Share via


Azure Lighthouse 範例

下表包含適用於 Azure Lighthouse 的 Azure Resource Manager 主要範本連結。 您也可在 Azure Lighthouse 範例存放庫中找到這些檔案及其他更多資訊。

讓客戶上線

我們提供不同的範本來解決特定的上線案例。 選擇最適合的選項,並務必修改參數檔案以反映您的環境。 如需如何在部署中使用這些檔案的詳細資訊,請參閱讓客戶在 Azure Lighthouse 上線

範本 說明
訂用帳戶 讓客戶的訂用帳戶在 Azure Lighthouse 上線 您必須針對每個訂用帳戶個別執行部署。
rg 和 multi-rg 讓一或多個客戶的資源群組在 Azure Lighthouse 上線。 使用 rg.json 來讓單一資源群組上線,或使用 multi-rg.json 將訂用帳戶內的多個資源群組上線。
marketplace-delegated-resource-management 如果您已將受控服務發佈到 Azure Marketplace,可以選擇性地使用此範本來為已接受供應項目的客戶將資源上線。 參數檔案中的 marketplace 值必須符合您在發佈供應項目時所使用的值。

若要包含合格的授權,請從範例存放庫的 delegated-resource-management-eligible-authorizations 區段中,選取對應的範本。

一般來說,每個要上線的訂用帳戶都需要個別部署,但您也可以跨多個訂用帳戶部署範本。

範本 說明
cross-subscription-deployment 跨多個訂用帳戶部署 Azure Resource Manager 範本。

提示

雖然您無法在單一部署中將整個管理群組上線,但仍可部署原則以將管理群組中的個別訂閱上線

Azure 原則

這些範例說明如何使用 Azure 原則搭配已在 Azure Lighthouse 上線的訂用帳戶。

範本 說明
policy-add-or-replace-tag 指派原則,以將標籤新增到委派的訂用帳戶,或從委派的訂用帳戶移除標籤 (使用修改效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則
policy-allow-certain-managing-tenants 指派原則,將 Azure Lighthouse 委派限制於特定的管理租用戶。
policy-audit-delegation 指派將針對委派指派進行審核的原則。
policy-delegate-management-groups 指派一個原則以確認管理群組內的訂用帳戶已委派給管理租用戶,如果尚未委派,則建立指派。
policy-enforce-keyvault-monitoring 指派原則,以在委派的訂用帳戶中診斷 Azure Key Vault 資源 (使用 deployIfNotExists 效果)。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則
policy-enforce-sub-monitoring 指派數個原則,以便診斷委派的訂用帳戶,並將所有 Windows 和 Linux VN 連線到原則所建立的 Log Analytics 工作區。 如需詳細資訊,請參閱部署可以在委派的訂用帳戶中補救的原則
policy-initiative 將計畫 (多個相關的原則定義) 套用到委派的訂用帳戶。

Azure 監視器

這些範例說明如何使用 Azure 監視器,為已上線至 Azure Lighthouse 的訂用帳戶建立警示。

範本 說明
monitor-delegation-changes 查詢管理租用戶中過去 1 天的活動,並對任何新增或移除的委派 (或未成功的嘗試) 提出報告。
alert-using-actiongroup 建立 Azure 警示並連線至現有的動作群組。
multiple-loganalytics-alerts 建立多個以 Kusto 查詢為基礎的記錄警示。
delegation-alert-for-customer 當使用者將訂用帳戶委派給管理租用戶時,在租用戶中部署警示。
workbook-activitylogs-by-domain 顯示訂用帳戶之間的 Azure 活動記錄,並有選項可讓您依網域名稱篩選這些記錄。

其他跨租用戶案例

這些範例說明可在跨租使用者管理案例中執行的各種工作。

範本 說明
create-keyvault-secret 在客戶的租用戶中建立金鑰保存庫並建立存取原則。
cross-rg-deployment 將儲存體帳戶部署到兩個不同的資源群組中。
deploy-azure-mgmt-services 建立 Azure 管理服務、將其連結在一起並部署其他解決方案。 針對端對端部署,請使用 rgWithAzureMgmt.json 範本。
deploy-azure-security-center 在目標 Azure 訂用帳戶內啟用及設定適用於雲端的 Microsoft Defender。
deploy-azure-sentinel 在委派訂用帳戶中的現有 Log Analytics 工作區上部署並啟用 Microsoft Sentinel。
deploy-log-analytics-vm-extensions 可讓您將 Log Analytics VM 延伸模組部署到 Windows 和 Linux VM,進而將這些延伸模組連線至指定的 Log Analytics 工作區。

下一步