Organisationsrichtlinie mit Tags festlegen

Mit Tags können Sie Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Mit Tags und der bedingten Erzwingung von Organisationsrichtlinien können Sie die Ressourcen in Ihrer Hierarchie zentral steuern.

Hinweise

Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.

Eine ausführliche Anleitung zur Verwendung von Tags finden Sie unter Tags erstellen und verwalten.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization Policy Administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Sie können die Verwaltung von Organisationsrichtlinien delegieren, indem Sie der Rollenbindung des Administrators für Organisationsrichtlinien IAM-Bedingungen hinzufügen. Wenn Sie steuern möchten, für welche Ressourcen ein Hauptkonto Organisationsrichtlinien verwalten kann, können Sie die Rollenbindung an ein bestimmtes Tag binden. Weitere Informationen finden Sie unter Einschränkungen verwenden.

Organisationsrichtlinie mit Tags festlegen

Mithilfe von Tags können Sie bestimmen, wo eine Organisationsrichtlinie wirksam werden soll. Dazu müssen Sie eine Bedingung in der YAML-Datei der Organisationsrichtlinie angeben. Sie können die Bedingung so festlegen, dass sie mit einem bestimmten Tag-Schlüssel/Wert-Paar übereinstimmt. Dies setzt voraus, dass ein bestimmter Tag-Wert festgelegt wird, damit die Organisationsrichtlinie erzwungen wird.

Sie können die Bedingung auch so festlegen, dass sie mit einem Tag-Schlüssel übereinstimmt. So können Sie die Erzwingung für alle Ressourcen mit diesem Tag-Schlüssel aktivieren oder deaktivieren, unabhängig davon, welcher Tag-Wert angehängt ist.

Die meisten Organisationsrichtlinien werden ausgewertet und erzwungen, wenn eine Ressource erstellt oder aktualisiert wird. Mit obligatorischen Tags können Sie Ressourcen bei der Erstellung verwalten.

Beispiel für eine Listenregel

Das folgende Beispiel zeigt, wie Sie eine Organisationsrichtlinie festlegen, die die Einschränkung gcp.resourceLocations erzwingt. Diese Organisationsrichtlinie verwendet sowohl bedingte als auch bedingungsfreie Werte, die in derselben Richtliniendatei festgelegt sind.

Console

So legen Sie die Organisationsrichtlinie fest:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien eine Einschränkung aus der Liste aus. Die Seite Richtliniendetails für diese Einschränkung wird angezeigt.

  4. Zum Aktualisieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.

  5. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  6. Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus:

    • Wählen Sie Mit übergeordneter Ressource zusammenführen aus, um die Organisationsrichtlinien zusammenzuführen und zu evaluieren. Weitere Informationen zur Übernahme und zur Ressourcenhierarchie finden Sie unter Informationen zu Evaluierungen der Hierarchie.

    • Wählen Sie Ersetzen aus, um Richtlinien zu überschreiben, die von einer übergeordneten Ressource übernommen wurden.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Richtlinienwerte aus, ob diese Organisationsrichtlinie alle Werte zulassen, alle Werte ablehnen oder einen benutzerdefinierten Satz von Werten angeben soll.

    • Welche spezifischen Werte von der Richtlinie akzeptiert werden, hängt vom Dienst ab, für den die Richtlinie gilt. Eine Liste der Einschränkungen und der akzeptierten Werte finden Sie unter Einschränkungen für Organisationsrichtlinien.

  9. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen.

    1. Geben Sie im Feld Titel einen Namen für die Bedingung ein.

    2. Geben Sie im Feld Beschreibung eine Beschreibung für die Bedingung ein. Die Beschreibung enthält Kontext zu den erforderlichen Tags und deren Auswirkungen auf Ressourcen.

    3. Sie können den Builder für IAM-Bedingungen verwenden, um eine Bedingung zu erstellen, für die ein bestimmtes Tag erforderlich ist, damit die Einschränkung wirksam wird.

      1. Wählen Sie im Feld Bedingungstyp die Option Tag aus.

      2. Wählen Sie den Operator für Ihre Bedingung aus.

        • Um ein ganzes Tag abzugleichen, verwenden Sie den Operator has value mit dem Namespace-Namen des Tags oder den Operator has value ID mit den Schlüssel- und Wert-IDs des Tags.

        • Wenn Sie nur den Tag-Schlüssel abgleichen möchten, verwenden Sie den Operator has key mit dem Namespace-Namen des Tag-Schlüssels oder den Operator has key ID mit der Tag-Schlüssel-ID.

      3. Sie können mehrere Bedingungen erstellen, indem Sie auf Hinzufügen klicken. Wenn Sie eine weitere Bedingung hinzufügen, können Sie die bedingte Logik so einstellen, dass sie alle erfordert, indem Sie auf Und umschalten. Sie können die bedingte Logik festlegen, dass nur eine der Bedingungen erfüllt sein muss, indem Sie auf Oder umschalten.

      4. Sie können einen Ausdruck löschen, indem Sie auf das große X rechts neben den Bedingungsfeldern klicken.

      5. Wenn Sie mit der Bearbeitung der Bedingungen fertig sind, klicken Sie auf Speichern.

    4. Mit dem Bedingungseditor können Sie einen bedingten Ausdruck programmatisch erstellen. Außerdem wird ein programmatisches Rendering Ihrer aktuellen Bedingungen dargestellt.

      Der bedingte Ausdruck muss 1 bis 10 Unterausdrücke enthalten, die durch die Operatoren || oder && verknüpft sind. Jeder Teilausdruck muss eine der folgenden Funktionen sein:

      • "resource.matchTag('KEY_NAME', 'VALUE_SHORT_NAME')"

        Ersetzen Sie Folgendes:

        • KEY_NAME durch den Namespace-Namen des Tag-Schlüssels. Beispiel: 123456789012/env.

        • VALUE_SHORT_NAME durch den Kurznamen des Tag-Werts. Beispiel: prod.

        Beispiel: resource.matchTag('123456789012/environment, 'prod')

      • "resource.matchTagId('KEY_ID', 'VALUE_ID')"

        Ersetzen Sie Folgendes:

        • KEY_ID durch die permanente ID des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

        • VALUE_ID durch die permanente ID des Tag-Werts. Beispiel: tagValues/567890123456.

        Beispiel: resource.matchTagId('tagKeys/123456789012', 'tagValues/567890123456')

      • "resource.hasTagKey('KEY_NAME')"

        Ersetzen Sie KEY_NAME durch den Namespace-Namen des Tag-Schlüssels. Beispiel: 123456789012/env.

        Beispiel: resource.matchTag('123456789012/environment, 'prod')

      • "resource.hasTagKeyId('KEY_ID')"

        Ersetzen Sie KEY_ID durch die permanente ID des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

        Beispiel: resource.matchTagId('tagKeys/123456789012')

      1. Mit dem Bedingungseditor können Sie den logischen Operator ! anwenden. Mit der Abfrage !resource.matchTag('ORGANIZATION_ID/location', 'us-west1') würde die Einschränkung der Organisationsrichtlinie beispielsweise auf jede Ressource angewendet werden, die nicht das Tag us-west1 hat.

  10. Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.

gcloud

Wenn Sie die Organisationsrichtlinie festlegen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie gespeichert wird:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.resourceLocations
spec:
  rules:
  # As there is no condition specified, this allowedValue is enforced unconditionally.
  - values:
      allowedValues:
      - us-east1-locations
  # This condition applies to the values block.
  - condition:
      expression: "resource.matchTag('ORGANIZATION_ID/location', 'us-west1')"
    values:
      allowedValues:
      - us-west1-locations

Mit dem Operator resource.matchTag und dem Namespace-Namen des Tags können Sie ein ganzes Tag mit der Bedingung abgleichen.

Wenn Sie nur den Tag-Schlüssel abgleichen möchten, verwenden Sie den Operator resource.hasTagKey mit dem Namespace-Namen des Tag-Schlüssels. Wenn Sie einen beliebigen Tag-Wert für einen bestimmten Tag-Schlüssel abgleichen möchten, verwenden Sie den Operator resource.hasTagKeyID mit der ID des Tag-Schlüssels.

Führen Sie den Befehl set-policy aus:

gcloud org-policies set-policy POLICY_PATH

Ersetzen Sie Folgendes:

  • POLICY_PATH: Der vollständige Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • RESOURCE_TYPE: organizations, folders oder projects

  • RESOURCE_ID: Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

  • ORGANIZATION_ID: Die übergeordnete Organisation Ihres Tag-Schlüssels.

Bei dieser Organisationsrichtlinie wird für die Ressource und alle untergeordneten Ressourcen die alte verwaltete Einschränkung gcp.resourceLocations erzwungen, wobei für allowedValues nur us-east1-locations zulässig ist. Für jede dieser Ressourcen mit dem Tag location: us-west1 wird die alte verwaltete Einschränkung gcp.resourceLocations erzwungen, wobei allowedValues den Wert us-east1-locations und us-west1-locations hat.

Auf diese Weise können sowohl bedingte als auch bedingungsfreie Wertesätze für eine Einschränkung in einer einzigen Organisationsrichtlinie erzwungen werden.

Beispiel für eine boolesche Regel

Das folgende Beispiel zeigt, wie Sie eine Organisationsrichtlinie festlegen, die die Einschränkung compute.disableSerialPortAccess erzwingt. Diese Organisationsrichtlinie gibt an, dass alle seriellen Ports für Ressourcen zugänglich sind. Sie verwendet jedoch eine Bedingung, um den Zugriff auf die seriellen Ports nur auf Ressourcen mit dem entsprechenden Tag einzuschränken.

Console

So legen Sie die Organisationsrichtlinie fest:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien eine Einschränkung aus der Liste aus. Die Seite Richtliniendetails für diese Einschränkung sollte angezeigt werden.

  4. Zum Aktualisieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.

  5. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Erzwingung aus, ob die Erzwingung dieser Organisationsrichtlinie aktiviert oder deaktiviert werden soll.

  8. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie nur eine bedingungsfreie Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann.

    1. Geben Sie im Feld Titel einen Namen für die Bedingung ein.

    2. Geben Sie im Feld Beschreibung eine Beschreibung für die Bedingung ein. Die Beschreibung enthält Kontext zu den erforderlichen Tags und deren Auswirkungen auf Ressourcen.

    3. Sie können den Builder für IAM-Bedingungen verwenden, um eine Bedingung zu erstellen, für die ein bestimmtes Tag erforderlich ist, damit die Einschränkung wirksam wird.

      1. Wählen Sie im Feld Bedingungstyp die Option Tag aus.

      2. Wählen Sie den Operator für Ihre Bedingung aus.

        • Um ein ganzes Tag abzugleichen, verwenden Sie den Operator has value mit dem Namespace-Namen des Tags oder den Operator has value ID mit den Schlüssel- und Wert-IDs des Tags.

        • Wenn Sie nur den Tag-Schlüssel abgleichen möchten, verwenden Sie den Operator has key mit dem Namespace-Namen des Tag-Schlüssels oder den Operator has key ID mit der Tag-Schlüssel-ID.

      3. Sie können mehrere Bedingungen erstellen, indem Sie auf Hinzufügen klicken. Wenn Sie eine weitere Bedingung hinzufügen, können Sie die bedingte Logik so einstellen, dass sie alle erfordert, indem Sie auf Und umschalten. Sie können die bedingte Logik festlegen, dass nur eine der Bedingungen erfüllt sein muss, indem Sie auf Oder umschalten.

      4. Sie können einen Ausdruck löschen, indem Sie auf das große X rechts neben den Bedingungsfeldern klicken.

      5. Wenn Sie mit der Bearbeitung der Bedingungen fertig sind, klicken Sie auf Speichern.

      6. Eine Organisationsrichtlinie mit einer erzwungenen Bedingung darf nur eine bedingungsfreie Regel haben. Klicken Sie auf Regel hinzufügen und legen Sie fest, ob die Erzwingung dieser Organisationsrichtlinie standardmäßig aktiviert oder deaktiviert sein soll.

    4. Mit dem Bedingungseditor können Sie einen bedingten Ausdruck programmatisch erstellen. Außerdem wird ein programmatisches Rendering Ihrer aktuellen Bedingungen dargestellt.

      Der bedingte Ausdruck muss 1 bis 10 Unterausdrücke enthalten, die durch die Operatoren || oder && verknüpft sind. Jeder Teilausdruck muss eine der folgenden Formen haben:

      • "resource.matchTag('KEY_NAME', 'VALUE_SHORT_NAME')"

        Ersetzen Sie Folgendes:

        • KEY_NAME durch den Namespace-Namen des Tag-Schlüssels. Beispiel: 123456789012/env.

        • VALUE_SHORT_NAME durch den Kurznamen des Tag-Werts. Beispiel: prod.

      • "resource.matchTagId('KEY_ID', 'VALUE_ID')"

        Ersetzen Sie Folgendes:

        • KEY_ID durch die permanente ID des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

        • VALUE_ID durch die permanente ID des Tag-Werts. Beispiel: tagValues/567890123456.

      1. Mit dem Bedingungseditor können Sie den logischen Operator ! anwenden. Mit der Abfrage !resource.matchTag('ORGANIZATION_ID/location', 'us-west1') würde die Einschränkung der Organisationsrichtlinie beispielsweise auf jede Ressource angewendet werden, die nicht das Tag us-west1 hat.

  9. Klicken Sie auf Speichern, um den Vorgang abzuschließen und die Organisationsrichtlinie anzuwenden.

gcloud

Wenn Sie die Organisationsrichtlinie festlegen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie gespeichert wird:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.disableSerialPortAccess
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORGANIZATION_ID/disableSerialAccess', 'yes')"
    enforce: true
  - enforce: false

Mit dem Operator resource.matchTag und dem Namespace-Namen des Tags können Sie ein ganzes Tag mit der Bedingung abgleichen.

Wenn Sie nur den Tag-Schlüssel abgleichen möchten, verwenden Sie den Operator resource.hasTagKey mit dem Namespace-Namen des Tag-Schlüssels. Wenn Sie einen beliebigen Tag-Wert für einen bestimmten Tag-Schlüssel abgleichen möchten, verwenden Sie den Operator resource.hasTagKeyID mit der ID des Tag-Schlüssels.

Führen Sie den Befehl set-policy aus:

gcloud org-policies set-policy POLICY_PATH

Ersetzen Sie Folgendes:

  • POLICY_PATH: Der vollständige Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • RESOURCE_TYPE: organizations, folders oder projects

  • RESOURCE_ID: Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer

  • ORGANIZATION_ID: Die übergeordnete Organisation Ihres Tag-Schlüssels.

Bei dieser Organisationsrichtlinie wird für die Ressource und alle untergeordneten Ressourcen die Einschränkung gcp.disableSerialPortAccess (Legacy Managed) erzwungen. Alle Ressourcen mit dem Tag disableSerialAccess: yes werden von der Organisationsrichtlinie abgelehnt. Für jede Ressource ohne das Tag disableSerialAccess: yes wird die verwaltete Legacy-Beschränkung nicht erzwungen.

Regeln bedingt zu Organisationsrichtlinien hinzufügen

Sie können Tags verwenden, um Ressourcen basierend auf den angehängten Tags bedingt Einschränkungsregeln hinzuzufügen. Sie können innerhalb einer Organisationsrichtlinie mehrere Bedingungen hinzufügen. Damit können Sie genau steuern, auf welche Ressourcen die Organisationsrichtlinie angewendet werden soll.

Common Expression Language bzw. CEL ist die Ausdruckssprache, die zur Angabe bedingter Ausdrücke verwendet wird. Ein bedingter Ausdruck besteht aus einer oder mehreren Anweisungen, die mithilfe logischer Operatoren (&&, || oder !) verknüpft werden. Weitere Informationen finden Sie in der CEL-Spezifikation und der zugehörigen Sprachdefinition.

Mit einer Organisationsrichtlinie können Sie die Standorte einschränken, an denen Ressourcen basierend auf den auf diese Ressourcen angewendeten Tags erstellt werden können. Erstellen Sie dazu eine Organisationsrichtlinie, die die Einschränkung gcp.resourceLocations erzwingt und verwenden Sie Bedingungen, um die Erzwingung auf bestimmte Ressourcen zu beschränken.

Erstellen Sie zuerst die temporäre Datei /tmp/policy.yaml, die Ihre Organisationsrichtlinie enthält:

name: organizations/ORGANIZATION_ID/policies/gcp.resourceLocations
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORGANIZATION_ID/location', 'us-east')"
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: "resource.matchTag('ORGANIZATION_ID/location', 'us-west')"
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations

Ersetzen Sie ORGANIZATION_ID durch die übergeordnete Organisation Ihres Tag-Schlüssels.

In diesem Beispiel wird jede Ressource, an die das Tag location: us-east angehängt ist, auf Standorte innerhalb der Wertegruppe us-east1-locations beschränkt. Jede Ressource, an die das Tag location: us-west angehängt ist, ist auf Standorte innerhalb der Wertegruppe us-west1-locations beschränkt. Alle Ressourcen in der Organisation werden von Standorten innerhalb der Wertgruppe asia-south1-locations blockiert.

Legen Sie die Richtlinie dann mit dem Befehl set-policy fest:

gcloud org-policies set-policy /tmp/policy.yaml

Nicht getaggte Ressourcen einschränken

Mit Tags und bedingten Organisationsrichtlinien können Sie alle Ressourcen einschränken, die kein bestimmtes Tag verwenden. Wenn Sie eine Organisationsrichtlinie für eine Ressource festlegen, die Dienste einschränkt und von der Anwesenheit eines Tags abhängig macht, können keine untergeordneten Ressourcen verwendet werden, die von dieser Ressource abgeleitet sind, es sei denn, sie wurden getaggt. Auf diese Weise müssen Ressourcen gemäß Ihrem Governance-Plan eingerichtet werden, bevor sie verwendet werden können.

Wenn Sie Ressourcen ohne Tag in einer Organisation, einem Ordner oder einem Projekt einschränken möchten, können Sie den logischen Operator ! in einer bedingten Abfrage verwenden, wenn Sie Ihre Organisationsrichtlinie erstellen.

Wenn Sie beispielsweise die Verwendung von sqladmin.googleapis.com nur in Projekten mit dem Tag sqladmin=enabled zulassen möchten, können Sie eine Organisationsrichtlinie erstellen, die sqladmin.googleapis.com für Projekte ohne das Tag sqladmin=enabled ablehnt.

  1. Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel sqlAdmin und dem Wert enabled erstellen, um anzugeben, dass für diese Ressource die Verwendung der Cloud SQL Admin API zulässig sein soll. Beispiel:

    Tag-Schlüssel und -Wert erstellen

  2. Klicken Sie auf den Namen des neu erstellten Tags. Sie benötigen den Namensbereichsnamen des Tag-Schlüssels, der unter Tag-Schlüsselpfad aufgeführt ist, in den nächsten Schritten, um eine Bedingung zu erstellen.

  3. Erstellen Sie eine Organisationsrichtlinie vom Typ Dienstnutzung für Ressourcen einschränken auf Ebene Ihrer Organisationsressource, um den Zugriff auf die Cloud SQL Admin API zu verweigern. Beispiel:

    Organisationsrichtlinie zum Einschränken von Ressourcen erstellen

  4. Fügen Sie der oben genannten Organisationsrichtlinie eine Bedingung hinzu, die angibt, dass die Richtlinie erzwungen wird, wenn das Governance-Tag nicht vorhanden ist. Der logische NOT-Operator wird vom Bedingungs-Builder nicht unterstützt. Diese Bedingung muss daher im Bedingungseditor erstellt werden. Beispiel:

    Bedingte Organisationsrichtlinie erstellen

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Das sqlAdmin=enabled-Tag muss jetzt an ein Projekt angehängt oder von diesem übernommen werden, bevor Ihre Entwickler die Cloud SQL Admin API mit diesem Projekt verwenden können.

Erzwingen von Pflicht-Tags für Ressourcen

Sie können obligatorische Tags für Ressourcen mit einer benutzerdefinierten Organisationsrichtlinie erzwingen. Wenn Sie obligatorische Tags erzwingen, können Sie nur Ressourcen erstellen, die den Tagging-Richtlinien Ihrer Organisation entsprechen. Das bedeutet, dass Ressourcen an die Tag-Werte für die in der Richtlinie angegebenen obligatorischen Tag-Schlüssel gebunden sind. Weitere Informationen finden Sie unter Benutzerdefinierte Einschränkung zum Erzwingen von Tags einrichten.

Übernahme von Organisationsrichtlinien

Einschränkungen mit Listenregeln, die mithilfe von Tags aktiviert werden, werden gemäß den normalen Regeln für die Übernahme mit der vorhandenen Organisationsrichtlinie zusammengeführt. Diese bedingten Regeln gelten nur, wenn die Bedingung erfüllt ist.

Einschränkungen mit booleschen Regeln, die mithilfe von Tags aktiviert werden, überschreiben die vorhandene Organisationsrichtlinie. Da boolesche Regeln nur zwei Zustände haben können, wahr oder falsch, müssen alle bedingten Anweisungen das Gegenteil der nicht bedingten Anweisung sein, um zu verhindern, dass mehrere Tags miteinander im Konflikt stehen.

Stellen Sie sich beispielsweise eine Organisationsrichtlinie vor, die die Einschränkung disableSerialPortAccess erzwingt. Der bedingungsfreie Wert, der verwendet wird, wenn keine Bedingungen ihn überschreiben, ist wahr. Daher müssen alle anderen bedingten Anweisungen für diese Richtlinie auf „falsch“ gesetzt werden, damit keine Konflikte auftreten.

Nächste Schritte

Weitere Informationen zur Verwendung von Tags finden Sie auf der Seite Tags erstellen und verwalten.

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.