Azure Policy を利用して特定アプリケーションのVMへのインストール状況を監査する

Azure Automanageには「マシン構成機能」というものがあります。

本機能を利用することによりAzure上だけでなくマルチクラウド、オンプレミスにある仮想マシン内に対して、Azure Policyを使った監査および構成操作が可能となります。

本記事では、Azure AutomanageとAzure Policyを適用して、Azure VM（Windows）への特定アプリケーションのインストール状況を監査する方法についてご紹介いたします。

本機能を利用するには、監査するVMに対して下記2点が設定されている必要があります。

前提条件を設定する際には、次のいずれかの権限が必要です。

権限を持つユーザーにて仮想マシンへアクセスし、「ID」を選択し、「システム割り当て済み」にて状態をオンを選択します。

「保存」を選択します。

「システム割り当てマネージドIDを有効化する」にて「はい」を選択します。

オブジェクトIDが付与されたことを確認します。

マネージドIDの設定は以上になります。

拡張機能のインストールはAzureポータルからは設定できないため、Azure CLIにて設定する手順を紹介いたします。

Azure CLIにログインし、以下コマンドを実行します。

Azureにログイン
- az login
サブスクリプションを設定
- az account set --subscription ＜サブスクリプション名＞
VM拡張機能をインストール ※VMを起動していないとエラーになります
- az vm extension set --publisher Microsoft.GuestConfiguration --name ConfigurationforWindows --extension-instance-name AzurePolicyforWindows --resource-group <リソースグループ名> --vm-name <VM名> --enable-auto-upgrade true

コマンドが完了するとVMの「拡張機能とアプリケーション」にて「AzurePolicyforWindows」がインストールされていることが確認できます。

VMの拡張機能のインストールは以上になります。

なお、PowershellやARMテンプレートから実行することも可能です。手順は以下リンクを参考にしてください。

ポリシーを適用する際には、次のいずれかの権限が必要です。

Windowsのアプリケーションのインストール状況を監査するためのポリシーは以下2つ存在します。

指定したアプリケーションがインストールされていない Windows マシンを監査する
- →インストールされていると準拠、されていないと未準拠状態となる
指定したアプリケーションがインストールされている Windows マシンを監査する
- →インストールされていると未準拠、されていないと準拠状態となる

今回は「指定したアプリケーションがインストールされていない Windows マシンを監査する」の設定方法をご紹介します。

対象Azure VMへアプリケーションをインストールします。

※今回はサクラエディタを利用します

対象VMへログインし、以下レジストリを確認し、サクラエディタのDisplayNameを確認します。

※いずれかのレジストリに存在します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall

確認したところ「DisplayName」は「sakura editor(サクラエディタ)」ということが確認できます。