セキュリティ ポリシーの管理Manage security policies

この記事では、セキュリティ ポリシーの構成方法と、それの Security Center での表示方法について説明します。This article explains how security policies are configured, and how to view them in Security Center.

セキュリティ ポリシーを編集できるユーザーは誰ですか。Who can edit security policies?

REST API 経由または Windows PowerShell を使用して、Azure Policy ポータルからセキュリティ ポリシーを編集できます。You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell.

Security Center では Azure ロールベースのアクセス制御 (Azure RBAC) が使用されています。RBAC が提供する組み込みのロールは、Azure ユーザー、グループ、およびサービスに割り当てることができます。Security Center uses Azure role-based access control (Azure RBAC), which provides built-in roles you can assign to Azure users, groups, and services. ユーザーが Security Center を開くと、アクセスできるリソースに関する情報のみが表示されます。When users open Security Center, they see only information related to the resources they can access. これは、リソースのサブスクリプションに対して、"所有者"、"共同作成者"、または "閲覧者" のロールがユーザーに割り当てられていることを意味します。Which means users are assigned the role of owner, contributor, or reader to the resource's subscription. 次の 2 つの固有の Security Center ロールもあります。There are also two specific Security Center roles:

  • セキュリティ閲覧者: 推奨事項、アラート、ポリシー、正常性などの Security Center 項目を表示する権利を持っています。Security reader: Has rights to view Security Center items such as recommendations, alerts, policy, and health. 変更は行えません。Can't make changes.
  • セキュリティ管理者:セキュリティ閲覧者 と同じ表示権利を持っています。Security admin: Has the same view rights as security reader. セキュリティポリシーを更新し、アラートを無視することもできます。Can also update the security policy and dismiss alerts.

セキュリティ ポリシーの管理Manage your security policies

Security Center でセキュリティ ポリシーを表示するには:To view your security policies in Security Center:

  1. Security Center ダッシュボードで [セキュリティ ポリシー] を選択します。In the Security Center dashboard, select Security policy.

    [ポリシー管理] ページ

    [ポリシー管理] 画面には、管理グループ、サブスクリプション、およびワークスペースの数、および管理グループの構造が表示されます。In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

  2. ポリシーを参照するサブスクリプションまたは管理グループを選択します。Select the subscription or management group whose policies you want to view.

  3. そのサブスクリプションまたは管理グループのセキュリティ ポリシー ページが表示されます。The security policy page for that subscription or management group appears. 利用可能な割り当て済みのポリシーが表示されます。It shows the available and assigned policies.

    Security Center のセキュリティ ポリシー ページ

    注意

    既定のポリシーの横に "MG 継承済み" というラベルがある場合、そのポリシーが管理グループに割り当てられており、表示しているサブスクリプションに継承されていることを意味します。If there is a label "MG Inherited" alongside your default policy, it means that the policy has been assigned to a management group and inherited by the subscription you're viewing.

  4. このページで使用可能なオプションから選択します。Choose from the available options on this page:

    1. 業界標準を使用するには、 [標準をさらに追加] を選択します。To work with industry standards, select Add more standards. 詳細については、「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」を参照してください。For more information, see Customize the set of standards in your regulatory compliance dashboard.

    2. カスタム イニシアティブを割り当てて管理するには、 [カスタム イニシアティブの追加] を選択します。To assign and manage custom initiatives, select Add custom initiatives. 詳細については、カスタム セキュリティ イニシアチブおよびポリシーの使用に関する記事をご覧ください。For more information, see Using custom security initiatives and policies.

    3. 既定のイニシアチブを表示して編集するには、 [有効なポリシーの表示] を選択し、下記の説明に従って操作を進めます。To view and edit the default initiative, select View effective policy and proceed as described below.

      [有効なポリシー] 画面

      この [セキュリティ ポリシー] 画面には、選択したサブスクリプションまたは管理グループに割り当てられているポリシーによって実行されたアクションが反映されます。This Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.

      • 上部のリンクを使用して、サブスクリプションまたは管理グループに適用されているポリシー 割り当て を開きます。Use the links at the top to open a policy assignment that applies on the subscription or management group. これらのリンクを使用すると、割り当てにアクセスしたり、ポリシーを編集または無効化したりすることができます。These links let you access the assignment and edit or disable the policy. たとえば、特定のポリシー割り当てによってエンドポイントが実質的に保護されないようになっていることがわかった場合は、リンクを使用してそのポリシーを編集または無効化します。For example, if you see that a particular policy assignment is effectively denying endpoint protection, use the link to edit or disable the policy.

      • ポリシーの一覧では、サブスクリプションまたは管理グループに対して実際に適用されているポリシーを確認できます。In the list of policies, you can see the effective application of the policy on your subscription or management group. スコープに適用されている各ポリシーの設定が考慮され、ポリシーによって実行されたアクションの累積的な結果が表示されます。The settings of each policy that apply to the scope are taken into consideration and the cumulative outcome of actions taken by the policy is shown. たとえば、ポリシーのある割り当てでは無効になっていても、別の割り当てでは AuditIfNotExist に設定されている場合、累積的な効果によって AuditIfNotExist が適用されます。For example, if in one assignment of the policy is disabled, but in another it's set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. よりアクティブな効果が常に優先されます。The more active effect always takes precedence.

      • 設定できるポリシーの効果は、Append、Audit、AuditIfNotExists、Deny、DeployIfNotExists、Disabled です。The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. 効果が適用されるしくみの詳細については、Policy の効果に関するページを参照してください。For more information on how effects are applied, see Understand Policy effects.

      注意

      割り当てられているポリシーを確認すると、複数の割り当てが表示され、各割り当てのそれぞれの構成を参照できます。When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

セキュリティ ポリシーと推奨事項の無効化Disable security policies and disable recommendations

環境に関係のない推奨事項がセキュリティ イニシアチブによってトリガーされる場合、その推奨事項が再び表示されるのを防ぐことができます。When your security initiative triggers a recommendation that's irrelevant for your environment, you can prevent that recommendation from appearing again. 推奨事項を無効にするには、推奨設定を生成する特定のポリシーを無効にします。To disable a recommendation, disable the specific policy that generates the recommendation.

Security Center の規制コンプライアンス ツールで適用した規制標準のために必要な場合、無効にする推奨事項は引き続き表示されます。The recommendation you want to disable will still appear if it's required for a regulatory standard you've applied with Security Center's regulatory compliance tools. 組み込みのイニシアチブでポリシーを無効にした場合でも、コンプライアンスのために必要な場合は、規制標準のイニシアチブのポリシーによって推奨事項は引き続きトリガーされます。Even if you've disabled a policy in the built-in initiative, a policy in the regulatory standard's initiative will still trigger the recommendation if it's necessary for compliance. 規制標準イニシアチブのポリシーを無効にすることはできません。You can't disable policies from regulatory standard initiatives.

推奨事項の詳細については、セキュリティに関する推奨事項の管理についてのページを参照してください。For more information about recommendations, see Managing security recommendations.

  1. Security Center 内の [Policy & Compliance](ポリシーとコンプライアンス) セクションで [セキュリティ ポリシー] を選択します。In Security Center, from the Policy & Compliance section, select Security policy.

    Azure Security Center でポリシー管理プロセスの開始

  2. 推奨設定を無効にするサブスクリプションまたは管理グループを選択します。Select the subscription or management group for which you want to disable the recommendation.

    注意

    管理グループでは、そのポリシーがそのサブスクリプションに適用されることに注意してください。Remember that a management group applies its policies to its subscriptions. そのため、サブスクリプションのポリシーを無効にしても、そのサブスクリプションが同じポリシーを使用する管理グループに属している場合は、そのポリシーの推奨事項は引き続き表示されます。Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. ポリシーは管理レベルから引き続き適用され、推奨事項は引き続き生成されます。The policy will still be applied from the management level and the recommendations will still be generated.

  3. [有効なポリシーの表示] を選択します。Select View effective policy.

    サブスクリプションに割り当てられた有効なポリシーを開く方法

  4. 割り当てられたポリシーを選択します。Select the assigned policy.

    ポリシーの選択

  5. [パラメーター] セクションで、推奨事項を呼び出すポリシーのうち、無効にするものを検索します。次に、ドロップダウン リストから [無効] を選択します。In the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    ポリシーの無効化

  6. [保存] を選択します。Select Save.

    注意

    ポリシー無効化の変更が有効になるまでに、最大 12 時間かかる場合があります。The disable policy changes can take up to 12 hours to take effect.

次のステップNext steps

このページでは、セキュリティ ポリシーについて説明しました。This page explained security policies. 関連情報については、次のページを参照してください。For related information, see the following pages: