Azure Policy を使用して、Azure Arc 対応サーバーの状態を監査して、それらがマシン構成ポリシーに準拠していることを確認できます。
このチュートリアルでは、 Microsoft Defender for Servers が有効になっていない Azure Arc 対応サーバーを識別するポリシーを作成して割り当てるプロセスについて説明します。
このチュートリアルで学習する内容は次のとおりです。
- ポリシーの割り当てを作成してその定義を割り当てる
- 新しいポリシーに準拠していないリソースを特定する
- 準拠していないリソースからポリシーを削除する
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
ポリシー割り当てを作成する
次の手順を使用して、ポリシーの割り当てを作成し、 Azure Defender for servers を有効にする必要があるポリシー定義を割り当てます。
ポリシーを検索して選択して、Azure portal で Azure Policy サービスを起動 します。
サービスメニューの作成から割り当てを選択します。 割り当ては、特定のスコープ内で実行するように割り当てられたポリシーです。
上部の 割り当て ペインで ポリシーの割り当て を選択します。
![Azure portal の [ポリシーの割り当て] ページのスクリーンショット。](media/tutorial-assign-policy-portal/assignments-tab.png)
[ ポリシーの割り当て ] ページで、 省略記号を選択し、管理グループまたはサブスクリプションを選択してスコープを選択します。 任意でリソース グループを選択します。 スコープによって、ポリシー割り当てが適用されるリソースまたはリソースのグループが決まります。 次に、[スコープ] ウィンドウの下部にある [選択] を選択します。
リソースはスコープに基づいて除外できます。 除外はスコープのレベルよりも 1 つ下のレベルで開始されます。 除外は省略可能です。ここでは空のまま残してください。
[ポリシー定義] の省略記号を選択して、使用可能な定義の一覧を開きます。 Azure Policy には、次のような多くの組み込みのポリシー定義が付属しています。
- タグとその値を強制
- タグとその値を適用
- タグが存在しない場合は、リソース グループからタグを継承する
使用できる組み込みポリシーの部分的な一覧については、Azure Policy サンプルに関する記事をご覧ください。
ポリシー定義の一覧を検索して、 Azure Defender for servers を有効にする必要がある定義を 見つけます。 そのポリシーを選択し、[追加] を選択します。
[割り当て名] には選択したポリシー名が自動的に入力されますが、この名前は変更できます。 この例では、ポリシー名はそのままにし、ページの残りのオプションは変更しないでください。
この例では、他のタブの設定を変更する必要はありません。 [確認と作成] を選択して新しいポリシーの割り当てを確認し、[作成] を選択します。
これで、準拠していないリソースを特定して、環境のコンプライアンス状態を理解する準備ができました。
非準拠リソースを識別する
Azure Policy のサービス メニューで、[コンプライアンス] を選択 します。 次に、Azure Defender for servers を有効にする必要があるポリシー割り当てを作成したものを見つけます。
![選択されたスコープのポリシーのコンプライアンスを示す [ポリシーのコンプライアンス] ページのスクリーンショット。](media/tutorial-assign-policy-portal/compliance-policy.png)
新しい割り当てに準拠していない既存のリソースは、コンプライアンス状態の下に非準拠と表示されます。
条件が既存のリソースに対して評価され、true が見つかった場合、それらのリソースはポリシーに準拠していないとマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンス状態の結果は、 準拠 または 非準拠のいずれかになります。
| リソースの状態 | 効果 | ポリシーの評価 | コンプライアンスの状態 |
|---|---|---|---|
| 存在する | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | 正しい | 準拠していない |
| 存在する | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | いいえ | 対応 |
| 新規 | Audit、AuditIfNotExist* | 正しい | 準拠していない |
| 新規 | Audit、AuditIfNotExist* | いいえ | 対応 |
* Append、DeployIfNotExist、AuditIfNotExist の各効果では、IF ステートメントが TRUE である必要があります。 また、この効果では、存在条件を FALSE にして非準拠にする必要もあります。 TRUE のとき、IF 条件は関連するリソースの既存の条件の評価をトリガーします。
詳細については、 Azure Policy のコンプライアンス状態に関するページを参照してください。
リソースをクリーンアップする
作成した割り当てを削除するには、次の手順に従います。
- サービス メニューで、[コンプライアンス] を選択します (または、[作成] の [割り当て] を選択します)。
- 作成したポリシーの割り当て「Azure Defender for servers を有効にする必要がある」を見つけます。
- ポリシーの割り当てを右クリックし、[ 割り当ての削除] を選択します。
次の手順
このチュートリアルでは、ポリシー定義をスコープに割り当て、コンプライアンス レポートを評価しました。 ポリシー定義では、スコープ内のすべてのリソースが準拠していることが検証されて、準拠していないリソースが識別されます。 これで、VM insights を有効にして、Azure Arc 対応サーバー マシンを監視することができるようになりました。
マシンのパフォーマンス、実行中のプロセス、依存関係を監視および表示する方法については、チュートリアルに進んでください。