Implementar o exemplo de esquema serviços partilhados ISO 27001
Importante
A 11 de julho de 2026, o Blueprints (Pré-visualização) será preterido. Migre as definições e atribuições de esquemas existentes para As Especificações de Modelo e As Pilhas de Implementação. Os artefactos de esquema devem ser convertidos em modelos JSON do ARM ou ficheiros Bicep utilizados para definir pilhas de implementação. Para saber como criar um artefacto como um recurso do ARM, consulte:
Para implementar o exemplo de esquema dos Serviços Partilhados ISO 27001 do Azure Blueprints, devem ser efetuados os seguintes passos:
- Criar um esquema novo a partir do exemplo
- Marcar a cópia do exemplo como Publicada
- Atribuir a cópia do esquema a uma subscrição já existente
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Criar um esquema a partir de um exemplo
Primeiro, crie um esquema novo no ambiente utilizando o exemplo como ponto de partida, para implementar o esquema de exemplo.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Na página Começar à esquerda, selecione o botão Criar em Criar um esquema.
Localize o exemplo de esquema ISO 27001: Serviços Partilhados em Outros Exemplos e selecione Utilizar este exemplo.
Introduza as Informações Básicas do esquema de exemplo:
- Nome do esquema: forneça um nome para a sua cópia do exemplo de esquema serviços partilhados ISO 27001.
- Localização da definição: utilize as reticências e selecione o grupo de gestão para guardar a cópia do exemplo.
Selecione o separador Artefactos, na parte superior da página, ou Seguinte: Artefactos, na parte inferior.
Reveja a lista de artefactos que compõem o esquema de exemplo. Muitos dos artefactos têm parâmetros que vamos definir mais tarde. Quando terminar de rever o esquema de exemplo, selecione Guardar Rascunho.
Publicar a cópia do exemplo
A cópia do esquema de exemplo está agora criada no seu ambiente. Está criada no modo Rascunho e tem de ser Publicada antes de poder ser atribuída e implementada. A cópia do exemplo de esquema pode ser personalizada para o seu ambiente e necessidades, mas essa modificação pode movê-la para longe da norma ISO 27001.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a cópia do esquema de exemplo e selecione-a.
Selecione Publicar esquema, na parte superior da página. Na página nova à direita, indique uma Versão para a cópia do esquema de exemplo. Esta propriedade é útil se fizer modificações mais tarde. Indique Notas de alteração como "Primeira versão publicada a partir do exemplo de esquema ISO 27001". Em seguida, selecione Publicar na parte inferior da página.
Atribuir a cópia de exemplo
Depois de a cópia do exemplo de esquema ter sido publicada com êxito, pode ser atribuída a uma subscrição no grupo de gestão para a qual foi guardada. É neste passo que são fornecidos os parâmetros que fazem com que cada implementação da cópia do esquema de exemplo seja única.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a cópia do esquema de exemplo e selecione-a.
Selecione Atribuir esquema, na parte superior da página de definição do esquema.
Indique os valores dos parâmetros para a atribuição do esquema:
Noções básicas
- Subscrições: selecione uma ou mais das subscrições que estão no grupo de gestão para o qual guardou a sua cópia do exemplo de esquema. Se selecionar mais de uma subscrição, é criada uma atribuição para cada uma mediante a utilização dos parâmetros introduzidos.
- Nome da atribuição: o nome é pré-preenchido para si com base no nome do esquema. Mude-o se necessário ou deixe-o como está.
- Localização: selecione uma região na qual a identidade gerida deve ser criada. O Azure Blueprints utiliza esta identidade gerida para implementar todos os artefactos no esquema atribuído. Para saber mais, veja Identidades geridas para recursos do Azure.
- Versão da definição do esquema: selecione uma versão publicada da sua cópia do exemplo de esquema.
Bloquear Atribuição
Selecione a definição de bloqueio do esquema no seu ambiente. Para obter mais informações, veja bloqueio de recurso em esquemas.
Identidade Gerida
Deixe a opção de identidade gerida atribuída pelo sistema predefinida .
Parâmetros de esquema
Os parâmetros definidos nesta secção são utilizados por muitos dos artefactos na definição do esquema, para proporcionar consistência.
- Nome da organização: introduza um nome abreviado para a sua organização. Esta propriedade é utilizada principalmente para atribuir nomes a recursos.
- Prefixo de endereço de sub-rede de serviços partilhados: forneça o valor de notação CIDR para criar em rede os recursos implementados em conjunto.
- Localização dos serviços partilhados: determina a localização onde os artefactos são implementados. Nem todos os serviços estão disponíveis em todas as localizações. Os artefactos que implementam esses serviços fornecem uma opção de parâmetro para a localização para a qual implementar esse artefacto.
- Localização permitida (Política: Iniciativa de esquema para ISO 27001): valor que indica as localizações permitidas para grupos de recursos e recursos.
- Área de trabalho do Log Analytics para agentes de VM (Policy: Blueprint initiative for ISO 27001): Especifica o ID de Recurso de uma área de trabalho. Este parâmetro utiliza uma
concatfunção para construir o ID de Recurso.
Parâmetros dos artefactos
Os parâmetros definidos nesta secção aplicam-se ao artefacto no qual são definidos. Estes parâmetros são parâmetros dinâmicos , uma vez que são definidos durante a atribuição do esquema. Para obter uma lista completa ou parâmetros de artefacto e respetivas descrições, veja Tabela de parâmetros de artefactos.
Depois de introduzidos todos os parâmetros, selecione Atribuir, na parte inferior da página. A atribuição do esquema é criada e a implementação do artefacto inicia-se. A implementação demora cerca de uma hora. Para verificar o estado, abra a atribuição do esquema.
Aviso
O serviço Azure Blueprints e os esquemas de exemplo incorporados são gratuitos. Os preços dos recursos do Azure são os preços por produto. Utilize a calculadora de preços para prever o custo da execução de recursos implementados por este esquema de exemplo.
Tabela de parâmetros dos artefactos
A tabela seguinte mostra uma lista dos parâmetros dos artefactos de esquema:
| Nome do artefacto | Tipo de artefacto | Nome do parâmetro | Descrição |
|---|---|---|---|
| [Pré-visualização]: Implementar o Agente do Log Analytics para Conjuntos de Dimensionamento de VMs do Linux (VMSS) | Atribuição de políticas | Opcional: Lista de imagens de VM que suportaram o SO Linux para adicionar ao âmbito | (Opcional) O valor predefinido é ["none"]. |
| [Pré-visualização]: Implementar o Agente do Log Analytics para VMs do Linux | Atribuição de políticas | Opcional: Lista de imagens de VM que suportaram o SO Linux para adicionar ao âmbito | (Opcional) O valor predefinido é ["none"]. |
| [Pré-visualização]: Implementar o Agente do Log Analytics para Conjuntos de Dimensionamento de VMs do Windows (VMSS) | Atribuição de políticas | Opcional: Lista de imagens de VM que suportaram o SO Windows para adicionar ao âmbito | (Opcional) O valor predefinido é ["none"]. |
| [Pré-visualização]: Implementar o Agente do Log Analytics para VMs do Windows | Atribuição de políticas | Opcional: Lista de imagens de VM que suportaram o SO Windows para adicionar ao âmbito | (Opcional) O valor predefinido é ["none"]. |
| Tipos de recursos permitidos | Atribuição de políticas | Tipos de recursos permitidos | Lista de tipos de recursos permitidos para implementação. Esta lista é composta por todos os tipos de recursos implementados nos Serviços Partilhados. |
| SKUs de contas de armazenamento permitidos | Atribuição de políticas | SKUs de armazenamento permitidos | Lista de SKUs de conta de armazenamento de registos de diagnóstico permitidos. O valor predefinido é ["Standard_LRS"]. |
| SKUs de máquinas virtuais permitidos | Atribuição de políticas | Lista de SKUs de máquinas virtuais permitidos para implementação. O valor predefinido é ["Standard_DS1_v2", "Standard_DS2_v2"]. | |
| Iniciativa Blueprint para ISO 27001 | Atribuição de políticas | Tipos de recursos para auditar registos de diagnósticos | Lista de tipos de recursos a auditar se a definição do registo de diagnósticos não estiver ativada. Podem ser encontrados valores aceitáveis em esquemas de registos de diagnóstico do Azure Monitor. |
| Grupo de recursos do Log Analytics | Grupo de recursos | Name | Bloqueado – concatena o Nome da organização com -sharedsvsc-log-rg para tornar o grupo de recursos exclusivo. |
| Grupo de recursos do Log Analytics | O grupo de recursos | A localização | Bloqueado – utiliza o parâmetro de esquema. |
| Modelo do Log Analytics | Modelo do Resource Manager | Escalão de serviço | Define a camada da área de trabalho do Log Analytics. O valor predefinido é PerNode. |
| Modelo do Log Analytics | Modelo do Resource Manager | Retenção de registos em dias | Retenção de dados em dias. O valor predefinido é 365. |
| Modelo do Log Analytics | Modelo do Resource Manager | Localização | Região utilizada para criar a área de trabalho do Log Analytics. O valor predefinido é E.U.A. Oeste 2. |
| Grupo de recursos de rede | Grupo de recursos | Name | Bloqueado – concatena o Nome da organização com -sharedsvcs-net-rg para tornar o grupo de recursos exclusivo. |
| Grupo de recursos de rede | O grupo de recursos | A localização | Bloqueado – utiliza o parâmetro de esquema. |
| Azure Firewall modelo | Modelo do Resource Manager | IP privado do Azure Firewall | Configura o IP privado da firewall do Azure. Este valor também é utilizado como tabela de rotas predefinida na sub-rede de serviços partilhados. Deve fazer parte da notação CIDR definida no prefixo de endereço de sub-rede Azure Firewall. O valor predefinido é 10.0.4.4. |
| Azure Firewall modelo | Modelo do Resource Manager | Retenção de registos em dias | Retenção de dados em dias. O valor predefinido é 365. |
| Modelo grupo de segurança de rede | Modelo do Resource Manager | Retenção de registos em dias | Retenção de dados em dias. O valor predefinido é 365. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | prefixo de endereço Rede Virtual | A notação CIDR para a rede virtual. O valor predefinido é 10.0.0.0/16. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | Ativar Rede Virtual proteção contra DDoS | Configura a proteção contra DDoS para a rede virtual. O valor predefinido é verdadeiro. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | Prefixo de endereço da sub-rede dos Serviços Partilhados | A notação CIDR para a sub-rede dos Serviços Partilhados. O valor predefinido é 10.0.0.0/24. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | Prefixo de endereço da sub-rede DMZ | A notação CIDR da sub-rede DMZ. O valor predefinido é 10.0.1.0/24. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | prefixo de endereço de sub-rede Gateway de Aplicação | A notação CIDR para a sub-rede do gateway de aplicação. O valor predefinido é 10.0.2.0/24. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | prefixo de endereço de sub-rede do Gateway de Rede Virtual | A notação CIDR da sub-rede do gateway de rede virtual. O valor predefinido é 10.0.3.0/24. |
| modelo Rede Virtual e Tabela de Rotas | Modelo do Resource Manager | Azure Firewall prefixo de endereço de sub-rede | A notação CIDR da sub-rede da firewall do Azure . Deve incluir o parâmetro IP privado da firewall do Azure . |
| Key Vault grupo de recursos | Grupo de recursos | Name | Bloqueado – concatena o nome da organização com -sharedsvcs-kv-rg para tornar o grupo de recursos exclusivo. |
| Key Vault grupo de recursos | O grupo de recursos | A localização | Bloqueado – utiliza o parâmetro de esquema. |
| Key Vault modelo | Modelo do Resource Manager | Nome de utilizador administrador do Jumpbox | Nome de utilizador da jumpbox. Tem de corresponder ao mesmo valor de propriedade no modelo do Jumpbox. O valor predefinido é jb-admin-user. |
| Key Vault modelo | Modelo do Resource Manager | Chave ssh ou palavra-passe do administrador do Jumpbox | Chave ou palavra-passe da conta na jumpbox. Tem de corresponder ao mesmo valor de propriedade no modelo do Jumpbox. Sem valor predefinido e não pode ser deixado em branco. |
| Key Vault modelo | Modelo do Resource Manager | Nome de utilizador administrador de domínio | Nome de utilizador utilizado para aceder à VM do Active Directory e para associar outras VMs a um domínio. Tem de corresponder ao valor da propriedade de utilizador administrador de domínio no modelo de Active Directory Domain Services. O valor predefinido é domain-admin-user. |
| Key Vault modelo | Modelo do Resource Manager | Palavra-passe de administrador de domínio | Palavra-passe do utilizador administrador de domínio. Sem valor predefinido e não pode ser deixado em branco. |
| Key Vault modelo | Modelo do Resource Manager | ID do objeto do AAD | O identificador de objeto do AAD da conta que requer acesso à instância Key Vault. Sem valor predefinido e não pode ser deixado em branco. Para localizar este valor no portal do Azure, procure e selecione "Utilizadores" em Serviços. Utilize a caixa Nome para filtrar o nome da conta e selecionar essa conta. Na página Perfil de utilizador , selecione o ícone "Clicar para copiar" junto ao ID do Objeto. |
| Key Vault modelo | Modelo do Resource Manager | Retenção de registos em dias | Retenção de dados em dias. O valor predefinido é 365. |
| Key Vault modelo | Modelo do Resource Manager | SKU Key Vault | Especifica o SKU do Key Vault que é criado. O valor predefinido é Premium. |
| Grupo de recursos do Jumpbox | Grupo de recursos | Name | Bloqueado – concatena o nome da organização com -sharedsvcs-jb-rg para tornar o grupo de recursos exclusivo. |
| Grupo de recursos do Jumpbox | O grupo de recursos | A localização | Bloqueado – utiliza o parâmetro de esquema. |
| Modelo do Jumpbox | Modelo do Resource Manager | Nome de utilizador administrador do Jumpbox | O nome de utilizador utilizado para aceder a VMs jumpbox. Tem de corresponder ao mesmo valor de propriedade no modelo de Key Vault. O valor predefinido é jb-admin-user. |
| Modelo do Jumpbox | Modelo do Resource Manager | Palavra-passe de administrador do Jumpbox (Key Vault ID de Recurso) | O ID do Recurso do Key Vault. Utilize "/subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv" e substitua {subscriptionId} pelo ID da Subscrição e {orgName} pelo parâmetro de esquema Nome da organização . |
| Modelo do Jumpbox | Modelo do Resource Manager | Palavra-passe de administrador do Jumpbox (Key Vault Nome do Segredo) | Nome de utilizador do administrador do jumpbox. Tem de corresponder ao valor na propriedade de modelo Key Vault nome de utilizador administrador do Jumpbox. |
| Modelo do Jumpbox | Modelo do Resource Manager | Sistema Operativo Jumpbox | Determina o sistema operativo da VM do jumpbox. O valor predefinido é Windows. |
| Active Directory Domain Services grupo de recursos | Grupo de recursos | Name | Bloqueado – concatena o nome da organização com -sharedsvcs-adds-rg para tornar o grupo de recursos exclusivo. |
| Active Directory Domain Services grupo de recursos | O grupo de recursos | A localização | Bloqueado – utiliza o parâmetro de esquema. |
| Active Directory Domain Services modelo | Modelo do Resource Manager | Nome de utilizador administrador de domínio | Nome de utilizador da jumpbox ADDS. Tem de corresponder ao mesmo valor de propriedade no modelo Key Vault. O valor predefinido é adds-admin-user. |
| Active Directory Domain Services modelo | Modelo do Resource Manager | Palavra-passe de administrador de domínio (Key Vault ID de Recurso) | O ID do Recurso do Key Vault. Utilize "/subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv" e substitua {subscriptionId} pelo seu ID de Subscrição e {orgName} pelo parâmetro de esquema Nome da organização . |
| Active Directory Domain Services modelo | Modelo do Resource Manager | Palavra-passe de administrador de domínio (Key Vault Nome do Segredo) | Nome de utilizador do administrador de domínio. Tem de corresponder ao valor na propriedade Key Vault modeloNome de utilizador de administrador do domínio. |
| Active Directory Domain Services modelo | Modelo do Resource Manager | Nome de domínio | Nome do Active Directory criado pelo exemplo. O valor predefinido é contoso.com. |
| Active Directory Domain Services modelo | Modelo do Resource Manager | Utilizador administrador de domínio | Nome de utilizador para a conta do AD de administrador e para associar dispositivos ao domínio do AD. Tem de corresponder ao valor da propriedade do nome de utilizador administrador do AD no modelo Key Vault. O valor predefinido é domain-admin-user. |
| Active Directory Domain Services modelo | Modelo do Resource Manager | Palavra-passe de administrador de domínio | Defina os detalhes do Key Vault para armazenar a palavra-passe. Nenhum valor predefinido e não pode ser deixado em branco. |
Passos seguintes
Agora que reviu os passos para implementar o exemplo de esquema serviços partilhados ISO 27001, veja os seguintes artigos para saber mais sobre a arquitetura e o mapeamento de controlo:
Esquema Serviços Partilhados ISO 27001 - Descrição geral esquema serviços partilhados ISO 27001 - Mapeamento de controlo
Artigos adicionais sobre esquemas e como os utilizar:
- Saiba mais sobre o ciclo de vida do esquema.
- Compreenda como utilizar parâmetros estáticos e dinâmicos.
- Aprenda a personalizar a ordem de sequenciação do esquema.
- Saiba como utilizar o bloqueio de recursos de esquema.
- Saiba como atualizar as atribuições existentes.