クイックスタート: Azure portal を使用して、ポリシーの割り当てを作成し、準拠していないリソースを特定する

  • [アーティクル]

Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 このクイックスタートでは、Azure portal を使用して、 ポリシーの割り当てを作成し、準拠していないリソースを特定します。 ポリシーはリソース グループに割り当てられ、マネージド ディスクを使用しない仮想マシンは監査されます。 ポリシーの割り当てを作成後、準拠していない仮想マシンを特定します。

前提条件

  • Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
  • マネージド ディスクを使用しない仮想マシンが少なくとも 1 つ存在するリソース グループ。

ポリシー割り当てを作成する

このクイックスタートでは、組み込みポリシー定義 "マネージド ディスクを使用していない VM の監査" を使用してポリシー割り当てを作成します。

  1. Azure portal にサインインします。

  2. ポリシーを検索し、一覧から選択します。

    Screenshot of the Azure portal to search for policy.

  3. [ポリシー] ペインの [割り当て] を選択します。

    Screenshot of the Assignments pane that highlights the option to Assign policy.

  4. [ポリシーの割り当て] ペインから [ポリシーの割り当て] を選択します。

  5. [ポリシーの割り当て] ペインの [基本] タブで、次のオプションを構成します。

    フィールド アクション
    スコープ 省略記号 (...) を使用して、サブスクリプションとリソース グループを選択します。 次に [選択] を選んでスコープを適用します。
    除外 省略可能であり、この例では使用されません。
    ポリシー定義 省略記号を選択して、使用可能な定義の一覧を開きます。
    使用可能な定義 ポリシー定義の一覧で "マネージド ディスクを使用していない VM の監査" 定義を検索し、そのポリシーを選択して、[追加] を選択します。
    割り当て名 既定では、選択したポリシーの名前が使用されます。 名前は変更できますが、この例では既定の名前を使用します。
    説明 必要に応じて、このポリシー割り当てに関する詳細を入力します。
    ポリシーの適用 既定値は [有効] です。 詳細については、「強制モード」にアクセスしてください。
    割り当て担当者 既定では、Azure にサインインしているユーザーです。 このフィールドは任意で、カスタム値を入力できます。

    Screenshot of filtering the available definitions.

  6. [次へ] を選択して、[詳細設定] タブ、[パラメーター] タブ、[修復] タブを表示します。 この例では変更は不要です。

    タブ名 [オプション]
    詳細設定 リソース セレクターオーバーライドのオプションが含まれています。
    パラメーター [基本] タブで選択したポリシー定義にパラメーターが含まれている場合、それらは [パラメーター] タブで構成されます。この例では、パラメーターは使用しません。
    修正 マネージド ID を作成できます。 この例では、[マネージド ID を作成する] はオフになっています。

    ポリシーまたはイニシアティブに deployIfNotExists 効果または modify 効果のいずれかを利用するポリシーが含まれている場合は、このチェックボックスをオンにする必要があります。 詳細については、マネージド IDおよび修復のアクセス制御のしくみにアクセスしてください。

  7. [次へ] を選択し、[コンプライアンス違反メッセージ] タブで、「仮想マシンはマネージド ディスクを使用する必要があります」のようなコンプライアンス違反メッセージを作成します。

    このカスタム メッセージは、リソースが拒否されたときに表示されるほか、コンプライアンス違反のリソースについては、通常の評価時に表示されます。

  8. [次へ] を選択し、[確認と作成] タブで、ポリシー割り当ての詳細を確認します。

  9. [作成] を選択して、ポリシー割り当てを作成します。

準拠していないリソースを特定する

[ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。 新しいポリシーの割り当ての準拠状態がアクティブになり、ポリシーの状態に関する結果を提供するまで、数分かかります。

Screenshot of the Policy Compliance that highlights the example's non-compliant policy assignment.

[コンプライアンス状態][非準拠] になっている、準拠していないリソースがポリシー割り当てに表示されます。 詳細を取得するには、ポリシー割り当て名を選択して、[リソース コンプライアンス]を表示します。

既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。

リソースの状態 結果 ポリシーの評価 コンプライアンスの状態
新機能か更新された機能か Audit、Modify、AuditIfNotExist True 非準拠
新機能か更新された機能か Audit、Modify、AuditIfNotExist False 対応
Exists Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist True 非準拠
Exists Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist False 対応

DeployIfNotExist 効果および AuditIfNotExist 効果が非準拠であるためには、IF ステートメントが TRUE であり、存在条件が FALSE である必要があります。 TRUE の場合、IF 条件は、関連リソースの存在条件の評価をトリガーします。

リソースをクリーンアップする

ポリシー割り当ては、[コンプライアンス] または [割り当て]から削除することができます。

この記事で作成したポリシー割り当てを削除するには、次の手順に従います。

  1. [ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。

  2. ポリシー割り当ての省略記号を選択し、[割り当ての削除] を選択します。

    Screenshot of the Compliance pane that highlights the menu to delete a policy assignment.

次のステップ

このクイックスタートでは、ポリシー定義を割り当てて、Azure 環境内で準拠していないリソースを特定しました。

リソースのコンプライアンスを検証するポリシーの割り当て方法について詳しく学習するには、チュートリアルに進んでください。

チュートリアル:コンプライアンスを強制するポリシーの作成と管理