Azure Lighthouse 範例
下表包含適用於 Azure Lighthouse 的 Azure Resource Manager 主要範本連結。 您也可在 Azure Lighthouse 範例存放庫中找到這些檔案及其他更多資訊。
讓客戶上線
我們提供不同的範本來解決特定的上線案例。 請務必修改參數檔案以反映您的環境。 如需如何在部署中使用這些檔案的詳細資訊,請參閱讓客戶在 Azure Lighthouse 上線。
範本 | 說明 |
---|---|
訂用帳戶 | 讓客戶的訂用帳戶在 Azure Lighthouse 上線 您必須針對每個訂用帳戶個別執行部署。 |
rg 和 multi-rg | 讓一或多個客戶的資源群組在 Azure Lighthouse 上線。 使用 rg.json 來讓單一資源群組上線,或使用 multi-rg.json 將訂用帳戶內的多個資源群組上線。 |
marketplace-delegated-resource-management | 如果您 將受控服務供應項目發佈至 Azure Marketplace,您可以選擇性地使用此範本將資源上線給接受供應項目的客戶。 參數檔案中的 marketplace 值必須符合您在發佈供應項目時所使用的值。 |
若要包含合格的授權,請從範例存放庫的 delegated-resource-management-eligible-authorizations 區段中,選取對應的範本。
一般來說,每個要上線的訂用帳戶都需要個別部署,但您也可以跨多個訂用帳戶部署範本。
範本 | 說明 |
---|---|
cross-subscription-deployment | 跨多個訂用帳戶部署 Azure Resource Manager 範本。 |
提示
雖然您無法在單一部署中將整個管理群組上線,但仍可部署原則以將管理群組中的個別訂閱上線。
Azure 原則
這些範例示範如何使用 Azure 原則搭配已上線至 Azure Lighthouse 的訂用帳戶。
範本 | 說明 |
---|---|
policy-add-or-replace-tag | 指派原則,以將標籤新增到委派的訂用帳戶,或從委派的訂用帳戶移除標籤 (使用修改效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則。 |
policy-allow-certain-managing-tenants | 指派原則,將 Azure Lighthouse 委派限制於特定的管理租用戶。 |
policy-audit-delegation | 指派會稽核委派指派的原則。 |
policy-delegate-management-groups | 指派原則以確認管理群組內的 訂用帳戶會委派給管理租用戶,如果不是,則會建立指派。 |
policy-enforce-keyvault-monitoring | 指派原則,以便在委派的訂用帳戶中啟用 Azure Key Vault 資源的診斷功能 (使用 deployIfNotExists 效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則。 |
policy-enforce-sub-monitoring | 指派數個原則,以便診斷委派的訂用帳戶,並將所有 Windows 和 Linux VN 連線到原則所建立的 Log Analytics 工作區。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則。 |
policy-initiative | 將 原則方案 (多個相關原則定義) 套用至委派的訂用帳戶。 |
Azure 監視器
這些範例示範如何使用 Azure 監視器來建立已上線至 Azure Lighthouse 之訂用帳戶的警示。
範本 | 說明 |
---|---|
monitor-delegation-changes | 查詢管理租用戶中的過去一天活動,並 報告任何新增或移除的委派 (或未成功的嘗試)。 |
alert-using-actiongroup | 建立 Azure 警示,並連線到現有的動作群組。 |
multiple-loganalytics-alerts | 建立多個以 Kusto 查詢為基礎的記錄警示。 |
delegation-alert-for-customer | 當使用者將訂用帳戶委派給管理租用戶時,在租用戶中部署警示。 |
workbook-activitylogs-by-domain | 顯示訂用帳戶之間的 Azure 活動記錄,並有選項可讓您依網域名稱篩選這些記錄。 |
其他跨租用戶案例
這些範例說明可在跨租使用者管理案例中執行的各種工作。
範本 | 說明 |
---|---|
create-keyvault-secret |
在客戶的租用戶中建立金鑰保存庫並建立存取原則。 |
cross-rg-deployment |
將儲存體帳戶部署到兩個不同的資源群組中。 |
deploy-azure-mgmt-services |
建立 Azure 管理服務、將它們連結在一起,以及部署解決方案。 針對端對端部署,請使用 rgWithAzureMgmt.json 範本。 |
deploy-azure-security-center |
在目標 Azure 訂用帳戶內啟用及設定適用於雲端的 Microsoft Defender。 |
deploy-azure-sentinel |
在委派訂用帳戶中的現有 Log Analytics 工作區上部署並啟用 Microsoft Sentinel。 |
deploy-log-analytics-vm-extensions |
可讓您將 Log Analytics VM 延伸模組部署到 Windows 和 Linux VM,並將其連線到指定的 Log Analytics 工作區。 |