次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブ定義が、主権ベースライン グローバル ポリシーの Microsoft Cloud の コンプライアンス ドメイン と コントロール にどのようにマップされるかについて詳しく説明します。 このコンプライアンス標準の詳細については、「 Microsoft Cloud for Sovereignty Baseline Global Policies」を参照してください。 所有権を理解するには、クラウドでのポリシーの種類と共有責任を確認します。
次のマッピングは、 Microsoft Cloud for Sovereignty Baseline Global Policies コントロールに対して 行われます。 コントロールの多くは、 Azure Policy イニシアチブ定義を使用して実装されます。 イニシアチブ定義全体を確認するには、Azure portal で Policy を開き、[定義] ページ を 選択します。 次に、 ソブリンティ ベースライン - グローバル ポリシー 規制コンプライアンス組み込みイニシアチブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールへの コンプライアンスを評価 するのに役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーの間に 1 対 1 または完全な一致はありません。 そのため、Azure Policy の 準拠 とは、ポリシー定義自体のみを指します。これにより、コントロールのすべての要件に完全に準拠しているわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、 GitHub コミット履歴を参照してください。
SO.1 - データ所在地
承認されたリージョンを使うように Azure 製品をデプロイして構成する必要があります。
ID: MCfS ソブリンティ ベースライン ポリシー SO.1 所有権: 共有
| 名前 (Azure ポータル) |
説明 | 効果 | バージョン (GitHubの) |
|---|---|---|---|
| 許可されている場所 | このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 | 打ち消す | 1.0.0 |
| リソース グループの許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | 打ち消す | 1.0.0 |
| Azure Cosmos DB で許可されている場所 | このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | [パラメータ('policyEffect')] | 1.1.0 |
SO.5 - トラステッド起動
可能な場合は、トラステッド起動 SKU とトラステッド起動を有効にして VM を構成する必要があります。
ID: MCfS ソブリンティ ベースライン ポリシー SO.5 所有権: 共有
| 名前 (Azure ポータル) |
説明 | 効果 | バージョン (GitHubの) |
|---|---|---|---|
| ディスクと OS イメージで TrustedLaunch がサポートされている必要がある | TrustedLaunch は、OS ディスクと OS イメージを必要とする仮想マシンのセキュリティを向上させます(Gen 2)。 TrustedLaunch の詳細については、https://aka.ms/trustedlaunch にアクセスします | Audit、Disabled | 1.0.0 |
| 仮想マシンで TrustedLaunch が有効になっている必要がある | 仮想マシンで TrustedLaunch を有効にしてセキュリティを強化します。TrustedLaunch をサポートする VM SKU (Gen 2) を使用します。 TrustedLaunch の詳細については、https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch にアクセスします | Audit、Disabled | 1.0.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの 概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルで他の例を確認します。
- ポリシーの効果について確認します。
- 準拠していないリソースを修復する方法について説明します。