereichen im Mittelpunkt. Wenn die Steuerung einer Aktion auf der Grundlage von Benutzerinformationen erforderlich ist, dann ist Azure RBAC das richtige Tool dafür. Auch wenn eine Person Zugriff zum Ausführen einer Aktion hat und das Ergebnis eine nicht konforme Ressource ist, blockiert Azure Policy weiterhin das Erstellen oder Aktualisieren.
Die Kombination aus Azure RBAC und Azure Policy bietet vollständige Bereichskontrolle in Azure.
Azure RBAC-Berechtigungen in Azure Policy
Azure Policy verfügt über verschiedene Berechtigungen (als Vorgänge bezeichnet) in zwei Ressourcenanbietern:
Zahlreiche integrierte Rollen erteilen Berechtigungen für Azure Policy-Ressourcen. Die Rolle Mitwirkender bei Ressourcenrichtlinien umfasst die meisten Vorgänge in Azure Policy. Die Rolle Besitzer verfügt über die vollständigen Berechtigungen. Sowohl Mitwirkender als auch Leser haben Zugriff auf alle Azure Policy-Lesevorgänge.
Der Mitwirkende löst möglicherweise eine Ressourcenbehebung aus, kann aber keine Definitionen und Zuordnungen erstellen oder aktualisieren .
Benutzerzugriffsadministrator ist erforderlich, um der verwalteten Identität unter den Zuweisungen deployIfNotExists oder modify die benötigten Berechtigungen zu gewähren.
Hinweis
Alle Richtlinienobjekte, einschließlich Definitionen, Initiativen und Zuordnungen, sind für alle Rollen in ihrem Gültigkeitsbereich lesbar. Beispielsweise ist eine Richtlinienzuweisung, die auf ein Azure-Abonnement beschränkt ist, von allen Rolleninhabern auf Abonnementebene und darunter lesbar.
Wenn keine der integrierten Rollen über die erforderlichen Berechtigungen verfügt, erstellen Sie eine benutzerdefinierte Rolle.
Azure Policy-Vorgänge können erhebliche Auswirkungen auf Ihre Azure-Umgebung haben. Weisen Sie nur den minimalen Satz von Berechtigungen zu, die zum Ausführen einer Aufgabe erforderlich sind, und erteilen Sie diesen Berechtigungen nur Benutzern, die eine Berechtigung benötigen.
Hinweis
Die verwaltete Identität einer deployIfNotExists oder modify Richtlinienzuweisung benötigt genügend Berechtigungen, um gezielte Ressourcen zu erstellen oder zu aktualisieren. Weitere Informationen finden Sie unter Konfigurieren der Richtliniendefinition.
Anforderung spezieller Berechtigungen für Azure Policy mit Azure Virtual Network Manager
Mit Azure Virtual Network Manager (Vorschau) können Sie einheitliche Verwaltungs- und Sicherheitsrichtlinien auf mehrere virtuelle Azure-Netzwerke in Ihrer Cloudinfrastruktur anwenden. Dynamische Azure Virtual Network Manager (AVNM)-Gruppen verwenden Azure-Richtliniendefinitionen, um die Mitgliedschaft im virtuellen Netzwerk in diesen Gruppen auszuwerten.
Zum Erstellen, Bearbeiten oder Löschen von Richtlinien für dynamische Azure Virtual Network Manager-Gruppen benötigen Sie Folgendes:
- Azure RBAC-Lese-und Schreibberechtigungen für die zugrunde liegende Richtlinie
- Azure RBAC-Berechtigungen für den Beitritt zur Netzwerkgruppe. Die klassische Administratorautorisierung wird nicht unterstützt.
Die erforderliche Ressourcenanbieterberechtigung ist Microsoft.Network/networkManagers/networkGroups/join/action.
Wichtig
Zum Ändern von dynamischen AVNM-Gruppen muss Ihnen der Zugriff nur über die Azure RBAC-Rollenzuweisung gewährt werden. Die klassische Administrator- oder Legacyautorisierung wird nicht unterstützt. Wenn Ihrem Konto nur die Co-Administrator Abonnementrolle zugewiesen wurde, verfügen Sie nicht über Berechtigungen für dynamische AVNM-Gruppen.
Von Azure Policy abgedeckte Ressourcen
Obwohl eine Richtlinie auf Verwaltungsgruppenebene zugewiesen werden kann, werden nur Ressourcen auf Abonnement- oder Ressourcengruppenebene ausgewertet.
Für bestimmte Ressourcenanbieter wie Maschinenkonfiguration, Azure Kubernetes Service und Azure Key Vaultgibt es eine tiefere Integration zur Verwaltung von Einstellungen und Objekten. Weitere Informationen finden Sie unter Ressourcenanbietermodi.
Empfehlungen für die Verwaltung von Richtlinien
Hier sind einige Hinweise und Tipps aufgeführt, die Sie beachten sollten:
Beginnen Sie mit einem
audit- oderauditIfNotExists-Effekt statt eines Durchsetzungseffekts (deny,modify,deployIfNotExists), um die Auswirkung Ihrer Richtliniendefinition auf die Ressourcen in Ihrer Umgebung nachzuverfolgen. Wenn bereits Skripte zur automatischen Skalierung Ihrer Anwendungen vorhanden sind, kann das Festlegen eines Durchsetzungseffekts solche Automatisierungsaufgaben möglicherweise behindern.Berücksichtigen Sie Beim Erstellen von Definitionen und Zuweisungen organisatorische Hierarchien. Wir empfehlen Ihnen, Definitionen auf allgemeiner Ebene zu erstellen, z.B. Verwaltungsgruppen- oder Abonnementebene. Erstellen Sie anschließend die Zuweisung auf der nächsten untergeordneten Ebene. Wenn Sie eine Definition für eine Verwaltungsgruppe erstellen, kann die Zuweisung für ein Abonnement oder eine Ressourcengruppe innerhalb dieser Verwaltungsgruppe festgelegt werden.
Es wird empfohlen, Initiativdefinitionen zu erstellen und zuzuweisen, auch wenn Sie nur mit einer einzelnen Richtliniendefinition beginnen. Mit dieser Methode können Sie der Initiative später Richtliniendefinitionen hinzufügen, ohne die Anzahl der zu verwaltenden Zuordnungen zu erhöhen.
Stellen Sie sich beispielsweise vor, Sie erstellen die Richtliniendefinition policyDefA und fügen sie der Initiativendefinition initiativeDefC hinzu. Wenn Sie später eine andere Richtliniendefinition policyDefB erstellen, deren Ziele denen von policyDefA ähneln, können Sie sie zu initiativeDefC hinzufügen und beide zusammen nachverfolgen.
Nachdem Sie eine Initiativzuweisung erstellt haben, werden richtliniendefinitionen, die der Initiative hinzugefügt wurden, ebenfalls Teil der Aufgaben dieser Initiative.
Wenn eine Initiativzuweisung ausgewertet wird, werden auch alle Richtlinien innerhalb der Initiative ausgewertet. Falls Sie eine Richtlinie einzeln auswerten möchten, empfiehlt es sich, sie nicht in eine Initiative aufzunehmen.
Verwalten Sie Azure Policy-Ressourcen als Code mit manuellen Überprüfungen von Änderungen an Richtliniendefinitionen, -initiativen und -zuweisungen. Weitere Informationen zu vorgeschlagenen Mustern und Tools finden Sie unter "Entwerfen von Azure-Richtlinien als Codeworkflows".
Azure Policy-Objekte
Die Objekte umfassen Richtliniendefinitionen, Initiativdefinitionen und Zuordnungen.
Richtliniendefinition
Die Reise zum Erstellen und Implementieren einer Richtlinie in Azure-Richtlinie beginnt beim Erstellen einer Richtliniendefinition. Jede Richtliniendefinition weist Bedingungen auf, die erzwungen werden. Des Weiteren verfügt sie über einen definierten Effekt, der wirksam wird, wenn die Bedingungen erfüllt sind.
In Azure Policy bieten wir mehrere integrierte Richtlinien an, die standardmäßig zur Verfügung stehen. Beispiel:
- Zulässige Speicherkonten-SKUs (ablehnen): Bestimmt, ob ein bereitzustellendes Speicherkonto innerhalb einer Gruppe von SKU-Größen liegt. Alle Speicherkonten, die nicht der definierten Gruppe von SKU-Größen entsprechen, werden abgelehnt.
- Zulässiger Ressourcentyp (ablehnen): Definiert die Ressourcentypen, die Sie bereitstellen können. Alle Ressourcen, die nicht in dieser Liste enthalten sind, werden abgelehnt.
- Zulässige Standorte (ablehnen): Schränkt die verfügbaren Standorte für neue Ressourcen ein. Der dazugehörige Effekt dient zur Erzwingung Ihrer Geokonformitätsanforderungen.
- Zulässige SKUs für virtuelle Computer (ablehnen): Gibt eine Gruppe von SKUs für virtuelle Computer an, die Sie bereitstellen können.
- Hinzufügen eines Tags zu Ressourcen (Modify): Wendet ein erforderliches Tag und seinen Standardwert an, wenn die Bereitstellungsanforderung sie nicht angibt.
- Nicht zulässige Ressourcentypen (ablehnen): Verhindert, dass die in der Liste enthaltenen Ressourcentypen bereitgestellt werden.
Sie müssen diese Richtliniendefinitionen (integrierte und benutzerdefinierte Definitionen) zuweisen, um sie implementieren zu können. Sie können diese Richtlinien über das Azure-Portal, PowerShell oder die Azure CLI zuweisen.
Bei der Richtlinienauswertung werden mehrere unterschiedliche Aktionen durchgeführt, z.B. Richtlinienzuweisung oder Richtlinienaktualisierungen. Eine vollständige Liste finden Sie unter Evaluation Triggers (Auswertungsauslöser).
Wenn Sie mehr über die Strukturen von Richtliniendefinitionen erfahren möchten, lesen Sie die Grundlagen der Azure-Richtliniendefinitionsstruktur.
Richtlinienparameter vereinfachen die Richtlinienverwaltung für Sie, da sie die Anzahl der Richtliniendefinitionen, die Sie erstellen müssen, reduzieren. Beim Erstellen einer Richtliniendefinition können Sie Parameter definieren, damit sie allgemeingültiger ist. Anschließend können Sie diese Richtliniendefinition für verschiedene Szenarien wiederverwenden. Dazu übergeben Sie unterschiedliche Werte beim Zuweisen der Richtliniendefinition. Geben Sie z.B. eine Gruppe von Speicherorten für ein Abonnement an.
Parameter werden definiert, wenn Sie eine Richtliniendefinition erstellen. Die Definition des Parameters enthält den Parameternamen und optionale Werte. Sie können z.B. einen Parameter für eine Richtlinie mit dem Titel ___location definieren. Dann können Sie ihm beim Zuweisen einer Richtlinie unterschiedliche Werte wie z.B. EastUS oder WestUS geben.
Weitere Informationen zu Richtlinienparametern finden Sie unter Azure-Richtliniendefinitionsstrukturparameter.
Initiativdefinition
Eine Initiativendefinition ist eine Auflistung von Richtliniendefinitionen, die auf das Erreichen eines einzigen übergeordneten Ziels ausgerichtet sind. Initiativdefinitionen vereinfachen das Verwalten und Zuweisen von Richtliniendefinitionen. Die Vereinfachung besteht im Gruppieren einer Reihe von Richtlinien zu einem einzelnen Element. Sie können beispielsweise eine Initiative mit dem Titel Aktivieren der Überwachung in Microsoft Defender für Cloud mit dem Ziel erstellen, alle verfügbaren Sicherheitsempfehlungen in Ihrer Microsoft Defender für Cloud-Instanz zu überwachen.
Hinweis
Das SDK, etwa Azure CLI und Azure PowerShell, verwendet zum Verweisen auf Initiativen Eigenschaften und Parameter mit dem Namen PolicySet.
Im Rahmen dieser Initiative würden Sie Richtliniendefinitionen wie etwa Folgende haben:
- Unverschlüsselte SQL-Datenbank in Microsoft Defender für Cloud überwachen: Zum Überwachen von unverschlüsselten SQL-Datenbanken und -Servern.
- Betriebssystem-Sicherheitsrisiken in Microsoft Defender für Cloud überwachen: Zum Überwachen von Servern, die die konfigurierte Baseline nicht erfüllen.
- Fehlende Endpoint Protection-Instanz in Microsoft Defender für Cloud überwachen: Zum Überwachen von Servern ohne installierten Endpoint Protection-Agent.
Genau wie Richtlinienparameter vereinfachen auch Initiativparameter die Initiativverwaltung, indem sie die Redundanz verringern. Bei Initiativparametern handelt es sich um Parameter, die von den Richtliniendefinitionen innerhalb der Initiative verwendet werden.
Im folgenden Szenario haben Sie zum Beispiel eine Initiativdefinition InitiativeC, mit Richtliniendefinitionen RichtlinieA und RichtlinieB, in denen jede einen anderen Parametertyp erwartet:
| Richtlinie | Name des Parameters | Typ des Parameters | Hinweis |
|---|---|---|---|
| policyA | allowedLocations |
array | Dieser Parameter erwartet eine Liste von Zeichenfolgen für einen Wert, da der Parametertyp als Array definiert wurde. |
| policyB | allowedSingleLocation |
Zeichenfolge | Dieser Parameter erwartet ein Wort für einen Wert, da der Parametertyp als Zeichenfolge definiert wurde. |
Wenn Sie die Initiative-Parameter für initiativeC definieren, haben Sie drei Optionen:
- Verwenden Sie die Parameter der Richtliniendefinitionen innerhalb dieser Initiative: In diesem Beispiel werden
allowedLocationsundallowedSingleLocationzu Initiativparametern für initiativeC. - Geben Sie Werte für die Parameter der Richtliniendefinitionen innerhalb dieser Initiativdefinition ein. In diesem Beispiel können Sie eine Liste der Speicherorte für den PolicyA-Parameter
allowedLocationsund die RichtlinieBallowedSingleLocationbereitstellen. Sie können auch Werte angeben, wenn Sie diese Initiative zuweisen. - Geben Sie eine Liste von Wertoptionen an, die bei der Zuweisung dieser Initiative verwendet werden können. Damit dürfen die von den Richtliniendefinitionen geerbten Parameter innerhalb der Initiative bei der Zuweisung dieser Initiative nur Werte aus der angegebenen Liste enthalten.
Wenn Sie Werteoptionen in einer Initiativedefinition erstellen, können Sie während der Initiativzuweisung keinen anderen Wert eingeben, da sie nicht Teil der Liste ist.
Weitere Informationen zu den Strukturen von Initiativdefinitionen finden Sie in der Definitionsstruktur der Azure-Richtlinieninitiative.
Zuweisungen
Eine Zuweisung ist eine Richtliniendefinition oder Initiative, die einem bestimmten Bereich zugeordnet wurde. Ein solcher Bereich kann sich von einer Verwaltungsgruppe bis zu einer einzelnen Ressource erstrecken. Der Begriff Bereich bezieht sich auf alle Ressourcen, Ressourcengruppen, Abonnements oder Verwaltungsgruppen, denen die Definition zugewiesen ist. Alle untergeordneten Ressourcen erben die Aufgaben. Dies bedeutet, dass eine auf eine Ressourcengruppe angewendete Definition auch auf die Ressourcen in dieser Ressourcengruppe angewendet wird. Sie können jedoch einen Unterbereich von der Zuweisung ausschließen.
Im Abonnementbereich können Sie beispielsweise eine Definition zuweisen, die die Erstellung von Netzwerkressourcen verhindert. Sie können eine Ressourcengruppe in diesem Abonnement ausschließen, die für die Netzwerkinfrastruktur vorgesehen ist. Sie gewähren Benutzern, denen Sie in Bezug auf das Erstellen von Netzwerkressourcen vertrauen, dann Zugriff auf diese Netzwerkressourcengruppe.
Als weiteres Beispiel möchten Sie möglicherweise eine Definition für eine Ressourcentyp-Positivliste auf der Verwaltungsgruppenebene zuweisen. Dann weisen Sie einer untergeordneten Verwaltungsgruppe (oder sogar Abonnements direkt) eine weniger restriktive Richtlinie zu, die mehr Ressourcentypen zulässt. Dieses Beispiel funktioniert jedoch nicht, da es sich bei Azure Policy um ein explizites Verbotssystem handelt. Stattdessen müssen Sie die untergeordnete Verwaltungsgruppe oder das Abonnement aus der Zuweisung auf der Verwaltungsgruppenebene ausschließen. Anschließend müssen Sie die weniger restriktive Definition auf der Ebene der untergeordneten Verwaltungsgruppe oder des Abonnements zuweisen. Falls eine Ressource aufgrund einer Zuweisung abgelehnt wird, muss zum Zulassen der Ressource die ablehnende Zuweisung geändert werden.
Richtlinienzuweisungen verwenden beim Auswerten von Ressourcen immer den aktuellen Status ihrer zugewiesenen Definition oder Initiative. Wenn eine zugewiesene Richtliniendefinition geändert wird, verwenden alle vorhandenen Zuordnungen dieser Definition beim Auswerten die aktualisierte Logik.
Weitere Informationen zum Einrichten von Zuweisungen über das Portal finden Sie unter Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen in Ihrer Azure-Umgebung. Schritte für PowerShell und die Azure-Befehlszeilenschnittstelle sind ebenfalls verfügbar. Informationen zur Zuordnungsstruktur finden Sie in der Azure-Richtlinienzuweisungsstruktur.
Maximale Anzahl von Azure Policy-Objekten
Für jeden Objekttyp für Azure Policy gilt eine maximale Anzahl. Bei Definitionen gilt ein Scope-Eintrag (Bereich) entweder für die Verwaltungsgruppe oder das Abonnement. Bei Zuweisungen und Ausnahmen betrifft ein Scope-Eintrag die Verwaltungsgruppe, das Abonnement, die Ressourcengruppe oder eine einzelne Ressource.
| Hierbei gilt: | Was | Maximale Anzahl |
|---|---|---|
| Scope | Richtliniendefinitionen | 500 |
| Scope | Initiativdefinitionen | 200 |
| Tenant | Initiativdefinitionen | 2.500 |
| Scope | Richtlinien- oder Initiativenzuweisungen | 200 |
| `Scope` | Ausnahmen | 1000 |
| Richtliniendefinition | Parameter | 20 |
| Initiativdefinition | Richtlinien | 1000 |
| Initiativdefinition | Parameter | 400 |
| Richtlinien- oder Initiativenzuweisungen | Ausschlüsse (notScopes) | 400 |
| Richtlinienregel | Geschachtelte konditionelle Abschnitte | 512 |
| Wartungstask | Ressourcen | 50.000 |
| Richtliniendefinition, Initiative oder Text für Zuweisungsanforderung | Byte | 1.048.576 |
Richtlinienregeln haben mehr Grenzwerte für die Anzahl von Bedingungen und deren Komplexität. Weitere Informationen finden Sie unter Richtlinienregelbeschränkungen.
Nächste Schritte
Nachdem Sie nun eine Übersicht über die Azure-Richtlinie und einige der wichtigsten Konzepte haben, verwenden Sie die folgenden Links, um mehr über den Dienst zu erfahren.