问题描述
我希望制定一项政策,以防止在未启用身份验证的情况下创建应用服务(仅对其进行审核是不够的)。
以下策略可以正确识别未启用身份验证的现有资源:
{
"mode": "All","policyRule": {
"if": {
"allOf": [
{
"field": "Microsoft.Web/sites/config/siteAuthEnabled","equals": "false"
}
]
},"then": {
"effect": "deny"
}
}
}
但是,它不会阻止它们首先被创建(通过 ARM 模板或通过门户)。
我怀疑这是因为未显式创建 Microsoft.Web/sites/config 资源。
有人知道这是否可能吗?
解决方法
您可以尝试使用 Microsoft.Web/sites/siteConfig 别名。