Crie a política no nível raiz para bloquear ou desbloquear um Azure conta. Como um Azure administrador, bloquear um Azure grupo de recursos ou recurso para evitar exclusões e modificações acidentais.
Procedimento
-
Entre no Azure organização.
-
PESQUISE e selecione Usuários .
-
Na lista de nomes de usuário, selecione um usuário.
-
No painel de navegação, selecione Funções atribuídas .
-
Em Funções administrativas, adicione Administrador global selecionando Adicionar atribuições .
-
Insira Microsoft Entra ID na caixa de pesquisa e selecione .
-
Em Gestão de acesso para recursos do Azure , defina a alternância como Sim .
Usando esta opção, você pode gerenciar o acesso a todos Azure assinaturas e grupos de gestão neste locatário.
-
PESQUISE e selecione Política .
-
Selecione Definição da política .
-
Insira o seguinte:
- Selecione o grupo raiz do locatário usando as reticências em Local da definição .
Você pode selecionar um grupo de gestão ou uma assinatura. Se você selecionar o grupo raiz do locatário, todas as assinaturas secundárias também poderão ser gerenciadas.
- Insira o nome da definição da política. Por exemplo, LockAccount_policy.
- A descrição do que a definição de política se destina a fazer.
- Na REGRA DE POLÍTICA, copie o seguinte código JSON:
{
"properties": {
"displayName": "CAM_LockAccount_Policy",
"policyType": "Custom",
"mode": "All",
"description": "Blocks the creation of resources and configurations that fall under Azure Policy enforcement.",
"parameters": {
"allowedResourceTypes": {
"type": "Array",
"metadata": {
"displayName": "Allowed Resource Types",
"description": "List of resource types that are allowed for creation. Any resource type not listed here will be blocked.",
"strongType": "resourceTypes"
},
"defaultValue": []
},
"allowedLocations": {
"type": "Array",
"metadata": {
"displayName": "Allowed Locations",
"description": "List of allowed Azure regions for resource creation."
},
"defaultValue": []
},
"effect": {
"type": "String",
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
},
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"defaultValue": "Deny"
}
},
"policyRule": {
"if": {
"anyOf": [
{
"not": {
"field": "type",
"in": "[parameters('allowedResourceTypes')]"
}
},
{
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
}
}
- Selecione Save (Salvar).
Nota: Para verificar se a política foi criada, acesse PolicyDefinitions. Altere o escopo do filtro e o tipo de política para encontrar a política.
- Selecione o nome da política e copie o. ID de definição .