Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。
Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。
評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。
ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。
SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿
Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。
Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。
評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。
ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。
Azure Policy では、ゲスト構成機能 (Guest Configuration: GC) により、環境内のマシンの状態を管理することができます。
ゲスト構成は、次のいずれかの環境に対して使用することができます。
Azure だけでなく、Azure Arc 対応サーバーをインストールしている環境についても Azure Policy のゲスト構成機能を活用することができます。(Azure の仮想マシンについては追加コストは発生しませんが、Azure Arc の環境については追加コストが発生します)
Azure Policy では組み込みポリシー定義が提供されており、Azure 仮想マシンならびに Azure Arc 向けのポリシーが提供されています。
これらのポリシーの中には、ゲスト構成機能を使用したルールも提供されており、本投稿はゲスト構成機能を使用したルールの監査状況の確認方法をポータルから実施する際の操作を調べたものとなります。
ゲスト構成機能については冒頭に紹介したドキュメントも含めた、次の内容を確認しておくとよさそうです。
Azure Arc 対応サーバー (Enabled Server) で Azure に認識させているサーバーについては、Azure Policy の管理対象とすることができます。
ポリシーの準拠状況は、Azure Arc のブレードの「ポリシー」や「マシン構成 (プレビュー)」から確認することができるのですが、Azure セキュリティベンチマークを割り当て対象としている場合、Windows の標準設定だと「マシン構成 (プレビュー)」の「WindowsDefenderExploitGuard」の構成が「準拠していない」状態となります。
この構成を準拠している状態に持っていくための設定をまとめておきたいと思います。