Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El nuevo manual efecto le permite auto-certificar el cumplimiento de los recursos o alcances. A diferencia de otras definiciones de directiva que escanean activamente para evaluar, el efecto Manual permite realizar cambios manuales en el estado de cumplimiento. Para cambiar el cumplimiento normativo de un recurso o ámbito de destino de una directiva manual, debe crear una atestación. El procedimiento recomendado consiste en diseñar directivas manuales destinadas al ámbito que define el límite de los recursos cuyo cumplimiento necesita atestación.
Nota:
La compatibilidad con la directiva manual está disponible a través de varias iniciativas de cumplimiento normativo de Microsoft Defender for Cloud. Si es un cliente de nivel Premium de Microsoft Defender for Cloud, consulte la introducción a su experiencia.
A continuación se muestran ejemplos de iniciativas de políticas regulatorias que incluyen definiciones de política con el efecto de manual.
- FedRAMP High
- FedRAMP Nivel Medio
- HIPAA
- HITRUST
- ISO 27001
- Microsoft CIS 1.3.0
- Microsoft CIS 1.4.0
- NIST SP 800-171 Rev. 2
- NIST SP 800-53 Rev. 4
- NIST SP 800-53 Rev. 5
- PCI DSS 3.2.1
- PCI DSS 4.0
- SWIFT CSP CSCF v2022
El ejemplo siguiente tiene como destino las suscripciones de Azure y establece el estado de cumplimiento inicial en Unknown.
{
"if": {
"field": "type",
"equals": "Microsoft.Resources/subscriptions"
},
"then": {
"effect": "manual",
"details": {
"defaultState": "Unknown"
}
}
}
La defaultState propiedad tiene tres valores posibles:
-
Unknown: el estado inicial y predeterminado de los recursos de destino. -
Compliant: el recurso es compatible según los estándares de directivas manuales. -
Non-compliant: El recurso no cumple según los estándares de políticas manuales.
El motor de cumplimiento de Azure Policy evalúa todos los recursos aplicables al estado predeterminado especificado en la definición (Unknown si no se especifica). Un Unknown estado de cumplimiento indica que debe atestiguar manualmente el estado de cumplimiento de los recursos. Si el estado del efecto no está especificado, el valor predeterminado es Unknown. El Unknown estado de cumplimiento indica que debe atestiguar el estado de cumplimiento usted mismo.
En la captura de pantalla siguiente se muestra cómo aparece una asignación de directiva manual con el Unknown estado en Azure Portal:
Cuando se asigna una definición de directiva con manual efecto, puede establecer los estados de cumplimiento de los recursos o ámbitos de destino a través de atestaciones personalizadas. Las atestaciones también permiten proporcionar información complementaria opcional a través de la forma de metadatos y vínculos a evidencias que acompañan al estado de cumplimiento elegido. La persona que asigna la directiva manual puede recomendar una ubicación de almacenamiento predeterminada para la evidencia especificando la propiedad de los evidenceStoragesmetadatos de la asignación de directiva.
Pasos siguientes
- Puede consultar ejemplos en Ejemplos de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Obtenga información acerca de cómo se pueden crear directivas mediante programación.
- Obtenga información sobre cómo obtener datos de cumplimiento.
- Obtenga información sobre cómo corregir recursos no compatibles.
- Consulte Grupos de administración de Azure.