Azure Policy を使用して仮想マシンの作成時にバックアップを自動的に監査して適用する

2025-06-09

この記事では、バックアップ管理者またはコンプライアンス管理者が、ビジネスクリティカルなすべてのマシンに適切なバックアップポリシーと保持ポリシーを確実に適用する方法について説明します。

Azure Backup には、 Azure Policy を通じてさまざまな組み込みポリシーが用意されており、Azure Virtual Machines (VM) のバックアップを自動的に構成するのに役立ちます。バックアップチームの構造とリソースの組織に基づいて、次のオプションから最適なポリシーを選択して、効果的で一貫性のあるバックアップ管理を確保できます。

Azure VM バックアップの Azure Policy の種類

次の表に、Azure VM インスタンスのバックアップを自動的に管理できるさまざまなポリシーの種類を示します。

ポリシーの種類	説明
ポリシー 1	同じ場所にある既存の Recovery Services コンテナーに対して、特定のタグを持たない VM でバックアップを構成します。
ポリシー 2	同じ場所にある既存の Recovery Services コンテナーに対して、特定のタグを使用して VM 上のバックアップを構成します。
ポリシー 3	既定のポリシーを使用して、新しい Recovery Services コンテナーに特定のタグを付けずに VM 上のバックアップを構成します。
ポリシー 4	既定のポリシーを使用して、特定のタグを持つ VM 上のバックアップを新しい Recovery Services コンテナーに構成します。

ポリシー 1: 同じ場所にある既存の Recovery Services コンテナーへの特定のタグを持たない VM でバックアップを構成する

このポリシーにより、中央バックアップチームは、管理対象 VM と同じサブスクリプションとリージョンにある既存の中央 Recovery Services コンテナーを使用して、Azure Virtual Machines のバックアップを構成できます。指定されたタグを使用して、ポリシースコープから特定の VM を除外できます。

ポリシー 2: 同じ場所にある既存の Recovery Services コンテナーへの特定のタグを使用して VM 上のバックアップを構成する

このポリシーはポリシー 1 と同じように機能し、大きな違いがあります。ポリシーには、特定のタグがある場合、ポリシースコープに仮想マシンが 含まれます 。

ポリシー 3: 既定のポリシーを使用して、新しい Recovery Services コンテナーへの特定のタグなしで VM のバックアップを構成する

このポリシーは、専用リソースグループに編成されたアプリケーションを対象とし、同じ Recovery Services コンテナーを使用してバックアップします。この構成は自動的に管理され、特定のタグを持つポリシースコープから仮想マシンを除外できます。

ポリシー 4: 既定のポリシーを使用して、特定のタグを持つ VM のバックアップを新しい Recovery Services コンテナーに構成する

このポリシーはポリシー 3 と同じように機能し、大きな違いがあります。ポリシーには、特定のタグがある場合、ポリシースコープに仮想マシンが 含まれます 。

Azure Backup には監査専用ポリシーも用意されています。 仮想マシンに対して Azure Backup を有効にする必要があります。このポリシーでは、バックアップが有効になっていない仮想マシンを識別しますが、バックアップ構成は適用されません。これは、変更を適用せずにコンプライアンスを評価するのに役立ちます。

Azure Policy を使用した Azure VM のバックアップでサポートされているシナリオとサポートされていないシナリオ

次の表に、使用可能なポリシーの種類でサポートされているシナリオとサポートされていないシナリオを示します。

ポリシーの種類	サポートされています	サポートされていない
組み込みポリシー	現在、Azure VM でのみサポートされています。割り当て時に指定されたアイテム保持ポリシーが VM アイテム保持ポリシーであることを確認します。このポリシーでサポートされている VM SKU について説明します。
ポリシー 1 と 2	- 一度に 1 つの場所とサブスクリプションに割り当てることができます。場所とサブスクリプション全体の VM のバックアップを有効にするには、ポリシー割り当ての複数のインスタンスを作成する必要があります。これは、場所とサブスクリプションの組み合わせごとに 1 つずつです。 - 指定されたコンテナーとバックアップ用に構成された VM は、異なるリソースグループの下に存在できます。	現在、管理グループのスコープはサポートされていません。
ポリシー 3 と 4	一度に 1 つのサブスクリプション (またはサブスクリプション内のリソースグループ) に割り当てることができます。

注

以下のセクションで説明されている機能には、バックアップセンター経由でもアクセスできます。バックアップセンターは、Azure における単一の統合管理エクスペリエンスです。それを使用して、企業は大規模なバックアップを管理、監視、運用、分析することができます。このソリューションを使用すると、個々のボールトのスコープに限定されずに、重要なバックアップ管理操作のほとんどを実行できます。

Azure VM バックアップ用に組み込みの Azure Policy を割り当てる

このセクションでは、ポリシー 1 を割り当てるエンドツーエンドの手順について説明します。他のポリシーにも同じ手順が適用されます。割り当て後、ポリシーは、定義されたスコープ内に作成された新しい VM のバックアップを自動的に構成します。

Azure VM バックアップにポリシー 1 を割り当てるには、次の手順に従います。

Azure portal で >> に移動し、Azure リソース全体のすべての組み込みポリシーの一覧を表示します。
[ ポリシー定義 ] ウィンドウで、 Category=Backup の一覧をフィルター処理し、 同じ場所にある既存の Recovery Services コンテナーにタグを付けずに仮想マシンのバックアップを構成するという名前のポリシーを選択します。
選択したポリシーウィンドウで、ポリシーの詳細を確認し、[ 割り当て] を選択します。
[ポリシーの割り当て] ウィンドウの [基本] タブで、[スコープ] に対応するその他のアイコンを選択します。
右側のコンテキストウィンドウで、適用するポリシーのサブスクリプションを選択します。

また、リソースグループを選択して、ポリシーが特定のリソースグループ内の VM にのみ適用されるようにすることもできます。
[ パラメーター ] タブで、スコープ内の VM を関連付ける必要がある場所、 コンテナー、 バックアップポリシー を選択します。

タグ名とタグ値の配列を指定することもできます。指定されたタグに指定された値のいずれかを含む VM は、ポリシー割り当てのスコープから除外されます。

[効果] が [deployIfNotExistsに設定されていることを確認します。
[ 確認と作成 ] タブで、[ 作成] を選択します。