了解 Azure 策略中的作用域

小提示：您能找到这篇{了解 Azure 策略中的作用域}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的了解 Azure 策略中的作用域内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">有许多设置可确定哪些资源可以被评估，哪些资源由Azure策略评估。这些控件的主要概念是范围。有关高级概述，请参阅Azure资源管理器中的作用域。本文介绍了在Azure策略中的作用域及其相关对象和属性的影响。

< ">定义位置

< ">Azure策略使用的第一个实例范围是在创建策略定义时。定义可以保存在管理组或订阅中。位置确定可向其分配方案或策略的范围。资源必须在定义位置的资源层次结构内，才能分配到目标。

< ">如果定义位置是：

< ">只能为订阅中的资源分配策略定义。

< ">仅开源建站限管理组-可以为子管理组和子订阅中的资源分配策略定义。如果计划将策略定义应用于多个订阅，则该位置必须是包含每个订阅的管理组。

< ">此位置应为你要在其上使用策略定义的所有资源所共享的资源容器。此资源容器通常是根管理组附近的管理组。

< ">分配范围

< ">赋值具有几个设置作用域的属性。使用这些属性可确定要评估的Azure策略网上免费发布产品信息的资源以及哪些资源会达到符合性。这些属性映射到以下概念：

< ">包含-应通过定义评估资源层次结构或单个资源的符合性。properties.scope赋值对象上的属性确定要包含的内容并评估其符合性。有关详细信息，请参阅分配定义。

< ">排除-不应根据定义评估资源层次结构或单个资源的符合性。properties.notScopes赋值对象的_数组_属性确定要排除的内容。不会在符合性计数中评估或包含这些范围内的资源。有关详细信息，请参阅分配定义-排除的作用域。

< ">除了策略分配上的属性，还是策略例外对象。免除通过提供一种方法来识别不计算的赋值部分，从而增强范围。

< ">豁免(预览版功能)-资源层次结构或单个资源应该按定义评估符合性，但不会因某个原因（例如，通过另一种方法进行弃权或通过其他方法缓解）进行评估。处于此状态的资源显示为在相容性报告中免除，以便可以对其进行跟踪。豁免对象在资源层次结构或单个资源上创建为子对象，该对象确定免除的范围。资源层次结构或单个资源可以免除多个分配。可以通过使用属性将豁免配置为按计划过期expiresOn。有关详细信息，请参阅例外定义。

< ">备注

< ">由于免除为资源层次结构或单个资源授予豁免的影响，例外情况还具有其他安全措施。除了要求对Microsoft.Authorization/policyExemptions/write资源层次结构或单个资源进行操作外，例外的创建者还必须在exempt/Action目标分配上具有谓词。

< ">范围比较

< ">下表比较了作用域选项：