Azureポリシーは継承されていますか?

<h1>Redgateハブ</h1>
<blockquote>@Darosenbergこんにちはダニエル. 管理グループレベルのポリシー割り当てから児童管理グループまたはサブスクリプションを除外する必要があります. 次に、子どもの管理グループまたはサブスクリプションレベルでより寛容なポリシーを割り当てます. 基本的に、リソースが拒否されるポリシーがある場合、リソースを許可する唯一の方法は、拒否ポリシーを変更することです. <br />この例については、記事を更新します. ありがとう! <br />＃閉じてください</blockquote>
<h2> ポリシーの継承を明確にし、＃7091をオーバーライドします</h2>
<p>私は、割り当てツリーのさらに下の他のポリシーによってポリシーをどのように上書きすることができるかを理解しようとしています. このドキュメントがそれを明確にすることができれば、それは本当にいいでしょう.</p>
<p>たとえば、管理グループレベルでリソースタイプのホワイトリストポリシーを割り当ててから、子ども管理グループでより寛容なポリシー（より多くのリソースタイプを許可する）を割り当てようとしています。.</p>
<p>しかし、競合する条件や効果を指定する複数のポリシーが割り当てツリーのさまざまなレベルで割り当てられているときに何が起こるかをドキュメントから私には明確ではありません.</p>
<h4>ドキュメントの詳細</h4>
<p>⚠ <em>このセクションを編集しないでください. ドキュメントに必要です.マイクロソフト.com➟githubのリンク.</em></p>
<ul>
<li>ID：51022609-2DEE-D21C-9274-384ED82B0F4E</li>
<li>バージョン独立ID：832B8356-A0ED-06E2-A43A-A8EB0A5869DC</li>
<li>コンテンツ：Azureポリシーの概要</li>
<li>コンテンツソース：記事/azure-policy/azure-policy-introduction.MD</li>
<li>サービス： <strong>Azure-Policy</strong></li>
<li>github login：@bandersmsft</li>
<li>マイクロソフトのエイリアス： <strong>バンダー</strong></li>
</ul>
<p>テキストは正常に更新されましたが、これらのエラーが発生しました。</p>
<strong>フェムスル </strong> 2018年4月12日にコメントしました
<p>ご参考までに <strong>@bandersmsft</strong> – さらなる通信のために問題をあなたに割り当てました.</p>
<strong>Bandersmsft </strong> 2018年4月18日にコメントしました
<p>まだこれに取り組んでいます.</p>
<strong>Bandersmsft </strong> 2018年4月18日にコメントしました
<p>@Darosenbergこんにちはダニエル. 管理グループレベルのポリシー割り当てから児童管理グループまたはサブスクリプションを除外する必要があります. 次に、子どもの管理グループまたはサブスクリプションレベルでより寛容なポリシーを割り当てます. 基本的に、リソースが拒否されるポリシーがある場合、リソースを許可する唯一の方法は、拒否ポリシーを変更することです. <br />この例については、記事を更新します. ありがとう! <br />＃閉じてください</p>
Mike-Ubezzi-MSFTは、2018年4月19日に完了したため、これを閉鎖しました
<strong>darosenberg </strong> 2018年4月19日にコメントしました
<p>@BanderSMSFT OK、ありがとう – それは私の特定の例の文脈では明らかです.</p>
<p>しかし、私はより一般的に継承のルールと有効化の可能性を理解したいと思います.</p>
<p>私の例についてあなたが言っていることを推定する場合、一般的な用語で言うのは正しいでしょうか。</p>
<ul>
<li>ポリシーの割り当ては、上から底から評価されます</li>
<li>最も制限的なポリシーの割り当ては常に勝ちます、私は.e. あらゆるレベルの拒否は、他のレベルでの許可よりも優先されます</li>
<li>監査オーバーライドが許可されます</li>
<li>拒否は監査と許可の両方をオーバーライドします.</li>
<li>ポリシー評価はです <strong>いいえ</strong> 短絡、i.e. 継承ツリー全体は、潜在的に効果がある可能性のあるポリシーについて常に評価されます</li>
</ul>
<p>それは正しいでしょうか?</p>
貢献者
<strong>ダンミー </strong> 2018年5月4日にコメントしました
貢献者
<strong>Mikewedderburn-clarke </strong> 2021年2月12日にコメントしました
<p>@darosenberg <br />ここでよく説明されていると思いますダニエル：https：// docs.マイクロソフト.com/en-us/azure/governance/ポリシー/概念/効果 <br />「階層化ポリシーの定義の最終的な結果は、累積的な最も制限的であると考えられています. 「</p>
<p>「 <br />最初に無効になっていることを確認して、ポリシールールを評価する必要があるかどうかを判断します. <br />その後、追加と変更が評価されます. どちらかがリクエストを変更する可能性があるため、変更された変更により、監査が妨げられたり、効果のトリガーが拒否される場合があります. これらの効果は、リソースマネージャーモードでのみ利用可能です. <br />その後、拒否が評価されます. 監査前に拒否を評価することにより、望ましくないリソースの二重ロギングが防止されます. <br />監査は最後に評価されます.「</p>
<p>あなたの管理グループの構造はこれを考慮する必要があり、あなたはツリーを下るとき、徐々に少ないものではなく、より制限的なポリシーを持つことを計画する必要があります.</p>
<h2>Azureポリシーと管理グループ</h2>
<p>Azure SQLデータベースのポリシーをセキュリティおよび組織の基準を満たすためのポリシーを定義できます. 管理グループは、複数のサブスクリプションでポリシーを簡素化します. マイケル・ウッドは、Azureのポリシーと管理グループを説明します.</p>
<p>10年以上前にクラウドテクノロジーについて最初に話し始めたとき、私が聞いた最も一般的な質問は、プラットフォームがどれほど安全であるかについてでした. 彼らのすべてのデータがその時点まで所有し維持されたデータセンターに存在していたとき、セキュリティは人々にとって最高でした。. 彼らのデータにアクセスしたほとんどすべての人が会社のために直接働きました. 彼らは、データが住んでいた場所、それにアクセスできる場所、そしてデータが移動したネットワークケーブルを実行していた人でさえ制御しました. クラウドテクノロジーが進歩し、より主流になるにつれて、セキュリティについての疑問が生まれたものは少なくなりました. それは、人々がまだセキュリティについて心配していないという意味ではありません。それは、質問に対する多くの答えがあり、データを保護する方法にはかなりのオプションがあることを意味します. この記事では、Azureポリシーと管理グループがAzure SQLセキュリティを簡素化する方法を説明しています.</p>
<p>オプションの顧客管理キー、プライベートエンドポイント、監査を備えた常に暗号化された透明なデータ暗号化（TDE）などの機能は、Azure SQLデータベースとAzure SQL Managed Instanceに保存されているデータを保護するために利用可能な多くのオプションのほんの一部です。. オプションを持つことは1つのことですが、それらが使用されることを保証することは別のものです。. 各組織は、どのオプションを実装するかを決定し、それらを配置するだけでなく、後で回避または変更されないようにする必要があります. これは、Azureポリシーや管理グループなどのAzureのツールが役立つ場所です.</p>
<h2>Azureポリシーとは何ですか?</h2>
<p>Azureポリシーは、Azure展開リソースの特定の設定または構成を実施するために作成するルールが作成されたルールです。. ポリシーを作成してから、サブスクリプションやリソースグループなど、そのポリシーを何らかの範囲に適用します. Azureプラットフォームは、割り当てられたスコープ内のすべてのリソースに対してそのポリシーを実施します. 執行は、Azureプラットフォームが、問題を修正できるように、ポリシーを非準拠として満たしていないリソースにフラグを立てることを意味します。または、プラットフォームがポリシーを満たさないリソースの展開を単に拒否していることを意味する可能性があります。. プラットフォームが選択したポリシーをどのように実施するかについて多くの制御があります.</p>
<p>Azure SQLデータベースとAzure SQL Managedインスタンスの場合、セキュリティアプローチを実施するポリシーを持つことが非常に役立つシナリオがたくさんあります。. いくつかのアイデアは次のとおりです。</p>
<ul>
<li>データの主権要件を満たすために、またはデータベースの場所を制限するために、データベースが保存されている物理的な場所を制限する. たとえば、特定のAzure領域でのみ作成されるようにデータベースを制限できます。.</li>
<li>パブリックエンドポイントから直接アクセスできないデータベースがないように、プライベートエンドポイント接続が構成されていることを確認してください.</li>
<li>そのオプションを使用することを選択した場合、安静時にデータを暗号化するための顧客管理されたキーを実施する.</li>
<li>監査を強制することを強制します.</li>
<li>Azure Active Directory管理者がサーバーレベルで割り当てられることを実施する.</li>
</ul>
<p>基本的に、展開の一部として定義できるほとんどすべてのものは、プラットフォームが実施するためのポリシーに配置できます。.</p>
<p>Azure Active Directory管理者がAzure SQLデータベースサーバーにプロビジョニングされることを保証するポリシーの例を次に示します。. この特定のポリシーは、Microsoftが選択する組み込みのポリシーとして提供するものです。そのため、PolicyTypeがBuiltinに設定されていることがわかります。.</p>
“プロパティ” ： <
“displayName” : “An Azure Active Directory administrator should be provisioned for SQL servers” ,
“policyType” : “BuiltIn” ,
“mode” : “Indexed” ,
<p>「説明」： “Azure Ady Adutionsicationを有効にするためのSQL ServerのAzure Active Directory管理者の監査プロビジョニング. Azure Ad Authenticationは、データベースユーザーおよびその他のMicrosoftサービスの単純化された許可管理と集中型ID管理を可能にします」 ,</p>
「バージョン」： “1.0.0 ” ,
「カテゴリ」：「SQL」
“パラメーター” ： <
“type” : “String” ,
“displayName” : “Effect” ,
“description” : “Enable or disable the execution of the policy”
“allowedValues” : [
“AuditIfNotExists” ,
“defaultValue” : “AuditIfNotExists”
“policyRule” : <
“field” : “type” ,
“equals” : “Microsoft.Sql/servers”
“effect” : “[parameters(‘effect’)]” ,
“type” : “Microsoft.Sql/servers/administrators”
“id” : “/providers/Microsoft.Authorization/policyDefinitions/1f314764-cb73-4fc9-b863-8eca98ac36e9” ,
“type” : “Microsoft.Authorization/policyDefinitions” ,
“name” : “1f314764-cb73-4fc9-b863-8eca98ac36e9″
<p>ポリシーは、いくつかのメタデータ、パラメーター、そして実際のルールで構成されています. この例では、ルールは、の設定が <em>マイクロソフト.SQL/サーバー/管理者</em> タイプのリソースに設定されています <em>マイクロソフト.SQL/サーバー</em>. ポリシーは、効果という名前のパラメーターを提供します . ポリシーをスコープに適用すると、パラメーターの値を提供して、管理者の設定が提供されているかどうかをシステムの応答方法を示すことができます. このポリシーのパラメーターのオプションは、許容数値によって制約され、無効になっている（アクションが実行されないことを意味する）またはAuditifNotexists（つまり、リソースが非準拠としてフラグが付けられることを意味します）のいずれかと定義されます。. この方法でパラメーターを設定する機能を提供することにより、このポリシーのアクションをトグレグに切り替えるか、短時間オフにする必要がある場合は、ポリシーを完全に範囲から削除することなく、強制されないか、.</p>
<p>これは、上記の定義されたポリシーに準拠していないデータベースを示すAzureポータルのスクリーンショットです. 展開されたシステムには2つのAzure SQLサーバーがあることに注意してください。ただし、Azure Active Directory管理者が割り当てられているため、50％のコンプライアンスが表示される理由は1つだけです。. 画面は現在フィルタリングされており、非準拠のリソースのみを表示します.</p>
<p><img src=”https://www.red-gate.com/simple-talk/wp-content/uploads/2021/12/word-image.png” alt=”Azureポリシーの結果を示す画像。 1つのデータベースがポリシーに違反しています。” width=”1893″ height=”748″ /></p>
<p> <br /><em>画像：定義されたポリシーのために準拠していないリソースを示すAzureポータル</em></p>
<p>独自の作成方法など、Azureポリシーの詳細については、Microsoftが提供するドキュメントをご覧ください. ドキュメントでは、ポリシーを作成し、それらを展開し、コンプライアンスステータスを監視する方法の詳細.</p>
<p>あなたはあなたの組織に施行されたいルールを作成するために定義された多くの異なるポリシーで終わることができます. これらのポリシーを整理するために、イニシアチブとして知られているものにポリシーのコレクションを作成することができます（ポリシーとも呼ばれます）. ポリシーをイニシアチブにグループ化することにより、選択したルールの割り当てと管理を簡素化できます. 単一のポリシーと同様に、イニシアチブをスコープに割り当てることができ、そのイニシアチブに割り当てられたすべてのルールがその範囲で施行されます.</p>
<h2>管理グループは何ですか?</h2>
<p>管理グループは、Azureサブスクリプションを整理するためのメカニズムです. 各管理グループにはゼロ以上のAzureサブスクリプションを含めることができ、管理グループは階層的であるため、他の管理グループ内に管理グループをネストできるようになります。. 管理グループを使用すると、各サブスクリプションに移動することなく、同様の方法で管理できるサブスクリプションのコレクションを作成できます。. たとえば、管理グループレベルでロールベースのアクセス制御アクセス許可を割り当てることができ、そのグループの下のすべてのサブスクリプションはそれらの権限を継承します.</p>
<p>デフォルトでは、すべてのAzure Active Directoryテナントに暗黙のルート管理グループがあります. その後、あなたの会社にとって理にかなっている方法でサブスクリプションを整理するために、それらを根の下にネストするなどの新しい管理グループを追加できます. この機能により、展開環境（開発、テスト、生産など）、地域、部門、またはあなたのニーズを満たすために完全に特注の何かでサブスクリプションをグループ化できます. サブスクリプションは一度に1つの管理グループにのみ属することができます. ただし、管理グループをネストできることを忘れないでください.</p>
<p>管理グループは、Azureポリシーとイニシアチブの選択された範囲になります。つまり、ルート管理グループなどの1つの場所でポリシーを割り当て、すべてのサブスクリプションで実装されていることを確認できます。. また、ルールがその管理グループ内のサブスクリプションにのみ適用され、そこから階層を下るように、管理グループ階層の特定のレベルでポリシーを割り当てることもできます。.</p>
<p>管理グループを使用することには多くの力があります. それらに慣れていない場合は、Microsoftのドキュメントで詳細を読むことができます. ドキュメントでチュートリアルなどを見つけることができ、クラウド採用フレームワークの記事で管理グループを効果的に編成するためのガイダンスを見つけることができます.</p>
<h2>Azureポリシーを実行する</h2>
<p>あなたが取り組んでいる他のプロジェクトと同じように、あなたのセキュリティとガバナンスを処理するための最初のステップは要件を収集することです. あなたの組織が現在あなたのデータの保護に関する規則がない場合、今こそ座って定義する時です. すでにルールを持っているが手動施行を行っている場合、今こそ、Azureポリシーと管理グループを使用して自動化できるものを調べる時です. 展開のほぼすべての側面に関するポリシーを持つことができるため、可能性はほぼ無限です。.</p>
<p>強制するポリシーとイニシアチブを定義することに加えて、サブスクリプションにそれらがどのように適用されるかを決定する必要があります. 管理グループをまだ使用していない場合は、サブスクリプションの組織を通して考えてみたいと思います。. このタスクは、潜在的に見た目よりも難しい場合があり、必ずしも簡単ではありません. いくつかのサブスクリプションは簡単にグループ化され、他のサブスクリプションは特別な考慮事項が必要な外れ値です.</p>
<p>あなたがあなたの計画を収集しているとき、ここにあなたが考慮したいかもしれないいくつかの提案があります：</p>
<p><img src=”https://www.red-gate.com/simple-talk/wp-content/uploads/2021/12/word-image-1.png” alt=”Azureポリシーの構成ページを示す画像。 JSONはページで利用できます。” width=”1893″ height=”1131″ /></p>
<p><ul>
<li>開発、テスト、プレビュー、生産などのさまざまな環境には、他のポリシー要件がある場合があるため、サブスクリプションを使用してこれを軽減するのに役立ちます. サブスクリプション内で環境を混合する必要がある場合は、タグを使用することもできます。ただし、これを行う場合は、特定の値のタグの使用を実施する必要があります. また、デフォルトタグの使用を強制して、フェイルセーフのための最も厳しいポリシーを持つために、特定のタグなしで展開されたリソースが展開されたリソースが、誰かが何を適用すべきかについて意識的な決定を下すまで、最も難しいことになりますそれ.</li>
<li>ポリシーを制御し、可能な限り自動化するようにしてください. PowerShell AZモジュール、Azure CLI、Terraform、またはARMを使用したスクリプトなどのツールを見てください.</li>
<li>ポリシーを文書化して、それぞれが必要な理由とスコープで詳細を確認してください. あなたが彼らのデータの処理方法を知りたいと思う顧客からのセキュリティの質問に答えるために、あなたがサービスとしてのソフトウェア（SAAS）プロバイダーである場合、ドキュメントは有益です.</li>
<li>Azureポリシーは強力ですが、すべてのものがポリシーを通じて完全に実施できるわけではありません. たとえば、Azure SQLファイアウォールルールまたはSQLログインは、データベース自体内で定義されており、リソースに関するメタデータとしてではありません. したがって、ポリシーの一部として監視することはできません. これらのシナリオでは、これらのタイプのアイテムをルーチンチェックするスクリプトを配置する必要があることがわかります。.</li>
<li>すべての非準拠データベースで定期的なレビューを実行する手順を定義し、通常の操作の一部として必要に応じて修正. 延期されないようにこのルーチンを行う時間を確保します.</li>
<li>管理グループは、特定のグループを新しいサブスクリプションのデフォルト管理グループとして定義できます. デフォルトでは、ルート管理グループです。ただし、それは、そのレベルでどのポリシーが希望するかに応じて、新しいサブスクリプションに最適な場所ではないかもしれません. デフォルトの管理グループを設定する方法のドキュメントをご覧ください. 新しいサブスクリプションがどこに配置されるかを選択するときは、追加の努力なしでデータベースで自動的に必要なセキュリティに適用されるため、安全に失敗することを検討してください.</li>
<li>適用する前に定義されたすべての可能なポリシーがあるまで待たないでください. 1つまたは2つのポリシーがありたら、実施したいと思うことがわかっています。先に進んで実装してもらいます. これにより、ポリシーの数が少ない間、ポリシーとイニシアチブを管理するプロセスを介して作業することができます.</li>
<li>Microsoftは、特定のコンプライアンス標準ポリシーのために多くのAzureポリシー定義を作成しました。. ドキュメントで特定のコンプライアンス標準（Fedramp、HIPAA、NISTなどなど）のリスト（Githubで定義されたAzureポリシーへのリンクとともに、使用することができます。. また、必要に応じてベースラインとして使用できるAzureセキュリティベンチマーク組み込みイニシアチブもあります. これらの組み込みのイニシアチブは、特に従う必要がある特定のコンプライアンス基準があり、すでに定義されているポリシーがある場合は、開始するのに最適な場所です。. <br /><br /><em>画像：Azure SQLサーバーがパブリックアクセスを無効にするための組み込みポリシーの構成を示すAzureポータル</em></li>
</ul>
</p>
<h2>Azureポリシーおよび管理グループ</h2>
<p>Azureポリシーと管理グループを使用すると、データのセキュリティを適切に処理できます。. まだ追加の手段を提供する必要があるかもしれませんが、これらのツールは、あなたが定義するルールの施行を自動化し、すべてのAzure SQLデータベースとAzure SQLマネージドインスタンスのベースラインレベルのセキュリティとコンプライアンスを提供するのに役立ちます.</p>
<h2>ブログ：Azure Managementグループの使用方法</h2>
<p>企業がAzureに移行し始めると、サブスクリプションの管理は退屈になり、サブスクリプションの数が増えています. 組織には、通常、多くの従業員がいます。場合によっては、多くのアプリケーションがあります. これらすべての従業員にAzureサブスクリプションが提供され、自由にAzureリソースの作成を開始すると、すぐに制御、管理、追跡が難しくなる可能性があります。. 最終的に、コストは制御不能になる可能性があります. ただし、Azure Management Groupを使用してサブスクリプションを整理すると、仕事を非常に簡単にすることができます.</p>
<h2>Azure Management Groupとは何ですか?</h2>
<p>管理グループはAzureサブスクリプションの論理グループであり、サブスクリプションを整理し、Azureポリシーやロールベースのアクセスコントロール（RBAC）などのガバナンスコントロールを管理グループに適用できます。. 管理グループ内のすべてのサブスクリプションは、管理グループに適用されるコントロールを自動的に継承します.</p>
<p><img src=”https://www.ais.com/wp-content/uploads/2021/08/Azure-Management-Groups.png” alt=”Azure Management Groupとは何ですか？” width=”600″ height=”363″ /></p>
<h2>いつサブスクリプションを整理する必要がありますか?</h2>
<p>管理グループはAzureサブスクリプションの論理グループであり、サブスクリプションを整理し、Azureポリシーやロールベースのアクセスコントロール（RBAC）などのガバナンスコントロールを管理グループに適用できます。. 管理グループ内のすべてのサブスクリプションは、管理グループに適用されるコントロールを自動的に継承します.</p>
<h3>整理する際に考慮すべきルール</h3>
<ul>
<li><strong>以下は、管理グループを通じて達成できます。</strong><ul>
<li>組織モデルとすべてのサブスクリプションに適用されるコントロールの単一の割り当てに従ってグループサブスクリプション.</li>
<li>迅速に更新できる柔軟な階層を作成し、組織のニーズに応じて簡単にスケールアップまたはダウンすることができます.</li>
<li>Azure Resource Managerを使用して、ポリシー、コスト管理、青写真、セキュリティセンターなどの他のAzureサービスと統合します.</li>
</ul><ul>
<li>各サブスクリプションにはどのようなワークロードがあります?</li>
<li>どんな環境?</li>
<li>どの部門/チーム?</li>
<li>これらのワークロードに適用されているセキュリティルールは何ですか?</li>
</ul>
<p><img src=”https://www.ais.com/wp-content/uploads/2021/08/Root-Management-Group.png” alt=”ルート管理グループとは何ですか？” width=”602″ height=”375″ /></p>
<h2>Azure Management Groupの利点</h2>
<ul>
<li>アクセス、ポリシー、コンプライアンスを効率的に管理するためのサブスクリプションよりも高い範囲を提供します.</li>
<li>サブスクリプションレベルを超える集約ビュー.</li>
<li>継承は、サブスクリプションのグループ化に適用されるコントロールの単一の割り当てを許可します.</li>
<li>組織に合った管理グループの階層を作成する.</li>
<li>管理グループは、必要に応じて上下にスケーリングできます.</li>
<li>管理ツリーは最大6つのレベルをサポートできます.</li>
<li>各管理グループとサブスクリプションは1人の親のみをサポートできます.</li>
<li>各管理グループには複数の子供ができます.</li>
<li>すべての潜水艦と管理グループは、ディレクトリ内の1つのルート管理グループに折りたたまれます.</li>
<li>デフォルトで新しくオンボーディングされたサブスクリプションがルート管理グループに追加されます.</li>
</ul>
<h2>Azure Managementグループの制限</h2>
<ul>
<li>1つのディレクトリで10,000の管理グループをサポートできます.</li>
<li>管理グループツリーは、最大6レベルの深さをサポートできます.</li>
<li>各管理グループとサブスクリプションは1人の親のみをサポートできます.</li>
<li>各管理グループには複数の子供ができます.</li>
<li>他の管理グループとは異なり、ルート管理グループを移動または削除することはできません.</li>
</ul>
<h2>管理グループのロールベースのアクセス（RBAC）</h2>
<ul>
<li>管理グループの範囲にRBACの役割を適用して、すべてのサブスクリプションをいじるのではなく、行くことができる中心的な場所を1つ持つことができます.</li>
<li>Azureの役割は管理グループに適用し、すべての管理グループとそのサブスクリプションに継承できます.</li>
<li>古典的な管理者の役割は管理グループレベルでは適用できず、サブスクリプションレベルで適用する必要があります.</li>
<li>管理グループでカスタムRBACの役割を定義することはできません.</li>
</ul>
<p><img src=”https://www.ais.com/wp-content/uploads/2021/08/Azure-Roles-in-RBAC.png” alt=”Azureアカウントの役割” width=”602″ height=”417″ /></p>
<h2>Azure Blueprint to Management Group</h2>
<p>Azure Blueprintは、管理グループとAzureサブスクリプションを対象とするアーティファクトのパッケージ（リソースグループ、Azureポリシー、ロール割り当て、リソースマネージャーテンプレートなど）を定義できる機能です。.</p>
<p><img src=”https://www.ais.com/wp-content/uploads/2021/08/Azure-Blueprint-to-Management-Group.png” alt=”Azure Blueprintとは何ですか？” width=”602″ height=”313″ /></p>
<h2>Azureポリシー管理グループ</h2>
<ul>
<li>管理グループは、Azure ARMポリシーを定義するための便利な場所です.</li>
<li>Azure Policy、Management GroupでAzureポリシーを作成、割り当て、管理できるサービスを適用できます。.</li>
<li>これらのすべてのポリシーは、管理グループの下のすべてのリソースに適用されます.</li>
<li>組織が一貫したセキュリティポリシーを備えたAzure環境をセットアップできるようにします.</li>
<li>AMSポリシーの違反は、AzureポリシーブレードまたはAzureセキュリティセンターで見ることができます.</li>
</ul>
<h2>サブスクリプション管理の緩和</h2>
<p>このブログは、Azure Management Groupの概念と、このサービスを使用して管理サブスクリプションを容易にする方法について説明しています. 他のサービスは管理グループレベルで使用できますが、サブスクリプションレベルで適用または継承されます. サブスクリプション、部門、アプリケーション、およびユーザーの数が成長する場合、管理グループを使用することをお勧めします.</p>
<p>エンタープライズ契約、クラウドソリューションパートナー、従量課金、またはその他の種類のサブスクリプションを持っているかどうかにかかわらず、このサービスはすべてのAzure Customers Enterprise-Grade Managementを大規模に追加費用なしで提供します.</p>
<p><strong>資力：</strong></p>
<p>ホワイトペーパーのダウンロード <br />考慮事項、コストの最適化技術、およびAzure機能が組織に影響を与える方法を発見する.</p>
<h2>試験AZ-104トピック2質問5ディスカッション</h2>
<p>ホットスポット -<br />次の表に示されているAzure Managementグループがあります。<br /><img src=”https://www.examtopics.com/assets/media/exam-media/04223/0004200001.png” /><br />次の表に示すように、管理グループにazureサブスクリプションを追加します。<br /><img src=”https://www.examtopics.com/assets/media/exam-media/04223/0004200002.png” /><br />次の表に示すAzureポリシーを作成します。<br /><img src=”https://www.examtopics.com/assets/media/exam-media/04223/0004200003.png” /><br />次の各ステートメントについて、ステートメントがtrueの場合は[はい]を選択します. それ以外の場合は、いいえを選択します.<br />注：それぞれの正しい選択は1つのポイントに値します.<br />ホットエリア：<br /><img src=”https://www.examtopics.com/assets/media/exam-media/04223/0004300001.jpg” /> <br /></p>
<p><img src=”https://www.examtopics.com/assets/media/exam-media/04223/0004300002.jpg” /></p>
<p><strong>提案された答え：</strong> <br />ボックス1：いいえ -<br />仮想ネットワークはルートで許可されておらず、継承されます. 許可されているオーバーライドを拒否します.</p>
<p>ボックス2：はい -<br />ユーザーに必要なRBACアクセス許可がある場合、仮想マシンは管理グループに作成できます.</p>
<p>ボックス3：はい -<br />ユーザーに必要なRBACアクセス許可がある場合、サブスクリプションは管理グループ間で移動できます.<br />参照：<br />https：// docs.マイクロソフト.com/en-us/azure/governance/management-groups/概要https：// docs.マイクロソフト.com/en-us/azure/governance/management-groups/manage＃moving-management-groups-and-subscriptions</p>
<p>ASDF12345Aで <i>11月. 30、2020、3：01 p.m.</i></p>