ネットワーク セキュリティ グループの作成、変更、削除
ネットワーク セキュリティ グループのセキュリティ規則を使用して、仮想ネットワーク サブネットとネットワーク インターフェイスに出入りできるネットワーク トラフィックの種類をフィルター処理できます。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。 次に、ネットワーク トラフィックのフィルター処理に関するチュートリアルを完了し、ネットワーク セキュリティ グループについて少し経験してみてください。
開始する前に
注意
この記事では、Azure と対話するために推奨される PowerShell モジュールである Azure Az PowerShell モジュールを使用します。 Az PowerShell モジュールの使用を開始するには、「Azure PowerShell をインストールする」を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。
Azure アカウントをお持ちでない場合は、アクティブなサブスクリプションを使用してそれを設定します。 無料でアカウントを作成できます。 この記事の残りを始める前に、次のいずれかのタスクを完了します。
ポータル ユーザー:Azure アカウントで Azure Portal にサインインします。
PowerShell ユーザー:Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターから PowerShell を実行します。 Azure Cloud Shell は無料のインタラクティブ シェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。 一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザー タブで、 [環境の選択] ドロップダウン リストを見つけ、(まだ選択されていない場合は) [PowerShell] を選択します。
PowerShell をローカルで実行している場合、Azure PowerShell モジュール バージョン 1.0.0 以降を使用します。 インストールされているバージョンを確認するには、
Get-Module -ListAvailable Az.Network
を実行します。 アップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。Connect-AzAccount
を実行して、Azure との接続を作成します。Azure CLI ユーザー: Azure Cloud Shell またはローカルで実行されている Azure CLI を使用してコマンドを実行します。 Azure CLI をローカルに実行している場合は、Azure CLI バージョン 2.0.28 以降を使用してください。 インストールされているバージョンを確認するには、
az --version
を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。az login
を実行して Azure にサインインします。
Azure へのログインまたは接続に使用するアカウントは、ネットワーク共同作成者ロールまたは「アクセス許可」の一覧の適切なアクションが割り当てられているカスタム ロールに、割り当てられている必要があります。
ネットワーク セキュリティ グループを操作する
ネットワーク セキュリティ グループは、作成、すべて表示、詳細の表示、変更、および削除できます。 ネットワーク インターフェイスまたはサブネットに対して、ネットワーク セキュリティ グループを関連付けるか、関連付けを解除することもできます。
ネットワーク セキュリティ グループの作成
Azure の場所およびサブスクリプションごとに作成できるネットワーク セキュリティ グループの数には制限があります。 詳しくは、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
[Azure portal] メニュー上または [ホーム] ページから [リソースの作成] を選択します。
[ネットワーク] を選択した後、 [ネットワーク セキュリティ グループ] を選択します。
[ネットワーク セキュリティ グループの作成] ページの [基本] タブで、次の設定の値を設定します。
設定 アクション サブスクリプション サブスクリプションを選択します。 リソース グループ 既存のリソース グループを選択するか、 [新規作成] を選択して新しいリソース グループを作成します。 名前 リソース グループ内で一意のテキスト文字列を入力します。 リージョン 目的の場所を選択します。 [Review + create](レビュー + 作成) を選択します。
"検証に成功しました" というメッセージが表示されたら、 [作成] を選択します。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg create |
PowerShell | New-AzNetworkSecurityGroup |
すべてのネットワーク セキュリティ グループを表示する
ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。 サブスクリプションのネットワーク セキュリティ グループの一覧が表示されます。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg list |
PowerShell | Get-AzNetworkSecurityGroup |
ネットワーク セキュリティ グループの詳細を表示する
ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。
ネットワーク セキュリティ グループの名前を選択します。
ネットワーク セキュリティ グループのメニュー バーの [設定] では、ネットワーク セキュリティ グループが関連付けられている [受信セキュリティ規則] 、 [送信セキュリティ規則] 、 [ネットワーク インターフェイス] 、 [サブネット] を確認できます。
[監視] では、 [診断設定] を有効または無効にすることができます。 [サポート + トラブルシューティング] では、 [有効なセキュリティ ルール] を確認できます。 詳しくは、「ネットワーク セキュリティ グループの診断ログ」および「VM ネットワーク トラフィック フィルターの問題を診断する」をご覧ください。
Azure の一般的な設定の詳細については、次の記事を参照してください。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg show |
PowerShell | Get-AzNetworkSecurityGroup |
ネットワーク セキュリティ グループを変更する
ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。
変更するネットワーク セキュリティ グループの名前を選択します。
最も一般的な変更は、セキュリティ規則の追加、規則の削除、サブネットまたはネットワーク インターフェイスに対するネットワーク セキュリティ グループの関連付けまたは関連付け解除です。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg update |
PowerShell | Set-AzNetworkSecurityGroup |
ネットワーク インターフェイスまたはサブネットに対してネットワーク セキュリティ グループを関連付けるか関連付けを解除する
ネットワーク インターフェイスに対してネットワーク セキュリティ グループを関連付けるか関連付けを解除するには、「ネットワーク セキュリティ グループの関連付けまたは関連付けの解除を行う」を参照してください。 サブネットに対してネットワーク セキュリティ グループを関連付けるか関連付けを解除するには、「サブネットの設定を変更する」を参照してください。
ネットワーク セキュリティ グループを削除する
ネットワーク セキュリティ グループは、いずれかのサブネットまたはネットワーク インターフェイスに関連付けられている場合は削除できません。 ネットワーク セキュリティ グループを削除する前に、すべてのサブネットとネットワーク インターフェイスからネットワーク セキュリティ グループの関連付けを解除してください。
ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。
削除するネットワーク セキュリティ グループの名前を選択します。
ネットワーク セキュリティ グループのツール バーで、 [削除] を選択します。 次に、確認のダイアログ ボックスで [はい] を選択します。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg delete |
PowerShell | Remove-AzNetworkSecurityGroup |
セキュリティ規則を操作する
ネットワーク セキュリティ グループには、0 個または 1 つ以上のセキュリティ規則が含まれています。 セキュリティ規則は、作成、すべて表示、詳細の表示、変更、および削除できます。
セキュリティ規則を作成する
Azure の各場所およびサブスクリプションに対して作成できるネットワーク セキュリティ グループごとの規則の数には制限があります。 詳しくは、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。
セキュリティ規則を追加するネットワーク セキュリティ グループの名前を選択します。
ネットワーク セキュリティ グループのメニュー バーで、 [受信セキュリティ規則] または [送信セキュリティ規則] を選択します。
既存の規則が一覧表示されます (追加していないものが含まれることもあります)。 ネットワーク セキュリティ グループを作成すると、既定のセキュリティ規則がいくつかその中に作成されます。 詳しくは、「既定セキュリティ規則」をご覧ください。 既定の規則は削除できませんが、優先順位の高い規則を使用してオーバーライドできます。
[追加] を選択します。 次の設定の値を選択するか入力し、 [OK] を選択します。
設定 値 詳細 ソース つぎのいずれかです。 - [任意]
- IP アドレス
- サービス タグ (受信セキュリティ規則) または VirtualNetwork (送信セキュリティ規則)
- アプリケーション セキュリティ グループ
[IP アドレス] 選択した場合は、 [発信元 IP アドレス/CIDR 範囲] も指定する必要があります。
[サービス タグ] を選択した場合は、 [ソース サービス タグ] も選択できます。
[アプリケーションのセキュリティ グループ] を選択した場合は、既存のアプリケーション セキュリティ グループを選択する必要もあります。 [ソース] と [宛先] の両方に対して [アプリケーションのセキュリティ グループ] を選択した場合は、両方のアプリケーションのセキュリティ グループ内のネットワーク インターフェイスが同じ仮想ネットワークに存在する必要があります。
ソース IP アドレス/CIDR 範囲 IP アドレスおよびクラスレス ドメイン間ルーティング (CIDR) 範囲のコンマ区切りリスト [ソース] を [IP アドレス] に変更すると、この設定が表示されます。 単一の値またはコンマで区切った複数の値のリストを指定する必要があります。 複数の値の例は、
10.0.0.0/16, 192.188.1.1
です。 指定できる値の数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。指定した IP アドレスが Azure VM に割り当てられている場合は、そのパブリック IP アドレスではなく、プライベート IP アドレスを指定します。 Azure によってセキュリティ規則が処理されるのは、受信セキュリティ規則の場合はパブリック IP アドレスがプライベート IP アドレスに変換された後、送信規則の場合はプライベート IP アドレスがパブリック IP アドレスに変換される前です。 Azure のパブリック IP アドレスとプライベート IP アドレスの詳細については、IP アドレスの種類に関するページを参照してください。
ソース サービス タグ ドロップダウン リストからのサービ スタグ このオプションの設定は、受信セキュリティ規則の [ソース] を [サービス タグ] に設定した場合に表示されます。 サービス タグは、IP アドレスのカテゴリに対する定義済みの識別子です。 利用可能なサービス タグと各タグが表していることの詳細については、「サービス タグ」を参照してください。 ソース アプリケーションのセキュリティ グループ 既存のアプリケーションのセキュリティ グループ この設定は、 [ソース] を [アプリケーションのセキュリティ グループ] に設定した場合に表示されます。 ネットワーク インターフェイスと同じリージョンに存在するアプリケーションのセキュリティ グループを選択します。 アプリケーション セキュリティ グループの作成方法を参照してください。 ソース ポート範囲 つぎのいずれかです。 - 単一のポート (例:
80
) - ポートの範囲 (例:
1024-65535
) - 単一つのポートまたはポート範囲 (またはその両方) のコンマ区切りのリスト (例:
80, 1024-65535
) - 任意のポートでトラフィックを許可する場合はアスタリスク (
*
)
この設定では、規則でトラフィックを許可または拒否するポートを指定します。 指定できるポートの数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。 宛先 つぎのいずれかです。 - [任意]
- [IP アドレス]
- [サービス タグ] (送信セキュリティ規則) または [VirtualNetwork] (受信セキュリティ規則)
- アプリケーション セキュリティ グループ
[IP アドレス] 選択した場合は、 [宛先 IP アドレス/CIDR 範囲] も指定します。
[VirtualNetwork] を選択した場合、仮想ネットワークのアドレス空間内のすべての IP アドレスへのトラフィックが許可されます。 VirtualNetwork はサービス タグです。
[アプリケーションのセキュリティ グループ] を選択した場合は、既存のアプリケーションのセキュリティ グループを選択する必要があります。 アプリケーション セキュリティ グループの作成方法を参照してください。
宛先 IP アドレス/CIDR 範囲 IP アドレスと CIDR 範囲のコンマ区切りのリスト [宛先] を [IP アドレス] に変更すると、この設定が表示されます。 [ソース] と [送信元 IP アドレス/CIDR 範囲] と同じように、単一のアドレス、複数のアドレス、または範囲を指定できます。 指定できる数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。
指定した IP アドレスが Azure VM に割り当てられている場合は、そのパブリック IP アドレスではなく、プライベート IP アドレスを指定します。 Azure によってセキュリティ規則が処理されるのは、受信セキュリティ規則の場合はパブリック IP アドレスがプライベート IP アドレスに変換された後、送信規則の場合はプライベート IP アドレスがパブリック IP アドレスに変換される前です。 Azure のパブリック IP アドレスとプライベート IP アドレスの詳細については、IP アドレスの種類に関するページを参照してください。
宛先サービス タグ ドロップダウン リストからのサービ スタグ このオプションの設定は、送信セキュリティ規則の [宛先] を [サービス タグ] に変更した場合に表示されます。 サービス タグは、IP アドレスのカテゴリに対する定義済みの識別子です。 利用可能なサービス タグと各タグが表していることの詳細については、「サービス タグ」を参照してください。 宛先アプリケーションのセキュリティ グループ 既存のアプリケーションのセキュリティ グループ この設定は、 [宛先] を [アプリケーションのセキュリティ グループ] に設定した場合に表示されます。 ネットワーク インターフェイスと同じリージョンに存在するアプリケーションのセキュリティ グループを選択します。 アプリケーション セキュリティ グループの作成方法を参照してください。 宛先ポート範囲 つぎのいずれかです。 - 単一のポート (例:
80
) - ポートの範囲 (例:
1024-65535
) - 単一つのポートまたはポート範囲 (またはその両方) のコンマ区切りのリスト (例:
80, 1024-65535
) - 任意のポートでトラフィックを許可する場合はアスタリスク (
*
)
[ソース ポート範囲] と同様に、1 つまたは複数のポートおよび範囲を指定できます。 指定できる数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。 プロトコル [任意] 、 [TCP] 、 [UDP] 、または [ICMP] 伝送制御プロトコル (TCP)、ユーザー データグラム プロトコル (UDP)、またはインターネット制御メッセージ プロトコル (ICMP) に規則を制限できます。 既定では、すべてのプロトコルに規則が適用されます。 操作 [許可] または [拒否] この設定では、指定したソースと宛先の構成に対して、この規則でアクセスを許可するか拒否するかを指定します。 優先順位 ネットワーク セキュリティ グループ内のすべてのセキュリティ規則に対して一意である 100 から 4096 の範囲の値 Azure では、優先順位の順序でセキュリティ規則が処理されます。 数値が小さいほど、優先度は高くなります。 規則を作成するときに、間を空けて優先順位を指定することをお勧めします (100、200、300 など)。 間を空けることにより、後で規則を簡単に追加し、既存の規則より高いまたは低い優先順位を指定できます。 名前 ネットワーク セキュリティ グループ内の一意の名前 名前の最大長は 80 文字です。 先頭は文字または数字、末尾は文字、数字、またはアンダースコアでなければなりません。 名前に使用できるのは、文字、数字、アンダースコア、ピリオド、およびハイフンのみです。 説明 テキストの説明 必要に応じて、セキュリティ規則の説明文を指定できます。 説明は 140 文字より長くすることはできません。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg rule create |
PowerShell | New-AzNetworkSecurityRuleConfig |
すべてのセキュリティ規則を表示する
ネットワーク セキュリティ グループには、0 個以上のセキュリティ規則が含まれます。 規則を表示したときに一覧に表示される情報の詳細については、ネットワーク セキュリティ グループの概要に関する記事を参照してください。
ネットワーク セキュリティ グループの規則を表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。
規則を表示するネットワーク セキュリティ グループの名前を選択します。
ネットワーク セキュリティ グループのメニュー バーで、 [受信セキュリティ規則] または [送信セキュリティ規則] を選択します。
一覧には、作成したすべての規則と、ネットワーク セキュリティ グループの既定のセキュリティ規則が含まれます。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg rule list |
PowerShell | Get-AzNetworkSecurityRuleConfig |
セキュリティ規則の詳細を表示する
ネットワーク セキュリティ グループの規則を表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。
規則の詳細を表示するネットワーク セキュリティ グループの名前を選択します。
ネットワーク セキュリティ グループのメニュー バーで、 [受信セキュリティ規則] または [送信セキュリティ規則] を選択します。
詳細を表示する規則を選択します。 すべての設定の詳細については、セキュリティ規則の設定に関する記事をご覧ください。
Note
この手順は、カスタム セキュリティ規則にのみ適用されます。 既定のセキュリティ規則を選択した場合は機能しません。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg rule show |
PowerShell | Get-AzNetworkSecurityRuleConfig |
セキュリティ規則を変更する
「セキュリティ規則の詳細を表示する」の手順を完了します。
必要に応じて設定を変更し、 [保存] を選択します。 すべての設定の詳細については、セキュリティ規則の設定に関する記事をご覧ください。
Note
この手順は、カスタム セキュリティ規則にのみ適用されます。 既定のセキュリティ規則を変更することは許可されていません。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg rule update |
PowerShell | Set-AzNetworkSecurityRuleConfig |
セキュリティ規則を削除する
「セキュリティ規則の詳細を表示する」の手順を完了します。
[削除] を選択してから、 [はい] を選択します。
Note
この手順は、カスタム セキュリティ規則にのみ適用されます。 既定のセキュリティ規則を削除することは許可されていません。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network nsg rule delete |
PowerShell | Remove-AzNetworkSecurityRuleConfig |
アプリケーション セキュリティ グループを操作する
アプリケーション セキュリティ グループには、0 個または複数個のネットワーク インターフェイスが含まれます。 詳細については、「アプリケーション セキュリティ グループ」を参照してください。 アプリケーション セキュリティ グループ内のすべてのネットワーク インターフェイスは、同じ仮想ネットワークに存在している必要があります。 アプリケーション セキュリティ グループにネットワーク インターフェイスを追加する方法については、「アプリケーション セキュリティ グループにネットワーク インターフェイスを追加する」を参照してください。
アプリケーション セキュリティ グループを作成する
[Azure portal] メニュー上または [ホーム] ページから [リソースの作成] を選択します。
検索ボックスに、「Application security group」と入力します。
[Application security group] ページで、 [作成] を選択します。
[アプリケーションのセキュリティ グループの作成] ページの [基本] タブで、次の設定の値を設定します。
設定 アクション サブスクリプション サブスクリプションを選択します。 リソース グループ 既存のリソース グループを選択するか、 [新規作成] を選択して新しいリソース グループを作成します。 名前 リソース グループ内で一意のテキスト文字列を入力します。 リージョン 目的の場所を選択します。 [Review + create](レビュー + 作成) を選択します。
[確認と作成] タブに [検証に成功しました] というメッセージが表示されたら、 [作成] を選択します。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network asg create |
PowerShell | New-AzApplicationSecurityGroup |
すべてのアプリケーション セキュリティ グループを表示する
Azure portal に移動し、アプリケーションのセキュリティ グループを表示します。 [アプリケーションのセキュリティ グループ] を探して選択します。 Azure portal に、アプリケーションのセキュリティ グループの一覧が表示されます。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network asg list |
PowerShell | Get-AzApplicationSecurityGroup |
特定のアプリケーション セキュリティ グループの詳細を表示する
アプリケーションのセキュリティ グループを表示するには、Azure portal に移動します。 [アプリケーションのセキュリティ グループ] を探して選択します。
詳細を表示するアプリケーションのセキュリティ グループの名前を選択します。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network asg show |
PowerShell | Get-AzApplicationSecurityGroup |
アプリケーション セキュリティ グループを変更する
アプリケーションのセキュリティ グループを表示するには、Azure portal に移動します。 [アプリケーションのセキュリティ グループ] を探して選択します。
変更するアプリケーションのセキュリティ グループの名前を選択します。
変更する設定の横にある [変更] を選択します。 たとえば、 [タグ] を追加または削除したり、 [リソース グループ] または [サブスクリプション] を変更したりできます。
Note
場所を変更することはできません。
メニュー バーでは、 [アクセス制御 (IAM)] を選択することもできます。 [アクセス制御 (IAM)] ページで、アプリケーションのセキュリティ グループに対するアクセス許可を割り当てたり削除したりできます。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network asg update |
PowerShell | PowerShell コマンドレットはありません |
アプリケーション セキュリティ グループを削除する
アプリケーションのセキュリティ グループにネットワーク インターフェイスが含まれる場合は、アプリケーションのセキュリティ グループを削除できません。 アプリケーションのセキュリティ グループからすべてのネットワーク インターフェイスを削除するには、ネットワーク インターフェイスの設定を変更するか、ネットワーク インターフェイスを削除します。 詳細については、「アプリケーション セキュリティ グループに対して追加または削除を実行する」または「ネットワーク インターフェイスの削除」を参照してください。
アプリケーションのセキュリティ グループを管理するには、Azure portal に移動します。 [アプリケーションのセキュリティ グループ] を探して選択します。
削除するアプリケーションのセキュリティ グループの名前を選択します。
[削除] を選択し、 [はい] を選んでアプリケーション セキュリティ グループを削除します。
コマンド
ツール | コマンド |
---|---|
Azure CLI | az network asg delete |
PowerShell | Remove-AzApplicationSecurityGroup |
アクセス許可
ネットワーク セキュリティ グループ、セキュリティ規則、およびアプリケーションのセキュリティ グループに関するタスクを行うには、使用するアカウントがネットワーク共同作成者ロール、または次の表に示す適切なアクセス許可が割り当てられたカスタム ロールに、割り当てられている必要があります。
ネットワーク セキュリティ グループ
アクション | 名前 |
---|---|
Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの取得 |
Microsoft.Network/networkSecurityGroups/write | ネットワーク セキュリティ グループの作成または更新 |
Microsoft.Network/networkSecurityGroups/delete | ネットワーク セキュリティ グループの削除 |
Microsoft.Network/networkSecurityGroups/join/action | サブネットまたはネットワーク インターフェイスへのネットワーク セキュリティ グループの関連付け |
Note
ネットワーク セキュリティ グループに対して write
操作を実行するには、Microsoft.Network/networkSecurityGroups/write
アクセス許可に加えて、リソース グループに対する read
以上のアクセス許可がサブスクリプション アカウントに必要です。
ネットワーク セキュリティ グループの規則
アクション | 名前 |
---|---|
Microsoft.Network/networkSecurityGroups/securityRules/read | 規則の取得 |
Microsoft.Network/networkSecurityGroups/securityRules/write | 規則の作成または更新 |
Microsoft.Network/networkSecurityGroups/securityRules/delete | 規則の削除 |
アプリケーション セキュリティ グループ
アクション | 名前 |
---|---|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action | IP 構成をアプリケーション セキュリティ グループに結合する |
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | セキュリティ ルールをアプリケーション セキュリティ グループに結合する |
Microsoft.Network/applicationSecurityGroups/read | アプリケーション セキュリティ グループを取得する |
Microsoft.Network/applicationSecurityGroups/write | アプリケーション セキュリティ グループを作成または更新する |
Microsoft.Network/applicationSecurityGroups/delete | アプリケーション セキュリティ グループを削除する |
次のステップ
- PowerShell または Azure CLI のサンプル スクリプトを使用して、または Azure Resource Manager テンプレートを使用して、ネットワークまたはアプリケーションのセキュリティ グループを作成します
- 仮想ネットワーク用に Azure Policy 定義を作成して割り当てる