クイックスタート: Azure portal を使用して、ポリシーの割り当てを作成し、準拠していないリソースを特定する
Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 このクイックスタートでは、Azure portal を使用して、 ポリシーの割り当てを作成し、準拠していないリソースを特定します。 ポリシーはリソース グループに割り当てられ、マネージド ディスクを使用しない仮想マシンは監査されます。 ポリシーの割り当てを作成後、準拠していない仮想マシンを特定します。
組み込みのポリシーまたはイニシアティブ定義を割り当てる場合、バージョンの参照は省略可能です。 組み込み定義のポリシー割り当ては既定で最新バージョンになり、特に指定がない限り、マイナー バージョンの変更が自動的に継承されます。
前提条件
- Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
- マネージド ディスクを使用しない仮想マシンが少なくとも 1 つ存在するリソース グループ。
ポリシー割り当てを作成する
このクイックスタートでは、組み込みポリシー定義 "マネージド ディスクを使用していない VM の監査" を使用してポリシー割り当てを作成します。
Azure portal にサインインします。
ポリシーを検索し、一覧から選択します。
[ポリシー] ペインの [割り当て] を選択します。
![[ポリシーの割り当て] オプションが強調表示されている [割り当て] ペインのスクリーンショット。](media/assign-policy-portal/select-assignments.png)
[ポリシーの割り当て] ペインから [ポリシーの割り当て] を選択します。
[ポリシーの割り当て] ペインの [基本] タブで、次のオプションを構成します。
フィールド アクション スコープ 省略記号 ( ...) を使用して、サブスクリプションとリソース グループを選択します。 次に [選択] を選んでスコープを適用します。除外 省略可能であり、この例では使用されません。 リソース セレクター この例ではリソース セレクターをスキップします。 リソース セレクターを使用すると、ポリシー割り当ての影響を受けるリソースを絞り込むことができます。 ポリシー定義 省略記号 ( ...) を選択して、使用可能な定義の一覧を開きます。使用可能な定義 ポリシー定義の一覧で "マネージド ディスクを使用していない VM の監査" 定義を検索し、そのポリシーを選択して、[追加] を選択します。 定義の最新バージョンを示す列があります。 バージョン (プレビュー) メジャー バージョン、マイナー バージョン、パッチ バージョンを取り込むには、 1.*.*形式でバージョンを受け入れます。
省略記号 (...) を選択して、使用可能なバージョンと、マイナー バージョン更新またはプレビュー バージョンに登録するオプションを表示します。 オプションを変更するには、バージョンを選択する必要があります。 詳細については、割り当て内の定義バージョンに関する記述を参照してください。割り当て名 既定では、選択したポリシーの名前が使用されます。 名前は変更できますが、この例では既定の名前を使用します。 説明 必要に応じて、このポリシー割り当てに関する詳細を入力します。 ポリシーの適用 既定値は [有効] です。 詳細については、「強制モード」にアクセスしてください。 
ポリシー定義を選択した後、[バージョン (プレビュー)] オプションを変更できます。
たとえば、画像に示されているオプションを選択すると、[バージョン (プレビュー)] が
1.0.*に変更されます。
[次へ] を選択して、[パラメーター] と [修復] の各タブを表示します。 この例では変更は不要です。
タブ名 [オプション] パラメーター [基本] タブで選択したポリシー定義にパラメーターがある場合は、[パラメーター] タブで構成します。この例では、パラメーターは使用しません。 修正 マネージド ID を作成できます。 この例では、[マネージド ID を作成する] はオフになっています。
ポリシーまたはイニシアティブに deployIfNotExists 効果または modify 効果のいずれかを利用するポリシーが含まれている場合は、このチェックボックスをオンにする必要があります。 詳細については、マネージド IDおよび修復のアクセス制御のしくみにアクセスしてください。[次へ] を選択し、[コンプライアンス違反メッセージ] タブで、「仮想マシンはマネージド ディスクを使用する必要があります」のようなコンプライアンス違反メッセージを作成します。
このカスタム メッセージは、リソースが拒否されたときに表示されるほか、コンプライアンス違反のリソースについては、通常の評価時に表示されます。
[次へ] を選択し、[確認と作成] タブで、ポリシー割り当ての詳細を確認します。
[作成] を選択して、ポリシー割り当てを作成します。
![[ポリシーの割り当て] オプションが強調表示されている [割り当て] ペインのスクリーンショット。](media/assign-policy-portal/select-assignments.png#lightbox)
準拠していないリソースを特定する
[ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。 新しいポリシーの割り当ての準拠状態がアクティブになり、ポリシーの状態に関する結果を提供するまで、数分かかります。
[コンプライアンス状態] が [非準拠] になっている、準拠していないリソースがポリシー割り当てに表示されます。 詳細を取得するには、ポリシー割り当て名を選択して、[リソース コンプライアンス]を表示します。
既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。
| リソースの状態 | 結果 | ポリシーの評価 | コンプライアンスの状態 |
|---|---|---|---|
| 新機能か更新された機能か | Audit、Modify、AuditIfNotExist | True | 非準拠 |
| 新機能か更新された機能か | Audit、Modify、AuditIfNotExist | False | 対応 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | True | 非準拠 |
| Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | False | 対応 |
DeployIfNotExist 効果および AuditIfNotExist 効果が非準拠であるためには、IF ステートメントが TRUE であり、存在条件が FALSE である必要があります。 TRUE の場合、IF 条件は、関連リソースの存在条件の評価をトリガーします。
リソースをクリーンアップする
ポリシー割り当ては、[コンプライアンス] または [割り当て]から削除することができます。
この記事で作成したポリシー割り当てを削除するには、次の手順に従います。
[ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。
ポリシー割り当ての省略記号を選択し、[割り当ての削除] を選択します。
![ポリシー割り当てを削除するメニューが強調表示されている [コンプライアンス] ペインのスクリーンショット。](media/assign-policy-portal/delete-assignment.png)
![ポリシー割り当てを削除するメニューが強調表示されている [コンプライアンス] ペインのスクリーンショット。](media/assign-policy-portal/delete-assignment.png#lightbox)
次のステップ
このクイックスタートでは、ポリシー定義を割り当てて、Azure 環境内で準拠していないリソースを特定しました。
リソースのコンプライアンスを検証するポリシーの割り当て方法について詳しく学習するには、チュートリアルに進んでください。