次の方法で共有


Azure ポリシーを使用して Azure Stack HCI の Insights を大規模に有効にする

適用対象: Azure Stack HCI バージョン 23H2 および 22H2

このドキュメントでは、Azure ポリシーを使用して Azure Stack HCI クラスターの Insights を大規模に有効にする方法について説明します。 1 つの Azure Stack HCI クラスターに対して Insights を有効にするには、「Insights を使用した Azure Stack HCI の監視を参照してください。

Azure Policy の概要については、「 Azure Policy とは」を参照してください。

Azure ポリシーを使用して大規模な Insights を有効にする方法について

Insights を使用して複数の Azure Stack HCI クラスターを監視するには、クラスターごとに個別に Insights を有効にする必要があります。 このプロセスを簡略化するために、Azure ポリシーを使用して、サブスクリプションまたはリソース グループ レベルで Insights を自動的に有効にすることができます。 これらのポリシーは、定義された規則に基づいて、スコープ内のリソースのコンプライアンスを確認します。 ポリシーの割り当て後に非準拠リソースが見つかった場合は、修復タスクを使用して修復できます。

このセクションでは、Insights を大規模に有効にするために使用する Azure ポリシーについて説明します。 また、ポリシーごとに、そのまま使用してポリシー定義を作成したり、さらにカスタマイズするための開始点として使用できるポリシー定義テンプレートを JSON で提供します。

AMA を修復するためのポリシー

2023 年 11 月より前に登録された Azure Stack HCI クラスターの場合は、Insights をもう一度構成する前に、クラスターの登録と Azure Monitor エージェント (AMA) を修復する必要があります。 詳細については、「 2023 年 11 月より前に登録されたクラスターのトラブルシューティングを参照してください。

AMA を修復するポリシーは、次の機能を実行します。

  • 存在する場合は、AMA がデータを収集するリソース ID を決定するレジストリ キーを削除します。

このポリシーを適用する前に、次の点に注意してください。

  • このポリシーは、Azure Stack HCI バージョン 22H2 クラスターにのみ適用されます。 AMA が正しいリソース ID を取得するように、他のポリシーの前に適用します。
  • このポリシーを適用する前に AMA をアンインストールして、正しいリソース ID を設定します。 AMA が最初にアンインストールされていない場合は、データが表示されない可能性があります。 詳細については、「 UNinstall AMA」を参照してください。

JSON のポリシー定義を次に示します。

{
  "mode": "INDEXED",
  "policyRule": {
   "then": { 
        "effect": "deployIfNotExists", 
        "details": { 
          "type": "Microsoft.GuestConfiguration/guestConfigurationAssignments", 
          "existenceCondition": { 
            "allOf": [ 
              { 
                "field": "Microsoft.GuestConfiguration/guestConfigurationAssignments/complianceStatus", 
                "equals": "Compliant" 
              }, 
              { 
                "field": "Microsoft.GuestConfiguration/guestConfigurationAssignments/parameterHash", 
                "equals": "[base64(concat('[RepairClusterAMA]RepairClusterAMAInstanceName;Path', '=', parameters('Path'), ',', '[RepairClusterAMA]RepairClusterAMAInstanceName;Content', '=', parameters('Content')))]" 
              } 
            ] 
          }, 
          "roleDefinitionIds": [ 
            "/providers/Microsoft.Authorization/roleDefinitions/088ab73d-1256-47ae-bea9-9de8e7131f31" 
          ], 
          "deployment": { 
            "properties": { 
              "parameters": { 
                "type": { 
                  "value": "[field('type')]" 
                }, 
                "location": { 
                  "value": "[field('location')]" 
                }, 
                "vmName": { 
                  "value": "[field('name')]" 
                }, 
                "assignmentName": { 
                  "value": "[concat('RepairClusterAMA$pid', uniqueString(policy().assignmentId, policy().definitionReferenceId))]" 
                }, 
                "Content": { 
                  "value": "[parameters('Content')]" 
                }, 
                "Path": { 
                  "value": "[parameters('Path')]" 
                } 
              }, 
              "mode": "incremental", 
              "template": { 
                "parameters": { 
                  "type": { 
                    "type": "string" 
                  }, 
                  "location": { 
                    "type": "string" 
                  }, 
                  "vmName": { 
                    "type": "string" 
                  }, 
                  "assignmentName": { 
                    "type": "string" 
                  }, 
                  "Content": { 
                    "type": "string" 
                  }, 
                  "Path": { 
                    "type": "string" 
                  } 
                }, 
                "contentVersion": "1.0.0.0", 
                "resources": [ 
                  { 
                    "type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments", 
                    "properties": { 
                      "guestConfiguration": { 
                        "version": "1.0.0", 
                        "name": "RepairClusterAMA", 
                        "configurationParameter": [ 
                          { 
                            "value": "[parameters('Path')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Path" 
                          }, 
                          { 
                            "value": "[parameters('Content')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Content" 
                          } 
                        ], 
                        "contentHash": "7EA99B10AE79EA5C1456A134441270BC48F5208F3521BFBFDCAE5EF7B6A9D9BD", 
                        "contentUri": "https://guestconfiguration4.blob.core.windows.net/guestconfiguration/RepairClusterAMA.zip", 
                        "contentType": "Custom", 
                        "assignmentType": "ApplyAndAutoCorrect" 
                      } 
                    }, 
                    "location": "[parameters('location')]", 
                    "apiVersion": "2018-11-20", 
                    "name": "[concat(parameters('vmName'), '/Microsoft.GuestConfiguration/', parameters('assignmentName'))]", 
                    "condition": "[equals(toLower(parameters('type')), toLower('Microsoft.Compute/virtualMachines'))]" 
                  }, 
                  { 
                    "type": "Microsoft.HybridCompute/machines/providers/guestConfigurationAssignments", 
                    "properties": { 
                      "guestConfiguration": { 
                        "version": "1.0.0", 
                        "name": "RepairClusterAMA", 
                        "configurationParameter": [ 
                          { 
                            "value": "[parameters('Path')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Path" 
                          }, 
                          { 
                            "value": "[parameters('Content')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Content" 
                          } 
                        ], 
                        "contentHash": "7EA99B10AE79EA5C1456A134441270BC48F5208F3521BFBFDCAE5EF7B6A9D9BD", 
                        "contentUri": "https://guestconfiguration4.blob.core.windows.net/guestconfiguration/RepairClusterAMA.zip", 
                        "contentType": "Custom", 
                        "assignmentType": "ApplyAndAutoCorrect" 
                      } 
                    }, 
                    "location": "[parameters('location')]", 
                    "apiVersion": "2018-11-20", 
                    "name": "[concat(parameters('vmName'), '/Microsoft.GuestConfiguration/', parameters('assignmentName'))]", 
                    "condition": "[equals(toLower(parameters('type')), toLower('Microsoft.HybridCompute/machines'))]" 
                  }, 
                  { 
                    "type": "Microsoft.Compute/virtualMachineScaleSets/providers/guestConfigurationAssignments", 
                    "properties": { 
                      "guestConfiguration": { 
                        "version": "1.0.0", 
                        "name": "RepairClusterAMA", 
                        "configurationParameter": [ 
                          { 
                            "value": "[parameters('Path')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Path" 
                          }, 
                          { 
                            "value": "[parameters('Content')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Content" 
                          } 
                        ], 
                        "contentHash": "7EA99B10AE79EA5C1456A134441270BC48F5208F3521BFBFDCAE5EF7B6A9D9BD", 
                        "contentUri": "https://guestconfiguration4.blob.core.windows.net/guestconfiguration/RepairClusterAMA.zip", 
                        "contentType": "Custom", 
                        "assignmentType": "ApplyAndAutoCorrect" 
                      } 
                    }, 
                    "location": "[parameters('location')]", 
                    "apiVersion": "2018-11-20", 
                    "name": "[concat(parameters('vmName'), '/Microsoft.GuestConfiguration/', parameters('assignmentName'))]", 
                    "condition": "[equals(toLower(parameters('type')), toLower('Microsoft.Compute/virtualMachineScaleSets'))]" 
                  } 
                ], 
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#" 
              } 
            } 
          }, 
          "name": "[concat('RepairClusterAMA$pid', uniqueString(policy().assignmentId, policy().definitionReferenceId))]" 
        } 
      }, 
      "if": { 
        "anyOf": [ 
          { 
            "allOf": [ 
              { 
                "anyOf": [ 
                  { 
                    "field": "type", 
                    "equals": "Microsoft.Compute/virtualMachines" 
                  }, 
                  { 
                    "field": "type", 
                    "equals": "Microsoft.Compute/virtualMachineScaleSets" 
                  } 
                ] 
              }, 
              { 
                "field": "tags['aks-managed-orchestrator']", 
                "exists": "false" 
              }, 
              { 
                "field": "tags['aks-managed-poolName']", 
                "exists": "false" 
              }, 
              { 
                "anyOf": [ 
                  { 
                    "field": "Microsoft.Compute/imagePublisher", 
                    "in": [ 
                      "esri", 
                      "incredibuild", 
                      "MicrosoftDynamicsAX", 
                      "MicrosoftSharepoint", 
                      "MicrosoftVisualStudio", 
                      "MicrosoftWindowsDesktop", 
                      "MicrosoftWindowsServerHPCPack" 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "MicrosoftWindowsServer" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageSKU", 
                        "notLike": "2008*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "MicrosoftSQLServer" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "notLike": "SQL2008*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "microsoft-dsvm" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "dsvm-win*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "microsoft-ads" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "in": [ 
                          "standard-data-science-vm", 
                          "windows-data-science-vm" 
                        ] 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "batch" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "equals": "rendering-windows2016" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "center-for-internet-security-inc" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "cis-windows-server-201*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "pivotal" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "bosh-windows-server*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "cloud-infrastructure-services" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "ad*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "anyOf": [ 
                          { 
                            "field": "Microsoft.Compute/virtualMachines/osProfile.windowsConfiguration", 
                            "exists": true 
                          }, 
                          { 
                            "field": "Microsoft.Compute/virtualMachines/storageProfile.osDisk.osType", 
                            "like": "Windows*" 
                          }, 
                          { 
                            "field": "Microsoft.Compute/VirtualMachineScaleSets/osProfile.windowsConfiguration", 
                            "exists": true 
                          }, 
                          { 
                            "field": "Microsoft.Compute/virtualMachineScaleSets/virtualMachineProfile.storageProfile.osDisk.osType", 
                            "like": "Windows*" 
                          } 
                        ] 
                      }, 
                      { 
                        "anyOf": [ 
                          { 
                            "field": "Microsoft.Compute/imageSKU", 
                            "exists": false 
                          }, 
                          { 
                            "allOf": [ 
                              { 
                                "field": "Microsoft.Compute/imageOffer", 
                                "notLike": "SQL2008*" 
                              }, 
                              { 
                                "field": "Microsoft.Compute/imageSKU", 
                                "notLike": "2008*" 
                              } 
                            ] 
                          } 
                        ] 
                      } 
                    ] 
                  } 
                ] 
              } 
            ] 
          }, 
          { 
            "allOf": [ 
              { 
                "equals": true, 
                "value": "[parameters('IncludeArcMachines')]" 
              }, 
              { 
                "anyOf": [ 
                  { 
                    "allOf": [ 
                      { 
                        "field": "type", 
                        "equals": "Microsoft.HybridCompute/machines" 
                      }, 
                      { 
                        "field": "Microsoft.HybridCompute/imageOffer", 
                        "like": "windows*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "type", 
                        "equals": "Microsoft.ConnectedVMwarevSphere/virtualMachines" 
                      }, 
                      { 
                        "field": "Microsoft.ConnectedVMwarevSphere/virtualMachines/osProfile.osType", 
                        "like": "windows*" 
                      } 
                    ] 
                  } 
                ] 
              } 
            ] 
          } 
        ] 
      }
  },
  "parameters": {
 "IncludeArcMachines": { 
        "allowedValues": [ 
          "true", 
          "false" 
        ], 
        "defaultValue": "false", 
        "metadata": { 
          "description": "By selecting this option, you agree to be charged monthly per Arc connected machine.", 
          "displayName": "Include Arc connected machines", 
          "portalReview": true
        }, 
        "type": "String"
      }, 
      "Content": {  
        "defaultValue": "File content XYZ", 
        "metadata": { 
          "description": "File content", 
          "displayName": "Content" 
        }, 
        "type": "String"
      }, 
      "Path": { 
        "defaultValue": "C:\\DSC\\CreateFileXYZ.txt", 
        "metadata": { 
          "description": "Path including file name and extension", 
          "displayName": "Path" 
        }, 
        "type": "String" 
      }
  }
}

AMA をインストールするポリシー

AMA をインストールするポリシーは、次の機能を実行します。

  • Azure Stack HCI クラスターに AzureMonitoringAgent 拡張機能がインストールされているかどうかを評価します。

  • 修復タスクを使用して、ポリシーに準拠していないクラスターに AMA をインストールします。

JSON のポリシー定義を次に示します。

{
  "mode": "Indexed",
  "policyRule": {
     "if": {
          "field": "type",
          "equals": "Microsoft.AzureStackHCI/clusters"
        },
        "then": {
          "effect": "[parameters('effect')]",
          "details": {
            "type": "Microsoft.AzureStackHCI/clusters/arcSettings/extensions",
            "name": "[concat(field('name'), '/default/AzureMonitorWindowsAgent')]",
            "roleDefinitionIds": [
              "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
            ],
            "existenceCondition": {
              "field": "Microsoft.AzureStackHCI/clusters/arcSettings/extensions/extensionParameters.type",
              "equals": "AzureMonitorWindowsAgent"
            },
            "deployment": {
              "properties": {
                "mode": "incremental",
                "template": {
                  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                  "contentVersion": "1.0.0.0",
                  "parameters": {
                    "clusterName": {
                      "type": "string",
                      "metadata": {
                        "description": "The name of Cluster."
                      }
                    }
                  },
                  "resources": [
                    {
                      "type": "Microsoft.AzureStackHCI/clusters/arcSettings/extensions",
                      "apiVersion": "2023-08-01",
                      "name": "[concat(parameters('clusterName'), '/default/AzureMonitorWindowsAgent')]",
                      "properties": {
                        "extensionParameters": {
                          "publisher": "Microsoft.Azure.Monitor",
                          "type": "AzureMonitorWindowsAgent",
                          "autoUpgradeMinorVersion": false,
                          "enableAutomaticUpgrade": false
                        }
                      }
                    }
                  ]
                },
                "parameters": {
                  "clusterName": {
                    "value": "[field('Name')]"
                  }
                }
              }
            }
          }
        }
  },
  "parameters": {
   "effect": {
          "type": "String",
          "metadata": {
            "displayName": "Effect",
            "description": "Enable or disable the execution of the policy"
          },
          "allowedValues": [
            "DeployIfNotExists",
            "Disabled"
          ],
          "defaultValue": "DeployIfNotExists"
        }
  }
}

DCR 関連付けを構成するポリシー

このポリシーは、Azure Stack HCI クラスター内の各サーバーに適用され、次の機能を実行します。

  • dataCollectionResourceIdを入力として受け取り、データ収集規則 (DCR) を各サーバーに関連付けます。

    Note

    このポリシーでは、データ収集エンドポイント (DCE) は作成されません。 プライベート リンクを使用している場合は、DCE を作成して、Insights で使用できるデータがあることを確認する必要があります。 詳細については、「 Private Link を使用した Azure Monitor エージェントのネットワーク分離の実現を参照してください。

JSON のポリシー定義を次に示します。

{
  "mode": "INDEXED",
  "policyRule": {
     "if": {
          "field": "type",
          "equals": "Microsoft.HybridCompute/machines"
        },
        "then": {
          "effect": "[parameters('effect')]",
          "details": {
            "type": "Microsoft.Insights/dataCollectionRuleAssociations",
            "name": "[concat(field('name'), '-dataCollectionRuleAssociations')]",
            "roleDefinitionIds": [
              "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
            ],
            "deployment": {
              "properties": {
                "mode": "incremental",
                "template": {
                  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                  "contentVersion": "1.0.0.0",
                  "parameters": {
                    "machineName": {
                      "type": "string",
                      "metadata": {
                        "description": "The name of the machine."
                      }
                    },
                    "dataCollectionResourceId": {
                      "type": "string",
                      "metadata": {
                        "description": "Resource Id of the DCR"
                      }
                    }
                  },
                  "resources": [
                    {
                      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
                      "apiVersion": "2022-06-01",
                      "name": "[concat(parameters('machineName'), '-dataCollectionRuleAssociations')]",
                      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('machineName'))]",
                      "properties": {
                        "description": "Association of data collection rule. Deleting this association will break the data collection for this machine",
                        "dataCollectionRuleId": "[parameters('dataCollectionResourceId')]"
                      }
                    }
                  ]
                },
                "parameters": {
                  "machineName": {
                    "value": "[field('Name')]"
                  },
                  "dataCollectionResourceId": {
                    "value": "[parameters('dcrResourceId')]"
                  }
                }
              }
            }
          }
        }
  },
  "parameters": { "effect": {
        "type": "String",
        "metadata": {
        "displayName": "Effect",
        "description": "Enable or disable the execution of the policy"
        },
        "allowedValues": [
        "DeployIfNotExists",
        "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
    },
    "dcrResourceId": {
        "type": "String",
        "metadata": {
        "displayName": "dcrResourceId",
        "description": "Resource Id of the DCR"
        }
    }

  }
}

Azure ポリシーを使用して大規模な分析情報を有効にする

このセクションでは、Azure ポリシーを使用して Azure Stack HCI の Insights を大規模に有効にする方法について説明します。

前提条件

Azure ポリシーを使用して Azure Stack HCI の Insights を大規模に有効にする前に、次の前提条件を満たす必要があります。

  • Insights を有効にする Azure Stack HCI クラスターにアクセスできる必要があります。 これらのクラスターはデプロイして登録する必要があります。
  • Azure リソースのマネージド ID が有効になっている必要があります。 詳細については、「 Enabled 拡張管理を参照してください。
  • Azure サブスクリプションに Guest 構成リソース共同作成者 ロールが必要です。
  • (Azure Stack HCI バージョン 22H2 クラスターの場合のみ)Azure ポリシーの適用を開始する前に、AMA をアンインストールする必要があります。

ポリシー アプリケーションの順序

Azure Stack HCI クラスターで Insights を大規模に有効にするには、次の順序で Azure ポリシーを適用します。

  1. AMA の修復 (Azure Stack HCI バージョン 22H2 クラスターのみ):

    • Azure Stack HCI バージョン 22H2 クラスターを使用している場合は、まずポリシーを適用して AMA を修復します。 この手順は、Azure Stack HCI バージョン 23H2 クラスターでは必要ありません。
    • ポリシー定義テンプレートについては、AMA を修復するための ポリシーを参照してください。
  2. AMA をインストールします。

    • ポリシーを適用して AMA をインストールします。
    • ポリシー定義テンプレートについては、AMA をインストールする ポリシーを参照してください。
  3. DCR の関連付けを構成します。

ポリシーを適用して Insights を大規模に有効にするワークフロー

Insights を大規模に有効にするには、ポリシーごとに次の手順に従います。

  1. ポリシー定義を作成します。 ポリシー定義テンプレートを使用して、コンプライアンスの規則と条件を定義します。 ポリシー定義の作成を参照してください。
  2. ポリシー割り当てを作成する」を参照してください。 ポリシーのスコープ、存在する場合の除外、および適用のパラメーターを定義します。 前の手順で定義したポリシー定義を使用します。 「 ポリシーの割り当てを作成するを参照してください。
  3. コンプライアンスの状態を表示します。 ポリシー割り当てのコンプライアンス状態を監視します。 準拠していないリソースがないか確認します。 コンプライアンスの状態の表示を参照してください。
  4. 準拠していないリソースを修復します。 準拠していないリソースを修復するための修復タスクを作成します。 準拠していないリソースの修復を参照してください。

ポリシー定義を作成する

ポリシー定義を作成するには、次の手順に従います。

  1. Azure portal で、Azure Policy サービスに移動します。

  2. [作成] セクションで [定義] を選択します。

  3. + ポリシー定義を選択して新しいポリシー定義を作成します。

  4. Policy 定義 ページで、次の値を指定します。

    フィールド アクション
    定義の場所 省略記号 (...) を選択して、ポリシー リソースの場所を指定します。 Definition の場所ペインで、Azure サブスクリプションを選択し、選択を選択します。
    名前 ポリシー定義のフレンドリ名を指定します。 必要に応じて説明およびカテゴリを指定することもできます。
    POLICY RULE JSON 編集ボックスには、ポリシー定義テンプレートが事前に設定されています。 このテンプレートを、適用するポリシー定義テンプレートに置き換えます。 JSON 形式の Insights ポリシーの定義テンプレートについては、「 Azure ポリシーを使用した大規模な分析情報の有効化について 」セクションを参照してください。
    ロールの定義 このフィールドは、ポリシー定義をコピーして POLICY RULE フィールドに貼り付けた後に表示されます。 一覧から Guest Configuration Resource Contributor ロールを選択します。

    新しいポリシー定義を作成する [ポリシー定義] ページのスクリーンショット。

  5. [保存] を選択します。

    ポリシー定義の作成が成功し、ポリシー定義ページが表示されたことを示す通知が表示されます。 これで、ポリシー割り当ての作成に進むことができます。

ポリシー割り当てを作成する

次に、ポリシーの割り当てを作成し、サブスクリプションまたはリソース グループ レベルでポリシー定義を割り当てます。 ポリシー割り当ての詳細については、「Azure Policy の割り当ての構造」を参照してください。

ポリシーの割り当てを作成するには、次の手順に従います。

  1. Policy |前の手順で作成したポリシー定義の [定義 ページで、ポリシーの割り当て選択

    新しいポリシー定義の [ポリシー定義] ページのスクリーンショット。

  2. [ポリシーの割り当てページ >Basic タブで、次の値を指定します。

    フィールド アクション
    スコープ このフィールドには、ポリシー定義の作成時に定義したスコープが事前に設定されます。 ポリシー割り当てのスコープを変更する場合は、省略記号 (...) を使用し、サブスクリプションと必要に応じてリソース グループを選択できます。 次に、 選択 スコープを適用します。
    除外 省略可能。 省略記号 (...) を使用して、ポリシー割り当てから除外するリソースを選択します。
    ポリシー定義 このフィールドには、 ポリシー定義の作成 手順で作成されたポリシー定義名が事前に設定されます。
    割り当て名 このフィールドには、選択したポリシー定義の名前が事前に設定されます。 必要に応じて変更できます。
    ポリシーの適用 既定値は [有効] です。 詳細については、「適用モード」を参照してください。

    ポリシー定義を割り当てる [ポリシーの割り当て] ページのスクリーンショット。

  3. [次へを選択して、Parameters タブを表示します。[Basics タブで選択したポリシー定義にパラメーターが含まれている場合は、[パラメーター] タブに表示されます。

    たとえば、AMA を修復するポリシーには、 Arc 接続マシン パラメーターが表示されます。 True を選択して、Arc 接続マシンをポリシー割り当てに含めます。

    パラメーターを定義または変更するための [ポリシーの割り当て] ページの [パラメーター] タブのスクリーンショット。

  4. [次へ] を選択して [修復] タブを表示します。このタブでは操作は必要ありません。ポリシー定義テンプレートは deployIfNotExists 効果をサポートしているため、ポリシー規則に準拠していないリソースが自動的に修復されます。 さらに、ポリシー定義テンプレートでは DeployIfNotExists 効果が使用されるため、既定で Create a Managed Identity パラメーターが選択されていることに注意してください。

    必要に応じて修復タスクを定義するための [ポリシーの割り当て] ページの [修復] タブのスクリーンショット。

  5. Review + create を選択して割り当てを確認します。

  6. [作成] を選択して、割り当てを作成します。

    ロールの割り当てとポリシーの割り当ての作成が成功したことを示す通知が表示されます。 割り当てが作成されると、Azure Policy エンジンは、スコープ内にあるすべての Azure Stack HCI クラスターを識別し、ポリシー構成を各クラスターに適用します。 通常、ポリシー割り当てが有効になるまでに 5 ~ 15 分かかります。

コンプライアンスの状態を表示する

ポリシーの割り当てを作成したら、Azure Policy ホーム ページの Compliance と修復の状態の Remediation でリソースのコンプライアンスを監視できます。 新しいポリシーの割り当ての準拠状態がアクティブになり、ポリシーの状態に関する結果を提供するまで、数分かかります。

ポリシーのコンプライアンスの状態を表示するには、次の手順に従います。

  1. Azure portal で、Azure Policy サービスに移動します。

  2. [コンプライアンス] を選択します。

  3. ポリシー割り当ての作成手順で作成したポリシー割り当ての名前の結果をフィルター処理します。 コンプライアンス状態列には、コンプライアンス状態が Compliant または 非準拠として表示されます。

    コンプライアンスの状態を示す [ポリシー コンプライアンス] ページのスクリーンショット。

  4. ポリシーの割り当て名を選択して、 リソースコンプライアンス 状態を表示します。 たとえば、修復 AMA ポリシーのコンプライアンス レポートには、修復が必要なクラスター ノードが表示されます。

    コンプライアンスの状態を示す [ポリシー コンプライアンスの状態] ページのスクリーンショット。

  5. どのリソースが準拠していないかを把握したら、修復タスクを作成してコンプライアンスに取り込むことができます。

準拠していないリソースを修復する

準拠していないリソースを修復し、修復タスクの進行状況を追跡するには、次の手順に従います。

  1. Azure portal で、Azure Policy サービスに移動します。

  2. [修復] を選択します。

  3. 修復 ページには、準拠していないリソースが割り当てられているポリシーの一覧が表示されます。 ポリシー割り当ての作成手順で作成したポリシー割り当ての名前の結果をフィルター処理します。

  4. Policy 定義リンクを選択します。

    修復するポリシーを示す [ポリシーの修復] ページのスクリーンショット。

  5. 新しい修復タスク ページには、修復が必要なリソースが表示されます。 修復する前にリソースコンプライアンスを再評価する]チェックボックスをオンにしRemediateを選択します。

    [新しい修復タスク] ページのスクリーンショット。

  6. 修復タスクが作成されたことを示す通知が表示され、[ 修復タスク ] タブに移動します。このタブには、さまざまな修復タスクの状態が表示されます。 作成した値は、 Evaluating または In Progress 状態である可能性があります。

    修復タスクの状態を示す [ポリシーの修復] タブのスクリーンショット。

    修復が完了すると、状態は Complete に変わります。

    修復の詳細については、「 準拠していないリソースを Azure Policy で修復するを参照してください。

次のステップ