Esempi di Azure Lighthouse

La tabella seguente include collegamenti ai modelli di Azure Resource Manager per Azure Lighthouse. Questi e altri file sono anche disponibili nel repository di esempi di Azure Lighthouse.

Onboarding dei clienti in Azure Lighthouse

Sono disponibili diversi modelli in base a specifici scenari di onboarding. Scegliere l'opzione più indicata e assicurarsi di modificare il file dei parametri in base all'ambiente. Per altre informazioni su come usare questi file nella distribuzione, vedere Eseguire l'onboarding dei clienti in Azure Lighthouse.

Modello Descrizione
delegated-resource-management Eseguire l'onboarding della sottoscrizione di un cliente in Azure Lighthouse Per ogni sottoscrizione è necessario eseguire una distribuzione diversa.
rg-delegated-resource-management Eseguire l'onboarding di uno o più gruppi di risorse di un cliente in Azure Lighthouse. Usare rgDelegatedResourceManagement per un singolo gruppo di risorse oppure multipleRgDelegatedResourceManagement per eseguire l'onboarding di più gruppi di risorse nella stessa sottoscrizione.
marketplace-delegated-resource-management Se è stata pubblicata un'offerta di servizi gestiti in Azure Marketplace, facoltativamente è possibile usare questo modello per eseguire l'onboarding delle risorse per i clienti che l'hanno accettata. I valori del marketplace nel file di parametri devono corrispondere ai valori usati quando è stata pubblicata l'offerta.

In genere per ogni sottoscrizione di cui si esegue l'onboarding è necessaria una distribuzione distinta, ma è anche possibile distribuire i modelli in più sottoscrizioni.

Modello Descrizione
cross-subscription-deployment Distribuisce modelli di Azure Resource Manager tra più sottoscrizioni.

Criteri di Azure

Questi esempi illustrano come usare Criteri di Azure con le sottoscrizioni di cui è stato eseguito l'onboarding in Azure Lighthouse.

Modello Descrizione
policy-add-or-replace-tag Assegna un criterio che aggiunge o rimuove un tag (usando l'effetto modify) in una sottoscrizione delegata. Per altre informazioni, vedere Distribuire un criterio che è possibile correggere all'interno di una sottoscrizione delegata.
policy-allow-certain-managing-tenants Assegna un criterio limitando le deleghe di Azure Lighthouse a tenant di gestione specifici.
policy-audit-delegation Assegna un criterio che controlla le assegnazioni di delega.
policy-delegate-management-groups Assegna un criterio per confermare che le sottoscrizioni all'interno di un gruppo di gestione sono state delegate a un tenant di gestione e, in caso contrario, crea l'assegnazione.
policy-enforce-keyvault-monitoring Assegna un criterio che abilita la diagnostica per le risorse di Azure Key Vault in una sottoscrizione delegata (usando l'effetto deployIfNotExists). Per altre informazioni, vedere Distribuire un criterio che è possibile correggere all'interno di una sottoscrizione delegata.
policy-enforce-sub-monitoring Assegna diversi criteri per abilitare la diagnostica in una sottoscrizione delegata e connette tutte le VM Windows e Linux all'area di lavoro Log Analytics creata dal criterio. Per altre informazioni, vedere Distribuire un criterio che è possibile correggere all'interno di una sottoscrizione delegata.
policy-initiative Applica un'iniziativa (più definizioni di criteri correlate) a una sottoscrizione delegata.

Monitoraggio di Azure

Questi esempi illustrano come usare Monitoraggio di Azure per creare avvisi per le sottoscrizioni di cui è stato eseguito l'onboarding per la gestione risorse delegate di Azure.

Modello Descrizione
monitor-delegation-changes Esegue una query sull'ultimo giorno di attività in un tenant di gestione e segnala eventuali deleghe aggiunte o rimosse (o tentativi non riusciti).
alert-using-actiongroup Questo modello crea un avviso di Azure e si connette a un gruppo di azioni esistente.
multiple-loganalytics-alerts Crea più avvisi dei log basati su query Kusto.
delegation-alert-for-customer Distribuisce un avviso in un tenant quando un utente delega una sottoscrizione a un tenant per la gestione.
workbook-activitylogs-by-domain Visualizza i log attività di Azure tra sottoscrizioni con un'opzione per filtrare in base a nome di dominio.

Altri scenari tra tenant

Questi esempi illustrano varie attività che è possibile eseguire in scenari di gestione tra tenant.

Modello Descrizione
create-keyvault-secret Crea un'istanza di Key Vault nel tenant del cliente e definisce i criteri di accesso.
cross-rg-deployment Distribuisce account di archiviazione in due gruppi di risorse diversi.
deploy-azure-mgmt-services Crea servizi di gestione di Azure, li collega e distribuisce soluzioni aggiuntive. Per una distribuzione end-to-end, usare il modello rgWithAzureMgmt.json.
deploy-azure-security-center Abilita e configura Centro sicurezza di Azure all'interno della sottoscrizione di Azure di destinazione.
deploy-azure-sentinel Distribuisce e abilita Azure Sentinel in un'area di lavoro Log Analytics esistente in una sottoscrizione delegata.
deploy-log-analytics-vm-extensions Questi modelli consentono di distribuire le estensioni VM di Log Analytics nelle VM Windows e Linux, connettendole all'area di lavoro Log Analytics designata

Passaggi successivi