PowerShellでAzure Blueprintsを作成し、複数サブスクリプションに一貫したポリシーを適用する方法

Azure環境の運用において、複数のサブスクリプションに統一されたポリシーやリソース構成を適用することは、セキュリティと管理の観点から非常に重要です。Azure Blueprintsを活用することで、企業のガバナンス基準を満たしながら、環境の一貫性を維持できます。

Azure Blueprintsは、リソースのデプロイ、アクセス管理、ポリシーの適用を一括で管理できる強力なツールです。しかし、Azure Portalを介して手動で適用するのは効率的とは言えません。そこで、PowerShellを活用すれば、スクリプトを用いてBlueprintsを自動作成・適用し、大規模なAzure環境の管理を容易にできます。

本記事では、Azure Blueprintsの基本概念から、PowerShellを用いた作成・適用の具体的な手順、エラーハンドリング、応用例まで詳しく解説します。これにより、複数のサブスクリプションに対して、一貫性のある環境を効率的に展開・管理できるようになります。

Azure Blueprintsとは
Azure Blueprintsの主要コンポーネント
PowerShellを使ったAzure Blueprintsの作成準備
PowerShellでAzure Blueprintsを作成する手順
複数サブスクリプションへの適用方法
Blueprintのバージョン管理と更新方法
PowerShellスクリプトの実行例とエラーハンドリング
応用例：企業環境でのAzure Blueprints活用
まとめ
1. 主なポイント
2. Azure Blueprintsの活用で得られるメリット

Azure Blueprintsとは

Azure Blueprintsは、複数のAzureサブスクリプションに対して統一されたガバナンスを適用するための管理機能です。これを活用することで、ポリシー、アクセス制御、リソースの配置を標準化し、一貫性のあるAzure環境を構築できます。

Azure Blueprintsの目的

ガバナンスの強化：組織のコンプライアンス要件を満たし、セキュリティポリシーを一括適用する。
環境の標準化：開発・運用環境の設定やリソースの構成を統一し、管理を容易にする。
デプロイの自動化：Infrastructure as Code（IaC）の手法を活用し、手動の設定ミスを防ぐ。

Azure BlueprintsとARMテンプレートの違い

Azure Blueprintsは、Azure Resource Manager（ARM）テンプレートと混同されることがありますが、Blueprintsは複数のリソース構成をまとめて管理できる上位概念です。以下の表にその違いを示します。

項目	Azure Blueprints	ARMテンプレート
主な用途	ポリシー適用、リソースの標準化	リソースのデプロイ
構成要素	ポリシー、RBAC、テンプレートなど	JSONで定義されたリソースのみ
適用範囲	サブスクリプション、管理グループ	リソースグループ単位
バージョン管理	可能	不可
一括適用	複数のサブスクリプションに適用可能	1つのリソースグループ内に適用

Azure Blueprintsの活用場面

企業のセキュリティポリシー適用
組織のコンプライアンス要件を満たすため、Azure Security Centerの構成やネットワーク制御ポリシーを適用する。
統一された開発環境の展開
開発者が同じ設定の環境で作業できるように、共通のリソースグループやアクセス権限を設定する。
マルチサブスクリプション管理
一つのBlueprintを作成し、複数のサブスクリプションに対して適用することで、運用の一貫性を維持する。

次の章では、Azure Blueprintsを構成する主要コンポーネントについて詳しく解説します。

Azure Blueprintsの主要コンポーネント

Azure Blueprintsは、複数のAzureサブスクリプションに対して統一された構成を適用するために、いくつかの主要コンポーネントで構成されています。これらのコンポーネントを組み合わせることで、リソースの管理、アクセス制御、ポリシー適用を一元化できます。

1. Blueprint 定義

Azure Blueprintsは、テンプレートとして定義される構成情報です。Blueprintには、以下の構成要素（Artifacts）を含めることができます。

2. Artifacts（アーティファクト）

Artifactsは、Azure Blueprintsを適用する際にデプロイされる要素で、以下の4種類があります。

(1) リソースグループ (Resource Groups)

Blueprint適用時にリソースグループを自動作成する機能です。

サブスクリプション内に特定の名前でリソースグループを作成
既存のリソースグループを指定可能

(2) ロールの割り当て (Role Assignments)

AzureのRBAC（ロールベースのアクセス制御）を設定できます。

サブスクリプションやリソースグループに対し、特定のユーザーやグループに権限を付与可能
例: Contributor, Reader, Owner などのAzure既定のロールを指定

(3) Azure Policy

Azure Policyを使用して、サブスクリプションやリソースに対してルールを適用できます。

例: 特定のリージョン以外でのリソース作成を禁止
例: ストレージアカウントの暗号化を強制する

(4) Azure Resource Manager (ARM) テンプレート

Azure Blueprints内でARMテンプレートを利用し、リソースをデプロイできます。

例: 仮想ネットワーク（VNet）、ストレージアカウント、仮想マシン（VM）などのリソースを自動作成

3. Blueprintの公開（Publish）とバージョン管理

Azure Blueprintsは作成した後、公開（Publish）することで利用可能になります。

公開するとバージョンが作成され、異なる環境（開発・本番など）で異なるバージョンを適用可能
変更後のBlueprintを既存の環境に再適用できる

4. Blueprintの割り当て（Assignment）

Blueprintをサブスクリプションや管理グループに適用するプロセスをAssignment（割り当て）と呼びます。

Blueprintを複数のサブスクリプションに適用可能
事前定義されたポリシーとアクセス制御を自動適用

まとめ

Azure Blueprintsは、リソースグループ、ロールの割り当て、ポリシー、ARMテンプレートを組み合わせた包括的な環境管理ツールです。
次の章では、Azure PowerShellを使ってBlueprintsを作成するための準備手順について解説します。

PowerShellを使ったAzure Blueprintsの作成準備

Azure BlueprintsをPowerShellで作成・管理するには、適切な環境を整える必要があります。以下の手順に従って、Azure PowerShellのセットアップと認証を行いましょう。

1. Azure PowerShellのインストール

PowerShellを使用してAzure Blueprintsを操作するには、Azure PowerShellモジュールが必要です。まだインストールしていない場合は、以下のコマンドを実行してください。

# PowerShellを管理者権限で実行し、Azure PowerShellモジュールをインストール
Install-Module -Name Az -AllowClobber -Force

既にインストール済みの方は、以下のコマンドで最新バージョンへ更新できます。

# Azure PowerShellモジュールの更新
Update-Module -Name Az

2. Azureへのサインインとサブスクリプションの確認

Azure PowerShellを使用する前に、Azureへ認証する必要があります。以下のコマンドを実行してください。

# Azureへログイン
Connect-AzAccount

サインインが完了したら、現在のサブスクリプションを確認し、適用するサブスクリプションを選択します。

# サブスクリプション一覧の取得
Get-AzSubscription

# 使用するサブスクリプションを設定
Set-AzContext -SubscriptionId "<サブスクリプションID>"

3. Azure Blueprintsモジュールのインポート

Azure BlueprintsをPowerShellで管理するために、Azure Blueprints専用のPowerShellモジュールをインポートします。

# Azure Blueprintsモジュールのインポート
Import-Module -Name Az.Blueprint

Azure Blueprintsモジュールが正常にインストールされていることを確認するには、以下のコマンドを実行してください。

# モジュールのバージョン確認
Get-Module -Name Az.Blueprint -ListAvailable

4. 必要な権限の確認

Azure Blueprintsを作成・適用するには、適切な権限を持っている必要があります。以下のロールのいずれかが割り当てられていることを確認してください。

Owner（所有者）
Contributor（共同作成者）
Blueprint Contributor（Blueprint管理者）

現在のユーザーのロールを確認するには、以下のコマンドを実行します。

# 現在のユーザーのロールを確認
Get-AzRoleAssignment -SignInName "<ユーザーのメールアドレス>"

必要な権限がない場合は、管理者に問い合わせるか、以下のコマンドで適切なロールを割り当ててもらいましょう。

# ユーザーにBlueprint Contributorロールを割り当てる
New-AzRoleAssignment -ObjectId "<ユーザーのObject ID>" -RoleDefinitionName "Blueprint Contributor"

5. 作成するAzure Blueprintsの構成を計画する

Azure Blueprintsは、以下のようなアーティファクトを含めることができます。事前に、どの構成を適用するか計画しておきましょう。

アーティファクト	説明
リソースグループ	サブスクリプション内に指定したリソースグループを作成
RBAC（ロール割り当て）	ユーザーやグループに対するアクセス権限の設定
Azure Policy	ルールを適用し、コンプライアンスを強制する
ARMテンプレート	リソースのデプロイを自動化

6. 準備完了

これでAzure PowerShellのセットアップが完了し、Azure Blueprintsを作成・適用する準備が整いました。次の章では、PowerShellを使用してAzure Blueprintsを作成する具体的な手順について解説します。

PowerShellでAzure Blueprintsを作成する手順

Azure PowerShellを使用してAzure Blueprintsを作成するには、Blueprintの定義、Artifacts（アーティファクト）の追加、保存、公開という一連の流れがあります。本章では、それぞれの手順について詳しく解説します。

1. Blueprintの作成

Azure Blueprintsは管理グループまたはサブスクリプション単位で作成できます。以下のコマンドを実行し、Blueprintを作成しましょう。

# Blueprintの基本情報を定義
$blueprintName = "Company-Standard-Blueprint"
$subscriptionId = "<サブスクリプションID>"

# Blueprintを作成
New-AzBlueprint -Name $blueprintName -SubscriptionId $subscriptionId -DisplayName "Company Standard Blueprint" -Description "統一されたガバナンス適用"

このコマンドにより、サブスクリプションレベルで“Company-Standard-Blueprint”という名前のBlueprintが作成されます。

2. Artifactsの追加

Azure Blueprintsには以下の4つのArtifactsを追加できます。

リソースグループ
ロールの割り当て
Azure Policy
ARMテンプレート

(1) リソースグループの追加

特定のリソースグループを自動作成する場合、以下のようにBlueprintに追加します。

# リソースグループの追加
$rgArtifact = New-AzBlueprintResourceGroupArtifact -BlueprintName $blueprintName -SubscriptionId $subscriptionId -Name "StandardResourceGroup" -DisplayName "Standard RG" -Description "統一されたリソースグループ" -Location "eastus"

(2) ロールの割り当ての追加

特定のユーザーやグループにアクセス権を付与する場合、RBACを設定します。

# ユーザーにContributorロールを付与
$roleArtifact = New-AzBlueprintAssignmentArtifact -BlueprintName $blueprintName -SubscriptionId $subscriptionId -Name "ContributorRoleAssignment" -DisplayName "Contributor Role" -Description "開発者にContributor権限を付与" -RoleDefinitionId "/subscriptions/$subscriptionId/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c" -PrincipalId "<ユーザーのObject ID>"

(3) Azure Policyの追加

特定のポリシーを適用する場合、Azure Policyを組み込みます。

# 特定のリージョン以外のリソース作成を禁止するポリシーを適用
$policyArtifact = New-AzBlueprintPolicyArtifact -BlueprintName $blueprintName -SubscriptionId $subscriptionId -Name "RestrictRegionsPolicy" -DisplayName "リージョン制限ポリシー" -PolicyDefinitionId "/providers/Microsoft.Authorization/policyDefinitions/xxxxx"

(4) ARMテンプレートの追加

仮想ネットワーク（VNet）などのリソースを自動作成する場合、ARMテンプレートをBlueprintに含めることができます。

# ARMテンプレートを追加（仮想ネットワーク作成）
$templateJson = Get-Content -Raw -Path "C:\Templates\vnet.json"

$templateArtifact = New-AzBlueprintArtifact -BlueprintName $blueprintName -SubscriptionId $subscriptionId -Name "VNetDeployment" -DisplayName "VNet Deployment" -Description "仮想ネットワークを作成" -Template $templateJson

3. Blueprintの保存と公開

Artifactsを追加したBlueprintを保存（保存＝下書き）し、その後公開することで適用可能になります。

Blueprintの保存

# Blueprintの保存
Set-AzBlueprint -Name $blueprintName -SubscriptionId $subscriptionId

Blueprintの公開

Blueprintを利用するには、バージョンを指定して公開する必要があります。

# Blueprintを公開（バージョン: v1.0）
Publish-AzBlueprint -Name $blueprintName -SubscriptionId $subscriptionId -Version "1.0"

4. Blueprintの一覧確認

作成したBlueprintを一覧表示するには、以下のコマンドを実行します。

# サブスクリプション内のBlueprintを一覧表示
Get-AzBlueprint -SubscriptionId $subscriptionId

5. Blueprintの詳細確認

作成したBlueprintの詳細を表示する場合、以下のコマンドを実行します。

# 特定のBlueprintの詳細を取得
Get-AzBlueprint -Name $blueprintName -SubscriptionId $subscriptionId

まとめ

これでAzure PowerShellを使用してAzure Blueprintsを作成し、Artifacts（リソースグループ、ロール、ポリシー、ARMテンプレート）を追加し、保存・公開する手順を理解できました。

次の章では、PowerShellを使って作成したBlueprintを複数のサブスクリプションへ適用する方法について解説します。

複数サブスクリプションへの適用方法

Azure Blueprintsを作成し公開した後、複数のサブスクリプションに対して適用するには、Blueprintの割り当て（Assignment）を行います。PowerShellを使用して、スクリプトを実行することで、複数のサブスクリプションに対して一括適用できます。

1. Blueprintの適用（Assignment）の概要

Blueprintの適用（Assignment）は、指定したサブスクリプションにBlueprintを適用する処理です。これにより、定義されたポリシーやリソースが各サブスクリプションに自動で適用されます。

適用時には以下の情報が必要になります。

Blueprint名（作成済みのBlueprintの名前）
Blueprintのバージョン（適用するバージョン）
適用先サブスクリプションID
必要に応じてパラメータ設定

2. 単一サブスクリプションへの適用

まず、特定の1つのサブスクリプションへBlueprintを適用する場合のPowerShellスクリプトを紹介します。

# 変数の設定
$blueprintName = "Company-Standard-Blueprint"
$subscriptionId = "<適用対象のサブスクリプションID>"
$version = "1.0"
$assignmentName = "Blueprint-Assignment"

# Blueprintの適用
New-AzBlueprintAssignment -Name $assignmentName `
    -BlueprintName $blueprintName `
    -SubscriptionId $subscriptionId `
    -BlueprintVersion $version

このコマンドを実行すると、指定したサブスクリプションにBlueprintが適用され、設定されたリソースグループやポリシーが展開されます。

3. 複数のサブスクリプションへ一括適用

企業環境では、複数のサブスクリプションに対して同じBlueprintを適用するケースが多くあります。
その場合、ループ処理を使用して一括適用することが可能です。

# 適用対象のサブスクリプション一覧を設定
$subscriptionIds = @("<サブスクリプションID1>", "<サブスクリプションID2>", "<サブスクリプションID3>")
$blueprintName = "Company-Standard-Blueprint"
$version = "1.0"

# 各サブスクリプションにBlueprintを適用
foreach ($subscriptionId in $subscriptionIds) {
    $assignmentName = "Blueprint-Assignment-" + $subscriptionId

    Write-Host "Applying Blueprint to Subscription: $subscriptionId"

    New-AzBlueprintAssignment -Name $assignmentName `
        -BlueprintName $blueprintName `
        -SubscriptionId $subscriptionId `
        -BlueprintVersion $version
}

このスクリプトでは、$subscriptionIds に複数のサブスクリプションIDを指定し、foreachループを用いて一括適用しています。
各サブスクリプションに対して個別の適用処理を実行するため、大規模な環境でも効率的に管理できます。

4. Blueprint適用の確認

Blueprintが正しく適用されたかを確認するには、以下のコマンドを実行します。

# 特定のサブスクリプションで適用されたBlueprintを確認
Get-AzBlueprintAssignment -SubscriptionId "<適用対象のサブスクリプションID>"

また、適用中のBlueprintのステータスを確認するには、次のコマンドを使用します。

# Blueprintの適用状況を取得
Get-AzBlueprintAssignment -SubscriptionId "<適用対象のサブスクリプションID>" | Select-Object Name, ProvisioningState

ステータスには以下のような値が表示されます。

Succeeded：適用が成功
Failed：適用が失敗
Provisioning：適用中

5. Blueprint適用の解除（Unassignment）

適用したBlueprintを削除（解除）する場合は、以下のコマンドを使用します。

# Blueprintの適用を解除
Remove-AzBlueprintAssignment -Name "Blueprint-Assignment" -SubscriptionId "<適用対象のサブスクリプションID>"

このコマンドを実行すると、Blueprintの適用が解除されますが、デプロイされたリソースは削除されません。リソースを削除する場合は、別途手動で削除する必要があります。

まとめ

本章では、Azure PowerShellを用いてBlueprintを単一または複数のサブスクリプションに適用する方法について解説しました。

New-AzBlueprintAssignment コマンドでサブスクリプションに適用
foreach ループを活用し、複数のサブスクリプションに一括適用
Get-AzBlueprintAssignment で適用状況を確認
必要に応じて Remove-AzBlueprintAssignment で適用解除

次の章では、Blueprintのバージョン管理と更新方法について解説します。

Blueprintのバージョン管理と更新方法

Azure Blueprintsを長期的に活用するためには、バージョン管理と更新方法を理解することが重要です。Blueprintのバージョンを適切に管理することで、環境の変更を安全に適用し、サブスクリプション全体の一貫性を保つことができます。

1. Blueprintのバージョン管理の概要

Azure Blueprintsは、Blueprintの各バージョンを保持し、異なる環境（開発・本番など）で異なるバージョンを適用できるようになっています。バージョン管理を行うことで、以下のメリットがあります。

変更の追跡が可能：以前のバージョンに戻すことができる
安定したデプロイ：新しいバージョンを適用する前にテスト環境で検証できる
環境ごとに異なる設定が可能：開発環境と本番環境で異なるバージョンを適用

2. Blueprintのバージョンを確認する

現在利用可能なBlueprintのバージョンを一覧表示するには、以下のPowerShellコマンドを実行します。

# サブスクリプション内のBlueprintのバージョン一覧を取得
Get-AzBlueprint -Name "Company-Standard-Blueprint" -SubscriptionId "<サブスクリプションID>" | Select-Object Name, Version

これにより、作成済みのBlueprintのバージョンリストを取得できます。

3. 新しいBlueprintのバージョンを作成する

Blueprintを更新するには、新しいバージョンを作成し、それを公開する必要があります。

# 新しいバージョンのBlueprintを公開
Publish-AzBlueprint -Name "Company-Standard-Blueprint" `
    -SubscriptionId "<サブスクリプションID>" `
    -Version "1.1" `
    -Description "セキュリティポリシーを追加"

このコマンドにより、Blueprintの新しいバージョン1.1が作成されます。新バージョンが公開されると、既存のサブスクリプションに適用可能になります。

4. Blueprintのバージョンを更新する（再適用）

新しいバージョンを適用するには、BlueprintのAssignment（割り当て）を更新する必要があります。

# 新しいバージョンのBlueprintを適用（既存のサブスクリプションに更新）
Set-AzBlueprintAssignment -Name "Blueprint-Assignment" `
    -BlueprintName "Company-Standard-Blueprint" `
    -SubscriptionId "<サブスクリプションID>" `
    -BlueprintVersion "1.1"

このコマンドを実行すると、Blueprintが新しいバージョン（1.1）に更新され、サブスクリプションに適用されます。

5. 特定のバージョンのBlueprintをロールバック（ダウングレード）する

もし、新しいバージョンのBlueprintが問題を引き起こした場合、以前のバージョンに戻す（ロールバック）ことができます。

# 旧バージョンのBlueprintを適用
Set-AzBlueprintAssignment -Name "Blueprint-Assignment" `
    -BlueprintName "Company-Standard-Blueprint" `
    -SubscriptionId "<サブスクリプションID>" `
    -BlueprintVersion "1.0"

このコマンドを実行すると、Blueprintがバージョン1.0に戻り、サブスクリプションに再適用されます。

6. 古いBlueprintのバージョンを削除する

不要になったBlueprintのバージョンを削除することも可能です。

# 特定のバージョンのBlueprintを削除
Remove-AzBlueprint -Name "Company-Standard-Blueprint" `
    -SubscriptionId "<サブスクリプションID>" `
    -Version "1.0"

注意:

削除すると、そのバージョンのBlueprintは復元できません。
削除する前に、割り当てられているサブスクリプションがないか確認しましょう。

まとめ

本章では、Azure Blueprintsのバージョン管理と更新方法について解説しました。

Publish-AzBlueprint を使って新しいバージョンを作成
Set-AzBlueprintAssignment を使って新しいバージョンを適用
Set-AzBlueprintAssignment で旧バージョンにロールバック可能
Remove-AzBlueprint で不要なバージョンを削除

次の章では、PowerShellスクリプトの実行例とエラーハンドリングについて解説します。

PowerShellスクリプトの実行例とエラーハンドリング

Azure BlueprintsをPowerShellで適用する際、適切なスクリプトの記述とエラーハンドリングを行うことで、エラー発生時の影響を最小限に抑え、安定したデプロイを実現できます。本章では、実際のスクリプト例と、発生しやすいエラーとその対策について解説します。

1. Azure Blueprintsの適用スクリプト（完全版）

以下は、Azure Blueprintsを作成・公開し、複数のサブスクリプションに適用するまでの完全なスクリプト例です。

# 変数の定義
$blueprintName = "Company-Standard-Blueprint"
$subscriptionIds = @("<サブスクリプションID1>", "<サブスクリプションID2>")
$version = "1.0"

# Azureにサインイン
Connect-AzAccount

# 各サブスクリプションにBlueprintを適用
foreach ($subscriptionId in $subscriptionIds) {
    try {
        # Blueprintの適用
        $assignmentName = "Blueprint-Assignment-" + $subscriptionId
        Write-Host "Applying Blueprint to Subscription: $subscriptionId"

        New-AzBlueprintAssignment -Name $assignmentName `
            -BlueprintName $blueprintName `
            -SubscriptionId $subscriptionId `
            -BlueprintVersion $version

        Write-Host "Blueprint applied successfully to Subscription: $subscriptionId"
    } catch {
        Write-Host "Error applying Blueprint to Subscription: $subscriptionId"
        Write-Host "Error Message: $_"
    }
}

このスクリプトでは、複数のサブスクリプションにBlueprintを適用する処理を実装し、エラーハンドリングを追加しています。
try-catch を使用して、万が一エラーが発生しても、どのサブスクリプションでエラーが発生したかを表示し、スクリプトの実行が継続するようになっています。

2. 発生しやすいエラーと対策

Azure Blueprintsの適用時に発生しやすいエラーと、その対応策を以下に示します。

エラー	原因	対応策
`AuthenticationFailed`	Azureへのログインが未完了	`Connect-AzAccount` を実行し、正しいアカウントで認証
`AuthorizationFailed`	必要な権限が不足	`Get-AzRoleAssignment` でユーザーの権限を確認し、`Blueprint Contributor` ロールを付与
`BlueprintNotFound`	指定したBlueprintが存在しない	`Get-AzBlueprint` でBlueprintの名前を確認し、正しい名前を指定
`InvalidSubscription`	適用先のサブスクリプションが無効	`Get-AzSubscription` で利用可能なサブスクリプションを確認
`ResourceNotFound`	参照するポリシーやリソースが存在しない	`Get-AzResource` でリソースが存在するか確認

エラーの詳細を表示する

PowerShellの $_.Exception.Message を使用すると、エラーの詳細を確認できます。

catch {
    Write-Host "Error Message: $($_.Exception.Message)"
}

3. 適用結果の確認

適用したBlueprintが正しく動作しているかを確認するために、適用済みのBlueprintの一覧を取得できます。

# サブスクリプション内の適用済みBlueprintを確認
Get-AzBlueprintAssignment -SubscriptionId "<サブスクリプションID>"

特定のサブスクリプションに適用されているBlueprintのステータスを確認するには、以下のコマンドを実行します。

# 適用されたBlueprintのステータスを取得
Get-AzBlueprintAssignment -SubscriptionId "<サブスクリプションID>" | Select-Object Name, ProvisioningState

主なステータス

Succeeded → Blueprintの適用成功
Failed → Blueprintの適用失敗
Provisioning → 適用中

4. 適用のログをファイルに出力する

Blueprintの適用結果をログファイルとして保存し、後で確認できるようにすることも可能です。

# ログファイルのパス
$logFilePath = "C:\Logs\Blueprint-Deployment-Log.txt"

# Blueprint適用の結果をログに記録
foreach ($subscriptionId in $subscriptionIds) {
    try {
        $assignmentName = "Blueprint-Assignment-" + $subscriptionId
        Write-Host "Applying Blueprint to Subscription: $subscriptionId"

        New-AzBlueprintAssignment -Name $assignmentName `
            -BlueprintName $blueprintName `
            -SubscriptionId $subscriptionId `
            -BlueprintVersion $version

        $logMessage = "[$(Get-Date)] Blueprint applied successfully to Subscription: $subscriptionId"
        Add-Content -Path $logFilePath -Value $logMessage
    } catch {
        $logMessage = "[$(Get-Date)] Error applying Blueprint to Subscription: $subscriptionId - $_"
        Add-Content -Path $logFilePath -Value $logMessage
    }
}

これにより、Blueprintの適用ログが C:\Logs\Blueprint-Deployment-Log.txt に記録されます。
後で適用状況を確認したい場合に便利です。

まとめ

本章では、PowerShellを使ったBlueprint適用スクリプトの実例と、エラーハンドリングの方法について解説しました。

try-catch を使用してエラー処理を実装し、スクリプトの実行を継続可能に
$_.Exception.Message でエラーメッセージを取得し、詳細を確認
Get-AzBlueprintAssignment で適用状況を確認し、ステータスをチェック
Add-Content を利用し、Blueprintの適用ログをファイルに記録

次の章では、企業環境でのAzure Blueprintsの応用例について解説します。

応用例：企業環境でのAzure Blueprints活用

Azure Blueprintsは、企業のクラウドガバナンスを強化し、一貫した環境構築を可能にする強力なツールです。本章では、実際の企業環境におけるAzure Blueprintsの活用方法について、具体的なシナリオを紹介します。

1. 企業のセキュリティポリシー適用

シナリオ:
ある企業では、Azure環境のセキュリティを強化するために、全サブスクリプションで統一されたセキュリティポリシーを適用したいと考えています。

解決策:
Azure Blueprintsを利用し、以下のポリシーをすべてのAzureサブスクリプションに自動適用します。

Azure Security Centerの有効化
ストレージアカウントの暗号化必須
仮想マシン（VM）の診断ログ保存
ネットワークセキュリティグループ（NSG）の適用

PowerShellスクリプト例（セキュリティポリシー適用）

# Blueprint名と適用先サブスクリプション
$blueprintName = "Security-Compliance-Blueprint"
$subscriptionIds = @("<サブスクリプションID1>", "<サブスクリプションID2>")
$version = "1.0"

# 各サブスクリプションに適用
foreach ($subscriptionId in $subscriptionIds) {
    New-AzBlueprintAssignment -Name "Security-Blueprint-$subscriptionId" `
        -BlueprintName $blueprintName `
        -SubscriptionId $subscriptionId `
        -BlueprintVersion $version
}

2. 統一された開発環境の展開

シナリオ:
開発チームがバラバラの環境で作業しているため、リソースの設定やアクセス権限が統一されていない。環境の違いが原因でトラブルが発生し、開発効率が低下している。

解決策:
Azure Blueprintsを使用し、開発用の共通環境を自動デプロイする。

適用する構成:

開発リソースグループの作成
仮想ネットワーク（VNet）の自動設定
Azure DevOps接続の設定
RBAC（開発者向けのアクセス権）適用

PowerShellスクリプト例（開発環境のデプロイ）

$blueprintName = "Dev-Environment-Blueprint"
$subscriptionId = "<開発用サブスクリプションID>"
$version = "2.0"

New-AzBlueprintAssignment -Name "DevEnv-Assignment" `
    -BlueprintName $blueprintName `
    -SubscriptionId $subscriptionId `
    -BlueprintVersion $version

このスクリプトにより、開発者が統一された環境で作業できるようになります。

3. マルチサブスクリプションのコンプライアンス管理

シナリオ:
企業全体のAzure環境で、監査基準に準拠するために、すべてのサブスクリプションでコンプライアンスチェックを実施する必要がある。

解決策:
Azure Blueprintsを利用して、コンプライアンスチェックの自動化を実施。以下のルールを適用する。

ログ監査の有効化
Azure Policyによるリソースの制限
リージョン外リソースの禁止
すべてのリソースにタグを付与（例: “Environment=Production”）

PowerShellスクリプト例（コンプライアンス適用）

$blueprintName = "Compliance-Blueprint"
$subscriptionIds = @("<サブスクリプションID1>", "<サブスクリプションID2>", "<サブスクリプションID3>")
$version = "3.0"

foreach ($subscriptionId in $subscriptionIds) {
    New-AzBlueprintAssignment -Name "Compliance-Assignment-$subscriptionId" `
        -BlueprintName $blueprintName `
        -SubscriptionId $subscriptionId `
        -BlueprintVersion $version
}

このスクリプトを実行することで、すべてのAzure環境に統一されたコンプライアンス基準を適用できます。

4. 運用の自動化（CI/CDパイプラインと連携）

シナリオ:
インフラ管理チームがAzure環境を手動で構築しており、デプロイ作業に時間がかかる。変更の適用漏れも発生しやすい。

解決策:
Azure DevOpsのCI/CDパイプラインと組み合わせて、Infrastructure as Code（IaC）としてBlueprintを適用する。

具体的な構成:

Azure DevOpsのパイプラインにPowerShellスクリプトを組み込む
Blueprintの更新をコード管理（Git）で行い、自動適用
デプロイ完了後、運用チームに通知を送る（Teams連携）

Azure DevOps YAMLファイルの例

stages:
- stage: ApplyBlueprint
  jobs:
  - job: ApplyBlueprint
    pool:
      vmImage: 'windows-latest'
    steps:
    - task: AzurePowerShell@5
      inputs:
        azureSubscription: 'AzureServiceConnection'
        ScriptType: 'InlineScript'
        Inline: |
          New-AzBlueprintAssignment -Name "CI-CD-Blueprint" `
            -BlueprintName "CI-CD-Standard" `
            -SubscriptionId "$(SubscriptionID)" `
            -BlueprintVersion "1.0"

このパイプラインを使用すると、コードをプッシュするだけで、Azure環境に自動でBlueprintが適用されます。

まとめ

本章では、企業環境でのAzure Blueprintsの応用例について解説しました。

セキュリティポリシー適用 → 組織全体で統一したセキュリティ基準を適用
開発環境の標準化 → 開発者が同じ環境で作業できるようにリソースを一括設定
コンプライアンスの自動管理 → 監査基準を満たすためのルールを適用
CI/CDパイプラインとの連携 → DevOpsと統合してInfrastructure as Code（IaC）を実現

次の章では、本記事のまとめを行います。

まとめ

本記事では、PowerShellを使用してAzure Blueprintsを作成し、複数のサブスクリプションに適用する方法について詳しく解説しました。

主なポイント

Azure Blueprintsの概要

サブスクリプション単位で統一されたポリシーやリソース管理を行うためのツール。
リソースグループ、RBAC（ロール割り当て）、Azure Policy、ARMテンプレートを組み合わせて環境を構築できる。

PowerShellによるAzure Blueprintsの作成と適用

New-AzBlueprint を使ってBlueprintを作成し、Publish-AzBlueprint で公開。
New-AzBlueprintAssignment でサブスクリプションに適用。
Set-AzBlueprintAssignment でBlueprintのバージョン更新が可能。

複数のサブスクリプションへの一括適用

PowerShellの foreach ループを使用して、複数のサブスクリプションへ適用可能。
適用状況を Get-AzBlueprintAssignment で確認し、エラーハンドリングも実装。

応用例（実際の企業環境での活用）

セキュリティポリシーの適用（Azure Security Centerやストレージ暗号化の強制）
開発環境の統一（仮想ネットワークやRBAC設定の標準化）
コンプライアンス管理（リージョン制限やログ監査の自動化）
CI/CDパイプラインとの統合（Azure DevOpsと組み合わせたInfrastructure as Codeの実装）

Azure Blueprintsの活用で得られるメリット

✅ 一貫性のある環境を構築：複数のAzureサブスクリプションに統一された設定を適用可能。
✅ 運用の自動化と効率化：PowerShellやCI/CDを活用して手作業を減らし、ミスを防止。
✅ ガバナンスとセキュリティの強化：ポリシー適用によりコンプライアンス違反を防ぐ。

本記事の内容を活用し、Azure環境の標準化と効率的な管理を実現してください。