Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bicep-Ressourcendefinition
Der policyDefinitions-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Authorization/policyDefinitions-Ressource zu erstellen, fügen Sie der Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.Authorization/policyDefinitions@2025-03-01' = {
scope: resourceSymbolicName or scope
name: 'string'
properties: {
description: 'string'
displayName: 'string'
externalEvaluationEnforcementSettings: {
endpointSettings: {
details: any(...)
kind: 'string'
}
missingTokenAction: 'string'
resultLifespan: 'string'
roleDefinitionIds: [
'string'
]
}
metadata: any(...)
mode: 'string'
parameters: {
{customized property}: {
allowedValues: [
any(...)
]
defaultValue: any(...)
metadata: {
assignPermissions: bool
description: 'string'
displayName: 'string'
strongType: 'string'
}
schema: any(...)
type: 'string'
}
}
policyRule: any(...)
policyType: 'string'
version: 'string'
versions: [
'string'
]
}
}
Eigenschaftswerte
Microsoft.Authorization/policyDefinitions
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Name | Der Ressourcenname | Zeichenfolge Zwänge: Pattern = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (erforderlich) |
| Eigenschaften | Die Richtliniendefinitionseigenschaften. | PolicyDefinitionProperties- |
| scope | Verwenden Sie diese Verwendung beim Erstellen einer Ressource in einem Bereich, der sich von dem Bereitstellungsbereich unterscheidet. | Legen Sie diese Eigenschaft auf den symbolischen Namen einer Ressource fest, um die Erweiterungsressourceanzuwenden. |
ExternalEvaluationEndpointSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Details | Die Details des Endpunkts. | jegliche |
| freundlich | Die Art des Endpunkts. | Schnur |
ExternalEvaluationEnforcementSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Endpunkt-Einstellungen | Die Einstellungen eines externen Endpunkts, der Auswertungsergebnisse bereitstellt. | ExternalEvaluationEndpointSettings |
| missingTokenAktion | Was zu tun ist, wenn eine Erzwingungsrichtlinie ausgewertet wird, die eine externe Auswertung erfordert und das Token fehlt. Mögliche Werte sind Audit- und Deny- und Sprachausdrücke werden unterstützt. | Schnur |
| resultatLebensdauer | Die Lebensdauer des Endpunktaufrufergebnisses, nach dem er nicht mehr gültig ist. Es wird erwartet, dass der Wert dem ISO 8601-Dauerformat entspricht und Sprachausdrücke unterstützt werden. | Schnur |
| roleDefinitionIds | Ein Array der Rollendefinitions-IDs, die die MSI-Datei der Zuordnung benötigt, um den Endpunkt aufzurufen. | Zeichenfolge[] |
Parameter-Definitionen
| Name | BESCHREIBUNG | Wert |
|---|
ParameterDefinitionsWert
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| allowedValues (zulässige Werte) | Die zulässigen Werte für den Parameter. | beliebig[] |
| Standardwert | Der Standardwert für den Parameter, wenn kein Wert angegeben wird. | jegliche |
| Metadaten | Allgemeine Metadaten für den Parameter. | ParameterDefinitionsValueMetadata- |
| Schema | Stellt die Überprüfung von Parametereingaben während der Zuweisung mithilfe eines selbst definierten JSON-Schemas bereit. Diese Eigenschaft wird nur für Objekttypparameter unterstützt und folgt der Json.NET Schema 2019-09-Implementierung. Weitere Informationen zur Verwendung von Schemas finden Sie unter https://json-schema.org/ und Testentwurfsschemas unter https://www.jsonschemavalidator.net/. | jegliche |
| Typ | Der Datentyp des Parameters. | 'Anordnung' "Boolesch" 'Datum/Uhrzeit' "Float" "Ganze Zahl" "Einwand" 'Saite' |
ParameterDefinitionenValueMetadata
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| assignPermissions (Berechtigungen) | Legen Sie diesen Wert auf "true" fest, damit das Azure-Portal Während der Richtlinienzuweisung Rollenzuweisungen für die Ressourcen-ID oder den Ressourcenbereichswert dieses Parameters erstellt. Diese Eigenschaft ist nützlich, falls Sie Berechtigungen außerhalb des Zuordnungsbereichs zuweisen möchten. | Boolesch |
| Beschreibung | Die Beschreibung des Parameters. | Schnur |
| Anzeigename | Der Anzeigename für den Parameter. | Schnur |
| strongType | Wird beim Zuweisen der Richtliniendefinition über das Portal verwendet. Stellt eine kontextbezogene Liste mit Werten bereit, aus der der Benutzer auswählen kann. | Schnur |
PolicyDefinitionEigenschaften
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Beschreibung | Die Beschreibung der Richtliniendefinition. | Schnur |
| Anzeigename | Der Anzeigename der Richtliniendefinition. | Schnur |
| externalEvaluationEnforcementSettings | Die Details der Quelle externer Auswertungsergebnisse, die von der Richtlinie während der Erzwingungsbewertung benötigt werden. | ExternalEvaluationEnforcementSettings |
| Metadaten | Die Metadaten der Richtliniendefinition. Metadaten sind ein offenes beendetes Objekt und sind in der Regel eine Sammlung von Schlüsselwertpaaren. | jegliche |
| Modus | Der Richtliniendefinitionsmodus. Einige Beispiele sind "All", "Indexed", "Microsoft.KeyVault.Data". | Schnur |
| Parameter | Die Parameterdefinitionen für Parameter, die in der Richtlinienregel verwendet werden. Die Schlüssel sind die Parameternamen. | ParameterDefinitions- |
| Richtlinienregel | Die Richtlinienregel. | jegliche |
| policyType | Der Typ der Richtliniendefinition. Mögliche Werte sind NotSpecified, BuiltIn, Custom und Static. | "Eingebaut" 'Benutzerdefiniert' "Nicht angegeben" "Statisch" |
| Ausgabe | Die Richtliniendefinitionsversion im #.#.#.#-Format. | Schnur |
| Versionen | Eine Liste der verfügbaren Versionen für diese Richtliniendefinition. | Zeichenfolge[] |
Verwendungsbeispiele
Azure-Schnellstartbeispiele
Die folgenden Azure-Schnellstartvorlagen Bicep-Beispiele für die Bereitstellung dieses Ressourcentyps enthalten.
| Bicep-Datei | BESCHREIBUNG |
|---|---|
| Erstellen eines Azure Virtual Network Manager und Beispiel-VNETs- | Diese Vorlage stellt einen Azure Virtual Network Manager bereit und stellt virtuelle Netzwerke in der benannten Ressourcengruppe bereit. Sie unterstützt mehrere Verbindungstopologien und Netzwerkgruppenmitgliedschaftstypen. |
| Bereitstellen einer Richtlinienverzögerung und Zuweisen zu mehreren Mgmt-Gruppen | Diese Vorlage ist eine Vorlage auf Verwaltungsgruppenebene, die eine Richtliniendefinition erstellt und diese Richtlinie mehreren Verwaltungsgruppen zuweist. |
| Bereitstellen einer Richtliniendefinition und Zuweisen zu einer Verwaltungsgruppe | Diese Vorlage ist eine Vorlage auf Verwaltungsgruppenebene, die eine Richtliniendefinition erstellt und diese Richtlinie der Zielverwaltungsgruppe zuweist. Derzeit kann diese Vorlage nicht über das Azure-Portal bereitgestellt werden. |
ARM-Vorlagenressourcendefinition
Der policyDefinitions-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Authorization/policyDefinitions-Ressource zu erstellen, fügen Sie Der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Authorization/policyDefinitions",
"apiVersion": "2025-03-01",
"name": "string",
"properties": {
"description": "string",
"displayName": "string",
"externalEvaluationEnforcementSettings": {
"endpointSettings": {
"details": {},
"kind": "string"
},
"missingTokenAction": "string",
"resultLifespan": "string",
"roleDefinitionIds": [ "string" ]
},
"metadata": {},
"mode": "string",
"parameters": {
"{customized property}": {
"allowedValues": [ {} ],
"defaultValue": {},
"metadata": {
"assignPermissions": "bool",
"description": "string",
"displayName": "string",
"strongType": "string"
},
"schema": {},
"type": "string"
}
},
"policyRule": {},
"policyType": "string",
"version": "string",
"versions": [ "string" ]
}
}
Eigenschaftswerte
Microsoft.Authorization/policyDefinitions
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| apiVersion (Englisch) | Die API-Version | '2025-03-01' |
| Name | Der Ressourcenname | Zeichenfolge Zwänge: Pattern = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (erforderlich) |
| Eigenschaften | Die Richtliniendefinitionseigenschaften. | PolicyDefinitionProperties- |
| Typ | Der Ressourcentyp | "Microsoft.Authorization/policyDefinitions" |
ExternalEvaluationEndpointSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Details | Die Details des Endpunkts. | jegliche |
| freundlich | Die Art des Endpunkts. | Schnur |
ExternalEvaluationEnforcementSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Endpunkt-Einstellungen | Die Einstellungen eines externen Endpunkts, der Auswertungsergebnisse bereitstellt. | ExternalEvaluationEndpointSettings |
| missingTokenAktion | Was zu tun ist, wenn eine Erzwingungsrichtlinie ausgewertet wird, die eine externe Auswertung erfordert und das Token fehlt. Mögliche Werte sind Audit- und Deny- und Sprachausdrücke werden unterstützt. | Schnur |
| resultatLebensdauer | Die Lebensdauer des Endpunktaufrufergebnisses, nach dem er nicht mehr gültig ist. Es wird erwartet, dass der Wert dem ISO 8601-Dauerformat entspricht und Sprachausdrücke unterstützt werden. | Schnur |
| roleDefinitionIds | Ein Array der Rollendefinitions-IDs, die die MSI-Datei der Zuordnung benötigt, um den Endpunkt aufzurufen. | Zeichenfolge[] |
Parameter-Definitionen
| Name | BESCHREIBUNG | Wert |
|---|
ParameterDefinitionsWert
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| allowedValues (zulässige Werte) | Die zulässigen Werte für den Parameter. | beliebig[] |
| Standardwert | Der Standardwert für den Parameter, wenn kein Wert angegeben wird. | jegliche |
| Metadaten | Allgemeine Metadaten für den Parameter. | ParameterDefinitionsValueMetadata- |
| Schema | Stellt die Überprüfung von Parametereingaben während der Zuweisung mithilfe eines selbst definierten JSON-Schemas bereit. Diese Eigenschaft wird nur für Objekttypparameter unterstützt und folgt der Json.NET Schema 2019-09-Implementierung. Weitere Informationen zur Verwendung von Schemas finden Sie unter https://json-schema.org/ und Testentwurfsschemas unter https://www.jsonschemavalidator.net/. | jegliche |
| Typ | Der Datentyp des Parameters. | 'Anordnung' "Boolesch" 'Datum/Uhrzeit' "Float" "Ganze Zahl" "Einwand" 'Saite' |
ParameterDefinitionenValueMetadata
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| assignPermissions (Berechtigungen) | Legen Sie diesen Wert auf "true" fest, damit das Azure-Portal Während der Richtlinienzuweisung Rollenzuweisungen für die Ressourcen-ID oder den Ressourcenbereichswert dieses Parameters erstellt. Diese Eigenschaft ist nützlich, falls Sie Berechtigungen außerhalb des Zuordnungsbereichs zuweisen möchten. | Boolesch |
| Beschreibung | Die Beschreibung des Parameters. | Schnur |
| Anzeigename | Der Anzeigename für den Parameter. | Schnur |
| strongType | Wird beim Zuweisen der Richtliniendefinition über das Portal verwendet. Stellt eine kontextbezogene Liste mit Werten bereit, aus der der Benutzer auswählen kann. | Schnur |
PolicyDefinitionEigenschaften
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Beschreibung | Die Beschreibung der Richtliniendefinition. | Schnur |
| Anzeigename | Der Anzeigename der Richtliniendefinition. | Schnur |
| externalEvaluationEnforcementSettings | Die Details der Quelle externer Auswertungsergebnisse, die von der Richtlinie während der Erzwingungsbewertung benötigt werden. | ExternalEvaluationEnforcementSettings |
| Metadaten | Die Metadaten der Richtliniendefinition. Metadaten sind ein offenes beendetes Objekt und sind in der Regel eine Sammlung von Schlüsselwertpaaren. | jegliche |
| Modus | Der Richtliniendefinitionsmodus. Einige Beispiele sind "All", "Indexed", "Microsoft.KeyVault.Data". | Schnur |
| Parameter | Die Parameterdefinitionen für Parameter, die in der Richtlinienregel verwendet werden. Die Schlüssel sind die Parameternamen. | ParameterDefinitions- |
| Richtlinienregel | Die Richtlinienregel. | jegliche |
| policyType | Der Typ der Richtliniendefinition. Mögliche Werte sind NotSpecified, BuiltIn, Custom und Static. | "Eingebaut" 'Benutzerdefiniert' "Nicht angegeben" "Statisch" |
| Ausgabe | Die Richtliniendefinitionsversion im #.#.#.#-Format. | Schnur |
| Versionen | Eine Liste der verfügbaren Versionen für diese Richtliniendefinition. | Zeichenfolge[] |
Verwendungsbeispiele
Azure-Schnellstartvorlagen
Die folgenden Azure-Schnellstartvorlagen diesen Ressourcentyp bereitstellen.
| Schablone | BESCHREIBUNG |
|---|---|
Erstellen eines Azure Virtual Network Manager und Beispiel-VNETs-
|
Diese Vorlage stellt einen Azure Virtual Network Manager bereit und stellt virtuelle Netzwerke in der benannten Ressourcengruppe bereit. Sie unterstützt mehrere Verbindungstopologien und Netzwerkgruppenmitgliedschaftstypen. |
|
Bereitstellen einer Richtlinienverzögerung und Zuweisen zu mehreren Mgmt-Gruppen
|
Diese Vorlage ist eine Vorlage auf Verwaltungsgruppenebene, die eine Richtliniendefinition erstellt und diese Richtlinie mehreren Verwaltungsgruppen zuweist. |
|
Bereitstellen einer Richtliniendefinition und Zuweisen zu einer Verwaltungsgruppe
|
Diese Vorlage ist eine Vorlage auf Verwaltungsgruppenebene, die eine Richtliniendefinition erstellt und diese Richtlinie der Zielverwaltungsgruppe zuweist. Derzeit kann diese Vorlage nicht über das Azure-Portal bereitgestellt werden. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der policyDefinitions-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Authorization/policyDefinitions-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/policyDefinitions@2025-03-01"
name = "string"
parent_id = "string"
body = {
properties = {
description = "string"
displayName = "string"
externalEvaluationEnforcementSettings = {
endpointSettings = {
details = ?
kind = "string"
}
missingTokenAction = "string"
resultLifespan = "string"
roleDefinitionIds = [
"string"
]
}
metadata = ?
mode = "string"
parameters = {
{customized property} = {
allowedValues = [
?
]
defaultValue = ?
metadata = {
assignPermissions = bool
description = "string"
displayName = "string"
strongType = "string"
}
schema = ?
type = "string"
}
}
policyRule = ?
policyType = "string"
version = "string"
versions = [
"string"
]
}
}
}
Eigenschaftswerte
Microsoft.Authorization/policyDefinitions
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Name | Der Ressourcenname | Zeichenfolge Zwänge: Pattern = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (erforderlich) |
| parent_id | Die ID der Ressource, auf die diese Erweiterungsressource angewendet werden soll. | Zeichenfolge (erforderlich) |
| Eigenschaften | Die Richtliniendefinitionseigenschaften. | PolicyDefinitionProperties- |
| Typ | Der Ressourcentyp | "Microsoft.Authorization/policyDefinitions@2025-03-01" |
ExternalEvaluationEndpointSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Details | Die Details des Endpunkts. | jegliche |
| freundlich | Die Art des Endpunkts. | Schnur |
ExternalEvaluationEnforcementSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Endpunkt-Einstellungen | Die Einstellungen eines externen Endpunkts, der Auswertungsergebnisse bereitstellt. | ExternalEvaluationEndpointSettings |
| missingTokenAktion | Was zu tun ist, wenn eine Erzwingungsrichtlinie ausgewertet wird, die eine externe Auswertung erfordert und das Token fehlt. Mögliche Werte sind Audit- und Deny- und Sprachausdrücke werden unterstützt. | Schnur |
| resultatLebensdauer | Die Lebensdauer des Endpunktaufrufergebnisses, nach dem er nicht mehr gültig ist. Es wird erwartet, dass der Wert dem ISO 8601-Dauerformat entspricht und Sprachausdrücke unterstützt werden. | Schnur |
| roleDefinitionIds | Ein Array der Rollendefinitions-IDs, die die MSI-Datei der Zuordnung benötigt, um den Endpunkt aufzurufen. | Zeichenfolge[] |
Parameter-Definitionen
| Name | BESCHREIBUNG | Wert |
|---|
ParameterDefinitionsWert
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| allowedValues (zulässige Werte) | Die zulässigen Werte für den Parameter. | beliebig[] |
| Standardwert | Der Standardwert für den Parameter, wenn kein Wert angegeben wird. | jegliche |
| Metadaten | Allgemeine Metadaten für den Parameter. | ParameterDefinitionsValueMetadata- |
| Schema | Stellt die Überprüfung von Parametereingaben während der Zuweisung mithilfe eines selbst definierten JSON-Schemas bereit. Diese Eigenschaft wird nur für Objekttypparameter unterstützt und folgt der Json.NET Schema 2019-09-Implementierung. Weitere Informationen zur Verwendung von Schemas finden Sie unter https://json-schema.org/ und Testentwurfsschemas unter https://www.jsonschemavalidator.net/. | jegliche |
| Typ | Der Datentyp des Parameters. | 'Anordnung' "Boolesch" 'Datum/Uhrzeit' "Float" "Ganze Zahl" "Einwand" 'Saite' |
ParameterDefinitionenValueMetadata
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| assignPermissions (Berechtigungen) | Legen Sie diesen Wert auf "true" fest, damit das Azure-Portal Während der Richtlinienzuweisung Rollenzuweisungen für die Ressourcen-ID oder den Ressourcenbereichswert dieses Parameters erstellt. Diese Eigenschaft ist nützlich, falls Sie Berechtigungen außerhalb des Zuordnungsbereichs zuweisen möchten. | Boolesch |
| Beschreibung | Die Beschreibung des Parameters. | Schnur |
| Anzeigename | Der Anzeigename für den Parameter. | Schnur |
| strongType | Wird beim Zuweisen der Richtliniendefinition über das Portal verwendet. Stellt eine kontextbezogene Liste mit Werten bereit, aus der der Benutzer auswählen kann. | Schnur |
PolicyDefinitionEigenschaften
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Beschreibung | Die Beschreibung der Richtliniendefinition. | Schnur |
| Anzeigename | Der Anzeigename der Richtliniendefinition. | Schnur |
| externalEvaluationEnforcementSettings | Die Details der Quelle externer Auswertungsergebnisse, die von der Richtlinie während der Erzwingungsbewertung benötigt werden. | ExternalEvaluationEnforcementSettings |
| Metadaten | Die Metadaten der Richtliniendefinition. Metadaten sind ein offenes beendetes Objekt und sind in der Regel eine Sammlung von Schlüsselwertpaaren. | jegliche |
| Modus | Der Richtliniendefinitionsmodus. Einige Beispiele sind "All", "Indexed", "Microsoft.KeyVault.Data". | Schnur |
| Parameter | Die Parameterdefinitionen für Parameter, die in der Richtlinienregel verwendet werden. Die Schlüssel sind die Parameternamen. | ParameterDefinitions- |
| Richtlinienregel | Die Richtlinienregel. | jegliche |
| policyType | Der Typ der Richtliniendefinition. Mögliche Werte sind NotSpecified, BuiltIn, Custom und Static. | "Eingebaut" 'Benutzerdefiniert' "Nicht angegeben" "Statisch" |
| Ausgabe | Die Richtliniendefinitionsversion im #.#.#.#-Format. | Schnur |
| Versionen | Eine Liste der verfügbaren Versionen für diese Richtliniendefinition. | Zeichenfolge[] |
Verwendungsbeispiele
Terraform-Beispiele
Ein grundlegendes Beispiel für die Bereitstellung von Autorisierungsrichtliniendefinitionen.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "eastus"
}
data "azurerm_client_config" "current" {
}
resource "azapi_resource" "policyDefinition" {
type = "Microsoft.Authorization/policyDefinitions@2021-06-01"
parent_id = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
name = var.resource_name
body = {
properties = {
description = ""
displayName = "my-policy-definition"
mode = "All"
parameters = {
allowedLocations = {
metadata = {
description = "The list of allowed locations for resources."
displayName = "Allowed locations"
strongType = "location"
}
type = "Array"
}
}
policyRule = {
if = {
not = {
field = "location"
in = "[parameters('allowedLocations')]"
}
}
then = {
effect = "audit"
}
}
policyType = "Custom"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}