Erstellen Sie die Richtlinie auf Stammebene, um eine zu sperren oder zu entsperren Azure Account. Als Azure Administrator, sperren Sie einen Azure Abonnement, Ressourcengruppe oder Ressource, um versehentliche Löschungen und Änderungen zu vermeiden.
Prozedur
-
Melden Sie sich bei an Azure Organisation.
-
Suchen und wählen Sie aus Anwender .
-
Wählen Sie in der Liste Anwendername einen Anwender aus.
-
Wählen Sie im Navigationsbereich aus Zugewiesene Rollen .
-
Fügen Sie unter Administrative Rollen die hinzu Globaler Administrator Rolle durch Auswahl Fügen Sie Zuweisungen Hinzu .
-
Geben Sie Ein Microsoft Entra-ID Wählen Sie im Suchfeld aus an.
-
Unter Zugriffsmanagement für Azure-Ressourcen , Legen Sie den Umschalter auf fest Ja .
Mit dieser Option können Sie den Zugriff auf alle verwalten Azure Abonnements und Verwaltungsgruppen in diesem Mandanten.
-
Suchen und wählen Sie aus Richtlinie .
-
Wählen Sie Aus + Richtliniendefinition .
-
Geben Sie Folgendes ein:
- Wählen Sie die Mandantenstammgruppe mithilfe der Ellipsen in aus Definitionsspeicherort .
Sie können entweder eine Verwaltungsgruppe oder ein Abonnement auswählen. Wenn Sie die Mandantenstammgruppe auswählen, können auch alle untergeordneten Abonnements verwaltet werden.
- Geben Sie den Namen der Richtliniendefinition ein. Beispiel: LockAccount_Policy.
- Die Beschreibung, was die Richtliniendefinition tun soll.
- Kopieren Sie unter RICHTLINIENREGEL den folgenden JSON-Code:
{
"properties": {
"displayName": "CAM_LockAccount_Policy",
"policyType": "Custom",
"mode": "All",
"description": "Blocks the creation of resources and configurations that fall under Azure Policy enforcement.",
"parameters": {
"allowedResourceTypes": {
"type": "Array",
"metadata": {
"displayName": "Allowed Resource Types",
"description": "List of resource types that are allowed for creation. Any resource type not listed here will be blocked.",
"strongType": "resourceTypes"
},
"defaultValue": []
},
"allowedLocations": {
"type": "Array",
"metadata": {
"displayName": "Allowed Locations",
"description": "List of allowed Azure regions for resource creation."
},
"defaultValue": []
},
"effect": {
"type": "String",
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
},
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"defaultValue": "Deny"
}
},
"policyRule": {
"if": {
"anyOf": [
{
"not": {
"field": "type",
"in": "[parameters('allowedResourceTypes')]"
}
},
{
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
}
}
- Wählen Sie Speichern.
Hinweis: Um zu überprüfen, ob die Richtlinie erstellt wurde, wechseln Sie zu PolicyDefinitions. Ändern Sie den Filterbereich und den Richtlinientyp, um die Richtlinie zu finden.
- Wählen Sie den Richtliniennamen aus, und kopieren Sie Definitions-ID .