问题标签 [azure-policy]

在这种情况下，我想先获取一个 accessTokenTest，然后我将使用这个 accessTokenTest 创建一个 SOAP 请求。但是我在将这个 accessTokenTest 添加到 XML 元素时遇到了问题。除了将此值填充到 XML 之外，一切都很好。

请让我知道可用于列出与特定订阅相关的安全策略的命令。

我要列出的内容如下：

在导航面板中，选择安全策略以访问策略管理门户。

1. 在“策略管理”页面上，单击要检查的订阅名称以访问选定的订阅配置设置。

2. 在安全策略页面的计算和应用程序类别中，检查计算机上的安全配置中的漏洞应修复设置状态。如果配置设置设置为已禁用，则不会为当前订阅中可用的 Microsoft Azure 虚拟机 (VM) 启用操作系统漏洞监控。

想要使用 powershell 命令列出以上策略状态。

使用 Get-AzPolicyAssignment

与门户网站上列出的内容相比，未检索到相同的策略。

谢谢。

假设我有一个Microsoft.ApiManagement/service/products名为Public的资源，我想强制执行一个策略，其中只Microsoft.ApiManagement/service/products/apis允许 2 个 API 资源引用公共资源。

这可能吗？我只看到检查单个资源值的示例，这是跨资源的问题。

我正在考虑进行Microsoft.ApiManagement/service/products[*]迭代，然后使用allOf运算符检查 api，但 api 不是 的属性值Microsoft.ApiManagement/service/products，它是一个单独的资源。

I struggling currently at some point with Azure Policy. I want to enforce a specific Tag and its value. (Sounds standard) But I want to allow one value from a predefined set which during creation is needed. For e.g.

Environment: (Any of these predefined values are allowed)

• Dev
• Test
• Prod
• PreProd

I created an Initiative with some other policies and when I assign this Initiative.

It will enforce only the chosen value but all other values are not allowed.

尝试创建策略以启用现有 NSG 的 NSG 流日志（如果处于禁用状态）。完成任务的任何建议或参考。提前致谢。

我尝试使用 Azure Policy 检查我的生产订阅中的所有资源组是否都有“CanNotDelete”锁。

我在这个问题的启发下建立了一个策略，结果可以在下面找到。

在测试这个时，我发现没有锁的资源组被正确地检测为“不合规”。但是，如果资源组包含具有专用锁的资源（Scope=resource，例如仅在 KeyVault 上），则整个资源组将被标记为合规 - 即使只有一个资源真正具有锁。有没有办法设计existenceCondition使锁必须在整个资源组上？

我正在编写 Azure Policy 以检查是否启用了混合使用优势。Microsoft 提供了一个内置策略，该策略将基于 Azure 平台上可用的映像产品针对所有虚拟机。但是，我订阅中的某些 VM 是基于迁移的 VM，因此与现有映像产品没有链接。

我找到了一篇博文（https://artisticcheese.wordpress.com/2019/07/04/proper-azure-policy-to-verify-azure-hybrid-benefit-enabled/），它解释了如何定位虚拟机基于配置的操作系统类型，而不是图像产品。

我从小处着手并创建了以下策略设置：

但是，这些设置将我的所有 Windows VM 显示为不符合以下结果：

不合规原因：
当前值不得等于目标值。
字段
Microsoft.Compute/virtualMachines/storageProfile.osDisk.osType
路径
properties.storageProfile.osDisk.osType
当前值
“Windows”
目标值
“Windows”

我在这里解释“等于”运算符是否错误？我原以为这会兼容所有基于 Windows 的虚拟机。

如何克隆 Azure 中的内置计划定义策略？

我希望能够从内置的“[预览]：审核 NIST SP 800-53 R4 控件并部署特定的 VM 扩展以支持审核要求”倡议策略中添加/删除策略。

我在 Azure 控制台或 PowerShell 中看不到执行此操作的任何选项。我想避免手动添加 798 个单独的策略。

问题 - 所以我想阻止人们创建开放互联网访问某些端口（22、3389 等）的 NSG。我可以创建一个策略来阻止特定端口，例如，

如果在安全规则中使用特定端口，这将阻止创建 NSG。但如果有人创建了允许端口范围（例如 3300-3400）的 NSG 规则，则可以绕过它。

想知道策略如何处理端口范围以及在这种情况下最好的方法是什么。

我尝试了 destinationPortRanges[*] 数组，但它不起作用。

}

当destinationPortRanges 指定为“20-25”时，该规则仍允许创建NSG。

我的要求是将 TAGS 设置为资源组。我必须确保创建资源组的任何人都应该提供适当的标签和值。我想使用 Azure Policy 来强制检查 TAG 不应具有 NULL 值。我正在使用以下策略定义，但它似乎无法正常工作。也就是说，它允许我创建具有空值 TAG 的资源组。示例：Environment = "" --> 不应允许此标记，并且 RG 组创建应失败。

政策定义：