Azure Policy 定義の manual 効果

新しい manual 効果を使用すると、リソースまたはスコープのコンプライアンスを自己証明できます。 評価をアクティブにスキャンする他のポリシー定義とは異なり、Manual 効果を使用すると手動の変更をコンプライアンス状態にできます。 manual ポリシーの対象になるリソースまたはスコープのコンプライアンスを変更するには、構成証明を作成する必要があります。 ベスト プラクティスは、コンプライアンスの構成証明が必要なリソースの境界を定義するスコープを対象とする manual ポリシーを設計することです。

Note

さまざまな Microsoft Defender for Cloud 規制コンプライアンス イニシアチブを通じて、手動ポリシーのサポートを利用できます。 Microsoft Defender for Cloud Premium レベルのお客様は、エクスペリエンスの概要を参照してください。

manual 効果を持つポリシー定義を含む規制ポリシー イニシアチブの例を次に示します。

• FedRAMP High
• FedRAMP Medium
• HIPAA
• HITRUST
• ISO 27001
• Microsoft CIS 1.3.0
• Microsoft CIS 1.4.0
• NIST SP 800-171 Rev. 2
• NIST SP 800-53 Rev. 4
• NIST SP 800-53 Rev. 5
• PCI DSS 3.2.1
• PCI DSS 4.0
• SWIFT CSP CSCF v2022

次の例では、Azure サブスクリプションを対象とし、初期コンプライアンス状態を Unknown に設定します。

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions"
  },
  "then": {
    "effect": "manual",
    "details": {
      "defaultState": "Unknown"
    }
  }
}

defaultState プロパティには、次の 3 つの値を指定できます。

• Unknown: ターゲット リソースの初期の既定の状態。
• Compliant: リソースは、手動ポリシー標準に準拠しています
• Non-compliant: リソースは手動ポリシー標準に準拠していません

Azure Policy コンプライアンス エンジンは、該当するすべてのリソースを、定義で指定された既定の状態に評価します (指定されていない場合は Unknown)。 Unknown のコンプライアンス状態は、リソースのコンプライアンス状態を手動で証明する必要があることを示します。 効果の状態が指定されていない場合、既定で Unknown になります。 Unknown のコンプライアンスの状態は、コンプライアンスの状態を自分で証明する必要があることを示します。

次のスクリーンショットは、Unknown の状態を持つ手動ポリシー割り当てが Azure portal でどのように表示されるかを示しています。

manual 効果を持つポリシー定義が割り当てられている場合は、カスタムの構成証明を使用して、対象となるリソースまたはスコープのコンプライアンス状態を設定できます。 構成証明では、メタデータの形式と、選択したコンプライアンス状態に付随する証拠へのリンクを通じて、オプションの補足情報を提供することもできます。 手動ポリシーを割り当てるユーザーは、ポリシー割り当てのメタデータの evidenceStorages プロパティを指定することで、証拠の既定の保存場所を推奨できます。

次のステップ

• Azure Policy のサンプルを確認します。
• 「Azure Policy の定義の構造」を確認します。
• プログラムによってポリシーを作成する方法を理解します。
• コンプライアンス データを取得する方法を学習します。
• 準拠していないリソースを修復する方法を学習します。
• Azure 管理グループを確認する。