Copilot for Security compute capacities の作成をAzure Policyで制御する

Microsoft Copilot for Security がGAされて、検証などをされている方も多いかと思いますが、Copilot for Security の compute capacities は作成して放置してしまうと料金がかなり高く、何かしらルールや策を設ける必要が出てくるかと思います。

そこで、Azure Policy を利用して作成できないようにしておき、利用したい場合は利用申請、承認後にポリシーの適用除外、作成というような流れを作れば、完全な対策とはいきませんが、ある程度の効果は得られるのではないかと思います。

1.具体的なポリシー

具体的なポリシーは Azure Policy の ビルトインポリシー「許可されていないリソースの種類」にて、「Microsoft.SecurityCopilot」の「capacities」をチェック、該当の管理グループ、サブスクリプションへ割り当てを行うことで作成できなくなります。

先ほどのポリシーを割り当てた状態で Microsoft Copilot for Security compute capacities の作成を行うと、下の画面のようにメッセージが表示され先へ進めません。

2.ポリシーの除外

特定のリソースグループに対して、ポリシーの「適用除外の作成」を行います。Copilot for Security のcompute capacities の利用を許可するリソースグループを適用対象から除外して、作成できるようにします。

3.適用除外をされたリソースグループ上に作成

除外の適用後、改めてcompute capacities を作成していきます。ポリシーの割り当てが除外されているため、作成できるようになります。

 

4.まとめ

上記のAzure Policyとポリシーの適用除外を行い、申請→承認→ポリシーの除外 という流れを設けることで「何時でも誰でも」の状態を避けることは可能になるかと思います。

この方法ですが、既に作られてしまったリソースには効果がない 点に注意が必要です。もしすでに作成済みのMicrosoft Copilot for Security compute capacities がある場合、一度削除してもらうなどの対応が必要となります。

簡単な内容ではありますが、何かのお役に立てれば幸いです。

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください