Azure Monitor 用の組み込みポリシー

ポリシーとポリシー イニシアチブにより、Azure Monitor の診断設定を使用して大規模なログ記録を有効にする簡単な方法が提供されます。 ポリシー イニシアチブを使用すると、Azure 環境内のサポートされているすべてのリソースの監査ログを有効にすることができます。

リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を入手します。 ポリシーを割り当ててリソース ログを有効にし、必要に応じた宛先に送信します。 サードパーティの SIEM システム用にイベント ハブにログを送信し、継続的なセキュリティ オペレーションを可能にします。 長期的なストレージまたは規制コンプライアンスの達成のために、ログをストレージ アカウントに送信します。

リソース ログを Log Analytics ワークスペース、Event Hubs、ストレージ アカウントに転送するための一連の組み込みポリシーとイニシアティブが存在します。 ポリシーにより監査ログが有効になり、監査ログおよびすべてのログのログ カテゴリ グループに属するログがイベント ハブ、Log Analytics ワークスペース、またはストレージ アカウントに送信されます。 ポリシーの effect は DeployIfNotExists です。これは、他の設定が定義されていない場合に、ポリシーを既定としてデプロイします。

ポリシーのデプロイ

ポータル、CLI、PowerShell、または Azure Resource Management テンプレートを使用してポリシーとイニシアティブをデプロイします

Azure Portal

次の手順では、キー コンテナーの監査ログを Log Analytics ワークスペースに送信するポリシーを適用する方法を示します。

1. [ポリシー] ページで、[定義] を選択します。

2. スコープを選択します。 ポリシーは、サブスクリプション全体、リソース グループ、または個々のリソースに対して適用できます。

3. [定義の種類] ドロップダウンから [ポリシー] を選択します。

4. [カテゴリ] ドロップダウンから [監視] を選択します。

5. [検索] フィールドに「keyvault」と入力します。

6. [Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics] (キー コンテナー (microsoft.keyvault/vaults) から Log Analytics へのカテゴリ グループ別ログ記録を有効にする) ポリシーを選択します。

7. ポリシー定義ページで、[割り当て] を選択します

8. [パラメーター] タブをクリックします。

9. 監査ログの送信先とする Log Analytics ワークスペースを選択します。

10. [修復] タブを選択します。

11. [修復] タブで、[修復するポリシー] ドロップダウンから keyvault ポリシーを選択します。

12. [マネージド ID を作成します] チェックボックスをオンにします。

13. [マネージド ID の種類] で、[システム割り当てマネージド ID] を選択します。

14. [確認および作成] を選択し、[作成] を選択します。

CLI

CLI を使用してポリシーを適用するには、次のコマンドを使用します。

1. az policy assignment create を使用してポリシー割り当てを作成します。

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   たとえば、ログ分析ワークスペースに監査ログを送信するポリシーを適用します

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. ポリシー割り当て用に作成された ID に必要なロールを割り当てます。 roleDefinitionIds を検索して、ポリシー定義でロールを見つけます

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   az policy assignment identity assign を使用して、必要なロールを割り当てます。

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   たとえば、次のように入力します。

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. az policy state trigger-scan を使用して、既存のリソースを検索するスキャンをトリガーします。

   az policy state trigger-scan --resource-group rg-001
   

4. az policy remediation create を使用して、既存のリソースにポリシーを適用する修復タスクを作成します。

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   たとえば、次のように入力します。

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

CLI を使用したポリシーの割り当ての詳細については、「Azure CLI リファレンス - az policy assignment」を参照してください。

PowerShell

PowerShell を使用してポリシーを適用するには、次のコマンドを使用します。

1. 環境を設定します。 サブスクリプションを選択し、リソース グループを設定します

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. ポリシー定義を取得し、ポリシーのパラメーターを構成します。 下の例では、keyVault ログを Log Analytics ワークスペースに送信するポリシーを割り当てます

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. ポリシーを割り当てる

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. 必要なロールをシステム割り当てマネージド ID に割り当てます

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. コンプライアンスをスキャンしてから、既存のリソースのコンプライアンスを強制する修復タスクを作成します。

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. ポリシー準拠状況の確認

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

約 30 分後にリソースの診断設定にポリシーが表示されます。

修復タスク

新しいリソースの作成時に、それらにポリシーが適用されます。 既存のリソースにポリシーを適用するには、修復タスクを作成します。 修復タスクにより、リソースがポリシーに準拠します。

修復タスクは、特定のポリシーに対して機能します。 複数のポリシーを含むイニシアティブの場合は、コンプライアンスに準拠させる必要があるリソースがあるイニシアティブ内のポリシーごとに修復タスクを作成します。

最初にポリシーを割り当てるときに修復タスクを定義するか、割り当て後の任意の段階で修復タスクを定義します。

ポリシーの割り当て中にポリシーの修復タスクを作成するには、[ポリシーの割り当て] ページの [修復] タブを選択し、[修復タスクの作成] チェックボックスをオンにします。

ポリシーが割り当てられた後に修復タスクを作成するには、[ポリシーの割り当て] ページの一覧から、割り当て済みのポリシーを選択します。

[修復] を選択します。 ポリシーの修復ページの [修復タスク] タブで、修復タスクの状態を追跡します。

修復タスクの詳細については、「準拠していないリソースを修復する」を参照してください。

イニシアティブを割り当てる

イニシアチブはポリシーのコレクションです。 Azure Monitor の診断設定には、次の 2 つのイニシアチブがあります。

1. audit カテゴリ グループのリソース ログを有効にする

   • サポートされているリソース用の監査カテゴリ グループ リソースのイベント ハブへのログ記録を有効にする
   • サポートされているリソース用の監査カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする
   • サポートされているリソース用の監査カテゴリ グループ リソースのストレージへのログ記録を有効にする

2. allLogs カテゴリ グループのリソース ログを有効にする

   • サポートされているリソース用の allLogs カテゴリ グループ リソースのストレージへのログ記録を有効にする
   • サポートされているリソース用の allLogs カテゴリ グループ リソースの Event Hubs へのログ記録を有効にする
   • サポートされているリソース用の allLogs カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする

この例では、Log Analytics ワークスペースに監査ログを送信するためのイニシアティブを割り当てます。

Azure Portal

1. ポリシーの [定義] ページで、スコープを選択します。

2. [定義の種類] ドロップダウンで [イニシアティブ] を選択します。

3. [カテゴリ] ドロップダウンで [監視] を選択します。

4. [検索] フィールドに「audit」と入力します。

5. [サポートされているリソース用の監査カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする] イニシアティブを選択します。

6. 次のページで、[割り当て] を選択します。

7. [イニシアティブの割り当て] ページの [基本] タブで、イニシアティブを適用するスコープを選択します。

8. [割り当て名] フィールドに名前を入力します。

9. [パラメーター] タブを選択します。

   [パラメーター] には、ポリシーで定義されているパラメーターが含まれています。 この場合は、ログを送信する Log Analytics ワークスペースを選択する必要があります。 各ポリシーの個々のパラメーターの詳細については、「ポリシー固有のパラメーター」を参照してください。

10. 監査ログを送信する Log Analytics ワークスペースを選択します。

11. [確認と作成]、[作成] の順に選択します。

ポリシーまたはイニシアティブの割り当てが機能していることを確認するには、ポリシー割り当てで定義したサブスクリプションまたはリソース グループ スコープにリソースを作成します。

10 分後に、リソースの [診断設定] ページを選択します。 既定の名前 setByPolicy-LogAnalytics と、ポリシーで構成したワークスペース名を含む診断設定が一覧に表示されます。

[イニシアティブの割り当て] またはポリシー ページの [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] チェックボックスをオフにして、既定の名前を変更します。

PowerShell

1. 環境変数を設定します

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. イニシアティブ定義を取得します。 この例では、イニシアティブ "サポートされているリソース用の監査カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする"、ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5" を使用します

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. 割り当て名を設定し、パラメーターを構成します。 このイニシアチブの場合、パラメーターには Log Analytics ワークスペース ID が含まれます。

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. パラメーターを使用してイニシアティブを割り当てます

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Contributor のロールをシステム割り当てマネージド ID に割り当てます。 その他のイニシアティブについては、必要なロールを確認してください。

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. ポリシー コンプライアンスをスキャンします。 Start-AzPolicyComplianceScan コマンドが返されるまで数分かかります

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Get-AzPolicyState を呼び出して、修復するリソースと必要なパラメーターの一覧を取得します

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. 非準拠のリソースがあるリソースの種類ごとに、修復タスクを開始します。

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. 修復タスクが完了したら、コンプライアンスの状態を確認します。

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

ポリシー割り当ての詳細は、次のコマンドを使用して取得できます。

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. az login コマンドを使用して Azure アカウントにサインインします。

2. az account set コマンドを使用して、ポリシー イニシアチブを適用するサブスクリプションを選択します。

3. az policy assignment create を使用してイニシアティブを割り当てます。

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   次に例を示します。

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. システム マネージド ID に必要なロールを割り当てます

   roleDefinitionIds の定義を検索して、イニシアティブ内のポリシー定義で割り当てるロールを見つけます。次に例を示します。

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   az policy assignment identity assign を使用して、必要なロールを割り当てます。

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   次に例を示します。

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. イニシアティブ内のポリシーの修復タスクを作成します。

   修復タスクはポリシーごとに作成されます。 各タスクは、イニシアティブで policyDefinitionReferenceId として指定された特定の definition-reference-id に対するものです。 definition-reference-id パラメーターを見つけるには、次のコマンドを使用します。

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   az policy remediation create を使用してリソースを修復します

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   例:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   イニシアティブ内のすべてのポリシーの修復タスクを作成するには、次の例を使用します。

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

共通パラメーター

次の表では、ポリシーの各セットの共通パラメーターについて説明します。

パラメーター	説明	有効な値	Default
効果	ポリシーの実行を有効または無効にします	DeployIfNotExists、 AuditIfNotExists、 無効	DeployIfNotExists
diagnosticSettingName	診断設定の名前		setByPolicy-{LogAnalytics|EventHubs|Storage}
categoryGroup	診断カテゴリ グループ	none、 audit、 allLogs	監査
resourceTypeList	イニシアティブの場合、診断設定の存在を評価するリソースの種類の一覧。	サポートされているリソース	サポートされているすべてのリソース

ポリシー固有のパラメーター

Log Analytics ポリシーのパラメーター

このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ログを Log Analytics ワークスペースにルーティングします。

パラメーター	説明	有効な値	Default
resourceLocationList	近くの Log Analytics にログを送信するリソースの場所リスト。 "*" は、すべての場所を選択します	サポートされる場所	*
logAnalytics	Log Analytics ワークスペース

イベント ハブ ポリシーのパラメーター

このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ログをイベント ハブにルーティングします。

パラメーター	説明	有効な値	Default
resourceLocation	リソースの場所は、イベント ハブの名前空間と同じ場所である必要があります	サポートされる場所
eventHubAuthorizationRuleId	イベント ハブの認可規則 ID。 承認規則は、イベント ハブの名前空間レベルです。 例: /subscriptions/{サブスクリプション ID}/resourceGroups/{リソース グループ}/providers/Microsoft.EventHub/namespaces/{イベント ハブ名前空間}/authorizationrules/{承認規則}
eventHubName	イベント ハブ名		監視

ストレージ アカウント ポリシーのパラメーター

このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ログをストレージ アカウントにルーティングします。

パラメーター	説明	有効な値	Default
resourceLocation	リソースの場所は、ストレージ アカウントと同じ場所にある必要があります	サポートされる場所
storageAccount	ストレージ アカウントの resourceId

サポートされているリソース

Log Analytics ワークスペース、Event Hubs、ストレージ アカウントの組み込みのすべてのログおよび監査ログ ポリシーは、次のリソースに対して存在します。

リソースの種類	すべてのログ	監査ログ
microsoft.aad/domainservices	はい	はい
microsoft.agfoodplatform/farmbeats	はい	はい
microsoft.analysisservices/servers	はい	いいえ
microsoft.apimanagement/service	はい	はい
microsoft.app/managedenvironments	はい	はい
microsoft.appconfiguration/configurationstores	はい	はい
microsoft.appplatform/spring	はい	いいえ
microsoft.attestation/attestationproviders	はい	はい
microsoft.automation/automationaccounts	はい	はい
microsoft.autonomousdevelopmentplatform/workspaces	はい	いいえ
microsoft.avs/privateclouds	はい	はい
microsoft.azureplaywrightservice/accounts	はい	はい
microsoft.azuresphere/catalogs	はい	はい
microsoft.batch/batchaccounts	はい	はい
microsoft.botservice/botservices	はい	いいえ
microsoft.cache/redis	はい	はい
microsoft.cache/redisenterprise/databases	はい	はい
microsoft.cdn/cdnwebapplicationfirewallpolicies	はい	いいえ
microsoft.cdn/profiles	はい	はい
microsoft.cdn/profiles/endpoints	はい	いいえ
microsoft.chaos/experiments	はい	はい
microsoft.classicnetwork/networksecuritygroups	はい	いいえ
microsoft.cloudtest/hostedpools	はい	いいえ
microsoft.codesigning/codesigningaccounts	はい	はい
microsoft.cognitiveservices/accounts	はい	はい
microsoft.communication/communicationservices	はい	いいえ
microsoft.community/communitytrainings	はい	はい
microsoft.confidentialledger/managedccfs	はい	はい
microsoft.connectedcache/enterprisemcccustomers	はい	いいえ
microsoft.connectedcache/ispcustomers	はい	いいえ
microsoft.containerinstance/containergroups	はい	いいえ
microsoft.containerregistry/registries	はい	はい
microsoft.customproviders/resourceproviders	はい	いいえ
microsoft.d365customerinsights/instances	はい	いいえ
microsoft.dashboard/grafana	はい	はい
microsoft.databricks/workspaces	はい	いいえ
microsoft.datafactory/factories	はい	いいえ
microsoft.datalakeanalytics/accounts	はい	いいえ
microsoft.datalakestore/accounts	はい	いいえ
microsoft.dataprotection/backupvaults	はい	いいえ
microsoft.datashare/accounts	[はい]	いいえ
microsoft.dbformariadb/servers	はい	いいえ
microsoft.dbformysql/flexibleservers	はい	はい
microsoft.dbformysql/servers	はい	いいえ
microsoft.dbforpostgresql/flexibleservers	はい	はい
microsoft.dbforpostgresql/servergroupsv2	はい	いいえ
microsoft.dbforpostgresql/servers	はい	いいえ
microsoft.desktopvirtualization/applicationgroups	はい	いいえ
microsoft.desktopvirtualization/hostpools	はい	いいえ
microsoft.desktopvirtualization/scalingplans	はい	いいえ
microsoft.desktopvirtualization/workspaces	はい	いいえ
microsoft.devcenter/devcenters	はい	はい
microsoft.devices/iothubs	はい	はい
microsoft.devices/provisioningservices	はい	いいえ
microsoft.digitaltwins/digitaltwinsinstances	はい	いいえ
microsoft.documentdb/cassandraclusters	はい	はい
microsoft.documentdb/databaseaccounts	はい	はい
microsoft.documentdb/mongoclusters	はい	はい
microsoft.eventgrid/domains	はい	はい
microsoft.eventgrid/partnernamespaces	はい	はい
microsoft.eventgrid/partnertopics	はい	いいえ
microsoft.eventgrid/systemtopics	はい	いいえ
microsoft.eventgrid/topics	はい	はい
microsoft.eventhub/namespaces	はい	はい
microsoft.experimentation/experimentworkspaces	はい	いいえ
microsoft.healthcareapis/services	はい	いいえ
microsoft.healthcareapis/workspaces/dicomservices	はい	いいえ
microsoft.healthcareapis/workspaces/fhirservices	はい	いいえ
microsoft.healthcareapis/workspaces/iotconnectors	はい	いいえ
microsoft.insights/autoscalesettings	はい	いいえ
microsoft.insights/components	はい	いいえ
microsoft.insights/datacollectionrules	はい	いいえ
microsoft.keyvault/managedhsms	はい	はい
microsoft.keyvault/vaults	はい	はい
microsoft.kusto/clusters	はい	はい
microsoft.loadtestservice/loadtests	はい	はい
microsoft.logic/integrationaccounts	はい	いいえ
microsoft.logic/workflows	はい	いいえ
microsoft.machinelearningservices/registries	はい	はい
microsoft.machinelearningservices/workspaces	はい	はい
microsoft.machinelearningservices/workspaces/onlineendpoints	はい	いいえ
microsoft.managednetworkfabric/networkdevices	はい	いいえ
microsoft.media/mediaservices	はい	はい
microsoft.media/mediaservices/liveevents	はい	はい
microsoft.media/mediaservices/streamingendpoints	はい	はい
microsoft.netapp/netappaccounts/capacitypools/volumes	はい	はい
microsoft.network/applicationgateways	はい	いいえ
microsoft.network/azurefirewalls	はい	いいえ
microsoft.network/bastionhosts	はい	はい
microsoft.network/dnsresolverpolicies	はい	いいえ
microsoft.network/expressroutecircuits	○	いいえ
microsoft.network/frontdoors	はい	はい
microsoft.network/loadbalancers	はい	いいえ
microsoft.network/networkmanagers	はい	はい
microsoft.network/networkmanagers/ipampools	はい	はい
microsoft.network/networksecuritygroups	はい	いいえ
microsoft.network/networksecurityperimeters	はい	いいえ
microsoft.network/p2svpngateways	はい	はい
microsoft.network/publicipaddresses	はい	はい
microsoft.network/publicipprefixes	はい	はい
microsoft.network/trafficmanagerprofiles	はい	いいえ
microsoft.network/virtualnetworkgateways	はい	はい
microsoft.network/virtualnetworks	はい	いいえ
microsoft.network/vpngateways	はい	いいえ
microsoft.networkanalytics/dataproducts	はい	はい
microsoft.networkcloud/baremetalmachines	はい	いいえ
microsoft.networkcloud/clusters	はい	いいえ
microsoft.networkcloud/storageappliances	はい	いいえ
microsoft.networkfunction/azuretrafficcollectors	はい	いいえ
microsoft.notificationhubs/namespaces	はい	はい
microsoft.notificationhubs/namespaces/notificationhubs	はい	はい
microsoft.openenergyplatform/energyservices	はい	いいえ
microsoft.operationalinsights/workspaces	はい	はい
microsoft.powerbi/tenants/workspaces	はい	いいえ
microsoft.powerbidedicated/capacities	はい	いいえ
microsoft.purview/accounts	はい	はい
microsoft.recoveryservices/vaults	はい	いいえ
microsoft.relay/namespaces	はい	いいえ
microsoft.search/searchservices	はい	はい
microsoft.servicebus/namespaces	はい	はい
microsoft.servicenetworking/trafficcontrollers	はい	いいえ
microsoft.signalrservice/signalr	はい	はい
microsoft.signalrservice/webpubsub	はい	はい
microsoft.sql/managedinstances	はい	はい
microsoft.sql/managedinstances/databases	はい	いいえ
microsoft.sql/servers/databases	はい	はい
microsoft.storagecache/caches	はい	いいえ
microsoft.storagemover/storagemovers	はい	いいえ
microsoft.streamanalytics/streamingjobs	はい	いいえ
microsoft.synapse/workspaces	はい	はい
microsoft.synapse/workspaces/bigdatapools	はい	はい
microsoft.synapse/workspaces/kustopools	はい	はい
microsoft.synapse/workspaces/scopepools	はい	はい
microsoft.synapse/workspaces/sqlpools	はい	はい
microsoft.timeseriesinsights/environments	はい	いいえ
microsoft.timeseriesinsights/environments/eventsources	はい	いいえ
microsoft.videoindexer/accounts	はい	いいえ
microsoft.web/hostingenvironments	はい	はい
microsoft.workloads/sapvirtualinstances	はい	可

次のステップ

• Azure Policy を使用して大規模な診断設定を作成する
• Azure Monitor 用の Azure Policy 組み込み定義
• Azure Policy の概要
• コードとしての Azure エンタープライズ ポリシー