ポリシーを使用して Azure Lab Services を監査および管理する
重要
Azure Lab Services は 2027 年 6 月 28 日に廃止されます。 詳細については、廃止ガイドを参照してください。
チームは、Azure Lab Services でラボを作成して実行するときに、リソースの構成に関するさまざまな要件に直面することがあります。 管理者は、コストを制御したり、テンプレート経由でカスタマイズを提供したり、ユーザーのアクセス許可を制限したりするための方法を探すことがあります。
プラットフォーム管理者は、ポリシーを使用して、チームが独自のリソースを管理するためのガードレールを配置できます。 Azure Policy は、リソースの状態を監査および管理するのに役立ちます。 この記事では、Azure Lab Services に対して使用できる監査制御とガバナンス プラクティスについて説明します。
Note
この記事では、ラボ アカウントに代わり導入されたラボ プランで使用できる機能について説明します。
Azure Lab Services のポリシー
Azure Policy は、Azure リソースがポリシーに準拠していることを確認できるガバナンス ツールです。
Azure Lab Services には、Azure Lab Services を使用した一般的なシナリオに使用できる一連のポリシーが用意されています。 これらのポリシー定義は、既存のサブスクリプションに割り当てることも、独自のカスタム定義を作成するための基礎として使用することもできます。
ポリシーは、サブスクリプション レベルやリソース グループ レベルなど、さまざまなスコープで設定できます。 詳細については、Azure Policy のドキュメントを参照してください。
Lab Services のポリシーをはじめとする組み込みポリシーを網羅した一覧については、「Azure Policy の組み込みのポリシー定義」を参照してください。
Lab Services では自動シャットダウンのすべてのオプションを有効にする必要がある
ラボの作成時にすべてのシャットダウン オプションを有効にすることを強制するポリシーです。
ポリシーの割り当て中に、ラボ管理者は次の効果を選択できます。
| 効果 | 動作 |
|---|---|
| 監査 | 有効になっていないシャットダウン オプションが 1 つでもあるラボは、コンプライアンス ダッシュボードに非準拠として表示されます。 |
| Deny | 有効になっていないシャットダウン オプションが 1 つでもある場合、ラボの作成は失敗します。 |
Lab Services でラボのテンプレート仮想マシンを許可しない
このポリシーを使用して、ラボ テンプレートのカスタマイズを制限できます。 新しいラボを作成するときに、"テンプレート仮想マシンを作成する" か、"カスタマイズせずに仮想マシン イメージを使用する" かを選択できます。 このポリシーが有効になっている場合、[カスタマイズせずに仮想マシンイメージを使用する] のみが許可されます。
ポリシーの割り当て中に、ラボ管理者は次の効果を選択できます。
| 効果 | 動作 |
|---|---|
| 監査 | テンプレート仮想マシンが使用されたラボは、コンプライアンス ダッシュボードに非準拠として表示されます。 |
| Deny | [テンプレート仮想マシンを作成する] オプションが使用されたラボは、作成に失敗します。 |
Lab Services ではラボに管理者以外のユーザーが必要
このポリシーは、ラボの作成時に管理者以外のアカウントの使用を強制するために使用します。 ラボのプランでは、VM イメージに管理者以外のアカウントの追加を選択できます。 この新機能によって、VM 管理者ユーザーと管理者以外のユーザーの資格情報を個別に保持できるようになりました。
ポリシーの割り当て中に、ラボ管理者は次の効果を選択できます。
| 効果 | 動作 |
|---|---|
| 監査 | 管理者以外のアカウントを使用せずに作成されたラボは、コンプライアンス ダッシュボードに非準拠として表示されます。 |
| Deny | ラボの作成時に [ラボ ユーザーに、仮想マシンの管理者以外のアカウントを提供する] チェック ボックスをオフにした場合、ラボの作成に失敗します。 |
Lab Services では、許可されている仮想マシンの SKU サイズを制限する必要がある
このポリシーは、ラボの作成時に使用できる SKU を強制します。 たとえば、指導の対象となるいずれのクラスにも GPU SKU が不要であることから、ラボ管理者は、教師がその SKU を使用してラボを作成しないようにしたい場合があります。
ポリシーの割り当て中に、ラボ管理者は次の効果を選択できます。
| 効果 | 動作 |
|---|---|
| 監査 | 許可されていない SKU を使用して作成されたラボは、コンプライアンス ダッシュボードに非準拠として表示されます。 |
| Deny | ラボの作成中に選択された SKU がポリシーの割り当てによって許可されていない場合、ラボの作成に失敗します。 |
組み込みポリシーの割り当て
Azure Lab Services に関連する組み込みのポリシー定義を表示するには、次の手順を使用します。
- Azure portal で Azure Policy に移動します。
- [定義] を選択します。
- [種類] で [組み込み] を選択し、[カテゴリ] で [Lab Services] を選択します。
ここから、ポリシー定義を選択して表示することができます。 定義を表示しているときに、 [割り当て] リンクを使用して、ポリシーを特定のスコープに割り当て、ポリシーのパラメーターを構成することができます。 詳細については、「ポリシーの割り当て - ポータル」を参照してください。
Azure PowerShell、Azure CLI、およびテンプレートを使用してポリシーを割り当てることもできます。
カスタム ポリシー
上記の新しい組み込みポリシーに加えて、カスタム ポリシーを作成して適用することができます。 この手法は、どの組み込みポリシーも適用されない状況や、より高い細分性が必要な場合に役立ちます。
カスタム ポリシーを作成する方法については、以下を参照してください。