Microsoft Cloud for Sovereignty ベースライン グローバル ポリシーの規制コンプライアンス組み込みイニシアティブの詳細
次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、Microsoft Cloud for Sovereignty のベースライン グローバル ポリシー内のコンプライアンス ドメインとコントロールにどのように対応するのかを詳しく説明します。 このコンプライアンス標準について詳しくは、Microsoft Cloud for Sovereignty のベースライン グローバル ポリシーに関する記事をご覧ください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。
以下の対応は、Microsoft Cloud for Sovereignty のベースライン グローバル ポリシー コントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、[[プレビュー]: ソブリンティ ベースライン - グローバル ポリシー] 規制コンプライアンス組み込みイニシアティブを見つけて選びます。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
SO.1 - データ所在地
承認されたリージョンを使うように Azure 製品をデプロイして構成する必要があります。
ID: MCfS Sovereignty のベースライン ポリシー SO.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 許可される場所 | このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 | deny | 1.0.0 |
| リソース グループが許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | deny | 1.0.0 |
| Azure Cosmos DB が許可されている場所 | このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | [parameters('policyEffect')] | 1.1.0 |
SO.5 - トラステッド起動
可能な場合は、トラステッド起動 SKU とトラステッド起動を有効にして VM を構成する必要があります。
ID: MCfS ソブリンティ ベースライン ポリシー SO.5 所有権: 共有
| Name (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ディスクと OS イメージで TrustedLaunch をサポートする必要があります | TrustedLaunch は、OS ディスクと OS イメージを必要とする仮想マシンのセキュリティを向上させます(Gen 2)。 TrustedLaunch の詳細については、https://aka.ms/trustedlaunch にアクセスします | Audit、Disabled | 1.0.0 |
| 仮想マシンで TrustedLaunch を有効にする必要があります | 仮想マシンで TrustedLaunch を有効にしてセキュリティを強化します。TrustedLaunch をサポートする VM SKU (Gen 2) を使用します。 TrustedLaunch の詳細については、https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch にアクセスします | Audit、Disabled | 1.0.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。