次の方法で共有


New-AzPolicyAssignment

ポリシー割り当てを作成または更新します。

構文

New-AzPolicyAssignment
   -Name <String>
   [-Scope <String>]
   [-NotScope <String[]>]
   [-DisplayName <String>]
   [-Description <String>]
   [-Metadata <String>]
   [-EnforcementMode <String>]
   [-IdentityType <String>]
   [-IdentityId <String>]
   [-Location <String>]
   [-NonComplianceMessage <PSObject[]>]
   [-BackwardCompatible]
   [-DefaultProfile <PSObject>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
New-AzPolicyAssignment
   -Name <String>
   [-Scope <String>]
   [-NotScope <String[]>]
   [-DisplayName <String>]
   [-Description <String>]
   [-Metadata <String>]
   [-EnforcementMode <String>]
   [-IdentityType <String>]
   [-IdentityId <String>]
   [-Location <String>]
   [-NonComplianceMessage <PSObject[]>]
   [-BackwardCompatible]
   [-PolicyDefinition <PSObject>]
   [-DefinitionVersion <String>]
   -PolicyParameterObject <Hashtable>
   [-DefaultProfile <PSObject>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
New-AzPolicyAssignment
   -Name <String>
   [-Scope <String>]
   [-NotScope <String[]>]
   [-DisplayName <String>]
   [-Description <String>]
   [-Metadata <String>]
   [-EnforcementMode <String>]
   [-IdentityType <String>]
   [-IdentityId <String>]
   [-Location <String>]
   [-NonComplianceMessage <PSObject[]>]
   [-BackwardCompatible]
   [-PolicyDefinition <PSObject>]
   [-DefinitionVersion <String>]
   -PolicyParameter <String>
   [-DefaultProfile <PSObject>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
New-AzPolicyAssignment
   -Name <String>
   [-Scope <String>]
   [-NotScope <String[]>]
   [-DisplayName <String>]
   [-Description <String>]
   [-Metadata <String>]
   [-EnforcementMode <String>]
   [-IdentityType <String>]
   [-IdentityId <String>]
   [-Location <String>]
   [-NonComplianceMessage <PSObject[]>]
   [-BackwardCompatible]
   -PolicyDefinition <PSObject>
   [-DefinitionVersion <String>]
   [-DefaultProfile <PSObject>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

説明

New-AzPolicyAssignment コマンドレットは、指定されたスコープと名前でポリシー割り当てを作成または更新します。 ポリシーの割り当ては、スコープ内に含まれるすべてのリソースに適用されます。 たとえば、リソース グループ スコープでポリシーを割り当てると、そのポリシーはグループ内のすべてのリソースに適用されます。

例 1: サブスクリプション レベルでのポリシーの割り当て

$Subscription = Get-AzSubscription -SubscriptionName 'Subscription01'
$Policy = Get-AzPolicyDefinition -Name 'VirtualMachinePolicy'
New-AzPolicyAssignment -Name 'VirtualMachinePolicyAssignment' -PolicyDefinition $Policy -Scope "/subscriptions/$($Subscription.Id)"

最初のコマンドは、Get-AzSubscription コマンドレットを使用して Subscription01 という名前のサブスクリプションを取得し、$Subscription変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して VirtualMachinePolicy という名前のポリシー定義を取得し、$Policy変数に格納します。 最後のコマンドは、サブスクリプション スコープ文字列によって識別されるサブスクリプションのレベルで、$Policyでポリシーを割り当てます。

例 2: リソース グループ レベルでのポリシーの割り当て

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -Name 'VirtualMachinePolicy'
New-AzPolicyAssignment -Name 'VirtualMachinePolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得し、$ResourceGroup変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して VirtualMachinePolicy という名前のポリシー定義を取得し、$Policy変数に格納します。 最後のコマンドは、$ResourceGroupの ResourceId プロパティによって識別されるリソース グループのレベルで$Policyポリシーを割り当てます。

例 3: ポリシー パラメーター オブジェクトを使用したリソース グループ レベルでのポリシーの割り当て

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -BuiltIn | Where-Object {$_.DisplayName -eq 'Allowed locations'}
$Locations = Get-AzLocation | Where-Object displayname -like '*east*'
$AllowedLocations = @{'listOfAllowedLocations'=($Locations.location)}
New-AzPolicyAssignment -Name 'RestrictLocationPolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId -PolicyParameterObject $AllowedLocations

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得します。 このコマンドは、そのオブジェクトを $ResourceGroup 変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して、許可されている場所の組み込みのポリシー定義を取得します。 このコマンドは、そのオブジェクトを $Policy 変数に格納します。 3 番目と 4 番目のコマンドは、名前に "east" を持つすべての Azure リージョンを含むオブジェクトを作成します。 コマンドは、そのオブジェクトを $AllowedLocations 変数に格納します。 最後のコマンドは、$AllowedLocationsのポリシー パラメーター オブジェクトを使用して、リソース グループのレベルで$Policyのポリシーを割り当てます。 $ResourceGroupの ResourceId プロパティは、リソース グループを識別します。

例 4: ポリシー パラメーター ファイルを使用したリソース グループ レベルでのポリシーの割り当て

{
    "listOfAllowedLocations":  {
      "value": [
        "westus",
        "westeurope",
        "japanwest"
      ]
    }
}

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -BuiltIn | Where-Object {$_.DisplayName -eq 'Allowed locations'}
New-AzPolicyAssignment -Name 'RestrictLocationPolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId -PolicyParameter .\AllowedLocations.json

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得し、$ResourceGroup変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して許可される場所の組み込みのポリシー定義を取得し、$Policy変数に格納します。 最後のコマンドは、ローカル作業ディレクトリからAllowedLocations.jsonポリシー パラメーター ファイルを使用して、$ResourceGroupの ResourceId プロパティによって識別されるリソース グループで$Policyのポリシーを割り当てます。

例 5: システム割り当てマネージド ID を使用したポリシーの割り当て

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -Name 'VirtualMachinePolicy'
New-AzPolicyAssignment -Name 'VirtualMachinePolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId -Location 'eastus' -IdentityType 'SystemAssigned'

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得し、$ResourceGroup変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して VirtualMachinePolicy という名前のポリシー定義を取得し、$Policy変数に格納します。 最後のコマンドは、$Policy内のポリシーをリソース グループに割り当てます。 システム割り当てマネージド ID が自動的に作成され、ポリシー割り当てに割り当てられます。

例 6: ユーザー割り当てマネージド ID を使用したポリシーの割り当て

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -Name 'VirtualMachinePolicy'
$UserAssignedIdentity = Get-AzUserAssignedIdentity -ResourceGroupName 'ResourceGroup1' -Name 'UserAssignedIdentity1'
New-AzPolicyAssignment -Name 'VirtualMachinePolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId -Location 'eastus' -IdentityType 'UserAssigned' -IdentityId $UserAssignedIdentity.Id

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得し、$ResourceGroup変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して VirtualMachinePolicy という名前のポリシー定義を取得し、$Policy変数に格納します。 3 番目のコマンドは、Get-AzUserAssignedIdentity コマンドレットを使用して UserAssignedIdentity1 という名前のユーザー割り当てマネージド ID を取得し、$UserAssignedIdentity変数に格納します。 最後のコマンドは、$Policy内のポリシーをリソース グループに割り当てます。 $UserAssignedIdentityの Id プロパティによって識別されるユーザー割り当てマネージド ID は、 Id* プロパティを IdentityId パラメーターに渡すことによってポリシー割り当てに割り当てられます。

例 7: 強制モード プロパティを使用したポリシーの割り当て

$Subscription = Get-AzSubscription -SubscriptionName 'Subscription01'
$Policy = Get-AzPolicyDefinition -Name 'VirtualMachinePolicy'
New-AzPolicyAssignment -Name 'VirtualMachinePolicyAssignment' -PolicyDefinition $Policy -Scope "/subscriptions/$($Subscription.Id)" -EnforcementMode DoNotEnforce

最初のコマンドは、Get-AzSubscription コマンドレットを使用して Subscription01 という名前のサブスクリプションを取得し、$Subscription変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して VirtualMachinePolicy という名前のポリシー定義を取得し、$Policy変数に格納します。 最後のコマンドは、サブスクリプション スコープ文字列によって識別されるサブスクリプションのレベルで、$Policyでポリシーを割り当てます。

割り当ては、 DoNotEnforce の EnforcementMode 値で設定されます。つまり リソースの作成時または更新中にポリシー効果が適用されません。

例 8: コンプライアンス違反メッセージを含むポリシーの割り当て

$PolicySet = Get-AzPolicySetDefinition -Name 'VirtualMachinePolicySet'
$NonComplianceMessages = @(@{Message="Only DsV2 SKUs are allowed."; PolicyDefinitionReferenceId="DefRef1"}, @{Message="Virtual machines must follow cost management best practices."})
New-AzPolicyAssignment -Name 'VirtualMachinePolicyAssignment' -PolicySetDefinition $PolicySet -NonComplianceMessage $NonComplianceMessages

最初のコマンドは、Get-AzPolicySetDefinition コマンドレットを使用して VirtualMachinePolicySet という名前のポリシー セット定義を取得し、$PolicySet変数に格納します。 2 番目のコマンドは、コンプライアンス違反メッセージの配列を作成します。 割り当て全体に対する 1 つの汎用メッセージと、割り当てられたポリシー セット定義内の SKU 制限ポリシーに固有の 1 つのメッセージ。 最後のコマンドは、リソースがポリシーによって拒否された場合に表示される 2 つの非準拠メッセージを使用して、$PolicySetのポリシー セット定義をサブスクリプションに割り当てます。

例 9: [Backcompat] ポリシー パラメーター オブジェクトを使用したリソース グループ レベルでのポリシーの割り当て

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -BuiltIn | Where-Object {$_.Properties.DisplayName -eq 'Allowed locations'}
$Locations = Get-AzLocation | Where-Object displayname -like '*east*'
$AllowedLocations = @{'listOfAllowedLocations'=($Locations.location)}
New-AzPolicyAssignment -Name 'RestrictLocationPolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId -PolicyParameterObject $AllowedLocations

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得します。 このコマンドは、そのオブジェクトを $ResourceGroup 変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して、許可されている場所の組み込みのポリシー定義を取得します。 このコマンドは、そのオブジェクトを $Policy 変数に格納します。 3 番目と 4 番目のコマンドは、名前に "east" を持つすべての Azure リージョンを含むオブジェクトを作成します。 コマンドは、そのオブジェクトを $AllowedLocations 変数に格納します。 最後のコマンドは、$AllowedLocationsのポリシー パラメーター オブジェクトを使用して、リソース グループのレベルで$Policyのポリシーを割り当てます。 $ResourceGroupの ResourceId プロパティは、リソース グループを識別します。

例 10: [Backcompat] ポリシー パラメーター ファイルを使用したリソース グループ レベルでのポリシーの割り当て

{
    "listOfAllowedLocations":  {
      "value": [
        "westus",
        "westeurope",
        "japanwest"
      ]
    }
}

$ResourceGroup = Get-AzResourceGroup -Name 'ResourceGroup11'
$Policy = Get-AzPolicyDefinition -BuiltIn | Where-Object {$_.Properties.DisplayName -eq 'Allowed locations'}
New-AzPolicyAssignment -Name 'RestrictLocationPolicyAssignment' -PolicyDefinition $Policy -Scope $ResourceGroup.ResourceId -PolicyParameter .\AllowedLocations.json

最初のコマンドは、Get-AzResourceGroup コマンドレットを使用して ResourceGroup11 という名前のリソース グループを取得し、$ResourceGroup変数に格納します。 2 番目のコマンドは、Get-AzPolicyDefinition コマンドレットを使用して許可される場所の組み込みのポリシー定義を取得し、$Policy変数に格納します。 最後のコマンドは、ローカル作業ディレクトリからAllowedLocations.jsonポリシー パラメーター ファイルを使用して、$ResourceGroupの ResourceId プロパティによって識別されるリソース グループで$Policyのポリシーを割り当てます。

パラメーター

-BackwardCompatible

プロパティ バッグ オブジェクトにポリシー固有のプロパティを配置する従来の形式を使用して、コマンドレットから成果物が返されます。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

型:SwitchParameter
Aliases:cf
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-DefaultProfile

DefaultProfile パラメーターは機能しません。 別のサブスクリプションに対してコマンドレットを実行する場合は、使用可能な場合は SubscriptionId パラメーターを使用します。

型:PSObject
Aliases:AzureRMContext, AzureCredential
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-DefinitionVersion

ポリシー定義またはポリシー セット定義のバージョンを示す

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Description

このメッセージは、ポリシー違反が発生した場合の応答の一部になります。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-DisplayName

ポリシー割り当ての表示名。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-EnforcementMode

ポリシー割り当て適用モード。 使用できる値は Default と DoNotEnforce です。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-IdentityId

ポリシーに関連付けられているユーザー ID。 ユーザー ID 辞書の主な照会先は、次の形式の ARM リソース ID になります: 「/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}」。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-IdentityType

ID の種類。 これは、システム割り当て ID またはユーザー割り当て ID をリソースに追加するときに必要な唯一のフィールドです。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Location

ポリシー割り当ての場所。 マネージド ID を使用する場合にのみ必要です。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Metadata

ポリシー割り当てのメタデータ。 メタデータはオープン エンド オブジェクトであり、通常はキーと値のペアのコレクションです。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Name

ポリシー割り当ての名前。

型:String
Aliases:PolicyAssignmentName
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-NonComplianceMessage

リソースがポリシーに準拠していない理由を説明するメッセージ。 構築するには、NONCOMPLIANCEMESSAGE プロパティの NOTES セクションを参照し、ハッシュ テーブルを作成します。

型:PSObject[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-NotScope

ポリシーの除外されたスコープ。

型:String[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-PolicyDefinition

ポリシー定義またはポリシー セット定義オブジェクトを受け入れる

型:PSObject
Aliases:PolicySetDefinition
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-PolicyParameter

割り当てられたポリシー ルールのパラメーター値。 キーはパラメーター名です。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-PolicyParameterObject

割り当てられたポリシー ルールのパラメーター値。 キーはパラメーター名です。

型:Hashtable
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Scope

ポリシー割り当てのスコープ。 有効なスコープは、管理グループ (形式: '/providers/Microsoft.Management/managementGroups/{managementGroup}')、サブスクリプション (形式: '/subscriptions/{subscriptionId}')、リソース グループ (形式: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}') です。 またはリソース (形式: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/[{parentResourcePath}/]{resourceType}/{resourceName}'

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-WhatIf

コマンドレットの実行時に発生する内容を示します。 このコマンドレットは実行されません。

型:SwitchParameter
Aliases:wi
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

PSObject

PSObject[]

String

String[]

出力

IPolicyAssignment