次の方法で共有


Azure ランディング ゾーンのガバナンス ガイド: Azure ランディング ゾーンのポリシーを Azure 組み込みポリシーに移行する

時間の経過とともに、Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアティブが非推奨になるか、Azure 組み込みポリシーに置き換えられることがあります。 その場合は、削除または移行する必要があります。 この記事では、Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアティブを Azure 組み込みポリシーに移行する方法について説明します。

このドキュメントのガイダンスでは、ポリシーの移行に関する手動の概要手順について説明します。 Azure ランディング ゾーン Terraform モジュールALZ-Bicep 経由で管理される実装を処理する方法に関するリファレンスも提供します。

次のインフォグラフィックは、更新プロセス フローを示しています。

Azure ランディング ゾーンのカスタム ポリシーから組み込みポリシーへのポリシー更新プロセス フローを示す図。

Azure ランディング ゾーン環境の手動の更新手順

このセクションでは、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを Azure 組み込みポリシーに移行する一般的な概要手順について説明します。

Azure ランディング ゾーンのポリシーの更新を検出する

次のオプションを使用して、1 つ以上の Azure ランディング ゾーンのポリシーが組み込みの Azure ポリシーに置き換えられたことを検出できます。

Azure ランディング ゾーンのポリシーの移行手順

Azure ランディング ゾーン環境は、次の手順で移行できます。

  1. 移行のスコープ内の Azure ランディング ゾーンのポリシーが現在、Azure 資産内の任意のスコープで割り当てられているかどうかを判別します。 Azure ガバナンス ビジュアライザーを使用している場合は、TenantSummary を確認してポリシー スコープを判別できます。
  2. 移行される Azure ランディング ゾーンのポリシーが、更新する必要があるランディング ゾーンのカスタム ポリシー イニシアティブの一部であるかどうかを確認します。
  3. 移行のスコープ内の Azure ランディング ゾーンのカスタム ポリシー イニシアティブが現在、Azure 資産内の任意のスコープで割り当てられているかどうかを確認します。

調べた結果に応じて、次のアクションを実行します。

ポリシーが割り当て済みではなく、Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではない

移行されるポリシーが Azure 資産に割り当て済みではなく、既存の Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではない場合、次のようにします。

  • Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) から Azure ランディング ゾーンのポリシー定義を削除します。

Azure ランディング ゾーンのカスタム ポリシー イニシアティブが組み込みのポリシー イニシアティブによって完全に置き換えられ、かつ Azure 資産で割り当て済みでない場合、次のようにします。

  • Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) から Azure ランディング ゾーンのカスタム ポリシー イニシアティブを削除します。

ポリシーが割り当て済みであり、Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではない

移行するポリシーが Azure 資産内の任意のスコープに割り当て済みで、既存の Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではない場合、次の手順を実行します。

  1. 前の Azure ランディング ゾーンのカスタム ポリシー定義の割り当てに従って、一致する設定の Azure 組み込みポリシーを使用して、同じスコープで新しいポリシー割り当てを作成します。
  2. 割り当てられているすべてのスコープで、既存の Azure ランディング ゾーンのポリシーの割り当てを削除します。
  3. Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) から Azure ランディング ゾーンのポリシー定義を削除します。

前の手順を実行する方法の詳細なガイダンスについては、単一の Azure ランディング ゾーンのカスタム ポリシーを移行する方法に関するページを参照してください。

ポリシーが Azure ランディング ゾーンのカスタム ポリシー イニシアティブ経由で割り当て済みである

移行するポリシーが Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部であり、それを経由して Azure 資産内の任意のスコープに割り当てられている場合、次の手順に従います。

  1. 該当するポリシー参照を使用して、Azure ランディング ゾーンのカスタム ポリシー イニシアティブを更新します。 カスタム ポリシーに汎用的な "contoso" スコープを使用して更新されたイニシアティブはこちらで確認できます。
  2. ポリシー参照を更新するときは、ポリシー定義 ID の "contoso" スコープを管理グループ階層の擬似ルート名に変更することを忘れないでください。 また、Azure ランディング ゾーンのカスタム ポリシー イニシアティブに関するメタデータ情報を更新してください。

前の手順を実行する方法の詳細なガイダンスについては、Azure ランディング ゾーンのカスタム イニシアティブで子定義を更新する方法に関するページを参照してください。

Azure ランディング ゾーンのカスタム ポリシー イニシアティブが組み込みのポリシー イニシアティブによって完全に置き換えられ、かつ Azure 資産の任意のスコープで割り当てられている場合、次の手順に従います。

  1. 同じスコープで新しいポリシー イニシアティブの割り当てを作成します。 前の Azure ランディング ゾーンのカスタム ポリシー イニシアティブの割り当てに従って、一致する設定の Azure 組み込みポリシー イニシアティブを使用します。
  2. 割り当てられているすべてのスコープで、既存の Azure ランディング ゾーンのポリシー イニシアティブの割り当てを削除します。
  3. Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) から Azure ランディング ゾーンのカスタム ポリシー イニシアティブを削除します。

Azure ランディング ゾーンの Terraform モジュール デプロイの更新手順

Azure ランディング ゾーン Terraform モジュールを使用して Azure ランディング ゾーンのデプロイを管理している場合、このセクションに、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを Azure 組み込みポリシーに移行する方法に関するリソースを示します。

Terraform モジュールの変更の更新を検出する

Azure ランディング ゾーンのポリシーの更新を検出する」で説明されている方法を使用して、Terraform モジュールでポリシーが変更されたかどうかを判別します。 Azure ランディング ゾーンの Terraform リリース ページにもポリシーの変更が表示されます。 こちらの例を参照してください。

Azure ランディング ゾーン Terraform モジュールの移行手順

Azure ランディング ゾーン Terraform モジュールには、破壊的変更をデプロイするときの更新ガイダンスが用意されています。 ページの下部にあるこちらの特定のバージョンで使用できるアップグレード ガイダンスに従います。

ALZ-Bicep デプロイの更新手順

ALZ-Bicep を使って Azure ランディング ゾーンのデプロイを管理している場合、このセクションに、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを Azure 組み込みポリシーに移行する方法に関するリソースを示します。

ALZ-Bicep ポリシーの変更に関する更新を検出する

Azure ランディング ゾーンのポリシーの更新を検出する」で説明されている方法を使って、ALZ-Bicep でポリシーが変更されたかどうかを判別します。 また、ALZ-Bicep のリリースに記載されているポリシーの変更を確認することもできます。

ALZ-Bicep ポリシーの移行手順

ALZ-Bicep には、Azure ランディング ゾーンのカスタム ポリシーから Azure 組み込みポリシーにポリシーを移行するための汎用的なガイダンスが用意されています。 詳細については、Azure ランディング ゾーンのカスタム ポリシーを Azure 組み込みポリシーに移行する方法に関するページを参照してください。

次の手順

Azure portal、Bicep、Terraform のどちらを使用して Azure ランディング ゾーン インフラストラクチャを管理するかに関係なく、ポリシーは時間の経過にともなって変わります。 それらを管理する必要があります。 この記事で説明されているフローを出発点として、特定の Azure ランディング ゾーン実装のポリシー管理に関するプロセスを開発してください。