次の方法で共有

Azure ランディング ゾーンのカスタム ポリシーを更新する

時間の経過とともに、Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアチブは、Azure 環境に組み込むことができる新しいバージョンに更新されます。 この記事では、新しいバージョンがリリースされたときに Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアチブを更新する方法について説明します。

この記事では、高度な手動更新手順について説明し、Terraform および Bicep モジュール実装 の更新プログラムの処理に関するリファレンスを提供します。 Bicep を使用して Azure ランディング ゾーンのカスタム ポリシーを Azure 組み込みポリシーに移行するには、「Azure ランディング ゾーン ポリシーを Azure 組み込みポリシーに移行するを参照してください。

次のインフォグラフィックは、Azure ランディング ゾーンのカスタム ポリシー更新のデシジョン ツリーとプロセス フローを提供します。Azure ランディング ゾーンのカスタム ポリシー更新プロセスのデシジョン ツリーを示す図。

注意

既存のポリシー割り当てを削除しても、ポリシーの再割り当てにかかる時間中に環境は保護されません。 更新されたポリシーを割り当てた後、ポリシー コンプライアンス セクションで異常なリソースを確認し、修復します。

Azure ランディング ゾーン環境の更新手順

このセクションでは、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを新しいバージョンに更新するための一般的な概要手順について説明します。

更新プログラムを検出する

次の権限のあるオプションを使用して、1 つ以上の Azure ランディング ゾーンのカスタム ポリシーが古くなっていることを確認します。

  • What's Newを定期的に確認し、この例 など、1 つ以上のポリシーが更新されることに注意してください。
  • Azure ガバナンス ビジュアライザー を使用し、1 つ以上のポリシーが古いとしてマークされていることに注意してください。

更新プログラムを適用する

更新されたカスタム ポリシーを Azure ランディング ゾーンのデプロイに適用するかどうかを決定するには:

  1. Azure 環境が現在、いずれかのスコープで古いカスタム ポリシーを割り当てているかどうかを判断します。 Azure ガバナンス ビジュアライザーを使用する場合は、TenantSummaryを確認して、現在割り当てられているポリシーを確認できます。
  2. 古いカスタム ポリシーのいずれかが Azure ランディング ゾーンのカスタム ポリシー イニシアチブの一部であるかどうかを判断します。
  3. 現在の Azure 環境で、いずれかのスコープに古いカスタムポリシーイニシアチブが割り当てられているかどうかを確認します。

上記の調査の結果に応じて、次のアクションを実行します。

ポリシーが割り当てられない

  • 古いポリシーが Azure 資産に割り当てられず、既存のカスタム ポリシー イニシアチブの一部でない場合は、古いポリシー定義を、Azure ランディング ゾーンの中間ルート管理グループ (Contosoなど) で更新されたポリシー定義に置き換えます。

  • カスタム ポリシー イニシアチブが更新されても、Azure 資産に割り当てられていない場合は、古いカスタム ポリシー イニシアチブを、Azure ランディング ゾーンの中間ルート管理グループの更新されたカスタム ポリシー イニシアチブに置き換えます (例: Contoso)。

カスタム ポリシー イニシアチブの一部ではなく、パラメーターが変更されていないポリシー

古い Azure ランディング ゾーン ポリシーが Azure 資産内のスコープに割り当てられている場合、既存の Azure ランディング ゾーンカスタム ポリシー イニシアチブの一部ではなく、パラメーター名と番号は変更されていません。

  • 既存のカスタム ポリシー定義の内容を、Azure ランディング ゾーンの中間ルート管理グループにある更新されたカスタム ポリシー定義の内容に置き換えます (例: Contoso)。 詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

カスタム ポリシー イニシアチブの一部ではなく、パラメーターが変更されたポリシー

古い Azure ランディング ゾーン ポリシーが Azure 資産内の任意のスコープに割り当てられている場合、既存の Azure ランディング ゾーンカスタム ポリシー イニシアチブの一部ではなく、パラメーター名と番号が変更されています。

  1. 古いポリシー割り当て、割り当てられている場所、およびパラメーター値をすべてキャプチャします。
  2. 次のいずれかのアクションを実行します。
    • ポリシー割り当てに複数のポリシー定義が含まれている場合は、割り当てられているすべてのスコープで古いポリシーを削除してポリシーの割り当てを更新します。
    • ポリシー割り当てに古いポリシーのみが含まれている場合は、割り当てられているすべてのスコープで既存のポリシー割り当てを削除します。
  3. Azure ランディング ゾーンの中間ルート管理グループから古いポリシーを削除します (例: Contoso)。
  4. 更新されたポリシーを Azure ランディング ゾーンの中間ルート管理グループにインポートします。
  5. 既存のポリシー割り当てを更新するか、更新されたポリシーを事前に記録されたスコープに含めることで、新しいポリシー割り当てを作成します。
  6. 更新されたカスタム ポリシーを再割り当てした後、ポリシー コンプライアンス セクションを確認して、リソースが正常な状態であることを確認します。

詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

カスタム ポリシー イニシアチブによって割り当てられたパラメーターが変更されていないポリシー

古い Azure ランディング ゾーン ポリシーが既存の Azure ランディング ゾーン カスタム ポリシー イニシアチブの一部であり、Azure 資産内の任意のスコープに割り当てられ、パラメーター名と番号が変更されていない場合:

  • 既存のカスタム ポリシー定義の内容を、更新されたカスタム ポリシー定義の内容に置き換えます。 パラメーター番号と名前は変更されないため、カスタム ポリシー イニシアチブまたは割り当てに対してそれ以上変更を加える必要はありません。 詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

カスタム ポリシー イニシアチブによって割り当てられたパラメーターが変更されたポリシー

古いポリシーが既存のカスタム ポリシー イニシアチブの一部であり、Azure 資産内の任意のスコープに割り当てられ、パラメーター名と番号が変更されている場合:

  1. カスタム ポリシー イニシアチブのために、すべてのポリシー割り当て、それらが割り当てられている場所、およびそのパラメーター値をキャプチャします。

  2. 割り当てられているすべてのスコープで、既存のポリシー割り当てを削除します。

  3. カスタム ポリシー イニシアチブから古いポリシーを削除します。

    イニシアティブ パラメーター をカスタム ポリシー イニシアチブから削除することはできません。 これらのパラメーターを再利用することを検討してください。

  4. Azure ランディング ゾーンの中間ルート管理グループから古いポリシーを削除します (例: Contoso)。

  5. 更新されたポリシーを Azure ランディング ゾーンの中間ルート管理グループにインポートします。

  6. 更新されたポリシーをカスタム ポリシー イニシアチブに追加します。

    • 該当する場合は、前のイニシアチブ パラメーターを再利用します。
    • 必要に応じて、カスタム ポリシー イニシアチブで定義されている既存の名前付けパターンに従って、他のイニシアチブ パラメーターを追加します。

  7. 更新されたカスタム ポリシー イニシアチブを再割り当てします。

  8. 更新されたカスタム ポリシー イニシアチブを再割り当てした後、ポリシー コンプライアンス セクションを確認して、リソースが正常な状態であることを検証します。

詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

割り当てられたカスタム ポリシー イニシアチブを更新しました

Azure ランディング ゾーンのカスタム ポリシー イニシアチブが完全に更新され、Azure 資産内の任意のスコープで割り当てられている場合:

  1. 割り当てられているすべてのポリシー割り当てと、Azure ランディング ゾーンカスタム ポリシー イニシアチブのパラメーター値をキャプチャします。

  2. 割り当てられているすべてのスコープで、既存のポリシー割り当てを削除します。

  3. Contosoなど、中間ルート管理グループから古いカスタム ポリシー イニシアチブを削除します。 削除する前に、すべてのカスタム ポリシー定義が -date up-toされていると仮定して、すべてのカスタム ポリシー定義名と ID を記録します。

  4. 適切なポリシー参照を使用して、更新されたカスタム ポリシー イニシアチブ定義をインポートします。

    カスタム ポリシーの汎用 contoso スコープを使用して、policySetDefinitionsで更新されたイニシアチブを取得できます。 ポリシー定義 ID ごとに、contoso スコープを管理グループ階層の擬似ルート名に変更することを忘れないでください。

  5. 更新されたカスタム ポリシー イニシアチブを再割り当てします。

  6. 更新されたカスタム ポリシー イニシアチブを再割り当てした後、ポリシー コンプライアンス セクションを確認して、リソースが正常な状態であることを検証します。

詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

プラットフォーム ランディング ゾーンの Terraform Azure 検証済みモジュールの更新手順

Terraform モジュール使用する場合は、更新ガイドのを参照してください。

Bicep モジュールのデプロイに対する更新手順

ALZ-Bicep モジュール を使用して Azure ランディング ゾーンのデプロイを管理する場合、このセクションでは、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを更新するためのリソースを提供します。

Bicep で更新プログラムを検出する

更新プログラムの検出 のメソッドを使用して、ポリシーが変更されたかどうかを判断します。 ALZ-Bicep リリースにおける ALZ-Bicep ポリシーの変更も確認できます。

Bicep で更新する

ALZ-Bicep では、Azure ランディング ゾーンのカスタム ポリシーを新しいポリシーに更新するための一般的なガイダンスを提供します。 詳細については、「Azure ランディング ゾーンのカスタム ポリシーを Azure 組み込みポリシーに移行する方法」を参照してください。

次の手順

Azure portal、Bicep、Terraform のどちらを使用して Azure ランディング ゾーン インフラストラクチャを管理する場合でも、時間の経過と同時にポリシーの変更を管理する必要があります。 この記事のフローは、Azure ランディング ゾーン実装のポリシー管理に関するプロセスを開発するための出発点として使用します。