Azure Policy マシン構成拡張機能
Azure Policy マシン構成拡張機能を使用して、仮想マシンの構成設定を監査できます。 マシン構成では Azure VM がネイティブにサポートされています。 物理サーバーと Azure 以外の仮想サーバーは、Azure Arc 対応サーバー、Azure Arc 対応 VMware vSphere、Azure Arc 対応 System Center Virtual Machine Manager でサポートされています。
マシン構成ポリシーの一覧を見つけるには、Azure Policy ポータル ページで "マシン構成" を検索するか、PowerShell ウィンドウで次のコマンドレットを実行して一覧を見つけます。
Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}
Note
マシン構成機能は、追加のポリシー セットをサポートするために定期的に更新されます。 新しいサポート対象ポリシーを定期的に確認し、役立つかどうかを評価してください。
デプロイ
次の PowerShell スクリプトの例を使用して、これらのポリシーをデプロイします。
- Windows および Linux コンピューターのパスワード セキュリティ設定が正しく設定されていることを確認します。
- Windows VM で証明書の有効期限が近づいていないことを確認します。
このスクリプトを実行する前に、Connect-AzAccount コマンドレットを使用してサインインします。 スクリプトを実行するときに、ポリシーを適用するサブスクリプションの名前を指定する必要があります。
# Assign machine configuration policy.
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionName
)
$Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
$scope = "/subscriptions/" + $Subscription.Id
$PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
$CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"
New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus
New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus
次のステップ
重要なファイル、サービス、ソフトウェア、レジストリの変更に対して変更の追跡とアラートを有効にする方法をご確認ください。