Déployer l’exemple de blueprint Services partagés ISO 27001
Important
Le 11 juillet 2026, Blueprints (préversion) sera devenu obsolète. Migrez vos définitions et affectations Blueprint existantes vers les Spécifications de modèleet lesPiles de déploiement. Les artefacts de Blueprint doivent être convertis en modèles ARM JSON ou en fichiers Bicep utilisés pour définir des piles de déploiement. Pour savoir comment créer un artefact en tant que ressource ARM, consultez :
Pour déployer l’exemple de blueprint Services partagés ISO 27001 pour Azure Blueprints, vous devez effectuer les étapes suivantes :
- Créer un blueprint à partir de l’exemple
- Marquer la copie de l’exemple en tant que Publié
- Affecter votre copie du blueprint à un abonnement existant
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Créer un blueprint à partir de l’exemple
Commencez par implémenter l’exemple de blueprint. Pour cela, créez un blueprint dans votre environnement en vous servant de l’exemple comme point de départ.
Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.
Dans la page Démarrageà gauche, sélectionnez le bouton Créer sous Créer un blueprint.
Recherchez l’exemple de blueprint ISO 27001 : Services partagés sous Autres exemples et sélectionnez Utiliser cet exemple.
Entrez les Fonctions de base de l’exemple de blueprint :
- Nom du blueprint : Entrez le nom de votre copie de l’exemple de blueprint Services partagés ISO 27001.
- Emplacement de la définition : utilisez les points de suspension et sélectionnez le groupe d’administration dans lequel vous souhaitez enregistrer votre copie de l’exemple.
Sélectionnez l’onglet Artefacts dans le haut de la page ou Suivant : Artefacts dans le bas de la page.
Passez en revue la liste des artefacts qui composent l’exemple de blueprint. De nombreux artefacts ont des paramètres que nous définirons plus tard. Sélectionnez Enregistrer comme brouillon lorsque vous avez terminé de passer en revue l’exemple de blueprint.
Publier la copie de l’exemple
Votre copie de l’exemple de blueprint est à présent créée dans votre environnement. Elle est créée en mode Brouillon et doit être publiée avant de pouvoir être attribuée et déployée. Vous pouvez personnaliser la copie de l’exemple de blueprint en fonction de votre environnement et de vos besoins, mais de telles modifications peuvent l’éloigner de la norme ISO 27001.
Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.
Sélectionnez la page Définitions de blueprint à gauche. Utilisez les filtres pour rechercher votre copie de l’exemple de blueprint, puis sélectionnez-la.
Sélectionnez Publier le blueprint dans le haut de la page. Dans la nouvelle page à droite, indiquez la Version de votre copie de l’exemple de blueprint. Cette propriété est utile si vous prévoyez d’effectuer une modification ultérieurement. Dans Notes de changement, indiquez par exemple « Première version publiée à partir de l’exemple de blueprint ISO 27001 », puis sélectionnez Publier au bas de la page.
Affecter la copie de l’exemple
Une fois que la copie de l’exemple de blueprint a été publiée, elle peut être affectée à un abonnement dans le groupe d’administration où elle a été enregistrée. C’est à cette étape que les paramètres sont fournis pour que chaque déploiement de la copie de l’exemple de blueprint soit unique.
Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.
Sélectionnez la page Définitions de blueprint à gauche. Utilisez les filtres pour rechercher votre copie de l’exemple de blueprint, puis sélectionnez-la.
Sélectionnez Affecter le blueprint dans le haut de la page.
Indiquez les valeurs des paramètres pour l’affectation du blueprint :
Concepts de base
- Abonnements : Sélectionnez un ou plusieurs des abonnements qui font partie du groupe d’administration où vous avez enregistré votre copie de l’exemple de blueprint. Si vous sélectionnez plusieurs abonnements, une affectation est créée pour chacun d’eux à l’aide des paramètres saisis.
- Nom de l’affectation : Le nom est prérempli en fonction du nom du blueprint. Changez-le si nécessaire ou laissez-le tel quel.
- Emplacement : Sélectionnez une région dans laquelle créer l’identité managée. Azure Blueprints utilise cette identité managée pour déployer tous les artefacts figurant dans le blueprint attribué. Pour en savoir plus, consultez Identités managées pour les ressources Azure.
- Version de définition du blueprint : Choisissez une version publiée de votre copie de l’exemple de blueprint.
Verrouiller l'affectation
Sélectionnez le paramètre de verrouillage de blueprint pour votre environnement. Pour plus d’informations, consultez Verrouillage des ressources des blueprints.
Identité managée
Conservez l’option par défaut, Affecté(e) par le système, pour l’identité managée.
Paramètres de blueprint
Les paramètres définis dans cette section sont utilisés par de nombreux artefacts dans la définition du blueprint à des fins de cohérence.
- Nom de l’organisation : entrez un nom court pour votre organisation. Cette propriété est principalement utilisée pour le nommage des ressources.
- Préfixe d’adresse de sous-réseau des services partagés : fournissez la valeur en notation CIDR de la mise en réseau des ressources déployées ensemble.
- Emplacement des services partagés : détermine l’emplacement dans lequel les artefacts sont déployés. Tous les services ne sont pas disponibles dans tous les emplacements. Les artefacts déployant de tels services fournissent une option de paramètre qui permet de définir l’emplacement dans lequel les artefacts sont déployés.
- Emplacements autorisés (stratégie : initiative de blueprint pour ISO 27001 : valeur qui indique les emplacements autorisés pour les groupes de ressources et les ressources.
- Espace de travail Log Analytics pour agents de machine virtuelle (stratégie : initiative de blueprint pour ISO 27001 : spécifie l’ID de ressource d’un espace de travail. Ce paramètre utilise une fonction
concatpour construire l’ID de ressource.
Paramètres d'artefact
Les paramètres définis dans cette section s’appliquent à l’artefact sous lequel elle est définie. Ces paramètres sont des paramètres dynamiques puisqu’ils sont définis lors de l’affectation du blueprint. Pour obtenir la liste complète des paramètres d’artefact et leur description, consultez le tableau des paramètres d’artefact.
Une fois tous les paramètres entrés, sélectionnez Affecter au bas de la page. L’affectation du blueprint est créée et le déploiement de l’artefact démarre. Le déploiement prend environ une heure. Pour vérifier l’état du déploiement, ouvrez l’affectation du blueprint.
Avertissement
Le service Azure Blueprints et les exemples de blueprint intégrés sont gratuits. Les ressources Azure sont facturées par produit. Utilisez la calculatrice de prix pour estimer le coût d’exécution des ressources déployées par cet exemple de blueprint.
Tableau des paramètres d’artefact
Le tableau suivant fournit la liste des paramètres d’artefact de blueprint :
| Nom de l’artefact | Type d’artefact | Nom du paramètre | Description |
|---|---|---|---|
| [Préversion] : Déployer Log Analytics Agent pour Linux VM Scale Sets (VMSS) | Affectation de rôle | Facultatif : Liste des images de machine virtuelle ayant un système d’exploitation Linux pris en charge à ajouter à l’étendue | (Facultatif) La valeur par défaut est ["none"] . |
| [Préversion] : Déployer Log Analytics Agent pour les machines virtuelles Linux | Affectation de rôle | Facultatif : Liste des images de machine virtuelle ayant un système d’exploitation Linux pris en charge à ajouter à l’étendue | (Facultatif) La valeur par défaut est ["none"] . |
| [Préversion] : Déployer Log Analytics Agent pour Windows VM Scale Sets (VMSS) | Affectation de rôle | Facultatif : Liste des images de machine virtuelle ayant un système d’exploitation Windows pris en charge à ajouter à l’étendue | (Facultatif) La valeur par défaut est ["none"] . |
| [Préversion] : Déployer Log Analytics Agent pour les machines virtuelles Windows | Affectation de rôle | Facultatif : Liste des images de machine virtuelle ayant un système d’exploitation Windows pris en charge à ajouter à l’étendue | (Facultatif) La valeur par défaut est ["none"] . |
| Types de ressources autorisés | Affectation de rôle | Types de ressources autorisés | Liste des types de ressources pouvant être déployés. Cette liste est composée de tous les types de ressources déployés dans les Services partagés. |
| Références SKU de compte de stockage autorisées | Affectation de rôle | Références SKU de stockage autorisées | Liste des références SKU de compte de stockage de journaux de diagnostic autorisées. La valeur par défaut est ["Standard_LRS"] . |
| Références SKU de machine virtuelle autorisées | Affectation de rôle | Liste des références SKU de machine virtuelle autorisées à être déployées. La valeur par défaut est ["Standard_DS1_v2", "Standard_DS2_v2"] . | |
| Initiative de blueprint pour ISO 27001 | Affectation de rôle | Types de ressources utilisés pour auditer les journaux de diagnostic | Liste des types de ressources utilisés pour déterminer si le paramètre de journal de diagnostic n’est pas activé. Les valeurs acceptables sont listées dans les schémas de journaux de diagnostic Azure Monitor. |
| Groupe de ressources Log Analytics | Resource group | Nom | Verrouillé : concatène le nom de l’organisation et -sharedsvsc-log-rg pour rendre le groupe de ressources unique. |
| Groupe de ressources Log Analytics | Resource group | Emplacement | Verrouillé : utilise le paramètre du blueprint. |
| Modèle Log Analytics | Modèle Resource Manager | Niveau de service | Définit le niveau de l’espace de travail Log Analytics. La valeur par défaut est PerNode. |
| Modèle Log Analytics | Modèle Resource Manager | Conservation du journal en jours | Conservation des données en jours. La valeur par défaut est 365. |
| Modèle Log Analytics | Modèle Resource Manager | Emplacement | Région utilisée pour créer l’espace de travail Log Analytics. La valeur par défaut est USA Ouest 2. |
| Groupe de ressources réseau | Resource group | Nom | Verrouillé : concatène le nom de l’organisation et -sharedsvcs-net-rg pour rendre le groupe de ressources unique. |
| Groupe de ressources réseau | Resource group | Emplacement | Verrouillé : utilise le paramètre du blueprint. |
| Modèle Pare-feu Azure | Modèle Resource Manager | Adresse IP privée de pare-feu Azure | Configure l’adresse IP privée du pare-feu Azure. Cette valeur est également utilisée comme table de routage par défaut sur le sous-réseau des services partagés. Doit faire partie de la notation CIDR définie dans Préfixe d’adresse de sous-réseau de Pare-feu Azure. La valeur par défaut est 10.0.4.4. |
| Modèle Pare-feu Azure | Modèle Resource Manager | Conservation du journal en jours | Conservation des données en jours. La valeur par défaut est 365. |
| Modèle Groupe de sécurité réseau | Modèle Resource Manager | Conservation du journal en jours | Conservation des données en jours. La valeur par défaut est 365. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Préfixe d’adresse de réseau virtuel | Notation CIDR du réseau virtuel. La valeur par défaut est 10.0.0.0/16. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Activer la protection DDoS de réseau virtuel | Configure la protection DDoS pour le réseau virtuel. La valeur par défaut est true. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Préfixe d’adresse de sous-réseau des services partagés | Notation CIDR du sous-réseau Services partagés. La valeur par défaut est 10.0.0.0/24. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Préfixe d’adresse de sous-réseau DMZ | Notation CIDR du sous-réseau DMZ. La valeur par défaut est 10.0.1.0/24. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Préfixe d’adresse de sous-réseau Application Gateway | Notation CIDR du sous-réseau de la passerelle d’application. La valeur par défaut est 10.0.2.0/24. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Préfixe d’adresse de sous-réseau de passerelle de réseau virtuel | Notation CIDR du sous-réseau de la passerelle de réseau virtuel. La valeur par défaut est 10.0.3.0/24. |
| Modèle Réseau virtuel et table de routage | Modèle Resource Manager | Préfixe d’adresse de sous-réseau de Pare-feu Azure | Notation CIDR du sous-réseau du pare-feu Azure. Doit inclure le paramètre Adresse IP privée de pare-feu Azure. |
| Groupe de ressources Key Vault | Resource group | Nom | Verrouillé : concatène le nom de l’organisation et -sharedsvcs-kv-rg pour rendre le groupe de ressources unique. |
| Groupe de ressources Key Vault | Resource group | Emplacement | Verrouillé : utilise le paramètre du blueprint. |
| Modèle Key Vault | Modèle Resource Manager | Nom d’utilisateur de l’administrateur Jumpbox | Nom d’utilisateur de Jumpbox. Doit correspondre à la valeur de propriété du modèle Jumpbox. La valeur par défaut est jb-admin-user. |
| Modèle Key Vault | Modèle Resource Manager | Mot de passe ou clé SSH de l’administrateur Jumpbox | Clé ou mot de passe du compte sur Jumpbox. Doit correspondre à la valeur de propriété du modèle Jumpbox. N’a pas de valeur par défaut et ne peut pas être vide. |
| Modèle Key Vault | Modèle Resource Manager | Nom d’utilisateur de l’administrateur de domaine | Nom d’utilisateur utilisé pour accéder à la machine virtuelle Active Directory et joindre d’autres machines virtuelles à un domaine. Doit correspondre à la valeur de propriété Utilisateur administrateur de domaine dans Modèle Active Directory Domain Services. La valeur par défaut est domain-admin-user. |
| Modèle Key Vault | Modèle Resource Manager | Mot de passe d’administrateur de domaine | Mot de passe de l’utilisateur administrateur de domaine. N’a pas de valeur par défaut et ne peut pas être vide. |
| Modèle Key Vault | Modèle Resource Manager | ID d’objet AAD | Identificateur d’objet AAD du compte qui nécessite l’accès à l’instance Key Vault. N’a pas de valeur par défaut et ne peut pas être vide. Pour localiser cette valeur à partir du portail Azure, recherchez et sélectionnez « Utilisateurs » sous Services. Utilisez la zone Nom pour filtrer le nom du compte, puis sélectionnez ce compte. Dans la page Profil utilisateur, sélectionnez l’icône « Cliquez pour copier » à côté de l’ID d’objet. |
| Modèle Key Vault | Modèle Resource Manager | Conservation du journal en jours | Conservation des données en jours. La valeur par défaut est 365. |
| Modèle Key Vault | Modèle Resource Manager | Référence SKU du coffre de clés | Spécifie la référence SKU du coffre de clés créé. La valeur par défaut est Premium. |
| Groupe de ressources Jumpbox | Resource group | Nom | Verrouillé : concatène le nom de l’organisation et -sharedsvcs-jb-rg pour rendre le groupe de ressources unique. |
| Groupe de ressources Jumpbox | Resource group | Emplacement | Verrouillé : utilise le paramètre du blueprint. |
| Modèle Jumpbox | Modèle Resource Manager | Nom d’utilisateur de l’administrateur Jumpbox | Nom d’utilisateur utilisé pour accéder aux machines virtuelles Jumpbox. Doit correspondre à la valeur de propriété du modèle Key Vault. La valeur par défaut est jb-admin-user. |
| Modèle Jumpbox | Modèle Resource Manager | Mot de passe d’administrateur Jumpbox (ID de ressource Key Vault) | ID de ressource du coffre de clés. Utilisez « /subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv » et remplacez {subscriptionId} par votre ID d’abonnement et {orgName} par le paramètre de blueprint Nom de l’organisation. |
| Modèle Jumpbox | Modèle Resource Manager | Mot de passe d’administrateur Jumpbox (Nom du secret Key Vault) | Nom d’utilisateur de l’administrateur Jumpbox. Doit correspondre à la valeur de la propriété Modèle Key VaultNom d’utilisateur de l’administrateur Jumpbox. |
| Modèle Jumpbox | Modèle Resource Manager | Système d’exploitation de Jumpbox | Détermine le système d’exploitation de la machine virtuelle Jumpbox. La valeur par défaut est Windows. |
| Groupe de ressources Active Directory Domain Services | Resource group | Nom | Verrouillé : concatène le nom de l’organisation et -sharedsvcs-adds-rg pour rendre le groupe de ressources unique. |
| Groupe de ressources Active Directory Domain Services | Resource group | Emplacement | Verrouillé : utilise le paramètre du blueprint. |
| Modèle Active Directory Domain Services | Modèle Resource Manager | Nom d’utilisateur de l’administrateur de domaine | Nom d’utilisateur de Jumpbox ADDS. Doit correspondre à la valeur de propriété du modèle Key Vault. La valeur par défaut est adds-admin-user. |
| Modèle Active Directory Domain Services | Modèle Resource Manager | Mot de passe d’administrateur de domaine (ID de ressource Key Vault) | ID de ressource du coffre de clés. Utilisez « /subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv » et remplacez {subscriptionId} par votre ID d’abonnement et {orgName} par le paramètre de blueprint Nom de l’organisation. |
| Modèle Active Directory Domain Services | Modèle Resource Manager | Mot de passe d’administrateur de domaine (Nom du secret Key Vault) | Nom d’utilisateur de l’administrateur de domaine. Doit correspondre à la valeur de la propriété Modèle Key VaultNom d’utilisateur de l’administrateur de domaine. |
| Modèle Active Directory Domain Services | Modèle Resource Manager | Nom de domaine | Nom de l’annuaire Active Directory créé par l’exemple. La valeur par défaut est contoso.com. |
| Modèle Active Directory Domain Services | Modèle Resource Manager | Utilisateur administrateur de domaine | Nom d’utilisateur pour le compte AD d’administrateur et la jonction de périphériques au domaine AD. Doit correspondre à la valeur de propriété Nom d’utilisateur d’administrateur Active Directory dans Modèle Key Vault. La valeur par défaut est domain-admin-user. |
| Modèle Active Directory Domain Services | Modèle Resource Manager | Mot de passe d’administrateur de domaine | Définissez les détails de Key Vault pour stocker le mot de passe. N’a pas de valeur par défaut et ne peut pas être vide. |
Étapes suivantes
Vous venez de passer en revue les étapes à suivre pour déployer l’exemple de blueprint Services partagés ISO 27001. Consultez à présent les articles suivants pour découvrir l’architecture et le mappage des contrôles :
Blueprint Services partagés ISO 27001 - Vue d’ensembleBlueprint Services partagés ISO 27001 - Mappage des contrôles
Autres articles sur les blueprints et la manière de les utiliser :
- En savoir plus sur le cycle de vie des blueprints
- Comprendre comment utiliser les paramètres statiques et dynamiques.
- Apprendre à personnaliser l’ordre de séquencement des blueprints.
- Découvrir comment utiliser le verrouillage de ressources de blueprint.
- Découvrir comment mettre à jour des affectations existantes.