More Related Content Similar to Azure PolicyとAutomanage 2021年01月 / Azure Policy and Automanage Jan 2021 (20) More from Norio Sashizaki (16) Azure PolicyとAutomanage 2021年01月 / Azure Policy and Automanage Jan 20213. 自己紹介
指崎則夫(さしざきのりお)
http://sashiz.seesaa.net → http://sashiz.wordpress.com →
http:// sshzk.blogspot.com
https://www.facebook.com/norio.sashizaki
@sshzk
http://www.slideshare.net/noriosashizaki/
SCUGJ運営スタッフ
Microsoft MVP Cloud and Datacenter Management
Windows Server 2012 R2、System Center 2012 R2 、
Windows Server 2016、OMS、 Windows Server 2019、
System Center 2019、S2D/Azure Stack HCI、
Azure Stack Hub、Windows Admin Centerなど
写真撮影
風景、花、サーフィンの写真撮影
https://www.flickr.com/photos/96255846@N04/albums
ガンプラ…
2021/01/23 2
4. アジェンダ
Azure Policy
概要
定義
実装
準拠状況
Azure Automange
Azure Automanage for virtual
machines 概要
前提条件
できること/対象となるサービス
構成プロファイル
有効化/展開
デモンストレーション
まとめ
参考
2021/01/23 3
6. Azure Policy 概要(1/2)
Policyは、方針や原則という意味です。
https://docs.microsoft.com/ja-jp/azure/governance/policy/overview より引用
Azure Policy は、組織の標準を適用し、コンプライアンスを大規模に評価するのに役立ちます。 コンプライアン
ス ダッシュボードを通じて、環境の全体的な状態を評価するための集計ビューを提供します。これには、リソースご
と、およびポリシーごとの粒度でドリルダウンできる機能が備わっています。 既存のリソースの一括修復と新しいリ
ソースの自動修復を使用して、お客様のリソースでコンプライアンスを実現するのにも便利です。
Azure Policy の一般的なユースケースには、リソースの整合性、規制コンプライアンス、セキュリティ、コスト、管
理のガバナンスの実装が含まれています。 これらの一般的なユース ケース用のポリシー定義は、使用を開始でき
るようにビルトインとして Azure 環境に既に用意されています。
Active Directoryのグループポリシーがそうですが、各々の組織であるべき原則を定義し、実装し、準拠
状況を確認されていることとおもいます。
Azure Policyは、Azureの使用に際して各々の組織であるべき原則を定義し、実装し、準拠状況の
確認を支援する機能と言えます。
Azure Policyを使ったり、連携したりする機能として、Azure ArcやAzure Automanageなどがあります。
2021/01/23 5
7. Azure Policy 概要(2/2)
定義、実装、準備状況について
定義は、Azure Policyの組み込み(ビルトイン)のもの、カスタムが利用
できます。
実装は、Azureポータルを含めいろいろな方法が採れます。
準拠状況は、Azure Policy、各リソースのポリシーから確認できます。
2021/01/23 6
8. Azure Policy 定義(1/5)
定義の種類
ポリシー
https://docs.microsoft.com/ja-jp/azure/governance/policy/concepts/definition-structure
より引用
Azure Policy によってリソースの規則が確立されます。 ポリシー定義には、リソースのコンプライアンス条件 と、条件が満た
された場合に実行する効果が記述されます。
Automanageは、ポリシーとして実装されています。
イニシアティブ
https://docs.microsoft.com/ja-jp/azure/governance/policy/concepts/initiative-
definition-structure より引用
イニシアティブを使用すると、複数の関連するポリシー定義をグループ化できます。グループを単一の項目として操作するので、
割り当てと管理が単純になります。 たとえば、関連するタグ付けポリシー定義を 1 つのイニシアティブとしてグループ化できます。
それぞれのポリシーを個別に割り当てるのではなく、イニシアティブを適用することになります。
2021/01/23 7
9. Azure Policy 定義(2/5)
組み込み(ビルトイン)のポリシー
https://docs.microsoft.com/ja-jp/azure/governance/policy/samples/built-in-policies
2021/01/23 8
11. Azure Policy 定義(4/5)
組み込みのイニシアティブ
https://docs.microsoft.com/ja-jp/azure/governance/policy/samples/built-in-initiatives
2021/01/23 10
13. Azure Policy 実装
Azure Portal
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-portal
Azure CLI
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-azurecli
Azure PowerShell
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-powershell
.NET
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-dotnet
JavaScript
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-javascript
Python
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-python
REST
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-rest-api
ARMテンプレート
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-template
Terraform
https://docs.microsoft.com/ja-jp/azure/governance/policy/assign-policy-terraform
2021/01/23 12
18. Azure Automanage for virtual machines 概要
いまは、Azure IaaSにあとから、Azureのサービスをあれこれ個別に付加してます
Automanageを使うとまとめて付加できるんです!
仮想マシンのデプロイ時点で、Azureのサービスをあれこれまとめて付加できます
デプロイ済みの仮想マシンへ、Azureのサービスをあれこれまとめて付加できます
しかも設定したAzureのサービスが使われ続けるように、修正できます
https://docs.microsoft.com/ja-jp/azure/automanage/automanage-virtual-
machines#overview より下記を引用
「仮想マシンがそれらのプラクティスからドリフトつまり逸脱した場合は、修正が行われ、マシンは望ましい状態に戻
されます。」
何が付加されるのかは、後ほど説明します。
前述の通り、Azure Policyの定義でもあります。
2021/01/23 17
19. 前提条件
Windows Server Virtual Machine/VM/仮想マシン のみ
VM が実行されていること
VM はサポート対象のリージョンに存在すること
2021/01/11現在
West Europe, East US, West US 2, Canada Central, West Central US, Japan East
ユーザーは正しいアクセス許可を持っていること
新しい Automanage アカウントで Automanage を有効にする場合は、サブスクリプションに対し次のいずれ
かが必要です。
所有者 ロール
共同作成者 ロールと ユーザー アクセス管理者 ロールの併用。
現時点では、サンドボックス サブスクリプションは Automanage ではサポートされていません。
2021/01/23 18
20. できること/対象となるサービス (1/2)
対象となるサービス サービスの説明
Automanage の構成プ
ロファイル
Dev/Test 運用
Azure Monitor for VMs
(仮想マシンの分析情報の監視)
実行中のプロセスや他のリソースへの依存関係など、仮想マシンのパフォーマン
スと正常性が監視されます。
〇
Azure Backup VM 上のデータが誤って破壊されることを防ぐために、独立して分離されたバッ
クアップを提供しています。
〇
Azure Security Center 統合されたインフラストラクチャ セキュリティ管理システムであり、データ セ
ンターのセキュリティ体制を強化し、クラウド内のハイブリッド ワークロード
全体にわたる高度な脅威保護が提供されます。
〇 〇
Microsoft Antimalware Azure に対する Microsoft マルウェア対策は、ウイルス、スパイウェアなどの悪
意のあるソフトウェアの特定や駆除に役立つリアルタイムの保護です。 これに
より、既知の悪意あるソフトウェアや望ましくないソフトウェアが Azure システ
ム上にソフトウェア自体をインストールまたは実行しようとしたときに、アラー
トが生成されます。
〇 〇
Azure Automation の Update
Management
(更新管理)
仮想マシンのオペレーティング システムの更新プログラムを管理することがで
きます。 すべてのエージェント マシンで利用可能な更新プログラムの状態をす
ばやく評価し、サーバーに必要な更新プログラムをインストールするプロセスを
管理できます。
〇 〇
2021/01/23 19
引用)https://docs.microsoft.com/ja-jp/azure/automanage/virtual-machines-best-practices
21. できること/対象となるサービス (2/2)
対象となるサービス サービスの説明
Automanage の構成プ
ロファイル
Dev/Test 運用
変更履歴とインベントリ 変更履歴とインベントリでは、変更履歴とインベントリの機能を組み合わせて、
仮想マシンとサーバー インフラストラクチャの変更を追跡できます。 このサー
ビスを利用すれば、環境内のサービス、デーモン、ソフトウェア、レジストリ、
ファイル全体にわたって変更を追跡し、不要な変更を診断したりアラートを生成
したりすることができます。 インベントリのサポートにより、ゲスト リソース
でクエリを実行して、インストール済みのアプリケーションやその他の構成アイ
テムを可視化できます。
〇 〇
Azure ゲスト構成 ゲスト構成ポリシーは、マシンのコンプライアンスに関するレポートを作成し、
構成を監視するために使用されます。 ゲスト構成拡張機能を使用して、
Automanage サービスによって Windows セキュリティ ベースラインがインス
トールされます
〇 〇
Azure Automation アカウント Azure Automation は、インフラストラクチャとアプリケーションのライフサイ
クル全体にわたる管理をサポートします。
〇 〇
Log Analytics ワークスペース Azure Monitor では、ログ データが Log Analytics ワークスペースに格納されま
す。Log Analytics ワークスペースは Azure リソースであり、データが収集、集
計され、管理境界として機能するコンテナーです。
〇 〇
2021/01/23 20
引用)https://docs.microsoft.com/ja-jp/azure/automanage/virtual-machines-best-practices
26. 有効化/展開
Azure Portalからの有効化
仮想マシンの新規デプロイ時
既存の仮想マシンに割り当て
Azure Policy を通じて Automanage for virtual machines を有効にする
https://docs.microsoft.com/ja-jp/azure/automanage/virtual-machines-policy-
enable
無料試用版アカウントでこの方法は利用できません。
2021/01/23 25
54. まとめ
Azure Policy
Azureの使用に際して各々の組織であるべき原則を組み込みやカス
タムで定義し、実装し、準拠状況の確認を支援
Azure Automanage
Azure Policyの機能を使った、Azure VMの管理に必要な機能を
自動的に付加、修復タスクによるポリシー準拠
2021/01/23 53
Editor's Notes Azure PolicyとAutomanage 2021年01月と題しまして、System Center Users Group Japanの指崎がセッションを担当させていただきます。 ご注意事項のスライドです。
指崎の所属している会社の見解ではありませんので、ご注意ください。
本セッションでは、正式リリース前の情報を扱っている箇所があります。
自己紹介のスライドです。
ブログやスライドシェアのリンクなどをご確認ください。 本日のアジェンダです。
まず、Azure Policyについて
概要
定義
実装
準拠状況
をお話しします。
続いて、Azure Automangeについてお話します。
Azure Automanage for virtual machines 概要
前提条件
できること/対象となるサービス
構成プロファイル
有効化/展開
デモンストレーション
まとめ
参考
となります。 ではAzure Policyについてのお話を始めます。 Azure Policyの概要スライドです。
※あとはスライドの文面を読み上げる。