Azure Policy の規制コンプライアンス

  • [アーティクル]

Azure Policy の規制コンプライアンスには、責任 (顧客Microsoft共有) に基づくコントロールおよびコンプライアンス ドメインの一覧を表示するための組み込みのイニシアチブ定義が用意されています。 Microsoft が責任を持つコントロールについては、サード パーティの証明に基づく監査結果の詳細と、そのコンプライアンスを実現するための取り組みの詳細を提供します。 Microsoft が責任を持つコントロールは、policyType静的です。

注意

規制コンプライアンスはプレビュー機能です。 更新された組み込みの場合、イニシアチブ コントロールは対応するコンプライアンス基準にマップされます。 既存のコンプライアンス標準イニシアチブは、規制コンプライアンスをサポートするために更新されています。

規制コンプライアンスの定義

規制コンプライアンスは、イニシアチブ定義のグループ化に基づいて構築されています。 組み込みの場合、イニシアチブ定義の各グループは、名前 (コントロール)、カテゴリ (コンプライアンス ドメイン) を定義し、コントロールに関する情報を持つ policyMetadata オブジェクトへの参照を提供します。 規制コンプライアンスのイニシアチブ定義では、category プロパティを規制コンプライアンスに設定する必要があります。 それ以外の標準的なイニシアチブ定義として、規制コンプライアンス イニシアチブでは、動的な割り当てを作成するためのパラメーターがサポートされています。

顧客は、独自の規制コンプライアンス イニシアチブを作成できます。 これらの定義は、オリジナルでも、既存の組み込み定義からのコピーでも問題ありません。 組み込みの規制コンプライアンス イニシアチブの定義を参照として使用する場合は、Azure Policy GitHub リポジトリで規制コンプライアンスの定義のソースを監視することをお勧めします。

カスタムの規制コンプライアンス イニシアチブを Microsoft Defender for Cloud のダッシュボードとリンクさせるには、「カスタム セキュリティ イニシアチブとポリシーを作成する」を参照してください。

ポータルの規制コンプライアンス

グループを使用してイニシアチブ定義を作成した場合、ポータルにあるそのイニシアチブのコンプライアンス詳細ページに追加情報が表示されます。

新しいタブ [コントロール] がページに追加されます。 フィルター処理はコンプライアンス ドメインごとに使用でき、ポリシー定義は policyMetadata オブジェクトの title フィールドによってグループ化されます。 各行はコントロールを表します。コンプライアンスの状態、所属するコンプライアンス ドメイン、責任情報、およびそのコントロールを構成する非準拠ポリシー定義と準拠ポリシー定義の数を示します。

準拠しているコントロールと非準拠のコントロールを示す NIST SP 800-53 R4 の組み込み定義に関する法令遵守の概要のスクリーンショット。

コントロールを選択すると、そのコントロールに関する詳細のページが開きます。 概要には、descriptionrequirements の情報が含まれています。 [ポリシー] タブには、このコントロールに寄与する、イニシアチブに含まれる個々のポリシー定義がすべて含まれています。 [リソース コンプライアンス] タブには、現在表示されているコントロールのメンバー ポリシーによって評価される各リソースの詳細なビューが表示されます。

注意

Microsoft による管理の評価タイプは、静的ポリシー定義 policyType です。

NIST SP 800-53 R4 組み込み定義の境界保護制御に関する規制遵守の詳細のスクリーンショット。

同じコントロールのページで、 [リソース コンプライアンス] タブに変更すると、このコントロールのポリシー定義に含まれるすべてのリソースが表示されます。 フィルターは、名前または ID、コンプライアンスの状態、リソースの種類、場所に対して使用できます。

NIST SP 800-53 R4 組み込み定義の境界保護制御に対するリソースのコンプライアンスのスクリーンショット。

SDK の規制コンプライアンス

イニシアチブ定義、評価スキャン レコード、イベント、およびポリシー状態で規制コンプライアンスが有効になっている場合、SDK はそれぞれの追加のプロパティを返します。 これらの追加のプロパティは、コンプライアンスの状態ごとにグループ化され、各状態にあるグループの数に関する情報を提供します。

次のコードは、summarize 呼び出しにより追加された結果の例です。

"policyGroupDetails": [{
        "complianceState": "noncompliant",
        "count": 4
    },
    {
        "complianceState": "compliant",
        "count": 76
    }
]

次のステップ