共用方式為


Azure Lighthouse 範例

下表包含適用於 Azure Lighthouse 的 Azure Resource Manager 主要範本連結。 您也可在 Azure Lighthouse 範例存放庫中找到這些檔案及其他更多資訊。

讓客戶上線

我們提供不同的範本來解決特定的上線案例。 請務必修改參數檔案以反映您的環境。 如需如何在部署中使用這些檔案的詳細資訊,請參閱讓客戶在 Azure Lighthouse 上線

範本 說明
訂用帳戶 讓客戶的訂用帳戶在 Azure Lighthouse 上線 您必須針對每個訂用帳戶個別執行部署。
rg 和 multi-rg 讓一或多個客戶的資源群組在 Azure Lighthouse 上線。 使用 rg.json 來讓單一資源群組上線,或使用 multi-rg.json 將訂用帳戶內的多個資源群組上線。
marketplace-delegated-resource-management 如果您 將受控服務供應項目發佈至 Azure Marketplace,您可以選擇性地使用此範本將資源上線給接受供應項目的客戶。 參數檔案中的 marketplace 值必須符合您在發佈供應項目時所使用的值。

若要包含合格的授權,請從範例存放庫的 delegated-resource-management-eligible-authorizations 區段中,選取對應的範本。

一般來說,每個要上線的訂用帳戶都需要個別部署,但您也可以跨多個訂用帳戶部署範本。

範本 說明
cross-subscription-deployment 跨多個訂用帳戶部署 Azure Resource Manager 範本。

提示

雖然您無法在單一部署中將整個管理群組上線,但仍可部署原則以將管理群組中的個別訂閱上線

Azure 原則

這些範例示範如何使用 Azure 原則搭配已上線至 Azure Lighthouse 的訂用帳戶。

範本 說明
policy-add-or-replace-tag 指派原則,以將標籤新增到委派的訂用帳戶,或從委派的訂用帳戶移除標籤 (使用修改效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則
policy-allow-certain-managing-tenants 指派原則,將 Azure Lighthouse 委派限制於特定的管理租用戶。
policy-audit-delegation 指派會稽核委派指派的原則。
policy-delegate-management-groups 指派原則以確認管理群組內的 訂用帳戶會委派給管理租用戶,如果不是,則會建立指派。
policy-enforce-keyvault-monitoring 指派原則,以便在委派的訂用帳戶中啟用 Azure Key Vault 資源的診斷功能 (使用 deployIfNotExists 效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則
policy-enforce-sub-monitoring 指派數個原則,以便診斷委派的訂用帳戶,並將所有 Windows 和 Linux VN 連線到原則所建立的 Log Analytics 工作區。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則
policy-initiative 原則方案 (多個相關原則定義) 套用至委派的訂用帳戶。

Azure 監視器

這些範例示範如何使用 Azure 監視器來建立已上線至 Azure Lighthouse 之訂用帳戶的警示。

範本 說明
monitor-delegation-changes 查詢管理租用戶中的過去一天活動,並 報告任何新增或移除的委派 (或未成功的嘗試)。
alert-using-actiongroup 建立 Azure 警示,並連線到現有的動作群組。
multiple-loganalytics-alerts 建立多個以 Kusto 查詢為基礎的記錄警示。
delegation-alert-for-customer 當使用者將訂用帳戶委派給管理租用戶時,在租用戶中部署警示。
workbook-activitylogs-by-domain 顯示訂用帳戶之間的 Azure 活動記錄,並有選項可讓您依網域名稱篩選這些記錄。

其他跨租用戶案例

這些範例說明可在跨租使用者管理案例中執行的各種工作。

範本 說明
create-keyvault-secret 在客戶的租用戶中建立金鑰保存庫並建立存取原則。
cross-rg-deployment 將儲存體帳戶部署到兩個不同的資源群組中。
deploy-azure-mgmt-services 建立 Azure 管理服務、將它們連結在一起,以及部署解決方案。 針對端對端部署,請使用 rgWithAzureMgmt.json 範本。
deploy-azure-security-center 在目標 Azure 訂用帳戶內啟用及設定適用於雲端的 Microsoft Defender。
deploy-azure-sentinel 在委派訂用帳戶中的現有 Log Analytics 工作區上部署並啟用 Microsoft Sentinel。
deploy-log-analytics-vm-extensions 可讓您將 Log Analytics VM 延伸模組部署到 Windows 和 Linux VM,並將其連線到指定的 Log Analytics 工作區。

下一步