Azure Policy ゲスト構成を使って Azure Arc 対応サーバーを管理する

  • 5 分

Fabrikam Residences 社では、マシンを Azure Arc 対応サーバーにオンボードしています。 ゲスト構成が VM 拡張機能としてデプロイされる Azure VM とは異なり、Azure Arc 対応サーバーには、Connected Machine Agent の一部としてゲスト構成サービスが含まれています。 このユニットでは、ゲスト構成の概要と、それが Azure Arc 対応サーバーにどのように適合するかについて説明します。

ゲスト構成の概要

Azure Policy のゲスト構成機能では、Azure で実行しているマシンと Arc 対応マシンの両方に対して、オペレーティング システムの設定をコードとして監査または構成するネイティブ機能が提供されます。 ゲスト構成は Azure VM の VM 拡張機能としてデプロイされますが、ゲスト構成エージェントは Azure Arc 対応サーバーの Connected Machine Agent に埋め込まれています。 既定では、Arc 対応サーバーはゲスト構成サービスに依存して、ゲスト内ポリシーとゲスト構成機能を Azure Arc 対応サーバーに提供できます。

ゲスト構成は、リソースの構成管理用とコンプライアンス用の両方に使用できます。 構成設定には、オペレーティング システムの設定、アプリケーションの構成または存在、および環境設定が含まれます。 コンプライアンスの視点からは、スコープ内のすべてのマシンの設定を、既存のマシンにリアクティブに適用するか、デプロイ時に新しいマシンに事前にデプロイすることをお勧めします。

組み込み Azure Policy ゲスト構成

Arc 対応サーバーには、ゲスト構成を利用する多数の Azure ポリシーが組み込まれています。 Arc 対応サーバー用の Azure Policy ゲスト構成の例を次にいくつか示します。

  • Windows マシンでタイム ゾーンを構成する。
  • Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定したグループ ポリシーの設定になっている必要がある。
  • Windows マシンが [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある

切断されたシナリオでのゲスト構成

切断されたマシンについて、Azure Arc 対応サーバーでは Azure Policy ゲスト構成が次のように動作します。

  • 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
  • ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
  • 割り当ては 14 日後に削除され、14 日の期間の後にマシンに再割り当てされることはありません。

Azure Policy ゲスト構成の価格

課金は、サービスに登録されていて、1 つ以上のゲスト構成が割り当てられているサーバーの数に基づいて行われます。 課金は、1 時間ごとに計算されます。 オフラインのマシン (1 時間を通して切断されているマシンや電源がオフになっているマシンなど) は課金されません。 ゲスト構成によって管理される Azure Arc リソースは、次のシナリオでは課金対象から除外されます。

  • Azure Automation: Azure Automation で提供される状態構成機能や変更履歴機能によって既にマシンが管理されている場合、ゲスト構成の割り当ては課金されません。
  • Microsoft Defender for Cloud: Azure セキュリティ ベンチマーク イニシアチブの Azure Policy 割り当てによって、構成の割り当てが作成されます。 "規制コンプライアンス" カテゴリの組み込みポリシー イニシアチブの Azure Policy 割り当てによって、構成の割り当てが作成されます。 Microsoft Defender for Cloud で作成されたカスタム ポリシー イニシアティブの Azure Policy 割り当てによって、構成の割り当てが作成されます。
  • Azure Stack HCI: Azure Stack HCI クラスターの Azure 特典を使用すると、Azure Stack HCI によってホストされる仮想マシンと Azure Stack HCI クラスター内のノードの両方に対して、ゲスト構成の割り当てを追加料金なしで使用できます。
  • Azure セキュリティ ベースラインとゲスト構成以外の Azure ポリシーでは、課金は発生しません。

Azure Policy ゲスト構成 (Azure Automation の変更履歴、インベントリ、状態の構成を含む) は、Azure Arc 対応サーバーに対してサーバーごとに月々 6 ドルかかります。 Azure Policy ゲスト構成を Azure VM に割り当てても、料金は発生しません。