Azure 登陸區域常見問題 （常見問題）

本文回答有關 Azure 登陸區域架構的常見問題。

如需實作 Azure 登陸區域架構的常見問題，請參閱企業級實作常見問題。

什麼是 Azure 登陸區域加速器？

Azure 登陸區域加速器是 Azure 入口網站 型部署體驗。 它會根據 Azure 登陸區域概念架構來部署有意見的實作。

Azure 登陸區域的建議加速器和實作為何？

Microsoft 會積極開發及維護平臺和應用程式加速器和實作，以配合 Azure 登陸區域 設計原則 和 設計區域 指引。

檢閱 部署 Azure 登陸區域 指引，以深入瞭解建議的平臺和應用程式登陸區域。

若要瞭解如何量身打造 Azure 登陸區域部署以符合您的需求，請參閱 量身打造符合需求的 Azure 登陸區域架構

提示

若要要求新增加速器和實作清單，請在 ALZ 存放庫上引發 GitHub 問題。

什麼是 Azure 登陸區域概念架構？

Azure 登陸區域概念架構代表規模和成熟度決策。 其依據是採用 Azure 作為數字資產一部分的客戶所學到的經驗和意見反應。 此概念架構可協助您的組織設定設計及實作登陸區域的方向。

登陸區域在 Azure 登陸區域架構的內容中對應至哪些內容？

從 Azure 登陸區域的觀點來看，登陸區域是個別的 Azure 訂用帳戶。

原則驅動治理的意義為何，以及其運作方式為何？

原則驅動的治理 是企業級架構的主要設計原則之一。

原則導向治理表示使用 Azure 原則，以減少您在 Azure 租使用者中常見和重複作業工作所需的時間。 使用許多 Azure 原則 效果，例如 Append、Deny、 DeployIfNotExists和 Modify，藉由限制建立或更新原則定義所定義的不符合規範的資源，或部署資源或修改資源建立或更新要求的設定來使其符合規範，以防止不符合規範。 某些效果，例如 Audit、 Disabled和 AuditIfNotExists，不會防止或採取動作;它們只會稽核和報告不符合規範。

原則驅動治理的一些范例如下：

• Deny 效果：防止建立或更新子網，使其沒有相關聯的網路安全組。

• DeployIfNotExists 效果：系統會建立新的訂用帳戶（登陸區域），並將其放入 Azure 登陸區域部署內的管理群組中。 Azure 原則 可確保訂用帳戶上已啟用 適用於雲端的 Microsoft Defender（先前稱為 Azure 資訊安全中心）。 它也會設定活動記錄的診斷設定，以將記錄傳送至管理訂用帳戶中的 Log Analytics 工作區。

  建立新的訂用帳戶時，原則定義會自動部署併為您設定它們， DeployIfNotExists 而不是重複程式碼或手動活動。

如果我們無法或尚未準備好使用 DeployIfNotExists （DINE） 原則，該怎麼辦？

我們有一個專用頁面，逐步解說您必須「停用」DINE 原則的各種階段和選項，或使用我們的三個階段方法在您的環境中經過一段時間採用這些原則。

請參閱採用原則驅動護欄的指導方針

我們應該使用 Azure 原則 來部署工作負載嗎？

簡言之， 不。 使用 Azure 原則 來控制、控管及讓您的工作負載和登陸區域符合規範。 其並非設計用來部署整個工作負載和其他工具。 使用 Azure 入口網站 或基礎結構即程式代碼供應專案（ARM 範本、Bicep、Terraform）來部署和管理您的工作負載，並取得您需要的自主權。

Terraform （aztfmod）雲端採用架構 登陸區域是什麼？

雲端採用架構 登陸區域 開放原始碼 專案 （OSS） （也稱為 aztfmod） 是 Azure 登陸區域核心小組和 Azure GitHub 組織以外的社群驅動專案。 如果您的組織選擇使用此 OSS 專案，應該考慮可用的支持，因為這是由社群工作透過 GitHub 所推動。

如果登陸區域中已經有資源，稍後指派 Azure 原則 定義，並將其包含在其範圍中，該怎麼辦？

檢閱下列檔區段：

• 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構 - 「原則」一節
• 快速入門：建立原則指派以識別不符合規範的資源 -「識別不符合規範的資源」一節

我們如何在 Azure 登陸區域架構中處理「開發/測試/生產」工作負載登陸區域？

如需詳細資訊，請參閱 管理 Azure 登陸區域中的應用程式開發環境。

為什麼我們要求在 Azure 登陸區域加速器部署期間指定 Azure 區域，以及其用途為何？

當您使用 Azure 登陸區域加速器入口網站型體驗部署 Azure 登陸區域架構時，請選取要部署到的 Azure 區域。 第一個索引標籤 [部署位置] 會決定部署數據的儲存位置。 如需詳細資訊，請參閱 使用ARM範本的租使用者部署。 登陸區域的某些部分會全域部署，但其部署元數據會在區域元數據存放區中追蹤。 其部署的相關元數據會儲存在 [部署位置] 索引標籤上選取的區域。

部署位置索引標籤上的區域選取器也可用來選取應儲存哪些 Azure 區域，例如 Log Analytics 工作區和自動化帳戶。

如果您在 [網络拓撲和連線能力] 索引標籤上部署網路拓撲，您必須選取 Azure 區域來部署網路資源。 此區域與 [部署位置] 索引標籤上選取的區域不同。

如需登陸區域資源使用之區域的詳細資訊，請參閱 登陸區域區域。

當我們使用 Azure 登陸區域架構時，如何啟用更多 Azure 區域？

若要瞭解如何將新區域新增至登陸區域，或如何將登陸區域資源移至不同的區域，請參閱 登陸區域區域。

我們應該每次建立新的 Azure 訂用帳戶，還是應該重複使用 Azure 訂用帳戶？

什麼是訂用帳戶重複使用？

訂用帳戶重複使用是將現有訂用帳戶重新發行給新擁有者的程式。 應該有一個程式，將訂用帳戶重設為已知的清除狀態，然後重新指派給新的擁有者。

我為什麼要考慮重複使用訂用帳戶？

一般而言，我們建議客戶採用訂 用帳戶民主化設計原則。 不過，在某些情況下，您無法或建議重複使用訂用帳戶。

提示

在這裡觀看訂用帳戶民主化設計原則的YouTube影片： Azure 登陸區域 - 我應該在 Azure 中使用多少個訂用帳戶？

如果您符合下列其中一種情況，您應該考慮重複使用訂用帳戶：

• 您有一個 Enterprise 合約（EA），並計劃在單一 EA 帳戶擁有者帳戶（計費帳戶）上建立超過 5,000 個訂用帳戶，包括已刪除的訂用帳戶。
• 您有 Microsoft 客戶合約（MCA）或 Microsoft 合作夥伴合約 MPA，並計劃擁有超過 5,000 個使用中的訂用帳戶
• 您是隨用隨付客戶
• 您使用 Microsoft Azure 贊助
• 您通常會建立：
  1. 暫時實驗室或沙盒環境
  2. 適用於概念證明（POC）或最低可行產品的示範環境（MVP），包括適用於客戶示範/試用存取的獨立軟體廠商 （ISV）
  3. 訓練環境，例如 MSP/訓練員的學習者環境

如何? 重複使用訂用帳戶嗎？

如果您符合上述其中一個案例或考慮，您可能需要考慮重複使用現有的已解除委任或未使用的訂用帳戶，並將其重新指派給新的擁有者和用途。

清除舊訂用帳戶

您必須先清除舊的訂用帳戶，才能重複使用。 您必須在訂用帳戶上執行下列動作，才能準備好重複使用：

• 拿掉資源群組和自主資源。
• 拿掉訂用帳戶範圍的角色指派，包括 Privileged Identity Management （PIM） 角色指派。
• 在訂用帳戶範圍移除自定義角色型 存取控制 （RBAC） 定義。
• 拿掉訂用帳戶範圍的原則定義、計劃、指派和豁免。
• 拿掉訂用帳戶範圍的部署。
• 拿掉訂用帳戶範圍中的標籤。
• 拿掉訂用帳戶範圍的任何資源鎖定。
• 拿掉訂用帳戶範圍的任何 Microsoft 成本管理預算。
• 除非組織需求將這些記錄設定為付費層，否則請將 適用於雲端的 Microsoft Defender 方案重設為免費層。 您通常會透過 Azure 原則 強制執行這些需求。
• 拿掉訂用帳戶活動記錄（診斷設定）轉送至 Log Analytics 工作區、事件中樞、儲存體 帳戶或其他支援的目的地，除非組織需求在訂用帳戶作用中時強制轉送這些記錄。
• 拿掉訂用帳戶範圍中的任何 Azure Lighthouse 委派。
• 從訂用帳戶中移除任何隱藏的資源。

提示

使用 Get-AzResource 或 az resource list -o table 鎖定訂用帳戶範圍的目標，可協助您尋找任何隱藏或剩餘的資源，以在重新指派之前移除。

重新指派訂用帳戶

清除訂用帳戶之後，您可以重新指派訂用帳戶。 以下是您可能想要在重新指派程式中執行的一些常見活動：

• 在訂用帳戶上新增標記並設定其值。
• 在新擁有者的訂用帳戶範圍中，新增角色指派或 Privileged Identity Management （PIM） 角色指派。 一般而言，這些指派會是 Microsoft Entra 群組，而不是個人。
• 根據訂用帳戶的治理需求，將訂用帳戶放入所需的管理群組。
• 建立新的 Microsoft 成本管理預算，並在達到閾值時，將警示設定為新的擁有者。
• 將 適用於雲端的 Microsoft Defender 計劃設定為所需的階層。 您應該透過將 Azure 原則 一次放入正確的管理群組，強制執行此設定。
• 設定訂用帳戶活動記錄（診斷設定）轉送至 Log Analytics 工作區、事件中樞、儲存體 帳戶或其他支援的目的地。 您應該透過將 Azure 原則 一次放入正確的管理群組來強制執行此設定。

什麼是主權登陸區域，以及它與 Azure 登陸區域架構有何關聯？

主權登陸區域是 Microsoft Cloud for Sovereignty 的一部分，適用於需要進階主權控制的公共部門客戶。 作為量身打造的 Azure 登陸區域概念架構版本，主權登陸區域會配合 Azure 功能，例如服務落地、客戶管理的密鑰、Azure Private Link 和機密運算。 透過這種對齊方式，主權登陸區域會建立雲端架構，根據預設，數據和工作負載會提供加密和保護威脅。

注意

Microsoft Cloud for Sovereignty 面向具有主權需求的政府組織。 您應該仔細考慮是否需要 Microsoft Cloud for Sovereignty 功能，然後才考慮採用主權登陸區域架構。

如需主權登陸區域的詳細資訊，請參閱 Azure 登陸區域的主權考慮。