Azure Policy を使用して、Azure Arc 対応サーバーの状態を監査し、マシン構成ポリシーに準拠していることを確認できます。
このチュートリアルでは、 Microsoft Defender for Servers が有効になっていない Azure Arc 対応サーバーを識別するポリシーを作成して割り当てるプロセスについて説明します。
このチュートリアルで学習する内容は次のとおりです。
- ポリシーの割り当てを作成してその定義を割り当てる
- 新しいポリシーに準拠していないリソースを特定する
- 準拠していないリソースからポリシーを削除する
Prerequisites
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料 アカウントを作成してください。
ポリシー割り当てを作成する
次の手順を使用して、ポリシーの割り当てを作成し、 Azure Defender for servers を有効にする必要があるポリシー定義を割り当てます。
Azure ポータルで Policy を検索して選択し、Azure Policy サービスを起動します。
サービス メニューで、作成 の下にある 割り当て を選択します。 割り当ては、特定のスコープ内で実行するように割り当てられたポリシーです。
割り当て ペインの上部で ポリシーの割り当て を選択します。
![Azure portal の [ポリシーの割り当て] ページのスクリーンショット。](media/tutorial-assign-policy-portal/assignments-tab.png)
ポリシーの割り当て ページで、三点リーダーを選択し、管理グループまたはサブスクリプションのいずれかを選択して スコープ を指定します。 任意でリソース グループを選択します。 スコープによって、ポリシー割り当てが適用されるリソースまたはリソースのグループが決まります。 その後、スコープ ペインの下部で 選択 をクリックします。
スコープ に基づいてリソースを除外できます。 除外 は、スコープ のレベルより 1 つ下のレベルから開始されます。 除外 は任意なので、今は空白のままにします。
ポリシー定義 の三点リーダーを選択して、利用可能な定義の一覧を開きます。 Azure Policy には、次のような多くの組み込みのポリシー定義が付属しています。
- タグとその値を強制
- タグとその値を適用
- タグが存在しない場合は、リソース グループからタグを継承する
使用できる組み込みポリシーの部分的な一覧については、Azure Policy サンプルに関する記事をご覧ください。
ポリシー定義の一覧を検索して、 Azure Defender for servers を有効にする必要がある定義を 見つけます。 そのポリシーを選択し、追加 をクリックします。
割り当て名 は、選択したポリシー名で自動的に入力されますが、変更することもできます。 この例では、ポリシー名はそのままにし、ページの残りのオプションは変更しないでください。
この例では、他のタブの設定を変更する必要はありません。 [確認と作成] を選択して新しいポリシーの割り当てを確認し、[作成] を選択します。
これで、準拠していないリソースを特定して、環境のコンプライアンス状態を理解する準備ができました。
非準拠リソースを識別する
Azure Policy のサービス メニューで、コンプライアンス を選択します。 次に、Azure Defender for servers を有効にする必要があるポリシー割り当てを作成したものを見つけます。
![選択されたスコープのポリシーのコンプライアンスを示す [ポリシーへの準拠] ページのスクリーンショット。](media/tutorial-assign-policy-portal/compliance-policy.png)
新しい割り当てに準拠していない既存のリソースは、コンプライアンス状態 の下に 非準拠 と表示されます。
条件が既存のリソースに対して評価され、true が見つかった場合、それらのリソースはポリシーに準拠していないとマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンス状態の結果は、準拠 または 非準拠 のいずれかです。
| リソース状態 | 効果 | ポリシー評価 | コンプライアンス状態 |
|---|---|---|---|
| 存在する | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | True | 非準拠 |
| 存在する | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | False | 準拠 |
| New | Audit、AuditIfNotExist* | True | 非準拠 |
| New | Audit、AuditIfNotExist* | False | 準拠 |
* Append、DeployIfNotExist、AuditIfNotExist の各効果では、IF ステートメントが TRUE である必要があります。 また、この効果では、存在条件を FALSE にして非準拠にする必要もあります。 TRUE のとき、IF 条件は関連するリソースの既存の条件の評価をトリガーします。
詳細については、 Azure Policy のコンプライアンス状態に関するページを参照してください。
リソースをクリーンアップする
作成した割り当てを削除するには、次の手順に従います。
- サービス メニューで コンプライアンス を選択します(または、作成 の下にある 割り当て を選択します)。
- 作成したポリシーの割り当て「Azure Defender for servers を有効にする必要がある」を見つけます。
- ポリシーの割り当てを右クリックし、割り当ての削除 を選択します。
次のステップ
このチュートリアルでは、ポリシー定義をスコープに割り当て、コンプライアンス レポートを評価しました。 ポリシー定義では、スコープ内のすべてのリソースが準拠していることが検証されて、準拠していないリソースが識別されます。 これで、VM insights を有効にして Azure Arc 対応サーバーのマシンを監視する準備が整いました。
マシンのパフォーマンス、実行中のプロセス、依存関係を監視および表示する方法については、チュートリアルに進んでください。