Azure ランディング ゾーン ガバナンス ガイド: Azure ランディング ゾーン ポリシーを Azure 組み込みポリシーに移行する

時間の経過と同時に、Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアチブは非推奨になるか、Azure 組み込みポリシーによって置き換えられる可能性があります。 その場合は、削除または移行する必要があります。 この記事では、Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアチブを Azure 組み込みポリシーに移行する方法について説明します。

この記事のガイダンスでは、ポリシーを移行するための手動の大まかな手順について説明します。 Azure Verified Modules for Platform Landing Zones の Terraform または Bicep オファリング経由で管理される実装を処理する方法に関するリファレンスも提供します。

次のインフォグラフィックは、更新プロセスのフローを示しています。

Azure ランディング ゾーン環境の手動更新手順

このセクションでは、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを Azure 組み込みポリシーに移行する一般的な手順について説明します。

Azure ランディング ゾーン ポリシーの更新プログラムを検出する

次のオプションを使用して、1 つ以上の Azure ランディング ゾーン ポリシーが組み込みの Azure ポリシーに置き換えられたことを検出できます。

• Azure Enterprise Scale の新機能 Wiki を定期的に参照して、置き換えられていると示されているポリシーを書き留めます。 旧ポリシーの例については を参照してください。
• Azure Governance Visualizer スクリプトを使用し、古いポリシーとしてマークされたすべてのポリシーをメモします。

Azure ランディング ゾーン ポリシーの移行手順

Azure ランディング ゾーン環境は、次の手順で移行できます。

1. 移行のスコープ内の Azure ランディング ゾーン ポリシーが現在、Azure 資産内の任意のスコープで割り当てられているかどうかを判断します。 Azure ガバナンス ビジュアライザーを使用している場合は、TenantSummaryを確認してポリシー スコープを決定できます。
2. 移行される Azure ランディング ゾーン ポリシーが、更新する必要があるランディング ゾーンカスタム ポリシー イニシアチブの一部であるかどうかを確認します。
3. 移行のスコープ内の Azure ランディング ゾーンのカスタム ポリシー イニシアチブが現在、Azure 資産内の任意のスコープで割り当てられているかどうかを確認します。

調査の結果に応じて、次のアクションを実行します。

ポリシーが割り当てられず、Azure ランディング ゾーンのカスタム ポリシー イニシアチブの一部ではない

移行されるポリシーが Azure 資産に割り当てられていない場合、および既存の Azure ランディング ゾーンカスタム ポリシー イニシアチブの一部でない場合は、次の手順を実行します。

• Azure ランディング ゾーンの中間ルート管理グループ (たとえば、Contoso) から Azure ランディング ゾーン ポリシー定義を削除します。

Azure ランディング ゾーンのカスタム ポリシー イニシアチブが組み込みのポリシー イニシアチブに完全に置き換わり、Azure 資産に割り当てられていない場合は、次の手順を実行します。

• Azure ランディング ゾーンのカスタム ポリシー イニシアチブを Azure ランディング ゾーンの中間ルート管理グループ (Contosoなど) から削除します。

ポリシーが割り当て済みであり、Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではない

移行するポリシーが Azure 資産内の任意のスコープに割り当てられ、既存の Azure ランディング ゾーンカスタム ポリシー イニシアチブの一部ではない場合は、次の手順を実行します。

1. 前の Azure ランディング ゾーンカスタム ポリシー定義の割り当てに従って、設定が一致する Azure 組み込みポリシーを使用して、同じスコープで新しいポリシー割り当てを作成します。
2. 割り当てられているすべてのスコープで、既存の Azure ランディング ゾーン ポリシーの割り当てを削除します。
3. Azure ランディング ゾーンの中間ルート管理グループ (Contosoなど) から Azure ランディング ゾーン ポリシー定義を削除します。

前の手順を実行する方法の詳細なガイダンスについては、「単一の Azure ランディング ゾーンのカスタム ポリシーを移行する」を参照してください。

Azure ランディング ゾーンのカスタム ポリシー イニシアチブを通じて割り当てられたポリシー

移行するポリシーが Azure ランディング ゾーンのカスタム ポリシー イニシアチブの一部であり、それを通じて Azure 資産内の任意のスコープで割り当てられている場合は、次の手順に従います。

1. Azure ランディング ゾーンのカスタム ポリシー イニシアチブ定義を適切なポリシー参照で更新します。 カスタム ポリシーに汎用的な contoso スコープを使用して更新されたイニシアティブはこちらで確認できます。
2. ポリシー参照を更新するときは、ポリシー定義 ID の contoso スコープを管理グループ階層の擬似ルート名に変更することを忘れないでください。 また、Azure ランディング ゾーンのカスタム ポリシー イニシアチブに関するメタデータ情報を更新します。

前の手順を実行する方法の詳細なガイダンスについては、「Azure ランディング ゾーンのカスタム イニシアチブで子定義を更新する方法」を参照してください。

Azure ランディング ゾーンのカスタム ポリシー イニシアチブが組み込みのポリシー イニシアチブに完全に置き換わり、Azure 資産内の任意のスコープで割り当てられている場合は、次の手順に従います。

1. 同じスコープで新しいポリシー イニシアチブの割り当てを作成します。 割り当てられた前の Azure ランディング ゾーンのカスタム ポリシー イニシアチブに合わせた設定に基づいて、Azure の組み込みポリシー イニシアチブを使用します。
2. 割り当てられているすべてのスコープで、既存の Azure ランディング ゾーン ポリシー イニシアチブの割り当てを削除します。
3. Azure ランディング ゾーンのカスタム ポリシー イニシアチブを Azure ランディング ゾーンの中間ルート管理グループ (Contosoなど) から削除します。

Platform Landing Zones モジュール デプロイ用の Terraform Azure 検証済みモジュールの更新手順

Terraform モジュール使用する場合は、更新ガイドのを参照してください。

Azure ランディング ゾーン Terraform モジュールの移行手順

Azure ランディング ゾーン Terraform モジュールでは、破壊的変更をデプロイするときの更新ガイダンスが提供されます。 この記事の最後にある特定のバージョンのアップグレード ガイダンスに従ってください。

ALZ-Bicep 展開の更新手順

ALZ-Bicep を使用して Azure ランディング ゾーンのデプロイを管理する場合、このセクションでは、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを Azure 組み込みポリシーに移行する方法に関するリソースを参照します。

ALZ-Bicep ポリシー変更の更新を検出する

「Azure ランディング ゾーン ポリシーの更新プログラムの検出 で説明されている方法を使用して、ALZ-Bicep でポリシーが変更されたかどうかを確認します。 また、ALZ-Bicep のリリースに記載されているポリシーの変更を確認することもできます。

ALZ-Bicep ポリシーの移行手順

ALZ-Bicep では、Azure ランディング ゾーンのカスタム ポリシーから Azure 組み込みポリシーにポリシーを移行するための一般的なガイダンスを提供します。 詳細については、「Azure ランディング ゾーンのカスタム ポリシーを Azure 組み込みポリシーに移行する方法」を参照してください。

次の手順

Azure portal、Bicep、Terraform のどちらを使用して Azure ランディング ゾーン インフラストラクチャを管理する場合でも、時間の経過と同時にポリシーの変更を管理する必要があります。 この記事のフローは、Azure ランディング ゾーン実装のポリシー管理に関するプロセスを開発するための出発点として使用します。