Azure Lighthouse 示例

下表包含 Azure Lighthouse 的关键 Azure 资源管理器模板的链接。这些文件以及其他内容还可在 Azure Lighthouse 示例存储库中找到。

将客户加入 Azure Lighthouse 的示例模板

我们提供了不同的模板来处理特定载入方案。请确保修改参数文件以反映你的环境。有关如何在部署中使用这些文件的详细信息，请参阅将客户载入 Azure Lighthouse。

模板	说明
订阅	将客户的订阅加入 Azure Lighthouse。必须为每个订阅执行单独的部署。
rg 和 multi-rg	将客户的一个或多个资源组加入 Azure Lighthouse。使用 rg.json 加入单个资源组，或使用 multi-rg.json 加入一个订阅中的多个资源组。
marketplace-delegated-resource-management	如果已向 Azure 市场发布托管服务产品，可选择性地使用此模板为接受了该产品的客户载入资源。参数文件中的 marketplace 值必须与发布产品时使用的值匹配。

通常，每个要载入的订阅都需要单独的部署，但也可以使用以下示例跨多个订阅部署模板。

模板	说明
跨订阅部署	跨多个订阅部署 Azure 资源管理器模板。

提示

不能在一个部署中加入整个管理组，但可以部署一个策略，用于将每个订阅加入到管理组中。

这些示例演示如何对已加入 Azure Lighthouse 的订阅使用 Azure Policy。

模板	说明
策略添加或替换标签	分配一个策略，该策略为委派的订阅添加或删除标记（使用 modify 效果）。有关详细信息，请参阅部署可以在委派的订阅中修正的策略。
允许某些管理租户的政策	分配将 Azure Lighthouse 委派限制为特定管理租户的策略。
策略审核委托	分配一个用于审核委派分配的策略。
策略委托管理组	分配一个策略来确认已将管理组中的订阅委托给管理租户；如果未委托，则创建分配。
策略-强制-密钥库-监控	分配一个策略，该策略对委托订阅中的 Azure Key Vault 资源启用诊断（使用 deployIfNotExists 效果）。有关详细信息，请参阅部署可以在委派的订阅中修正的策略。
策略强制子监控	分配几个策略，以便对委派的订阅启用诊断，并将所有 Windows VM 和 Linux VM 连接到按策略创建的 Log Analytics 工作区。有关详细信息，请参阅部署可以在委派的订阅中修正的策略。
政策倡议	将策略计划（多个相关的策略定义）应用于委派的订阅。

这些示例演示如何使用 Azure Monitor 为已载入 Azure Lighthouse 的订阅创建警报。

模板	说明
监控委托变更	查询管理租户中的过去一天的活动，并报告任何添加或删除的委派以及未成功的任何尝试。
alert-using-actiongroup	创建一个 Azure 警报并连接到现有操作组。
multiple-loganalytics-alerts	基于 Kusto 查询创建多个日志警报。
客户委托警报	当用户将订阅委派给管理租户时在租户中部署警报。
工作簿-按域活动日志	显示不同订阅之间的 Azure 活动日志，并提供按域名对其进行筛选的选项。

这些示例说明了可在跨租户管理方案中执行的各种任务。

模板	说明
`create-keyvault-secret`	在客户的租户中创建一个 Key Vault 并创建访问策略。
`cross-rg-deployment`	将存储帐户部署到两个不同的资源组中。
`deploy-azure-mgmt-services`	创建 Azure 管理服务，将它们链接在一起并部署解决方案。对于端到端部署，请使用 rgWithAzureMgmt.json 模板。
`deploy-azure-security-center`	在目标 Azure 订阅中启用和配置 Microsoft Defender for Cloud。
`deploy-azure-sentinel`	在委托订阅中的现有 Log Analytics 工作区上部署并启用 Microsoft Sentinel。
`deploy-log-analytics-vm-extensions`	允许将 Log Analytics VM 扩展部署到 Windows 和 Linux VM，并将其连接到 Log Analytics 工作区。