![カテゴリ サブカテゴリ ルール例
全般 名前を付ける 複数の名前パターンを許可する,類似パターンを要求する,一致パターンを要求する,タグ一致パターンを要求する
タグ タグとその既定値の適用,課金タグ ポリシーのイニシアティブ,タグとその値を強制,リソース グループへのタグと値の強制
場所 許可される場所
リソースの種類 許可されるリソースの種類,許可されないリソースの種類
コンピューティング Virtual Machines リソース グループのカスタム VM イメージの許可,ストレージ アカウントおよび仮想マシンに対して許可された SKU,承認された VM イメージ,拡張機能が存
在しない場合の監査,許可されない VM 拡張機能
Virtual Machine Scale Sets VM が管理ディスクを使っていない場合の監査,管理ディスクを使用した VM の作成, Azure Hybrid Use Benefit の拒否,特定の VM プラットフォー
ム イメージのみの許可
Data Lake Storage Gen1 - Data Lake Storage Gen1 の暗号化の適用
監視 - 診断設定の監査
ネットワーク ネットワーク インターフェイス すべての NIC 上の NSG X, VM ネットワーク インターフェイスでの承認されたサブネットの使用, VM ネットワーク インターフェイスでの承認された vNet の
使用
仮想ネットワーク 許可されたアプリケーション ゲートウェイ SKU, ER ネットワークへのネットワーク ピアリングがない,ユーザー定義ルート テーブルがない,すべてのサブネット上の
NSG X, VM ネットワーク インターフェイスでの承認されたサブネットの使用, VM ネットワーク インターフェイスでの承認された vNet の使用
ネットワーク セキュリティ グループ すべての NIC 上の NSG X,すべてのサブネット上の NSG X
ExpressRoute 許可された Express Route の帯域幅,許可された Express Route の SKU, Express Route に対して許可されたピアリングの場所,
Network Watcher リージョンで Network Watcher が有効になっていない場合の監査
Application Gateway 許可されたアプリケーション ゲートウェイ SKU
SQL SQL Server Azure Active Directory 管理者不在の監査,サーバー レベルの脅威検出設定の監査, SQL Server の監査設定の監査, SQL Server レベルの監査
設定の監査, SQL Server バージョン 12.0 が必要
[SQL データベース] 許可された SQL DB の SKU, DB レベルの脅威検出設定の監査, SQL Database の暗号化の監査, SQL DB レベルの監査設定の監査,
Transparent Data Encryption の状態の監査
Storage - ストレージ アカウントおよび仮想マシンに対して許可された SKU,許可されるストレージ アカウントの SKU,ストレージ アカウントのクール アクセス層の拒否,
ストレージ アカウントのみに対する https トラフィックの確認,ストレージ ファイルの暗号化の確認,ストレージ アカウントの暗号化が必要
https://docs.microsoft.com/ja-jp/azure/governance/policy/samples/](https://image.slidesharecdn.com/cloudnativegovernance-181121061048/85/-13-320.jpg)
![イニシアティブ定義名 ルール例
[プレビュー]: Azure Security Center で
の監視を有効にする
Azure Security Center で使用可能なすべてのセキュリティ推奨事項を監視します。これは、Azure Security Center の既定のポリシーです。
[Preview]: Audit applications inside
Windows VMs
This initiative will both deploy the VM extension and audit applications inside Windows VMs.
Linux および Windows 仮想マシン内の
パスワードのセキュリティ設定の監査
このポリシーにより、Linux および Windows の仮想マシン内のパスワード セキュリティ設定が監査されます。個々の設定の一覧については、aka.ms リンクから Azure ポリシー
に関するドキュメントを参照してください。
[プレビュー]: VM 用 Azure Monitor を
有効にする
指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の Virtual Machines (VM) に対して Azure Monitor を有効にします。Log Analytics ワークス
ペースをパラメーターとして指定します。
[Preview]: Enable Azure Monitor for
VM Scale Sets (VMSS)
Enable Azure Monitor for the VM Scale Sets in the specified scope (Management group, Subscription or resource group). Takes Log Analytics
workspace as parameter. Note: if your scale set upgradePolicy is set to Manual, you need to apply the extension to the all VMs in the set by calling
upgrade on them. In CLI this would be az vmss update-instances.
[プレビュー]: Windows VM 内の監査
Web サーバーのセキュリティ設定
このイニシアチブは VM 拡張機能と監査 Web サーバー セキュリティ設定の両方を Windows VM 内にデプロイします。
[プレビュー]: Data Protection Suite を有
効にする
SQL サーバーのデータ保護を有効にします。このイニシアチブは、Azure Security Center Standard レベルによって自動的に割り当てられます。
イニシアティブはいくつかのポリシーをまとめたルールセットです。](https://image.slidesharecdn.com/cloudnativegovernance-181121061048/85/-14-320.jpg)
More Related Content
What's hot (20)
Similar to クラウドネイティブガバナンスの実现 (20)
![[Developers Festa Sapporo 2020] Microsoft/GitHubが提供するDeveloper Cloud (Develop...](https://cdn.slidesharecdn.com/ss_thumbnails/20201118devfestamicrosoftgithub-201205093137-thumbnail.jpg?width=560&fit=bounds)
Recently uploaded (13)
![ElasticsearchでSPLADEする [Search Engineering Tech Talk 2025 Winter]](https://cdn.slidesharecdn.com/ss_thumbnails/searchtech-250228102455-ddc5ce09-thumbnail.jpg?width=560&fit=bounds)
クラウドネイティブガバナンスの実现
- 1. CI30 クラウドネイティブガバナンス ( Cloud Native Governance ) の実現 ~ Azure ガバナンス サービス概要 ~ 内藤 稔 日本マイクロソフト株式会社 ソリューション開発技術本部 パートナーソリューションプロフェッショナル
- 3. 自己绍介
- 4. Agenda
- 9. クラウドリソースがコンプライアンス準拠していることを保証するネイティブプラットフォーム Blueprints ポリシーを再利用可能 な形で定義 ポリシー適合状態維持 しながらデプロイや更新 を実施 Resource Graph 自身のクラウドリソース を検索、分析 Management Group 組織構造に応じて 階層構造を定義、 グループ化 Cost 利用料を監視、分析 コストを最適化 Policy リアルタイム統制 コンプライアンス適合 の調査と修復 NEW NEW Control VisibilityEnvironment ConsumptionHierarchy
- 10. CRUD Azure Resource Manager (ARM) Query 開発スピードを損なわず、クラウド環境のコントロールを提供 2. Policy-based Control: リアルタイム統制 コンプライアンス適合の調査と修復 1. Environment Factory: ポリシーを再利用可能な形 で定義 ポリシー適合状態を維持し ながらデプロイや更新を実施 Role-based Access Policy Definitions ARMTemplates Management Groups Subscriptions 3. Resource Visibility: 自身のクラウドリソースを検索、分析
- 11. Azure Governance
- 12. 定义する内容
- 13. カテゴリ サブカテゴリ ルール例 全般 名前を付ける 複数の名前パターンを許可する,類似パターンを要求する,一致パターンを要求する,タグ一致パターンを要求する タグ タグとその既定値の適用,課金タグ ポリシーのイニシアティブ,タグとその値を強制,リソース グループへのタグと値の強制 場所 許可される場所 リソースの種類 許可されるリソースの種類,許可されないリソースの種類 コンピューティング Virtual Machines リソース グループのカスタム VM イメージの許可,ストレージ アカウントおよび仮想マシンに対して許可された SKU,承認された VM イメージ,拡張機能が存 在しない場合の監査,許可されない VM 拡張機能 Virtual Machine Scale Sets VM が管理ディスクを使っていない場合の監査,管理ディスクを使用した VM の作成, Azure Hybrid Use Benefit の拒否,特定の VM プラットフォー ム イメージのみの許可 Data Lake Storage Gen1 - Data Lake Storage Gen1 の暗号化の適用 監視 - 診断設定の監査 ネットワーク ネットワーク インターフェイス すべての NIC 上の NSG X, VM ネットワーク インターフェイスでの承認されたサブネットの使用, VM ネットワーク インターフェイスでの承認された vNet の 使用 仮想ネットワーク 許可されたアプリケーション ゲートウェイ SKU, ER ネットワークへのネットワーク ピアリングがない,ユーザー定義ルート テーブルがない,すべてのサブネット上の NSG X, VM ネットワーク インターフェイスでの承認されたサブネットの使用, VM ネットワーク インターフェイスでの承認された vNet の使用 ネットワーク セキュリティ グループ すべての NIC 上の NSG X,すべてのサブネット上の NSG X ExpressRoute 許可された Express Route の帯域幅,許可された Express Route の SKU, Express Route に対して許可されたピアリングの場所, Network Watcher リージョンで Network Watcher が有効になっていない場合の監査 Application Gateway 許可されたアプリケーション ゲートウェイ SKU SQL SQL Server Azure Active Directory 管理者不在の監査,サーバー レベルの脅威検出設定の監査, SQL Server の監査設定の監査, SQL Server レベルの監査 設定の監査, SQL Server バージョン 12.0 が必要 [SQL データベース] 許可された SQL DB の SKU, DB レベルの脅威検出設定の監査, SQL Database の暗号化の監査, SQL DB レベルの監査設定の監査, Transparent Data Encryption の状態の監査 Storage - ストレージ アカウントおよび仮想マシンに対して許可された SKU,許可されるストレージ アカウントの SKU,ストレージ アカウントのクール アクセス層の拒否, ストレージ アカウントのみに対する https トラフィックの確認,ストレージ ファイルの暗号化の確認,ストレージ アカウントの暗号化が必要 https://docs.microsoft.com/ja-jp/azure/governance/policy/samples/
- 14. イニシアティブ定義名 ルール例 [プレビュー]: Azure Security Center で の監視を有効にする Azure Security Center で使用可能なすべてのセキュリティ推奨事項を監視します。これは、Azure Security Center の既定のポリシーです。 [Preview]: Audit applications inside Windows VMs This initiative will both deploy the VM extension and audit applications inside Windows VMs. Linux および Windows 仮想マシン内の パスワードのセキュリティ設定の監査 このポリシーにより、Linux および Windows の仮想マシン内のパスワード セキュリティ設定が監査されます。個々の設定の一覧については、aka.ms リンクから Azure ポリシー に関するドキュメントを参照してください。 [プレビュー]: VM 用 Azure Monitor を 有効にする 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の Virtual Machines (VM) に対して Azure Monitor を有効にします。Log Analytics ワークス ペースをパラメーターとして指定します。 [Preview]: Enable Azure Monitor for VM Scale Sets (VMSS) Enable Azure Monitor for the VM Scale Sets in the specified scope (Management group, Subscription or resource group). Takes Log Analytics workspace as parameter. Note: if your scale set upgradePolicy is set to Manual, you need to apply the extension to the all VMs in the set by calling upgrade on them. In CLI this would be az vmss update-instances. [プレビュー]: Windows VM 内の監査 Web サーバーのセキュリティ設定 このイニシアチブは VM 拡張機能と監査 Web サーバー セキュリティ設定の両方を Windows VM 内にデプロイします。 [プレビュー]: Data Protection Suite を有 効にする SQL サーバーのデータ保護を有効にします。このイニシアチブは、Azure Security Center Standard レベルによって自動的に割り当てられます。 イニシアティブはいくつかのポリシーをまとめたルールセットです。
- 16. Demo – Azure Policy
- 17. Shift left to deliver compliant code faster
- 18. Shift left to deliver compliant code faster
- 19. Azure Governance
- 20. App A Pre-Prod App B Pre-Prod Shared services (Pre-Prod) App C Pre-Prod App A Prod App B Prod Shared services (Prod) App D Prod Prod RBAC + Policy Pre-Prod RBAC + Policy Org Management Group
- 21. Azure Governance
- 22. ポリシーを再利用可能な形で定義 ポリシー適合状態を維持しながらデプロイ や更新を実施 Role-based access controls Policy Definitions ARM Templates
- 24. Demo – Azure Blueprints
- 25. Azure Governance
- 26. Demo – Azure Resource Graph
- 27. Azure Governance
- 28. まとめ
- 29. クラウドリソースがコンプライアンス準拠していることを保証するネイティブプラットフォーム Blueprints ポリシーを再利用可能 な形で定義 ポリシー適合状態維持 しながらデプロイや更新 を実施 Resource Graph 自身のクラウドリソース を検索、分析 Management Group 組織構造に応じて 階層構造を定義、 グループ化 Cost 利用料を監視、分析 コストを最適化 Policy リアルタイム統制 コンプライアンス適合 の調査と修復 NEW NEW Control VisibilityEnvironment ConsumptionHierarchy
- 30. Agenda
- 33. ? 2018 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。