Azure Lighthouse サンプル
次の表は、Azure Lighthouse 用の主要な Azure Resource Manager テンプレートのリンク一覧です。 Azure Lighthouse サンプル リポジトリにはこれらのファイル以外にさらに多くのファイルが用意されています。
顧客をオンボードする
特定のオンボード シナリオに対応するさまざまなテンプレートが用意されています。 実際の環境に合わせてパラメーター ファイルを変更してください。 デプロイでこれらのファイルを使用する方法の詳細については、「Azure Lighthouse への顧客のオンボード」を参照してください。
| テンプレート | 説明 |
|---|---|
| subscription | 顧客のサブスクリプションを Azure Lighthouse にオンボードします。 デプロイは、サブスクリプションごとに個別に実行する必要があります。 |
| rg と multi-rg | 顧客の 1 つまたは複数のリソース グループを Azure Lighthouse にオンボードします。 1 つのリソース グループをオンボードするには rg.json を使用し、サブスクリプション内の複数のリソース グループをオンボードするには multi-rg.json を使用します。 |
| marketplace-delegated-resource-management | Azure Marketplace にマネージド サービス オファーを発行している場合、このオファーを承諾した顧客のリソースをオンボードするためにオプションでこのテンプレートを使用できます。 このパラメーター ファイル内の marketplace 値は、プランの発行時に使用した値と一致している必要があります。 |
適格な認可を含めるには、サンプル リポジトリの delegated-resource-management-eligible-authorizations セクションから対応するテンプレートを選択します。
通常、オンボードするサブスクリプションごとに個別に展開する必要がありますが、複数のサブスクリプションにテンプレートをデプロイすることもできます。
| テンプレート | 説明 |
|---|---|
| cross-subscription-deployment | 複数のサブスクリプションをまたいで Azure Resource Manager テンプレートをデプロイします。 |
ヒント
1 回のデプロイで管理グループ全体をオンボードすることはできませんが、管理グループ内の各サブスクリプションをオンボードするためのポリシーをデプロイすることはできます。
Azure Policy
これらのサンプルでは、Azure Lighthouse にオンボードされたサブスクリプションで Azure Policy を使用する方法を示します。
| テンプレート | 説明 |
|---|---|
| policy-add-or-replace-tag | 委任されたサブスクリプションに (modify 効果を使用して) タグを追加または削除するポリシーを割り当てます。 詳細については、委任されたサブスクリプション内での修復できるポリシーのデプロイに関する説明を参照してください。 |
| policy-allow-certain-managing-tenants | Azure Lighthouse の委任を特定の管理テナントに制限するポリシーを割り当てます。 |
| policy-audit-delegation | 委任の割り当てを監査するポリシーを割り当てます。 |
| policy-delegate-management-groups | 管理グループ内のサブスクリプションが管理テナントに委任されていることを確認するポリシーを割り当てます。そうでない場合は、割り当てを作成します。 |
| policy-enforce-keyvault-monitoring | (deployIfNotExists 効果を使用して) 委任されたサブスクリプションの Azure Key Vault リソースの診断を有効にするポリシーを割り当てます。 詳細については、委任されたサブスクリプション内での修復できるポリシーのデプロイに関する説明を参照してください。 |
| policy-enforce-sub-monitoring | 委任されたサブスクリプションに対する診断を有効にするいくつかのポリシーを割り当て、Windows と Linux のすべての VM を、このポリシーで作成された Log Analytics のワークスペースに接続します。 詳細については、委任されたサブスクリプション内での修復できるポリシーのデプロイに関する説明を参照してください。 |
| policy-initiative | 1 つのポリシー イニシアティブ (複数の関連するポリシー定義) を委任されたサブスクリプションに適用します。 |
Azure Monitor
これらのサンプルでは、Azure Monitor を使用して、Azure Lighthouse にオンボードされたサブスクリプションのためのアラートを作成する方法を示します。
| テンプレート | 説明 |
|---|---|
| monitor-delegation-changes | 管理テナント内の過去 1 日間のアクティビティを照会し、追加または削除された委任 (または、成功しなかった試行) があればレポートします。 |
| alert-using-actiongroup | Azure アラートを作成し、既存のアクション グループに接続します。 |
| multiple-loganalytics-alerts | Kusto クエリに基づいて複数のログ アラートを作成します。 |
| delegation-alert-for-customer | ユーザーが管理テナントにサブスクリプションを委任するときに、テナントにアラートをデプロイします。 |
| workbook-activitylogs-by-domain | サブスクリプション全体の Azure のアクティビティ ログを、ドメイン名でフィルター処理するオプションを使用して表示します。 |
その他のテナント間のシナリオ
これらのサンプルでは、テナント間の管理シナリオで実行できるさまざまなタスクを示しています。
| テンプレート | 説明 |
|---|---|
create-keyvault-secret |
顧客のテナントにキー コンテナーを作成し、アクセス ポリシーを作成します。 |
cross-rg-deployment |
2 つの異なるリソース グループにストレージ アカウントをデプロイします。 |
deploy-azure-mgmt-services |
Azure 管理サービスを作成し、それらをリンクし、ソリューションをデプロイします。 エンドツーエンドでデプロイする場合は、rgWithAzureMgmt.json テンプレートを使用します。 |
deploy-azure-security-center |
対象となる Azure サブスクリプション内で Microsoft Defender for Cloud を有効にし、構成します。 |
deploy-azure-sentinel |
委任されたサブスクリプションの既存の Log Analytics ワークスペースで Microsoft Sentinel をデプロイして有効にします。 |
deploy-log-analytics-vm-extensions |
Windows および Linux の VM に Log Analytics VM 拡張機能をデプロイし、指定した Log Analytics ワークスペースに接続することができます。 |
次のステップ
- Azure Lighthouse のアーキテクチャと技術的概念について参照してください。
- Azure Lighthouse のサンプル リポジトリに関するページを参照してください。