你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Azure Monitor 的内置策略

2025-04-23

策略和政策倡议提供了一种简单的方法，可通过 Azure Monitor 的诊断设置启用规模化日志记录。使用策略计划时，可以为 Azure 环境中所有受支持的资源启用审核日志记录。

启用资源日志以跟踪在资源上发生的活动和事件，并让你了解发生的任何变化。分配策略以启用资源日志，并根据需要将其发送到目标。将日志发送到第三方 SIEM 系统的事件中心，以实现连续的安全操作。将日志发送到存储帐户，以便进行长期存储或实现法规合规性。

存在一组内置策略和计划，用于将资源日志定向到 Log Analytics 工作区、事件中心和存储帐户。策略启用审核日志记录，将属于审核的日志或所有日志日志类别组发送到事件中心、Log Analytics 工作区或存储帐户。策略的 effect 为 DeployIfNotExists，如果未定义其他设置，则会将策略部署为默认值。

部署策略。

使用门户、CLI、PowerShell 或 Azure 资源管理模板部署策略和计划

Azure 门户
CLI
PowerShell

以下步骤演示如何应用策略，以将密钥保管库的审核日志发送到 Log Analytics 工作区。

在“策略”页中，选择“ 定义”。
选择您的范围。你可以将策略应用于整个订阅、资源组或单个资源。
在“定义类型”下拉列表中，选择“策略”。
在“类别”下拉列表中选择“监视”
在“搜索”字段中输入“keyvault”。
选择“为密钥保管库(microsoft.keyvault/vaults)启用按类别组记录到 Log Analytics”策略
在策略定义页中，选择“分配”
选择 “参数” 选项卡。
选择要将审核日志发送到的 Log Analytics 工作区。
选择“修正”选项卡。
在“修正”选项卡上，从“要修正的策略”下拉列表中选择 Key Vault 策略。
选中“创建托管标识”复选框。
在“托管标识类型”下，选择“系统分配的托管标识”。
依次选择“查看 + 创建”、“创建”。

若要使用 CLI 应用策略，请使用以下命令：

使用 az policy assignment create 创建策略分配。

  az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --___location <___location>

例如，应用策略以将审核日志发送到 Log Analytics 工作区

  az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --___location eastus

将所需角色分配给为策略分配创建的标识。通过搜索 roleDefinitionIds 在策略定义中查找角色

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

使用 az policy assignment identity assign 分配所需的角色：

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

例如：

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

使用 az policy state trigger-scan 触发扫描以查找现有资源。
```
az policy state trigger-scan --resource-group rg-001
```

使用 az policy remediation create 创建修正任务以将策略应用于现有资源。

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

例如，

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

有关使用 CLI 进行策略分配的详细信息，请参阅 Azure CLI 参考 - az policy assignment

若要使用 PowerShell 应用策略，请使用以下命令：

设置环境。选择订阅并设置资源组

Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>

获取策略定义并配置策略的参数。在下面的示例中，我们分配用于将 keyVault 日志发送到 Log Analytics 工作区的策略

$definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
$params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}

指定策略

$policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <___location>

#To get your assignemnt use:
$policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'

将所需的一个或多个角色分配给系统分配的托管标识

    $principalID=$policyAssignment.Identity.PrincipalId
    $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
    }

扫描合规性，然后创建修正任务以强制现有资源合规。

    Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
    Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName

检查合规性

Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID

大约 30 分钟后，策略会显示在资源的诊断设置中。

修正任务

创建新资源时，策略将应用于这些资源。若要将策略应用于现有资源，请创建修正任务。修正任务使资源符合策略。

修正任务适用于特定策略。对于包含多个策略的计划，请为计划中的每个策略创建一个修正任务，其中包含要使其合规的资源。

在首次分配策略时或在分配后的任何阶段定义修正任务。

若要在策略分配期间为策略创建修正任务，请选择“分配策略”页上的“修正”选项卡，然后选中“创建修正任务”复选框。

若要在分配策略后创建修正任务，请从“策略分配”页上的列表中选择已分配的策略。

选择“修正”。在“策略修正”页的“修正任务”选项卡中跟踪修正任务的状态。

有关修正任务的详细信息，请参阅修正不合规的资源

分配计划

计划是策略的集合。 Azure Monitor 诊断设置有两组计划：

启用“审核”类别组资源日志记录
启用 allLogs 类别组资源日志记录

在此示例中，我们分配了一个计划，用于将审核日志发送到 Log Analytics 工作区。

Azure 门户
PowerShell
CLI

在策略定义页中，选择范围。
在“定义类型”下拉列表中选择“计划”。
在“类别”下拉列表中选择“监视”。
在“搜索”字段中输入“审核”。
选择“为支持的资源启用到 Log Analytics 的审核类别组资源日志记录”计划。
在下一页上，选择“分配”
在“分配计划”页的“基本信息”选项卡上，选择要应用计划的范围。
在“分配名称”字段中输入名称。
选择“ 参数”选项卡。

参数包含策略中定义的参数。在这种情况下，我们需要选择要将日志发送到的 Log Analytics 工作区。有关每个策略的各个参数的详细信息，请参阅特定于策略的参数。
选择要将审核日志发送到的 Log Analytics 工作区。
选择“查看 + 创建”，然后选择“创建”

若要验证策略或计划分配是否正常工作，请在策略分配中定义的订阅或资源组范围内创建资源。

10 分钟后，选择资源的“诊断设置”页。诊断设置将显示在列表中，它具有默认名称 setByPolicy-LogAnalytics 和你在策略中配置的工作区名称。

通过取消选中“仅显示需要输入或查看的参数”复选框，更改分配计划或策略页的“参数”选项卡中的默认名称。

设置环境变量

# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

获取计划定义。在此示例中，我们将使用计划“为支持的资源启用到 Log Analytics 的审核类别组资源日志记录”，ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
```
$definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1;
```

设置分配名称并配置参数。在这个项目中，参数包括 Log Analytics 工作区 ID。

$assignmentName=<your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}

使用参数分配计划

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;

将 Contributor 角色分配到系统分配的托管标识。对于其他计划，检查哪些角色是必需的。

 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;

检查策略合规性。 Start-AzPolicyComplianceScan 命令需要几分钟才能返回
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

通过调用 Get-AzPolicyState 获取要修正的资源列表和所需参数

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

对于具有不合规资源的每种资源类型，请启动修正任务。

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

检查修正任务完成时的合规性状态。

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

可以使用以下命令获取策略分配详细信息：

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

使用 az login 命令登录到 Azure 帐户。
使用 az account set 命令选择要应用策略计划的订阅。

使用 az policy assignment create 分配计划。

az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --___location <___location>

例如：

az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1' --params '{"logAnalytics":{"value":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --___location eastus

将所需角色分配给系统托管标识

通过搜索 roleDefinitionIds 的定义，在计划中的任何策略定义中查找要分配的角色，例如：

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

使用 az policy assignment identity assign 分配所需的角色：

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>

例如：

az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01" --name assign-cli-example-01

为项目中的策略创建修正任务。

修正任务按策略创建。每个任务针对特定 definition-reference-id，在计划中指定为 policyDefinitionReferenceId。若要查找 definition-reference-id 参数，请使用以下命令：

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

使用 az policy remediation create 对资源进行修正

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

例如：

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

若要为计划中的所有策略创建修正任务，请使用以下示例：

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

通用参数

下表描述了每组策略的通用参数。

参数	DESCRIPTION	有效值	违约
效果	启用或禁用策略执行	DeployIfNotExists， AuditIfNotExists，已禁用	DeployIfNotExists
diagnosticSettingName	诊断设置名称		setByPolicy-{LogAnalytics\|EventHubs\|Storage}
categoryGroup	诊断类别组	无，审核， allLogs	审计
资源类型列表	对于计划，需要评估的资源类型列表，以确定诊断设置是否存在。	支持的资源	所有支持的资源

策略特定参数

Log Analytics 策略参数

此策略使用类别组部署诊断设置，以将日志路由到 Log Analytics 工作区。

参数	DESCRIPTION	有效值	违约
resourceLocationList	用于将日志发送到附近 Log Analytics 的资源位置列表。 “*”选择所有位置	支持的位置	*
logAnalytics	Log Analytics 工作区

事件中心策略参数

此策略使用类别组部署诊断设置，以将日志路由到事件中心。

参数	DESCRIPTION	有效值	违约
resourceLocation	资源位置必须与事件中心命名空间的位置相同	支持的位置
eventHubAuthorizationRuleId	事件中心授权规则 ID。授权规则位于事件中心命名空间级别。例如 /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	事件中心名称		监测

存储帐户策略参数

此策略使用类别组部署诊断设置，以将日志路由到存储账户。

参数	DESCRIPTION	有效值	违约
resourceLocation	资源位置必须与存储帐户位于同一位置	支持的位置
storageAccount	存储帐户 resourceId

支持的资源

Log Analytics 工作区、事件中心和存储帐户的内置所有日志和审核日志策略都适用于以下资源：

资源类型	所有日志	审核日志
microsoft.aad/domainservices	是的	是的
microsoft.agfoodplatform/farmbeats	是的	是的
Microsoft 分析服务/服务器	是的	否
microsoft.apimanagement/service	是的	是的
microsoft.app/managedenvironments	是的	是的
microsoft.appconfiguration/configurationstores	是的	是的
microsoft.appplatform/spring	是的	否
microsoft.attestation/attestationproviders	是的	是的
microsoft.automation/automationaccounts	是的	是的
微软.自主开发平台/工作区	是的	否
microsoft.avs/privateclouds	是的	是的
microsoft.azureplaywrightservice/accounts	是的	是的
microsoft.azuresphere/catalogs	是的	是的
microsoft.batch/batchaccounts	是的	是的
microsoft.botservice/botservices	是的	否
microsoft.cache/redis	是的	是的
microsoft.cache/redisenterprise/databases	是的	是的
microsoft.cdn/cdnwebapplicationfirewallpolicies	是的	否
microsoft.cdn/profiles	是的	是的
microsoft.cdn/profiles/endpoints	是的	否
microsoft.chaos/experiments	是的	是的
microsoft.classicnetwork/networksecuritygroups	是的	否
microsoft.cloudtest/hostedpools	是的	否
microsoft.codesigning/codesigningaccounts	是的	是的
microsoft.cognitiveservices/accounts	是的	是的
microsoft.communication/communicationservices	是的	否
microsoft.community/communitytrainings	是的	是的
microsoft.confidentialledger/managedccfs	是的	是的
microsoft.connectedcache/enterprisemcccustomers	是的	否
microsoft.connectedcache/ispcustomers	是的	否
microsoft.containerinstance/containergroups	是的	否
microsoft.containerregistry/registries	是的	是的
microsoft.customproviders/resourceproviders	是的	否
microsoft.d365customerinsights/instances	是的	否
microsoft.dashboard/grafana	是的	是的
microsoft.databricks/workspaces	是的	否
microsoft.datafactory/factories	是的	否
microsoft.datalakeanalytics/accounts	是的	否
microsoft.datalakestore/accounts	是的	否
microsoft.dataprotection/backupvaults	是的	否
microsoft.datashare/accounts	是的	否
microsoft.dbformariadb/servers	是的	否
microsoft.dbformysql/flexibleservers	是的	是的
microsoft.dbformysql/servers	是的	否
microsoft.dbforpostgresql/flexibleservers	是的	是的
microsoft.dbforpostgresql/servergroupsv2	是的	否
microsoft.dbforpostgresql/servers	是的	否
微软桌面虚拟化/应用组	是的	否
微软桌面虚拟化/主机池	是的	否
microsoft.desktopvirtualization/scalingplans	是的	否
microsoft.desktopvirtualization/workspaces	是的	否
microsoft.devcenter/devcenters	是的	是的
microsoft.devices/iothubs	是的	是的
microsoft.devices/provisioningservices	是的	否
microsoft.digitaltwins/digitaltwinsinstances	是的	否
microsoft.documentdb/cassandraclusters	是的	是的
microsoft.documentdb/databaseaccounts	是的	是的
microsoft.documentdb/mongoclusters	是的	是的
microsoft.eventgrid/domains	是的	是的
Microsoft.EventGrid/合作命名空间	是的	是的
microsoft.eventgrid/partnertopics	是的	否
microsoft.eventgrid/systemtopics	是的	否
microsoft.eventgrid/topics	是的	是的
microsoft.eventhub/namespaces	是的	是的
microsoft.experimentation/experimentworkspaces	是的	否
Microsoft 医疗健康 API/服务 (microsoft.healthcareapis/services)	是的	否
microsoft.healthcareapis/workspaces/dicomservices	是的	否
microsoft.healthcareapis/workspaces/fhirservices	是的	否
microsoft.healthcareapis/workspaces/iotconnectors	是的	否
microsoft.insights/autoscalesettings	是的	否
microsoft.insights/components	是的	否
microsoft.insights/datacollectionrules	是的	否
microsoft.keyvault/managedhsms	是的	是的
microsoft.keyvault/vaults	是的	是的
microsoft.kusto/clusters	是的	是的
microsoft.loadtestservice/loadtests	是的	是的
microsoft.logic/integrationaccounts	是的	否
microsoft.logic/workflows	是的	否
microsoft.machinelearningservices/registries	是的	是的
microsoft.machinelearningservices/workspaces (微软机器学习服务/工作空间)	是的	是的
microsoft.machinelearningservices/workspaces/onlineendpoints	是的	否
microsoft.managednetworkfabric/networkdevices	是的	否
microsoft.media/mediaservices	是的	是的
microsoft.media/mediaservices/liveevents	是的	是的
microsoft.media/mediaservices/streamingendpoints	是的	是的
microsoft.netapp/netappaccounts/capacitypools/volumes	是的	是的
microsoft.network/applicationgateways	是的	否
microsoft.network/azurefirewalls	是的	否
microsoft.network/bastionhosts	是的	是的
microsoft.network/dnsresolverpolicies	是的	否
microsoft.network/expressroutecircuits	是的	否
microsoft.network/frontdoors	是的	是的
microsoft.network/loadbalancers	是的	否
microsoft.network/networkmanagers	是的	是的
microsoft.network/networkmanagers/ipampools	是的	是的
microsoft.network/networksecuritygroups	是的	否
microsoft.network/networksecurityperimeters	是的	否
microsoft.network/p2svpngateways	是的	是的
microsoft.network/publicipaddresses	是的	是的
microsoft.network/publicipprefixes	是的	是的
microsoft.network/trafficmanagerprofiles	是的	否
microsoft.network/virtualnetworkgateways	是的	是的
microsoft.network/virtualnetworks	是的	否
microsoft.network/vpngateways	是的	否
microsoft.networkanalytics/dataproducts	是的	是的
microsoft.networkcloud/baremetalmachines	是的	否
microsoft.networkcloud/clusters	是的	否
微软.网络云/存储设备	是的	否
microsoft.networkfunction/azuretrafficcollectors	是的	否
microsoft.notificationhubs/namespaces	是的	是的
microsoft.notificationhubs/namespaces/notificationhubs	是的	是的
微软.开放能源平台/能源服务	是的	否
microsoft.operationalinsights/workspaces	是的	是的
microsoft.powerbi/tenants/workspaces	是的	否
microsoft.powerbidedicated/capacities	是的	否
microsoft.purview/accounts	是的	是的
microsoft.recoveryservices/vaults	是的	否
microsoft.relay/namespaces	是的	否
microsoft.search/searchservices	是的	是的
microsoft.servicebus/namespaces	是的	是的
microsoft.servicenetworking/trafficcontrollers	是的	否
microsoft.signalrservice/signalr	是的	是的
microsoft.signalrservice/webpubsub	是的	是的
microsoft.sql/managedinstances	是的	是的
microsoft.sql/managedinstances/databases	是的	否
microsoft.sql/servers/databases	是的	是的
microsoft.storagecache/caches	是的	否
microsoft.storagemover/storagemovers	是的	否
microsoft.streamanalytics/streamingjobs	是的	否
microsoft.synapse/workspaces	是的	是的
microsoft.synapse/workspaces/bigdatapools	是的	是的
microsoft.synapse/workspaces/kustopools	是的	是的
microsoft.synapse/workspaces/scopepools	是的	是的
microsoft.synapse/workspaces/sqlpools	是的	是的
microsoft.timeseriesinsights/environments	是的	否
microsoft.timeseriesinsights/environments/eventsources	是的	否
microsoft.videoindexer/accounts	是的	否
microsoft.web/hostingenvironments	是的	是的
microsoft.workloads/sapvirtualinstances	是的	是的

通过