Azure ポリシーを割り当てて Azure Arc 対応サーバーを管理する

完了

Fabrikam Residences 社ではマシンを Azure Arc 対応サーバーにオンボード済みであり、現在、これらのマシンが Azure のコンピューティング セキュリティ ベースラインを満たすようにしたいと考えています。 このユニットでは、Azure Arc 対応サーバーに Azure ポリシーを割り当て、そのコンプライアンスを確認する方法について説明します。

Azure Policy の概要

Azure Policy では、Azure 内のリソースのプロパティをビジネス ルールと比較して、それらのリソースを評価します。 JSON 形式で記述されるこれらのビジネス ルールは、ポリシー定義と呼ばれます。 管理を容易にするために、複数のビジネス ルールをグループ化して、ポリシー イニシアチブ (policySet とも呼ばれます) を作成できます。 ビジネス ルールを作成すると、ポリシー定義またはイニシアティブが、Azure がサポートするリソースのスコープに割り当てられます。 たとえば、管理グループ、サブスクリプション、リソース グループ、個々のリソースなどです。

Azure Policy ゲスト構成は、Azure Arc 対応サーバーで使用できる Azure Policy の一種です。 監査設定、拡張機能のデプロイ、修復のために Azure Arc 対応サーバーにすぐに適用できる、50 を超える組み込みの Azure ポリシーがあります。

Azure Policy の割り当て

ここでは、Azure ポリシーを割り当てて、Arc 対応の Windows サーバーが Azure のコンピューティング セキュリティ ベースラインを満たすようにするための手順について説明します。

1. お使いのブラウザーで Azure portal に移動します。

2. ポータルで、[ポリシー] を参照し、左側のペインから [割り当て] を選択します。

3. [ポリシーの割り当て]、[ポリシーの定義] の順に選択します。

4. 使用可能な定義からセキュリティ ベースラインを検索し、ポリシー定義を選択します。次の手順に進む前に、Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要があります。

   

5. パラメーター [Arc に接続されたサーバーを含める] を [true] に設定 します。

   

6. [確認および作成]、[作成] の順に選択します。

Azure Policy の割り当てページで、新しい Azure Policy 割り当てが [割り当て] の一覧に表示されます。 割り当てが有効になり、この一覧に表示されるまでに約 30 分かかります。

[コンプライアンスの表示]

Azure Policy の割り当てが完了したら、ポリシーへのコンプライアンスを確認し、修復タスクを割り当ててリソースのコンプライアンスを確保できます。

1. [ポリシー] の同じポータルのページで、左側のペインから [コンプライアンス] を選択します。
2. ポリシー [Windows machines should meet requirements of the Azure compute security baseline](Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要があります) を選択して、そのコンプライアンスの状態を表示します。
3. さまざまなリソースの種類、コンプライアンス、または場所でフィルター処理できます。 Azure Arc 対応サーバーのコンプライアンスのみを表示するには、[すべてのリソースの種類] を選択し、選択内容を [microsoft.hybridcompute/machines] のみに変更します。

コンプライアンスの状態に基づいて、割り当てを編集したり、適用除外を作成したり、修復タスクを作成したり、割り当てを削除したりできます。