Azure Lighthouse-Beispiele
Die folgende Tabelle enthält Links zu wichtigen Azure Resource Manager-Vorlagen für Azure Lighthouse. Diese und weitere Dateien finden Sie auch im Azure Lighthouse-Beispielrepository.
Durchführen des Onboardings für Kunden
Wir stellen verschiedene Vorlagen bereit, um bestimmte Onboardingszenarien zu behandeln. Achten Sie darauf, die Parameterdatei so zu ändern, dass sie Ihre Umgebung widerspiegelt. Weitere Informationen zur Verwendung dieser Dateien in der Bereitstellung finden Sie unter Onboarding eines Kunden für Azure Lighthouse durchführen.
| Vorlage | Beschreibung |
|---|---|
| Abonnement | Onboarding eines Kundenabonnements in Azure Lighthouse durchführen Für jedes Abonnement muss eine separate Bereitstellung durchgeführt werden. |
| rg und multi-rg | Führt das Onboarding einer oder mehrerer Ressourcengruppen eines Kunden für Azure Lighthouse durch. Verwenden Sie „rg.js“, um das Onboarding für eine einzelne Ressourcengruppe durchzuführen, oder „multi-rg.js“, um das Onboarding für mehrere Ressourcengruppen innerhalb eines Abonnements durchzuführen. |
| marketplace-delegated-resource-management | Wenn Sie ein Angebot für verwaltete Dienste im Azure Marketplace veröffentlicht haben, können Sie diese Vorlage optional zum Onboarding von Ressourcen für Kunden verwenden, die das Angebot angenommen haben. Die Marketplace-Werte in der Parameterdatei müssen mit den Werten identisch sein, die Sie beim Veröffentlichen Ihres Angebots verwendet haben. |
Zur Aufnahme berechtigter Autorisierungen wählen Sie im Abschnitt delegated-resource-management-eligible-authorizations des Beispielrepositorys die entsprechende Vorlage aus.
In der Regel ist für jedes Abonnement, für das ein Onboarding durchgeführt wird, eine separate Bereitstellung erforderlich. Sie können jedoch auch Vorlagen für mehrere Abonnements bereitstellen.
| Vorlage | Beschreibung |
|---|---|
| cross-subscription-deployment | Stellt Azure Resource Manager-Vorlagen in mehreren Abonnements bereit. |
Tipp
Sie können zwar kein Onboarding für eine gesamte Verwaltungsgruppe in einer Bereitstellung durchführen, Sie können jedoch eine Richtlinie für das Onboarding jedes Abonnements in einer Verwaltungsgruppe bereitstellen.
Azure Policy
Diese Beispiele zeigen, wie Sie Azure Policy mit Abonnements verwenden, für die ein Onboarding in Azure Lighthouse durchgeführt wurde.
| Vorlage | Beschreibung |
|---|---|
| policy-add-or-replace-tag | Weist eine Richtlinie zu, die ein Tag (mit dem Modify-Effekt) einem delegierten Abonnement hinzufügt oder es daraus entfernt. Weitere Informationen finden Sie unter Bereitstellen einer Richtlinie, die innerhalb eines delegierten Abonnements gewartet werden kann. |
| policy-allow-certain-managing-tenants | Weist eine Richtlinie zu, die Azure Lighthouse-Delegierungen für bestimmte Verwaltungsmandanten einschränkt. |
| policy-audit-delegation | Weist eine Richtlinie zu, die Überprüfungen auf Delegierungszuweisungen durchführt. |
| policy-delegate-management-groups | Weist eine Richtlinie zu, um zu bestätigen, dass Abonnements innerhalb einer Verwaltungsgruppe an einen Verwaltungsmandanten delegiert wurden, und erstellt andernfalls die Zuweisung. |
| policy-enforce-keyvault-monitoring | Weist eine Richtlinie zu, die die Diagnose für Azure Key Vault-Ressourcen in einem delegierten Abonnement aktiviert (mit dem deployIfNotExists-Effekt). Weitere Informationen finden Sie unter Bereitstellen einer Richtlinie, die innerhalb eines delegierten Abonnements gewartet werden kann. |
| policy-enforce-sub-monitoring | Weist mehrere Richtlinien zum Aktivieren der Diagnose für ein delegiertes Abonnement zu und verbindet alle virtuellen Windows- und Linux-Computer mit dem von der Richtlinie erstellten Log Analytics-Arbeitsbereich. Weitere Informationen finden Sie unter Bereitstellen einer Richtlinie, die innerhalb eines delegierten Abonnements gewartet werden kann. |
| policy-initiative | Wendet eine Richtlinien-Initiative (mehrere verwandte Richtliniendefinitionen) auf ein delegiertes Abonnement an. |
Azure Monitor
Diese Beispiele zeigen, wie Sie Azure Monitor zum Erstellen von Warnungen für Abonnements verwenden, für die ein Onboarding in Azure Lighthouse durchgeführt wurde.
| Vorlage | Beschreibung |
|---|---|
| monitor-delegation-changes | Fragt die Aktivitäten des letzten Tages ab und erstellt einen Bericht über alle hinzugefügten oder entfernten Delegierungen (bzw. nicht erfolgreiche Versuche). |
| alert-using-actiongroup | Erstellt eine Azure-Warnung und stellt eine Verbindung mit einer vorhandenen Aktionsgruppe her. |
| multiple-loganalytics-alerts | Erstellt mehrere Protokollwarnungen basierend auf Kusto-Abfragen. |
| delegation-alert-for-customer | Stellt eine Warnung in einem Mandanten bereit, wenn ein Benutzer ein Abonnement an einen verwalteten Mandanten delegiert. |
| workbook-activitylogs-by-domain | Hiermit werden Azure-Aktivitätsprotokolle abonnementübergreifend mit einer Option zum Filtern nach Domänenname angezeigt. |
Weitere mandantenübergreifende Szenarien
Diese Beispiele veranschaulichen verschiedene Aufgaben, die in mandantenübergreifenden Verwaltungsszenarien ausgeführt werden können.
| Vorlage | Beschreibung |
|---|---|
create-keyvault-secret |
Erstellt eine Key Vault-Instanz im Mandanten des Kunden und erstellt Zugriffsrichtlinien. |
cross-rg-deployment |
Stellt Speicherkonten in zwei verschiedenen Ressourcengruppen bereit. |
deploy-azure-mgmt-services |
Erstellt Azure-Verwaltungsdienste, verknüpft sie miteinander und stellt Lösungen bereit. Verwenden Sie für eine End-to-End-Bereitstellung die Vorlage rgWithAzureMgmt.json. |
deploy-azure-security-center |
Aktiviert und konfiguriert Microsoft Defender für Cloud innerhalb des Azure-Zielabonnements. |
deploy-azure-sentinel |
Stellt Microsoft Sentinel für einen vorhandenen Log Analytics-Arbeitsbereich in einem delegierten Abonnement bereit und aktiviert die Lösung. |
deploy-log-analytics-vm-extensions |
Mithilfe dieser Vorlagen können Sie die Log Analytics-Erweiterung für virtuelle Computer für Ihre Windows- und Linux-VMs bereitstellen und sie mit dem vorgesehenen Log Analytics-Arbeitsbereich verbinden. |
Nächste Schritte
- Informieren Sie sich über die Architektur und technischen Konzepte von Azure Lighthouse.
- Erkunden Sie das Repository mit Azure Lighthouse-Beispielen.