Azure Policy は、組織の Azure リソースに対するルールを定義・適用・監査する Microsoft マネージドのガバナンスサービスです。 Management Group / Subscription / Resource Group の階層に適用し、組織全体の Azure 統制を自動化する基幹サービスで、エンタープライズ Azure 環境のガバナンスの中核を担います。 本記事では、Azure Policy の Effect・Built-in/Custom・Initiative・Assignment Scope・Remediation・コンプライアンス活用を網羅的に整理します。
| Effect | 動作 | 用途 |
|---|---|---|
| Deny | ルール違反リソースの作成を拒否 | 強制的な統制 |
| Audit | ルール違反を記録するのみ | 既存環境の評価 |
| AuditIfNotExists | 関連リソース不在を監査 | 例: VM に Backup 未構成検知 |
| Modify | タグ自動追加・プロパティ修正 | Remediation で既存にも適用 |
| DeployIfNotExists | 関連リソース自動デプロイ | 例: Diagnostic Settings 自動構成 |
| Append | プロパティを自動付与 | Storage の Network ACL 自動追加 |
| Disabled | Policy を一時無効化 | 緊急時の例外 |
本番では Audit で導入 → 安定後に Deny に切り替えるのが標準パターンで、いきなり Deny で本番影響を出さないことが重要です。
| 項目 | Built-in Policy | Custom Policy |
|---|---|---|
| 提供元 | Microsoft 事前定義 (500+) | 組織独自定義 (JSON) |
| 用途 | 典型シナリオ | 組織固有要件 |
| 更新 | Microsoft が継続的に追加・更新 | 組織で管理 |
| 例 | 『Storage Public Access Disable』 | 『社内命名規則強制』 |
| 推奨度 | 主 | 不足分のみ |
新規プロジェクトでは Built-in を最大限活用し、不足分のみ Custom 化が現実的。Azure Policy GitHub リポジトリで業界標準の Custom Policy サンプル多数公開、参考実装として活用可能。
Initiative は、複数の Policy を 1 つのグループとしてまとめた論理単位。
Initiative 適用 + Compliance ダッシュボードで組織の規制対応状況を可視化可能。本番では『MCSB Initiative + 組織カスタム Initiative』の組み合わせで階層的なガバナンス構成が標準。
Policy または Initiative を Management Group / Subscription / Resource Group のいずれかに割り当てる操作が Assignment、その対象範囲が Scope。
Assignment は Scope より下位に継承される (Management Group に Assign すれば配下全 Subscription に適用)。
Exclusion 機能で特定 RG / リソースを除外可能、例外管理も柔軟。
Remediation は、既存の Policy 違反リソースを自動修正する機能。Effect が Modify または DeployIfNotExists の Policy で利用可能。
Remediation は Managed Identity 経由で実行 (System-assigned MI を Policy Assignment 作成時に自動付与)、必要な Contributor 権限を Scope に対して持つ。 大規模環境では数千リソースの一括修正に数時間かかる場合あり、計画的な実行が必要。
Azure Policy のコンプライアンスダッシュボードで、組織の規制対応状況を可視化。
Microsoft Sentinel / Defender for Cloud との統合で、Policy 違反イベントを SOC に通知・自動対応も可能。
Bicep / Terraform で Policy・Initiative・Assignment をコード化して管理。
resource policyDef 'Microsoft.Authorization/policyDefinitions@2023-04-01' = {
name: 'require-tag-CostCenter'
properties: {
displayName: 'Require CostCenter tag'
policyType: 'Custom'
mode: 'Indexed'
policyRule: {
if: {
field: 'tags.CostCenter'
exists: 'false'
}
then: {
effect: 'deny'
}
}
}
}
resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-04-01' = {
name: 'require-costcenter-tag-assignment'
properties: {
policyDefinitionId: policyDef.id
displayName: 'Require CostCenter tag on all resources'
}
}Azure Policy とは?
Azure Policy は、組織の Azure リソースに対するルール (Policy) を定義・適用・監査する Microsoft マネージドのガバナンスサービス。代表的なルール: 『すべての Storage Account で Public Access を Disable』『VM は東日本リージョンのみ作成可』『すべてのリソースに CostCenter Tag を付与必須』など。Policy 効果 (Effect) は Deny (作成拒否)・Audit (監査ログ記録のみ)・Modify (タグ自動追加)・DeployIfNotExists (足りないリソース自動作成、例: Diagnostic Settings 自動構成)・Append (プロパティ自動付与) など 7 種類。Management Group / Subscription / Resource Group の階層に適用し、組織全体の Azure 統制を自動化する基幹サービスです。
Policy の Effect 種類は?
7 つの主要 Effect: 1) Deny: ルール違反リソースの作成を拒否、強制的な統制。2) Audit: ルール違反を記録するのみ、既存環境の評価向け。3) AuditIfNotExists: 関連リソース不在を監査 (例: VM に対する Backup 未構成を検知)。4) Modify: タグ自動追加・プロパティ自動修正、既存リソースに対しても Remediation で適用可能。5) DeployIfNotExists: 関連リソースを自動デプロイ (例: VM 作成時に Microsoft Defender for Endpoint 拡張機能を自動インストール)。6) Append: プロパティを自動付与 (Storage Account 作成時に Network ACL 自動追加など)。7) Disabled: Policy を一時無効化。本番では Audit で導入 → 安定後に Deny に切り替えるのが標準パターンで、いきなり Deny で本番影響を出さないことが重要です。
Built-in Policy と Custom Policy の使い分けは?
Built-in Policy: Microsoft が事前定義した 500+ の標準 Policy、Azure Portal で『すべての Storage Account で Public Access を Disable』のような典型シナリオを一覧から選択可能。Custom Policy: 組織固有要件向けの JSON ベース独自定義、Built-in でカバーされない要件 (例: 自社命名規則『storage-{env}-{region}-{seq}』を強制) を実装。新規プロジェクトでは Built-in を最大限活用し、不足分のみ Custom 化が現実的。Built-in Policy は Microsoft が継続的に追加・更新するため、組織カスタムは最小限が運用負荷の観点でも有利。Azure Policy GitHub リポジトリで業界標準の Custom Policy サンプル多数公開、参考実装として活用可能です。
Initiative (Policy Set) とは?
Initiative (Policy Set) は、複数の Policy を 1 つのグループとしてまとめた論理単位。例: 『PCI DSS 準拠 Initiative』は PCI DSS 要件を満たす 30+ の Policy をパッケージ化、1 つの Initiative を Subscription に適用するだけで複数 Policy が同時適用される。代表的な Microsoft 提供 Initiative: Microsoft Cloud Security Benchmark (MCSB)・PCI DSS v3.2.1・ISO 27001・NIST SP 800-53・HIPAA HITRUST・Australian Government ISM など。Initiative 適用 + Compliance ダッシュボードで組織の規制対応状況を可視化可能。本番では『MCSB Initiative + 組織カスタム Initiative』の組み合わせで階層的なガバナンス構成が標準。コンプライアンス監査時の証跡作成にも極めて有用です。
Policy Assignment と Scope はどう構成しますか?
Policy または Initiative を Management Group / Subscription / Resource Group のいずれかに割り当てる操作が Assignment、その対象範囲が Scope。階層構造: Management Group (全 Subscription 統括) → Subscription → Resource Group → Resource。Assignment は Scope より下位に継承される (Management Group に Assign すれば配下全 Subscription に適用)。代表的なエンタープライズパターン: 1) ルート Management Group に『MCSB Initiative』Audit モードで全社適用、2) 本番 Subscription に『Allowed Locations (東日本のみ)』Deny モードで強制、3) 開発 Resource Group に『Maximum VM SKU (D8s_v5 まで)』Deny モードでコスト制御。Exclusion 機能で特定 RG / リソースを除外可能、例外管理も柔軟です。
Remediation はどう使いますか?
Remediation は、既存の Policy 違反リソースを自動修正する機能。Effect が Modify または DeployIfNotExists の Policy で利用可能。代表的なユースケース: 1) 既存全 VM に Diagnostic Settings 未構成 → Remediation Task で一括自動構成、2) 既存全 Storage Account に Encryption 未設定 → Remediation で一括 Customer-Managed Key 適用、3) 既存全リソースに CostCenter Tag 未付与 → Remediation で Management Group の Tag 値を継承自動付与。Remediation は Managed Identity 経由で実行 (System-assigned MI を Policy Assignment 作成時に自動付与)、必要な Contributor 権限を Scope に対して持つ。大規模環境では数千リソースの一括修正に数時間かかる場合あり、計画的な実行が必要です。
Azure Policy のコンプライアンス活用は?
Azure Policy のコンプライアンスダッシュボードで、組織の規制対応状況を可視化。Microsoft Cloud Security Benchmark (MCSB)・PCI DSS・HIPAA・ISO 27001・NIST 等の Built-in Initiative を Assign すると、各コントロール項目への準拠率が % 表示。準拠していないリソース一覧・修正手順も提示。コンプライアンス監査 (SOC2 Type II・ISO 27001 認証取得) で『この Policy で MCSB に準拠しています』という証跡として活用可能、監査人への報告コスト削減効果が大きい。Microsoft Sentinel / Defender for Cloud との統合で、Policy 違反イベントを SOC に通知・自動対応も可能。エンタープライズ Azure 環境では『Azure Policy 中心の継続コンプライアンス』が現代のベストプラクティスです。
関連認定試験は?
AZ-104 (Administrator) のドメイン 1 (ID とガバナンス 20-25%) で Azure Policy が深く問われる本領域の主要認定。AZ-305 (Solutions Architect Expert) のドメイン 1 で全体ガバナンス設計、SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の Policy 統制、AZ-400 (DevOps Engineer Expert) で IaC + Policy の組み合わせ。AZ-104 で Built-in Policy・Custom Policy・Initiative・Assignment Scope・Remediation の理解が必須。Azure を統制するすべてのエンジニアにとって Azure Policy の理解は基本スキルです。
関連記事・技術深掘り
Microsoft Defender for Cloud 完全ガイド|CSPM・CWPP・Just-in-Time VM・マルチクラウド保護【2026 年版】
Microsoft Defender for Cloud (旧 Azure Security Center) の完全ガイド。Free Tier vs Defender Plans 選定、Microsoft Secure Score・Just-in-Time VM Access・Vulnerability Assessment・マルチクラウド (AWS/GCP) 対応・Microsoft Sentinel との連携・関連認定試験 (SC-200 / SC-100 / SC-500) を日本語で網羅。
Azure VMSS 完全ガイド|Uniform/Flexible・Auto Scale・Rolling Upgrade・Spot 混在【2026 年版】
Azure Virtual Machine Scale Sets (VMSS) の完全ガイド。Uniform vs Flexible Orchestration mode の使い分け、Auto Scale (Metric/Schedule/Custom)、Custom Image と Azure Compute Gallery、Rolling Upgrade Policy、Spot + Regular 混在パターン、関連認定試験 (AZ-104 / AZ-305 / AZ-400) を日本語で網羅。
Azure Backup 完全ガイド|RSV / Backup Vault・Backup Policy・Immutable Backup・コスト最適化【2026 年版】
Azure Backup の完全ガイド。Recovery Services Vault vs Backup Vault の使い分け、Backup Policy 設計、Azure VM / Files / SQL / Blob Backup の動作、Immutable Backup・Multi-User Authorization によるランサムウェア対策、コスト最適化、関連認定試験 (AZ-104 / AZ-305 / SC-100) を日本語で網羅。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
本記事の技術情報は Azure Policy Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...