次の表は、Azure Lighthouse 用の主要な Azure Resource Manager テンプレートのリンク一覧です。 Azure Lighthouse サンプル リポジトリにはこれらのファイル以外にさらに多くのファイルが用意されています。
顧客を Azure Lighthouse にオンボードするためのサンプル テンプレート
特定のオンボード シナリオに対応するさまざまなテンプレートが用意されています。 実際の環境に合わせてパラメーター ファイルを変更してください。 デプロイでこれらのファイルを使用する方法の詳細については、「 顧客を Azure Lighthouse にオンボードする」を参照してください。
| テンプレート | 説明 |
|---|---|
| subscription | 顧客のサブスクリプションを Azure Lighthouse にオンボードします。 デプロイは、サブスクリプションごとに個別に実行する必要があります。 |
| rg と multi-rg | 顧客の 1 つまたは複数のリソース グループを Azure Lighthouse にオンボードします。 1 つのリソース グループをオンボードするには rg.json を使用し、サブスクリプション内の複数のリソース グループをオンボードするには multi-rg.json を使用します。 |
| marketplace-delegated-resource-management | Microsoft Marketplace にマネージド サービス オファーを発行した場合は、必要に応じてこのテンプレートを使用して、オファーに同意した顧客のリソースをオンボードできます。 このパラメーター ファイル内の marketplace 値は、プランの発行時に使用した値と一致している必要があります。 |
適格な認可を含めるには、サンプル リポジトリの delegated-resource-management-eligible-authorizations セクションから対応するテンプレートを選択します。
通常、オンボードするサブスクリプションごとに個別のデプロイが必要ですが、次のサンプルを使用して、複数のサブスクリプションにテンプレートをデプロイすることもできます。
| テンプレート | 説明 |
|---|---|
| cross-subscription-deployment | 複数のサブスクリプションをまたいで Azure Resource Manager テンプレートをデプロイします。 |
ヒント
1 つのデプロイで管理グループ全体をオンボードすることはできませんが、 管理グループ内の各サブスクリプションをオンボードするポリシーをデプロイできます。
Azure Policy と Azure Lighthouse のサンプル テンプレート
これらのサンプルでは、Azure Lighthouse にオンボードされたサブスクリプションで Azure Policy を使用する方法を示します。
| テンプレート | 説明 |
|---|---|
| policy-add-or-replace-tag | 委任されたサブスクリプションに (modify 効果を使用して) タグを追加または削除するポリシーを割り当てます。 詳細については、委任されたサブスクリプション内での修復できるポリシーのデプロイに関する説明を参照してください。 |
| policy-allow-certain-managing-tenants | Azure Lighthouse の委任を特定の管理テナントに制限するポリシーを割り当てます。 |
| policy-audit-delegation | 委任の割り当てを監査するポリシーを割り当てます。 |
| policy-delegate-management-groups | 管理グループ内のサブスクリプションが管理テナントに委任されていることを確認するポリシーを割り当てます。そうでない場合は、割り当てを作成します。 |
| policy-enforce-keyvault-monitoring | (deployIfNotExists 効果を使用して) 委任されたサブスクリプションの Azure Key Vault リソースの診断を有効にするポリシーを割り当てます。 詳細については、委任されたサブスクリプション内での修復できるポリシーのデプロイに関する説明を参照してください。 |
| policy-enforce-sub-monitoring | 委任されたサブスクリプションに対する診断を有効にするいくつかのポリシーを割り当て、Windows と Linux のすべての VM を、このポリシーで作成された Log Analytics のワークスペースに接続します。 詳細については、委任されたサブスクリプション内での修復できるポリシーのデプロイに関する説明を参照してください。 |
| policy-initiative | 1 つのポリシー イニシアティブ (複数の関連するポリシー定義) を委任されたサブスクリプションに適用します。 |
Azure Monitor と Azure Lighthouse のサンプル テンプレート
これらのサンプルでは、Azure Monitor を使用して、Azure Lighthouse にオンボードされたサブスクリプションのためのアラートを作成する方法を示します。
| テンプレート | 説明 |
|---|---|
| monitor-delegation-changes | 管理テナントの過去 1 日のアクティビティに対してクエリを実行し、 追加または削除された委任 と、成功しなかったすべての試行を報告します。 |
| alert-using-actiongroup | Azure アラートを作成し、既存のアクション グループに接続します。 |
| multiple-loganalytics-alerts | Kusto クエリに基づいて複数のログ アラートを作成します。 |
| delegation-alert-for-customer | ユーザーが管理テナントにサブスクリプションを委任するときに、テナントにアラートをデプロイします。 |
| workbook-activitylogs-by-domain | サブスクリプション全体の Azure のアクティビティ ログを、ドメイン名でフィルター処理するオプションを使用して表示します。 |
その他の Azure Lighthouse シナリオのサンプル テンプレート
これらのサンプルでは、テナント間の管理シナリオで実行できるさまざまなタスクを示しています。
| テンプレート | 説明 |
|---|---|
create-keyvault-secret |
顧客のテナントにキー コンテナーを作成し、アクセス ポリシーを作成します。 |
cross-rg-deployment |
2 つの異なるリソース グループにストレージ アカウントをデプロイします。 |
deploy-azure-mgmt-services |
Azure 管理サービスを作成し、それらをリンクし、ソリューションをデプロイします。 エンドツーエンドでデプロイする場合は、rgWithAzureMgmt.json テンプレートを使用します。 |
deploy-azure-security-center |
対象となる Azure サブスクリプション内で Microsoft Defender for Cloud を有効にし、構成します。 |
deploy-azure-sentinel |
委任されたサブスクリプションの既存の Log Analytics ワークスペースで Microsoft Sentinel をデプロイして有効にします。 |
deploy-log-analytics-vm-extensions |
Log Analytics VM 拡張機能を Windows および Linux VM にデプロイし、それらを Log Analytics ワークスペースに接続できるようにします。 |
次のステップ
- Azure Lighthouse のアーキテクチャと技術的概念について参照してください。
- Azure Lighthouse のサンプル リポジトリに関するページを参照してください。