SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Archive for the ‘Azure Policy’ tag

Azure Policy の評価タイミングの情報について

leave a comment

Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。

Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。

image

評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。

ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。

Read the rest of this entry »

Written by Masayuki.Ozawa

8月 24th, 2022 at 2:27 pm

Azure Policy のゲスト構成機能の監査状況をポータルから確認する (Windows 環境)

leave a comment

Azure Policy では、ゲスト構成機能 (Guest Configuration: GC) により、環境内のマシンの状態を管理することができます。

ゲスト構成は、次のいずれかの環境に対して使用することができます。

  • Azure 仮想マシン
  • Azure Arc 対応サーバーが導入されている環境 (物理 / 仮想)
    • Azure Arc エージェントが導入されていれば使用可能

    Azure だけでなく、Azure Arc 対応サーバーをインストールしている環境についても Azure Policy のゲスト構成機能を活用することができます。(Azure の仮想マシンについては追加コストは発生しませんが、Azure Arc の環境については追加コストが発生します)

    Azure Policy では組み込みポリシー定義が提供されており、Azure 仮想マシンならびに Azure Arc 向けのポリシーが提供されています。

    これらのポリシーの中には、ゲスト構成機能を使用したルールも提供されており、本投稿はゲスト構成機能を使用したルールの監査状況の確認方法をポータルから実施する際の操作を調べたものとなります。

    ゲスト構成機能については冒頭に紹介したドキュメントも含めた、次の内容を確認しておくとよさそうです。

    Read the rest of this entry »

    Written by Masayuki.Ozawa

    8月 2nd, 2022 at 9:13 pm

    Azure セキュリティ ベンチマークのイニシアティブ割り当て時に Windows Defender Exploit Guard のコンプライアンスの状態を準拠させる

    leave a comment

    Azure Arc 対応サーバー (Enabled Server) で Azure に認識させているサーバーについては、Azure Policy の管理対象とすることができます。

    ポリシーの準拠状況は、Azure Arc のブレードの「ポリシー」や「マシン構成 (プレビュー)」から確認することができるのですが、Azure セキュリティベンチマークを割り当て対象としている場合、Windows の標準設定だと「マシン構成 (プレビュー)」の「WindowsDefenderExploitGuard」の構成が「準拠していない」状態となります。

    image

    この構成を準拠している状態に持っていくための設定をまとめておきたいと思います。

    Read the rest of this entry »

    Written by Masayuki.Ozawa

    6月 28th, 2022 at 9:15 pm