Azure Lighthouse 範例
下表包含適用於 Azure Lighthouse 的 Azure Resource Manager 主要範本連結。 您也可在 Azure Lighthouse 範例存放庫中找到這些檔案及其他更多資訊。
讓客戶上線
我們提供不同的範本來解決特定的上線案例。 選擇最適合的選項,並務必修改參數檔案以反映您的環境。 如需如何在部署中使用這些檔案的詳細資訊,請參閱讓客戶在 Azure Lighthouse 上線。
| 範本 | 說明 |
|---|---|
| 訂用帳戶 | 讓客戶的訂用帳戶在 Azure Lighthouse 上線 您必須針對每個訂用帳戶個別執行部署。 |
| rg 和 multi-rg | 讓一或多個客戶的資源群組在 Azure Lighthouse 上線。 使用 rg.json 來讓單一資源群組上線,或使用 multi-rg.json 將訂用帳戶內的多個資源群組上線。 |
| marketplace-delegated-resource-management | 如果您已將受控服務發佈到 Azure Marketplace,可以選擇性地使用此範本來為已接受供應項目的客戶將資源上線。 參數檔案中的 marketplace 值必須符合您在發佈供應項目時所使用的值。 |
若要包含合格的授權,請從範例存放庫的 delegated-resource-management-eligible-authorizations 區段中,選取對應的範本。
一般來說,每個要上線的訂用帳戶都需要個別部署,但您也可以跨多個訂用帳戶部署範本。
| 範本 | 說明 |
|---|---|
| cross-subscription-deployment | 跨多個訂用帳戶部署 Azure Resource Manager 範本。 |
提示
雖然您無法在單一部署中將整個管理群組上線,但仍可部署原則以將管理群組中的個別訂閱上線。
Azure 原則
這些範例說明如何使用 Azure 原則搭配已在 Azure Lighthouse 上線的訂用帳戶。
| 範本 | 說明 |
|---|---|
| policy-add-or-replace-tag | 指派原則,以將標籤新增到委派的訂用帳戶,或從委派的訂用帳戶移除標籤 (使用修改效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則。 |
| policy-allow-certain-managing-tenants | 指派原則,將 Azure Lighthouse 委派限制於特定的管理租用戶。 |
| policy-audit-delegation | 指派將針對委派指派進行審核的原則。 |
| policy-delegate-management-groups | 指派一個原則以確認管理群組內的訂用帳戶已委派給管理租用戶,如果尚未委派,則建立指派。 |
| policy-enforce-keyvault-monitoring | 指派原則,以在委派的訂用帳戶中診斷 Azure Key Vault 資源 (使用 deployIfNotExists 效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則。 |
| policy-enforce-sub-monitoring | 指派數個原則,以便診斷委派的訂用帳戶,並將所有 Windows 和 Linux VN 連線到原則所建立的 Log Analytics 工作區。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則。 |
| policy-initiative | 將計畫 (多個相關的原則定義) 套用到委派的訂用帳戶。 |
Azure 監視器
這些範例說明如何使用 Azure 監視器,為已上線至 Azure Lighthouse 的訂用帳戶建立警示。
| 範本 | 說明 |
|---|---|
| monitor-delegation-changes | 查詢管理租用戶中過去 1 天的活動,並對任何新增或移除的委派 (或未成功的嘗試) 提出報告。 |
| alert-using-actiongroup | 建立 Azure 警示並連線至現有的動作群組。 |
| multiple-loganalytics-alerts | 建立多個以 Kusto 查詢為基礎的記錄警示。 |
| delegation-alert-for-customer | 當使用者將訂用帳戶委派給管理租用戶時,在租用戶中部署警示。 |
| workbook-activitylogs-by-domain | 顯示訂用帳戶之間的 Azure 活動記錄,並有選項可讓您依網域名稱篩選這些記錄。 |
其他跨租用戶案例
這些範例說明可在跨租使用者管理案例中執行的各種工作。
| 範本 | 說明 |
|---|---|
create-keyvault-secret |
在客戶的租用戶中建立金鑰保存庫並建立存取原則。 |
cross-rg-deployment |
將儲存體帳戶部署到兩個不同的資源群組中。 |
deploy-azure-mgmt-services |
建立 Azure 管理服務、將其連結在一起並部署其他解決方案。 針對端對端部署,請使用 rgWithAzureMgmt.json 範本。 |
deploy-azure-security-center |
在目標 Azure 訂用帳戶內啟用及設定適用於雲端的 Microsoft Defender。 |
deploy-azure-sentinel |
在委派訂用帳戶中的現有 Log Analytics 工作區上部署並啟用 Microsoft Sentinel。 |
deploy-log-analytics-vm-extensions |
可讓您將 Log Analytics VM 延伸模組部署到 Windows 和 Linux VM,進而將這些延伸模組連線至指定的 Log Analytics 工作區。 |