Esempi di Azure Lighthouse
La tabella seguente include collegamenti ai modelli di Azure Resource Manager per Azure Lighthouse. Questi e altri file sono anche disponibili nel repository di esempi di Azure Lighthouse.
Eseguire l'onboarding dei clienti
Sono disponibili diversi modelli in base a specifici scenari di onboarding. Scegliere l'opzione più indicata e assicurarsi di modificare il file dei parametri in base all'ambiente. Per altre informazioni su come usare questi file nella distribuzione, vedere Eseguire l'onboarding dei clienti in Azure Lighthouse.
| Modello | Descrizione |
|---|---|
| sottoscrizione | Eseguire l'onboarding della sottoscrizione di un cliente in Azure Lighthouse Per ogni sottoscrizione è necessario eseguire una distribuzione diversa. |
| rg e multi-rg | Eseguire l'onboarding di uno o più gruppi di risorse di un cliente in Azure Lighthouse. Usare rg.json per eseguire l'onboarding di un singolo gruppo di risorse oppure usare multi-rg.json per eseguire l'onboarding di più gruppi di risorse in una sottoscrizione. |
| marketplace-delegated-resource-management | Se è stata pubblicata un'offerta di servizi gestiti in Azure Marketplace, facoltativamente è possibile usare questo modello per eseguire l'onboarding delle risorse per i clienti che l'hanno accettata. I valori del marketplace nel file di parametri devono corrispondere ai valori usati quando è stata pubblicata l'offerta. |
Per includere le autorizzazioni idonee, selezionare il modello corrispondente nella sezione delegated-resource-management-eligible-authorizations del repository di esempi.
In genere per ogni sottoscrizione di cui si esegue l'onboarding è necessaria una distribuzione distinta, ma è anche possibile distribuire i modelli in più sottoscrizioni.
| Modello | Descrizione |
|---|---|
| cross-subscription-deployment | Distribuisce modelli di Azure Resource Manager tra più sottoscrizioni. |
Suggerimento
Anche se non è possibile eseguire l'onboarding di un intero gruppo di gestione in una sola distribuzione, è possibile distribuire un criterio per eseguire l'onboarding di ogni sottoscrizione in un gruppo di gestione.
Criteri di Azure
Questi esempi illustrano come usare Criteri di Azure con le sottoscrizioni di cui è stato eseguito l'onboarding in Azure Lighthouse.
| Modello | Descrizione |
|---|---|
| policy-add-or-replace-tag | Assegna un criterio che aggiunge o rimuove un tag (usando l'effetto modify) in una sottoscrizione delegata. Per altre informazioni, vedere Distribuire un criterio che è possibile correggere all'interno di una sottoscrizione delegata. |
| policy-allow-certain-managing-tenants | Assegna un criterio limitando le deleghe di Azure Lighthouse a tenant di gestione specifici. |
| policy-audit-delegation | Assegna un criterio che controlla le assegnazioni di delega. |
| policy-delegate-management-groups | Assegna un criterio per verificare che le sottoscrizioni all'interno di un gruppo di gestione siano state delegate a un tenant di gestione e, in caso contrario, crei l'assegnazione. |
| policy-enforce-keyvault-monitoring | Assegna un criterio che abilita la diagnostica per le risorse di Azure Key Vault in una sottoscrizione delegata (usando l'effetto deployIfNotExists). Per altre informazioni, vedere Distribuire un criterio che è possibile correggere all'interno di una sottoscrizione delegata. |
| policy-enforce-sub-monitoring | Assegna diversi criteri per abilitare la diagnostica in una sottoscrizione delegata e connette tutte le VM Windows e Linux all'area di lavoro Log Analytics creata dal criterio. Per altre informazioni, vedere Distribuire un criterio che è possibile correggere all'interno di una sottoscrizione delegata. |
| policy-initiative | Applica un'iniziativa (più definizioni di criteri correlate) a una sottoscrizione delegata. |
Monitoraggio di Azure
Questi esempi illustrano come usare Monitoraggio di Azure per creare avvisi per le sottoscrizioni di cui è stato eseguito l'onboarding in Azure Lighthouse.
| Modello | Descrizione |
|---|---|
| monitor-delegation-changes | Esegue una query sull'ultimo giorno dell'attività in un tenant di gestione e segnala eventuali deleghe aggiunte o rimosse (o tentativi non riusciti). |
| alert-using-actiongroup | Crea un avviso di Azure e si connette a un gruppo di azioni esistente. |
| multiple-loganalytics-alerts | Crea più avvisi di log in base alle query Kusto. |
| delegation-alert-for-customer | Distribuisce un avviso in un tenant quando un utente delega una sottoscrizione a un tenant per la gestione. |
| workbook-activitylogs-by-domain | Visualizza i log attività di Azure tra sottoscrizioni con un'opzione per filtrare in base a nome di dominio. |
Altri scenari tra tenant
Questi esempi illustrano varie attività che è possibile eseguire in scenari di gestione tra tenant.
| Modello | Descrizione |
|---|---|
create-keyvault-secret |
Crea un'istanza di Key Vault nel tenant del cliente e definisce i criteri di accesso. |
cross-rg-deployment |
Distribuisce account di archiviazione in due gruppi di risorse diversi. |
deploy-azure-mgmt-services |
Crea servizi di gestione di Azure, li collega e distribuisce soluzioni aggiuntive. Per una distribuzione end-to-end, usare il modello rgWithAzureMgmt.json. |
deploy-azure-security-center |
Abilita e configura Microsoft Defender per il cloud all'interno della sottoscrizione di Azure di destinazione. |
deploy-azure-sentinel |
Distribuisce e abilita Microsoft Sentinel in un'area di lavoro Log Analytics esistente in una sottoscrizione delegata. |
deploy-log-analytics-vm-extensions |
Consente di distribuire le estensioni vm di Log Analytics nelle macchine virtuali Windows e Linux, connettendole all'area di lavoro Log Analytics designata. |
Passaggi successivi
- Informazioni su architettura e concetti tecnici di Azure Lighthouse.
- Esplorare il Repository di esempi di Azure Lighthouse.