Azure Policy を使って準拠していないリソースを修復する

deployIfNotExists または modify 効果を持つポリシーに準拠していないリソースは、修復を使用して準拠状態にすることができます。 修復は、既存のリソースとサブスクリプションに割り当てられたポリシーの deployIfNotExists テンプレートまたは modify テンプレートをデプロイする修復タスクを使用して修復が完了します。これはその割り当てが管理グループ、サブスクリプション、リソース グループ、個人リソース上にあるかどうかには関係ありません。 この記事では、Azure Policy による修復を理解して実行するために必要な手順を示します。

修復のアクセス制御の仕組み

deployIfNotExists ポリシーの評価時に Azure Policy によりテンプレートのデプロイが開始される場合、または modify ポリシーの評価時にリソースが変更される場合には、これらの操作にはポリシーの割り当てに関連付けられているマネージド ID が使用されます。 ポリシーの割り当てでは、Azure リソースの承認にマネージド ID が使用されます。 ポリシー サービスによって作成されたシステム割り当てマネージド ID、またはユーザーによって指定されるユーザー割り当て ID のいずれかを使用できます。 マネージド ID には、リソースを修復するために必要な最小の Azure ロールベースのアクセス制御 (Azure RBAC) ロールを割り当てる必要があります。 マネージド ID にロールが存在しない場合、そのポリシーまたはイニシアチブの割り当て中に、ポータルにエラーが表示されます。 ポータルを使用すると、割り当てが開始されると、一覧表示されているロールが Azure Policy によって自動的にマネージド ID に付与されます。 Azure ソフトウェア開発キット (SDK) を使用する場合、ロールはマネージド ID に手動で付与する必要があります。 マネージド ID の場所は、Azure Policy を使用する操作に影響を与えません。

Note

また、ポリシー定義を変更しても、割り当てや関連付けられているマネージド ID は自動的に更新されません。

修復セキュリティは、次の手順で構成できます。

• ポリシー定義を設定する
• マネージド ID を構成する
• 定義されたロールを使用してマネージド ID にアクセス許可を付与する
• 修復タスクを作成する

ポリシー定義を設定する

前提条件として、ポリシー定義で、含まれているテンプレートのコンテンツを deployIfNotExists と modify が正常にデプロイする必要のあるロールが定義されている必要があります。 組み込みのポリシー定義にはこれらのロールが事前に設定されているため、アクションは必要ありません。 カスタム ポリシー定義の場合、details プロパティの下に、 roleDefinitionIds プロパティを追加します。 このプロパティは、環境にあるロールに合致する一連の文字列です。 完全な例については、deployIfNotExists または modify を参照してください。

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

roleDefinitionIds プロパティは完全なリソース識別子を使用し、ロールの短い roleName を受け取りません。 環境内の投稿者ロールの ID を取得するには、次の Azure CLI コードを使用します:

az role definition list --name "Contributor"

重要

ポリシー定義内に roleDefinitionIds を定義したり、マネージド ID に手動でアクセス許可を割り当てたりするときは、アクセス許可の範囲が可能な限り狭いセットとなるよう制限することをお勧めします。 その他のベスト プラクティスについては、「マネージド ID のベスト プラクティスに関する推奨事項」を参照してください。

マネージド ID を構成する

Azure Policy の各割り当ては、1 つのマネージド ID にのみ関連付けることができます。 ただし、マネージド ID には複数のロールを割り当てることができます。 構成は 2 つの手順で行われます。最初にシステム割り当てまたはユーザー割り当てマネージド ID を作成してから、必要なロールを付与します。

Note

ポータルを使用してマネージド ID を作成すると、ロールがマネージド ID に自動的に付与されます。 ポリシー定義で roleDefinitionIds を後から編集する場合は、ポータルでも新しいアクセス許可を手動で付与する必要があります。

マネージド ID を作成する

ポータル

ポータルを使用して割り当てを作成する場合、Azure Policy では、システム割り当てマネージド ID を生成して、ポリシー定義の roleDefinitionIds に定義されているロールを付与できます。 または、同じロール割り当てを受け取るユーザー割り当てマネージド ID を指定することもできます。

ポータルでシステム割り当てマネージド ID を設定するには、次の手順を実行します。

1. 割り当ての作成または編集のビューにある [修復] タブの [マネージド ID の種類] で [システム割り当てマネージド ID] が選択されていることを確認します。

2. マネージド ID が置かれる場所を指定します。

3. スコープは割り当てスコープから継承されるため、システム割り当てマネージド ID のスコープを割り当てないでください。

ポータルでユーザー割り当てマネージド ID を設定するには、次の手順を実行します。

1. 割り当ての作成または編集のビューにある [修復] タブの [マネージド ID の種類] で [ユーザー割り当てマネージド ID] が選択されていることを確認します。

2. マネージド ID がホストされるスコープを指定します。 マネージド ID のスコープは、割り当てのスコープと同等である必要はありませんが、同じテナント内に存在している必要があります。

3. [既存のユーザー割り当て ID] でマネージド ID を選択します。

PowerShell

ポリシーの割り当て時に ID を作成するには､Location を定義して､Identity を使用する必要があります。

次の例では、組み込みポリシー [SQL DB Transparent Data Encryption のデプロイ] の定義を取得して､ターゲット リソース グループを設定し、システム割り当てマネージド ID を使用して割り当てを作成しています。

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

次の例では、組み込みポリシー [SQL DB Transparent Data Encryption のデプロイ] の定義を取得して､ターゲット リソース グループを設定し、ユーザー割り当てマネージド ID を使用して割り当てを作成しています。

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

この結果､$assignment 変数には管理対象 ID のプリンシパル ID とともに､ポリシー割り当てを作成するときに返される標準値が含まれます｡ これには、システム割り当てマネージド ID の場合は $assignment.Identity.PrincipalId、ユーザー割り当てマネージド ID の場合は $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId を使用してアクセスできます。

Azure CLI

ポリシーの割り当て中に ID を作成するには、az policy assignment create コマンド使用し、マネージド ID をシステム割り当てまたはユーザー割り当てのいずれにする必要があるかに応じて、パラメーター --location、--mi-system-assigned、--mi-user-assigned、--identity-scope を指定します。

システム割り当て ID またはユーザー割り当て ID をポリシー割り当てに追加するには、az policy assignment identity assign コマンドの例に従います。

定義されたロールを使用してマネージド ID にアクセス許可を付与する

重要

必要な修復タスクを実行するために必要なアクセス許可がマネージド ID にない場合、ポータルでのみ、それにアクセス許可が自動的に付与されます。 ポータルを使用してマネージド ID を作成する場合は、この手順をスキップできます。

その他のすべての方法では、ロールを追加して割り当てのマネージド ID に手動でアクセス権を付与する必要があります。そうしないと、修復のデプロイは失敗します。

手動アクセス許可を必要とするシナリオの例は次のとおりです。

• 割り当てが Azure ソフトウェア開発キット (SDK) を使用して作成された場合
• deployIfNotExists または modify によって変更されたリソースがポリシー割り当ての範囲外である場合
• テンプレートがポリシー割り当ての範囲外のリソースのプロパティにアクセスする場合

ポータル

ポータルを使用して、定義したロールを割り当てのマネージド ID に付与するには、アクセス制御 (IAM) を使用する方法と、ポリシーまたはイニシアチブの割り当てを編集して [保存] を選択する方法の 2 つがあります。

割り当ての管理対象 ID にロールを追加するには、次の手順に従います｡

1. Azure portal で [すべてのサービス] を選択し、「Policy」を検索して選択することで、Azure Policy サービスを起動します。

2. Azure Policy ページの左側にある [割り当て] を選択します。

3. マネージド ID がある割り当てを見つけて、その名前を選択します。

4. 編集ページで割り当て ID を見つけます｡ 割り当て ID は次の例のようになります:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   管理対象 ID の名前は、割り当てリソース ID の最後の部分です｡この例では 2802056bfc094dfb95d4d7a5 です。 割り当てリソース ID のこの部分をコピーします。

5. ロールの定義で手動で追加する必要があるリソース､またはリソースの親コンテナー (リソース グループ、サブスクリプション、管理グループ) に移動します。

6. リソース ページにあるアクセス制御 (IAM) のリンクを選択して、アクセス制御ページの上部にある [+ Add role assignment](+ ロール割り当ての追加) を選択します。

7. ポリシー定義から､roleDefinitionIds に一致する適切なロールを選択します｡ アクセスの割当先セットは、ユーザー、グループ、またはアプリケーション' の既定値に設定されたままにします。 [選択] ボックスで、前の手順で見つけた割り当てリソース ID の部分を貼り付けるか､入力します。 検索が完了したら、同じ名前のオブジェクトを選択することで ID を選択し､ [保存] を選択します。

PowerShell

新しいマネージド ID に必要なロールを付与するには､Microsoft Entra ID からレプリケーションを完了しておく必要があります。 次の例では、レプリケーションを完了した後､roleDefinitionIds に対して $policyDef でポリシー定義を反復処理し､New-AzRoleAssignment を使用して､新しいマネージド ID にロールを付与します｡

具体的には、最初の例では、ポリシー スコープでロールを付与する方法を示します。 2 番目の例では、イニシアチブ (ポリシー セット) スコープでロールを付与する方法を示します。

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

新しいマネージド ID に必要なロールを付与するには､Microsoft Entra ID からレプリケーションを完了しておく必要があります。 レプリケーションが完了したら、ポリシー定義の roleDefinitionIds で指定されたロールをマネージド ID に付与する必要があります。

az policy definition show コマンドを使用してポリシー定義で指定されたロールにアクセスしてから各 roleDefinitionIds を反復処理し、az role assignment create コマンドを使用してロールの割り当てを作成します。

修復タスクを作成する

ポータル

Azure portal で [すべてのサービス] を選択し、 [Policy] を検索して選択することで、Azure Policy サービスを起動します。

手順 1: 修復タスクの作成を開始する

ポータルを使用して修復タスクを作成するには、3 つの方法があります。

オプション 1: [修復] ページから修復タスクを作成する

1. Azure Policy ページの左側にある [修復] を選択します。

   

2. すべての deployIfNotExists ポリシーと modify ポリシーの割り当ては、[修復するポリシー] タブに表示されます。非準拠のリソースがあるリソースを選択して、[新しい修復タスク] ページを開きます。

3. 手順に従って、修復タスクの詳細を指定します。

オプション 2: 準拠していないポリシー割り当てから修復タスクを作成する

1. Azure Policy ページの左側にある [コンプライアンス] を選択します。

2. deployIfNotExists または modify 効果を含む非準拠ポリシーまたはイニシアティブの割り当てを選択します。

3. ページの上部にある [修復タスクの作成] ボタンを選択して、[新しい修復タスク] ページを開きます。

4. 手順に従って、修復タスクの詳細を指定します。

オプション 3: ポリシー割り当て時に修復タスクを作成する

割り当てるポリシーまたはイニシアティブ定義に deployIfNotExists または modify 効果がある場合、ウィザードの [修復] タブに、ポリシーの割り当てと同時に修復タスクを作成するための [修復タスクの作成] オプションが表示されます。

Note

これは修復タスクを作成するための最も合理化されたアプローチであり、"サブスクリプション" に割り当てられたポリシー用にサポートされています。 "管理グループ" に割り当てられているポリシーの場合、評価でリソースのコンプライアンスが決定された後、オプション 1 またはオプション 2 を使用して修復タスクを作成する必要があります。

1. ポータルの割り当てウィザードから、[修復] タブに移動します。[修復タスクの作成] のチェック ボックスをオンにします。

2. 修復タスクをイニシアチブの割り当てから開始した場合は、ドロップダウンから修復するポリシーを選択します。

3. マネージド ID を構成し、ウィザードの残りの部分に入力します。 修復タスクは割り当て作成時に作成されます。

手順 2: 修復タスクの詳細を指定する

この手順は、オプション 1 またはオプション 2 を使用して修復タスクの作成を開始する場合にのみ適用されます。

1. 修復タスクをイニシアチブの割り当てから開始した場合は、ドロップダウンから修復するポリシーを選択します。 一度に 1 つの修復タスクを使用して、1 つの deployIfNotExists または modify ポリシーを修復できます。

2. 必要に応じて、ページで [修復の設定] を変更します。 各設定の制御について、詳しくは修復タスクの構造をご覧ください。

3. 同じページで [スコープ] 省略記号ボタンを使って、ポリシーが割り当てられている子リソースを選択することで、修復するリソースをフィルター処理します (個々のリソース オブジェクトまで可能)。 また、 [場所] ドロップダウン リストを使って､リソースをさらにフィルター処理することもできます｡

   

4. [修復] 選択して、リソースがフィルター処理された後に修復タスクを開始します。 [修復タスク] タブに対するポリシー コンプライアンス ページが開いて、タスクの進行状況が表示されます。 修復タスクによって作成されたデプロイが、すぐに開始されます。

   

手順 3: 修復タスクの進行状況を追跡する

1. [修復] ページの [修復タスク] タブに移動します。 修復タスクを選択すると、使用されているフィルター処理の詳細、現在の状態、修復されるリソースの一覧が表示されます。

2. 修復タスクの詳細ページで、リソースを右クリックして、修復タスクのデプロイまたはリソースのいずれかを表示します。 行の末尾にある [関連イベント] を選択して､エラー メッセージなどの詳細を確認します。

   

修復タスクを使ってデプロイされたリソースは、ポリシー割り当ての詳細ページの [デプロイされたリソース] タブに追加されます。

PowerShell

Azure PowerShell を使用して修復タスク を作成するには、Start-AzPolicyRemediation コマンドを使用します。 {subscriptionId} をサブスクリプション ID に置き換え、{myAssignmentId} を deployIfNotExists または modify ポリシー割り当て ID に置き換えます。

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

次の省略可能なパラメーターを使用して修復設定を調整することもできます:

• -FailureThreshold - 指定されているしきい値を失敗率が超えた場合に、修復タスクを失敗させるかどうかを指定するときに使用します。 0 から 100 の数値として指定します。 既定では、失敗のしきい値は 100% です。
• -ResourceCount - 特定の 1 つの修復タスクで修復する非準拠リソースの数を指定します。 既定値は 500 (以前の制限) です。 最大数は 50,000 リソースです。
• -ParallelDeploymentCount - 同時に修復するリソースの数を指定します。 指定できる値は一度に 1 から 30 個のリソースです。 既定値は 10 です。

その他の修復コマンドレットや例については、Az.PolicyInsights モジュールを参照してください。

Azure CLI

Azure CLI を使用して修復タスク を作成するには、az policy remediation コマンドを使用します。 {subscriptionId} をサブスクリプション ID に置き換え、{myAssignmentId} を deployIfNotExists または modify ポリシー割り当て ID に置き換えます。

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

その他の修復コマンドや例については、az policy remediation コマンドのページを参照してください。

次のステップ

• Azure Policy のサンプルを確認します。
• 「Azure Policy の定義の構造」を確認します。
• 「Policy の効果について」を確認します。
• プログラムによってポリシーを作成する方法を理解します。
• コンプライアンス データを取得する方法を学習します。
• 「Azure 管理グループのリソースを整理する」で、管理グループとは何かを確認します。