Azure Policy の規制コンプライアンス

Azure Policy の規制コンプライアンスには、責任 (顧客、Microsoft、共有) に基づくコントロールおよびコンプライアンス ドメインの一覧を表示するための組み込みのイニシアチブ定義が用意されています。 Microsoft が責任を持つコントロールについては、サード パーティの証明に基づく監査結果の詳細と、そのコンプライアンスを実現するための取り組みの詳細を提供します。 Microsoft が責任を持つコントロールは、policyType静的です。

規制コンプライアンスの定義

規制コンプライアンスは、イニシアチブ定義のグループ化に基づいて構築されています。 組み込みの場合、イニシアチブ定義の各グループは、名前 (コントロール)、カテゴリ (コンプライアンス ドメイン) を定義し、コントロールに関する情報を持つ policyMetadata オブジェクトへの参照を提供します。 規制コンプライアンスのイニシアチブ定義では、category プロパティを規制コンプライアンスに設定する必要があります。 それ以外の標準的なイニシアチブ定義として、規制コンプライアンス イニシアチブでは、動的な割り当てを作成するためのパラメーターがサポートされています。

顧客は、独自の規制コンプライアンス イニシアチブを作成できます。 これらの定義は、オリジナルでも、既存の組み込み定義からのコピーでも問題ありません。 組み込みの規制コンプライアンス イニシアチブの定義を参照として使用する場合は、Azure Policy GitHub リポジトリで規制コンプライアンスの定義のソースを監視することをお勧めします。

カスタムの規制コンプライアンス イニシアチブを Microsoft Defender for Cloud のダッシュボードとリンクさせるには、「カスタム セキュリティ イニシアチブとポリシーを作成する」を参照してください。

ポータルの規制コンプライアンス

グループを使用してイニシアチブ定義を作成した場合、ポータルにあるそのイニシアチブのコンプライアンス詳細ページに追加情報が表示されます。

新しいタブ [コントロール] がページに追加されます。 フィルター処理はコンプライアンス ドメインごとに使用でき、ポリシー定義は policyMetadata オブジェクトの title フィールドによってグループ化されます。 各行はコントロールを表します。コンプライアンスの状態、所属するコンプライアンス ドメイン、責任情報、およびそのコントロールを構成する非準拠ポリシー定義と準拠ポリシー定義の数を示します。

コントロールを選択すると、そのコントロールに関する詳細のページが開きます。 概要には、description と requirements の情報が含まれています。 [ポリシー] タブには、このコントロールに寄与する、イニシアチブに含まれる個々のポリシー定義がすべて含まれています。 [リソース コンプライアンス] タブには、現在表示されているコントロールのメンバー ポリシーによって評価される各リソースの詳細なビューが表示されます。

同じコントロールのページで、 [リソース コンプライアンス] タブに変更すると、このコントロールのポリシー定義に含まれるすべてのリソースが表示されます。 フィルターは、名前または ID、コンプライアンスの状態、リソースの種類、場所に対して使用できます。

SDK の規制コンプライアンス

イニシアチブ定義、評価スキャン レコード、イベント、およびポリシー状態で規制コンプライアンスが有効になっている場合、SDK はそれぞれの追加のプロパティを返します。 これらの追加のプロパティは、コンプライアンスの状態ごとにグループ化され、各状態にあるグループの数に関する情報を提供します。

次のコードは、summarize 呼び出しにより追加された結果の例です。

"policyGroupDetails": [{
        "complianceState": "noncompliant",
        "count": 4
    },
    {
        "complianceState": "compliant",
        "count": 76
    }
]

次のステップ

• イニシアチブ定義の構造を参照してください
• Azure Policy のサンプルを確認します。
• 「Policy の効果について」を確認します。
• 準拠していないリソースを修復する方法を学習します。