新しい manual 効果を使用すると、リソースまたはスコープのコンプライアンスを自己証明できます。 評価をアクティブにスキャンする他のポリシー定義とは異なり、手動効果ではコンプライアンス状態を手動で変更できます。 手動ポリシーの対象となるリソースまたはスコープのコンプライアンスを変更するには、 構成証明を作成する必要があります。
ベスト プラクティスは、コンプライアンス証明が必要なリソースの境界を定義するスコープを対象とする手動ポリシーを設計することです。
注
手動ポリシーのサポートは、さまざまな Microsoft Defender for Cloud 規制コンプライアンス イニシアチブを通じて利用できます。 Microsoft Defender for Cloud Premium レベル のお客様は、エクスペリエンスの概要を参照してください。
manual効果を持つポリシー定義を含む規制ポリシー イニシアチブの例を次に示します。
- FedRAMP High
- FedRAMP Medium
- HIPAA
- HITRUST(ヒートラスト)
- ISO 27001
- Microsoft CIS 1.3.0
- Microsoft CIS 1.4.0
- NIST SP 800-171 Rev. 2
- NIST SP 800-53 Rev. 4
- NIST SP 800-53 Rev. 5
- PCI DSS 3.2.1
- PCI DSS 4.0
- SWIFT CSP CSCF v2022
次の例では、Azure サブスクリプションを対象とし、初期コンプライアンス状態を Unknownに設定します。
{
"if": {
"field": "type",
"equals": "Microsoft.Resources/subscriptions"
},
"then": {
"effect": "manual",
"details": {
"defaultState": "Unknown"
}
}
}
defaultState プロパティには、次の 3 つの値を指定できます。
-
Unknown: ターゲット リソースの初期の既定の状態。 -
Compliant: リソースは、手動ポリシー標準に従って準拠しています -
Non-compliant: リソースは、手動ポリシー標準に従って非準拠です
Azure Policy コンプライアンス エンジンは、該当するすべてのリソースを、定義で指定された既定の状態 (指定されていない場合Unknown ) に評価します。
Unknownコンプライアンス状態は、リソースコンプライアンスの状態を手動で証明する必要があることを示します。 効果の状態が指定されていない場合は、既定で Unknown。
Unknownコンプライアンス状態は、コンプライアンスの状態を自分で証明する必要があることを示します。
次のスクリーンショットは、 Unknown 状態の手動ポリシー割り当てが Azure portal でどのように表示されるかを示しています。
manual効果を持つポリシー定義が割り当てられている場合は、カスタム構成証明を使用して、対象となるリソースまたはスコープのコンプライアンス状態を設定できます。 構成証明では、メタデータの形式と、選択したコンプライアンス状態に付随する 証拠 へのリンクを通じて、オプションの補足情報を提供することもできます。 手動ポリシーを割り当てるユーザーは、ポリシー割り当てのメタデータの evidenceStorages プロパティを指定することで、証拠の既定 の保存場所を推奨できます。
次のステップ
- Azure Policy のサンプルを確認します。
- 「Azure Policy の定義の構造」を確認します。
- プログラムによってポリシーを作成する方法を理解します。
- コンプライアンス データを取得する方法を学習します。
- 準拠していないリソースを修復する方法を学習します。
- Azure 管理グループを確認する。