閱讀英文

共用方式為

Azure Lighthouse 示例

下表包含 Azure Lighthouse 的关键 Azure 资源管理器模板的链接。 这些文件以及其他内容还可在 Azure Lighthouse 示例存储库中找到。

加入客户

我们提供了不同的模板来处理特定载入方案。 请确保修改参数文件以反映你的环境。 要详细了解如何在部署中使用这些文件,请参阅将客户加入 Azure Lighthouse

模板 说明
订阅 将客户的订阅加入 Azure Lighthouse。 必须为每个订阅执行单独的部署。
rg 和 multi-rg 将客户的一个或多个资源组加入 Azure Lighthouse。 使用 rg.json 加入单个资源组,或使用 multi-rg.json 加入一个订阅中的多个资源组。
marketplace-delegated-resource-management 如果已向 Azure 市场发布托管服务产品,可选择性地使用此模板为接受了该产品的客户载入资源。 参数文件中的 marketplace 值必须与发布产品时使用的值匹配。

通常,每个载入的订阅都需要单独部署,但你也可以跨多个订阅部署模板。

模板 说明
跨订阅部署 跨多个订阅部署 Azure 资源管理器模板。

提示

虽然无法在一个部署中加入整个管理组,但你可以部署策略以在管理组中加入每个订阅

Azure Policy

这些示例演示如何对已加入 Azure Lighthouse 的订阅使用 Azure Policy。

模板 说明
策略添加或替换标签 分配一个策略,该策略为委派的订阅添加或删除标记(使用 modify 效果)。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略
允许某些管理租户的政策 分配将 Azure Lighthouse 委派限制为特定管理租户的策略。
策略审核委托 分配一个用于审核委派分配的策略。
策略委托管理组 分配一个策略来确认已将管理组中的订阅委托给管理租户;如果未委托,则创建分配。
策略-强制-密钥库-监控 分配一个策略,该策略对委托订阅中的 Azure Key Vault 资源启用诊断(使用 deployIfNotExists 效果)。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略
策略强制子监控 分配几个策略,以便对委派的订阅启用诊断,并将所有 Windows VM 和 Linux VM 连接到按策略创建的 Log Analytics 工作区。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略
政策倡议 策略计划(多个相关的策略定义)应用于委派的订阅。

Azure Monitor

这些示例演示如何使用 Azure Monitor 为已载入 Azure Lighthouse 的订阅创建警报。

模板 说明
监控委托变更 查询管理租户中过去一天的活动,并报告有关任何已添加或已删除委派的信息(或有关失败尝试的信息)。
alert-using-actiongroup 创建一个 Azure 警报并连接到现有操作组。
multiple-loganalytics-alerts 基于 Kusto 查询创建多个日志警报。
客户委托警报 当用户将订阅委派给管理租户时在租户中部署警报。
工作簿-按域活动日志 显示不同订阅之间的 Azure 活动日志,并提供按域名对其进行筛选的选项。

其他跨租户方案

这些示例说明了可在跨租户管理方案中执行的各种任务。

模板 说明
create-keyvault-secret 在客户的租户中创建一个 Key Vault 并创建访问策略。
cross-rg-deployment 将存储帐户部署到两个不同的资源组中。
deploy-azure-mgmt-services 创建 Azure 管理服务,将它们链接在一起并部署解决方案。 对于端到端部署,请使用 rgWithAzureMgmt.json 模板。
deploy-azure-security-center 在目标 Azure 订阅中启用和配置 Microsoft Defender for Cloud。
deploy-azure-sentinel 在委托订阅中的现有 Log Analytics 工作区上部署并启用 Microsoft Sentinel。
deploy-log-analytics-vm-extensions 使你可将 Log Analytics VM 扩展部署到 Windows VM 和 Linux VM,并将其连接到指定的 Log Analytics 工作区。

后续步骤