次の方法で共有


クイックスタート: Azure portal を使用して、ポリシーの割り当てを作成し、準拠していないリソースを特定する

Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 このクイックスタートでは、Azure portal を使用して、 ポリシーの割り当てを作成し、準拠していないリソースを特定します。 ポリシーはリソース グループに割り当てられ、マネージド ディスクを使用しない仮想マシンは監査されます。 ポリシーの割り当てを作成後、準拠していない仮想マシンを特定します。

組み込みのポリシーまたはイニシアティブ定義を割り当てる場合、バージョンの参照は省略可能です。 組み込み定義のポリシー割り当ては既定で最新バージョンになり、特に指定がない限り、マイナー バージョンの変更が自動的に継承されます。

前提条件

  • Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
  • マネージド ディスクを使用しない仮想マシンが少なくとも 1 つ存在するリソース グループ。

ポリシー割り当てを作成する

このクイックスタートでは、組み込みポリシー定義 "マネージド ディスクを使用していない VM の監査" を使用してポリシー割り当てを作成します。

  1. Azure portal にサインインします。

  2. ポリシーを検索し、一覧から選択します。

    Azure portal でのポリシーの検索を示すスクリーンショット。

  3. [ポリシー] ペインの [割り当て] を選択します。

    [ポリシーの割り当て] オプションが強調表示されている [割り当て] ペインのスクリーンショット。

  4. [ポリシーの割り当て] ペインから [ポリシーの割り当て] を選択します。

  5. [ポリシーの割り当て] ペインの [基本] タブで、次のオプションを構成します。

    フィールド アクション
    スコープ 省略記号 (...) を使用して、サブスクリプションとリソース グループを選択します。 次に [選択] を選んでスコープを適用します。
    除外 省略可能であり、この例では使用されません。
    リソース セレクター この例ではリソース セレクターをスキップします。 リソース セレクターを使用すると、ポリシー割り当ての影響を受けるリソースを絞り込むことができます。
    ポリシー定義 省略記号 (...) を選択して、使用可能な定義の一覧を開きます。
    使用可能な定義 ポリシー定義の一覧で "マネージド ディスクを使用していない VM の監査" 定義を検索し、そのポリシーを選択して、[追加] を選択します。 定義の最新バージョンを示す列があります。
    バージョン (プレビュー) メジャー バージョン、マイナー バージョン、パッチ バージョンを取り込むには、1.*.* 形式でバージョンを受け入れます。

    省略記号 (...) を選択して、使用可能なバージョンと、マイナー バージョン更新またはプレビュー バージョンに登録するオプションを表示します。 オプションを変更するには、バージョンを選択する必要があります。 詳細については、割り当て内の定義バージョンに関する記述を参照してください。
    割り当て名 既定では、選択したポリシーの名前が使用されます。 名前は変更できますが、この例では既定の名前を使用します。
    説明 必要に応じて、このポリシー割り当てに関する詳細を入力します。
    ポリシーの適用 既定値は [有効] です。 詳細については、「強制モード」にアクセスしてください。

    ポリシーの割り当てと、ポリシーのバージョンを強調表示する使用可能な定義のスクリーンショット。

  6. ポリシー定義を選択した後、[バージョン (プレビュー)] オプションを変更できます。

    たとえば、画像に示されているオプションを選択すると、[バージョン (プレビュー)]1.0.* に変更されます。

    マイナー バージョンまたはプレビュー バージョンに登録するポリシー定義バージョン オプションのスクリーンショット。

  7. [次へ] を選択して、[パラメーター][修復] の各タブを表示します。 この例では変更は不要です。

    タブ名 [オプション]
    パラメーター [基本] タブで選択したポリシー定義にパラメーターがある場合は、[パラメーター] タブで構成します。この例では、パラメーターは使用しません。
    修正 マネージド ID を作成できます。 この例では、[マネージド ID を作成する] はオフになっています。

    ポリシーまたはイニシアティブに deployIfNotExists 効果または modify 効果のいずれかを利用するポリシーが含まれている場合は、このチェックボックスをオンにする必要があります。 詳細については、マネージド IDおよび修復のアクセス制御のしくみにアクセスしてください。
  8. [次へ] を選択し、[コンプライアンス違反メッセージ] タブで、「仮想マシンはマネージド ディスクを使用する必要があります」のようなコンプライアンス違反メッセージを作成します。

    このカスタム メッセージは、リソースが拒否されたときに表示されるほか、コンプライアンス違反のリソースについては、通常の評価時に表示されます。

  9. [次へ] を選択し、[確認と作成] タブで、ポリシー割り当ての詳細を確認します。

  10. [作成] を選択して、ポリシー割り当てを作成します。

準拠していないリソースを特定する

[ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。 新しいポリシーの割り当ての準拠状態がアクティブになり、ポリシーの状態に関する結果を提供するまで、数分かかります。

例の非準拠ポリシー割り当てが強調表示されているポリシー コンプライアンスのスクリーンショット。

[コンプライアンス状態][非準拠] になっている、準拠していないリソースがポリシー割り当てに表示されます。 詳細を取得するには、ポリシー割り当て名を選択して、[リソース コンプライアンス]を表示します。

既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。

リソースの状態 結果 ポリシーの評価 コンプライアンスの状態
新機能か更新された機能か Audit、Modify、AuditIfNotExist True 非準拠
新機能か更新された機能か Audit、Modify、AuditIfNotExist False 対応
Exists Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist True 非準拠
Exists Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist False 対応

DeployIfNotExist 効果および AuditIfNotExist 効果が非準拠であるためには、IF ステートメントが TRUE であり、存在条件が FALSE である必要があります。 TRUE の場合、IF 条件は、関連リソースの存在条件の評価をトリガーします。

リソースをクリーンアップする

ポリシー割り当ては、[コンプライアンス] または [割り当て]から削除することができます。

この記事で作成したポリシー割り当てを削除するには、次の手順に従います。

  1. [ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。

  2. ポリシー割り当ての省略記号を選択し、[割り当ての削除] を選択します。

    ポリシー割り当てを削除するメニューが強調表示されている [コンプライアンス] ペインのスクリーンショット。

次のステップ

このクイックスタートでは、ポリシー定義を割り当てて、Azure 環境内で準拠していないリソースを特定しました。

リソースのコンプライアンスを検証するポリシーの割り当て方法について詳しく学習するには、チュートリアルに進んでください。