Wdrażanie przykładu strategii usług udostępnionych ISO 27001
Ważne
11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Aby wdrożyć przykład strategii usług udostępnionych ISO 27001 usługi Azure Blueprints, należy wykonać następujące czynności:
- Tworzenie nowej strategii na podstawie przykładu
- Oznaczanie swojej kopii przykładu jako opublikowanej
- Przypisywanie kopii strategii do istniejącej subskrypcji
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Tworzenie strategii na podstawie przykładu
Najpierw zaimplementuj przykład strategii, tworząc nową strategię w środowisku przy użyciu przykładu jako wzorca.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Na stronie Wprowadzenie z lewej strony wybierz przycisk Utwórz w obszarze Tworzenie strategii.
Znajdź przykład strategii ISO 27001: Shared Services w obszarze Inne przykłady i wybierz pozycję Użyj tego przykładu.
Wprowadź podstawowe informacje dotyczące tego przykładu strategii:
- Nazwa strategii: podaj nazwę kopii przykładu strategii usług udostępnionych ISO 27001.
- Lokalizacja definicji: użyj wielokropka i wybierz grupę zarządzania, aby zapisać kopię przykładu.
Wybierz kartę Artefakty w górnej części strony lub Dalej: Artefakty w dolnej części strony.
Zapoznaj się z listą artefaktów, które składają się na przykład strategii. Wiele artefaktów ma parametry, które zdefiniujemy później. Po zakończeniu przeglądania przykładu strategii wybierz pozycję Zapisz wersję roboczą.
Publikowanie kopii przykładu
Twoja kopia przykładu strategii została utworzona w środowisku. Została ona utworzona w trybie wersji roboczej i musi zostać opublikowana, zanim będzie można ją przypisać i wdrożyć. Kopię przykładu strategii można dostosować do środowiska i potrzeb, ale ta modyfikacja może odejść od standardu ISO 27001.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć kopię przykładowej strategii, a następnie wybierz ją.
W górnej części strony wybierz pozycję Publikuj strategię. Na nowej stronie, po prawej, w polu Wersja podaj wersję kopii przykładu strategii. Ta właściwość jest przydatna w przypadku dokonywania późniejszych modyfikacji. Podaj uwagi dotyczące zmian, takie jak "Pierwsza wersja opublikowana z przykładu strategii ISO 27001". Następnie wybierz pozycję Publikuj w dolnej części strony.
Przypisywanie kopii przykładu
Po pomyślnym opublikowaniu kopii przykładu strategii można ją przypisać do subskrypcji w grupie zarządzania, do której została zapisana. W tym kroku udostępniane są parametry, dzięki którym każde wdrożenie kopii przykładowej strategii będzie unikatowe.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć kopię przykładowej strategii, a następnie wybierz ją.
Wybierz pozycję Przypisz strategię w górnej części strony definicji strategii.
Podaj wartości parametrów dla przypisania strategii:
Podstawy
- Subskrypcje: wybierz co najmniej jedną subskrypcję, która znajduje się w grupie zarządzania, do której zapisano kopię przykładu strategii. W przypadku wybrania więcej niż jednej subskrypcji dla każdej z nich zostanie utworzone przypisanie przy użyciu wprowadzonych parametrów.
- Nazwa przypisania: nazwa jest wstępnie wypełniona na podstawie nazwy strategii. Jeśli chcesz, możesz ją zmienić lub pozostawić.
- Lokalizacja: wybierz region, w którym ma zostać utworzona tożsamość zarządzana. Usługa Azure Blueprints używa tej tożsamości zarządzanej do wdrożenia wszystkich artefaktów w przypisanej strategii. Aby dowiedzieć się więcej, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
- Wersja definicji strategii: wybierz opublikowaną wersję kopii przykładu strategii.
Zablokuj przypisanie
Wybierz ustawienie blokowania strategii dla danego środowiska. Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Tożsamość zarządzana
Pozostaw domyślną opcję tożsamości zarządzanej przypisanej przez system.
Parametry strategii
Parametry zdefiniowane w tej sekcji są używane przez wiele artefaktów w definicji strategii w celu zapewnienia spójności.
- Nazwa organizacji: wprowadź krótką nazwę organizacji. Ta właściwość jest używana głównie do nazewnictwa zasobów.
- Prefiks adresu podsieci usług udostępnionych: podaj wartość notacji CIDR dla sieci wdrożonych zasobów razem.
- Lokalizacja usług udostępnionych: określa lokalizację, w której są wdrażane artefakty. Nie wszystkie usługi są dostępne we wszystkich lokalizacjach. Artefakty wdrażające takie usługi zapewniają opcję parametru dla lokalizacji w celu wdrożenia tego artefaktu.
- Dozwolona lokalizacja (zasady: inicjatywa strategii dla iso 27001): wartość wskazująca dozwolone lokalizacje dla grup zasobów i zasobów.
- Obszar roboczy usługi Log Analytics dla agentów maszyn wirtualnych (zasady: inicjatywa strategii dla iso 27001): określa identyfikator zasobu obszaru roboczego. Ten parametr używa
concatfunkcji do konstruowania identyfikatora zasobu.
Parametry artefaktu
Parametry zdefiniowane w tej sekcji mają zastosowanie do artefaktu w ramach którego zostały zdefiniowane. Te parametry są parametrami dynamicznymi, ponieważ są definiowane podczas przypisywania strategii. Aby uzyskać pełną listę lub parametry artefaktu i ich opisy, zobacz Tabela parametrów artefaktu.
Po wprowadzeniu wszystkich parametrów wybierz pozycję Przypisz w dolnej części strony. Tworzone jest przypisanie strategii i rozpoczyna się wdrażanie artefaktu. Wdrożenie trwa około godziny. Aby sprawdzić stan wdrożenia, otwórz przypisanie strategii.
Ostrzeżenie
Usługa Azure Blueprints i wbudowane przykłady strategii są udostępniane bezpłatnie. Opłaty za zasoby platformy Azure są ustalane według produktu. Skorzystaj z kalkulatora cen, aby oszacować koszt działania zasobów wdrożonych za pomocą tego przykładu strategii.
Tabela parametrów artefaktów
Poniższa tabela zawiera listę parametrów artefaktów strategii:
| Nazwa artefaktu | Typ artefaktu | Nazwa parametru | opis |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux (VMSS) | Przypisanie zasad | Opcjonalnie: lista obrazów maszyn wirtualnych z obsługiwanym systemem operacyjnym Linux w celu dodania do zakresu | (Opcjonalnie) Wartość domyślna to ["none"]. |
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Linux | Przypisanie zasad | Opcjonalnie: lista obrazów maszyn wirtualnych z obsługiwanym systemem operacyjnym Linux w celu dodania do zakresu | (Opcjonalnie) Wartość domyślna to ["none"]. |
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Windows (VMSS) | Przypisanie zasad | Opcjonalnie: lista obrazów maszyn wirtualnych z obsługiwanym systemem operacyjnym Windows w celu dodania do zakresu | (Opcjonalnie) Wartość domyślna to ["none"]. |
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Windows | Przypisanie zasad | Opcjonalnie: lista obrazów maszyn wirtualnych z obsługiwanym systemem operacyjnym Windows w celu dodania do zakresu | (Opcjonalnie) Wartość domyślna to ["none"]. |
| Dozwolone typy zasobów | Przypisanie zasad | Dozwolone typy zasobów | Lista typów zasobów, które mogą być wdrażane. Ta lista składa się ze wszystkich typów zasobów wdrożonych w usługach udostępnionych. |
| Allowed storage account SKUs (Dozwolone jednostki SKU konta magazynu) | Przypisanie zasad | Dozwolone jednostki SKU magazynu | Lista dozwolonych jednostek SKU konta magazynu dzienników diagnostycznych. Wartość domyślna to ["Standard_LRS"]. |
| Dozwolone jednostki SKU maszyn wirtualnych | Przypisanie zasad | Lista jednostek SKU maszyny wirtualnej, które mogą być wdrażane. Wartość domyślna to ["Standard_DS1_v2", "Standard_DS2_v2"]. | |
| Inicjatywa strategii dotycząca ISO 27001 | Przypisanie zasad | Typy zasobów do inspekcji dzienników diagnostycznych | Lista typów zasobów do inspekcji, jeśli ustawienie dziennika diagnostycznego nie jest włączone. Dopuszczalne wartości można znaleźć w artykule Schematy dzienników diagnostycznych usługi Azure Monitor. |
| Grupa zasobów usługi Log Analytics | Grupa zasobów | Nazwisko | Zablokowane — łączy nazwę organizacji z elementem -sharedsvsc-log-rg , aby grupa zasobów została unikatowa. |
| Grupa zasobów usługi Log Analytics | Grupa zasobów | Lokalizacja | Zablokowane — używa parametru strategii. |
| Szablon usługi Log Analytics | Szablon usługi Resource Manager | Warstwa usług | Ustawia warstwę obszaru roboczego usługi Log Analytics. Wartość domyślna to PerNode. |
| Szablon usługi Log Analytics | Szablon usługi Resource Manager | Przechowywanie dziennika w dniach | Przechowywanie danych w dniach. Wartość domyślna to 365. |
| Szablon usługi Log Analytics | Szablon usługi Resource Manager | Lokalizacja | Region używany do tworzenia obszaru roboczego usługi Log Analytics. Wartość domyślna to Zachodnie stany USA 2. |
| Sieciowa grupa zasobów | Grupa zasobów | Nazwisko | Zablokowane — łączy nazwę organizacji z elementem -sharedsvcs-net-rg , aby grupa zasobów została unikatowa. |
| Sieciowa grupa zasobów | Grupa zasobów | Lokalizacja | Zablokowane — używa parametru strategii. |
| Szablon usługi Azure Firewall | Szablon usługi Resource Manager | Prywatny adres IP usługi Azure Firewall | Konfiguruje prywatny adres IP zapory platformy Azure. Ta wartość jest również używana jako domyślna tabela tras w podsieci usług udostępnionych. Powinna być częścią notacji CIDR zdefiniowanej w prefiksie adresu podsieci usługi Azure Firewall. Wartość domyślna to 10.0.4.4. |
| Szablon usługi Azure Firewall | Szablon usługi Resource Manager | Przechowywanie dziennika w dniach | Przechowywanie danych w dniach. Wartość domyślna to 365. |
| Szablon sieciowej grupy zabezpieczeń | Szablon usługi Resource Manager | Przechowywanie dziennika w dniach | Przechowywanie danych w dniach. Wartość domyślna to 365. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Prefiks adresu sieci wirtualnej | Notacja CIDR dla sieci wirtualnej. Wartość domyślna to 10.0.0.0/16. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Włączanie ochrony przed atakami DDoS dla sieci wirtualnej | Konfiguruje ochronę przed atakami DDoS dla sieci wirtualnej. Wartość domyślna to true. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Prefiks adresu podsieci usług udostępnionych | Notacja CIDR dla podsieci usług udostępnionych. Wartość domyślna to 10.0.0.0/24. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Prefiks adresu podsieci DMZ | Notacja CIDR dla podsieci DMZ. Wartość domyślna to 10.0.1.0/24. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Prefiks adresu podsieci usługi Application Gateway | Notacja CIDR dla podsieci bramy aplikacji. Wartość domyślna to 10.0.2.0/24. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Prefiks adresu podsieci bramy sieci wirtualnej | Notacja CIDR dla podsieci bramy sieci wirtualnej. Wartość domyślna to 10.0.3.0/24. |
| Szablon sieci wirtualnej i tabeli tras | Szablon usługi Resource Manager | Prefiks adresu podsieci usługi Azure Firewall | Notacja CIDR dla podsieci usługi Azure Firewall . Powinien zawierać prywatny parametr IP usługi Azure Firewall. |
| Grupa zasobów usługi Key Vault | Grupa zasobów | Nazwisko | Zablokowane — łączy nazwę organizacji z elementem -sharedsvcs-kv-rg , aby grupa zasobów została unikatowa. |
| Grupa zasobów usługi Key Vault | Grupa zasobów | Lokalizacja | Zablokowane — używa parametru strategii. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Nazwa użytkownika administratora serwera Przesiadka | Nazwa użytkownika serwera przesiadkowego. Musi być zgodna z tą samą wartością właściwości w szablonie Serwera przesiadkowego. Wartość domyślna to jb-admin-user. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Klucz ssh lub hasło administratora serwera przesiadkowego | Klucz lub hasło dla konta na serwerze przesiadkowym. Musi być zgodna z tą samą wartością właściwości w szablonie Serwera przesiadkowego. Brak wartości domyślnej i nie można pozostawić jej pustej. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Nazwa użytkownika administratora domeny | Nazwa użytkownika używana do uzyskiwania dostępu do maszyny wirtualnej usługi Active Directory i dołączania innych maszyn wirtualnych do domeny. Musi być zgodna z wartością właściwości użytkownika administratora domeny w szablonie usługi domena usługi Active Directory Services. Wartość domyślna to domain-admin-user. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Hasło administratora domeny | Hasło użytkownika administratora domeny. Brak wartości domyślnej i nie można pozostawić jej pustej. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Identyfikator obiektu usługi AAD | Identyfikator obiektu usługi AAD konta, które wymaga dostępu do wystąpienia usługi Key Vault. Brak wartości domyślnej i nie można pozostawić jej pustej. Aby zlokalizować tę wartość w witrynie Azure Portal, wyszukaj i wybierz pozycję "Użytkownicy" w obszarze Usługi. Użyj pola Nazwa, aby odfiltrować nazwę konta i wybrać to konto. Na stronie Profil użytkownika wybierz ikonę "Kliknij, aby skopiować" obok identyfikatora obiektu. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Przechowywanie dziennika w dniach | Przechowywanie danych w dniach. Wartość domyślna to 365. |
| Szablon usługi Key Vault | Szablon usługi Resource Manager | Key Vault SKU | Określa jednostkę SKU utworzonej usługi Key Vault. Wartość domyślna to Premium. |
| Grupa zasobów Serwera przesiadkowego | Grupa zasobów | Nazwisko | Zablokowane — łączy nazwę organizacji z elementem -sharedsvcs-jb-rg , aby grupa zasobów została unikatowa. |
| Grupa zasobów Serwera przesiadkowego | Grupa zasobów | Lokalizacja | Zablokowane — używa parametru strategii. |
| Szablon serwera przesiadkowego | Szablon usługi Resource Manager | Nazwa użytkownika administratora serwera Przesiadka | Nazwa użytkownika używana do uzyskiwania dostępu do maszyn wirtualnych serwera przesiadkowego. Musi być zgodna z tą samą wartością właściwości w szablonie usługi Key Vault. Wartość domyślna to jb-admin-user. |
| Szablon serwera przesiadkowego | Szablon usługi Resource Manager | Hasło administratora serwera Przesiadka (identyfikator zasobu usługi Key Vault) | Identyfikator zasobu usługi Key Vault. Użyj polecenia "/subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv" i zastąp {subscriptionId} identyfikatorem subskrypcji i {orgName} parametrem strategii nazwy organizacji. |
| Szablon serwera przesiadkowego | Szablon usługi Resource Manager | Hasło administratora serwera przesiadkowego (nazwa wpisu tajnego usługi Key Vault) | Nazwa użytkownika administratora serwera przesiadkowego. Musi być zgodna z wartością we właściwości szablonu usługi Key Vault Nazwa użytkownika administratora serwera Przesiadka. |
| Szablon serwera przesiadkowego | Szablon usługi Resource Manager | Jumpbox Operating System | Określa system operacyjny maszyny wirtualnej serwera przesiadkowego. Wartość domyślna to Windows. |
| grupa zasobów usług domena usługi Active Directory | Grupa zasobów | Nazwisko | Zablokowane — łączy nazwę organizacji z elementem -sharedsvcs-adds-rg , aby grupa zasobów została unikatowa. |
| grupa zasobów usług domena usługi Active Directory | Grupa zasobów | Lokalizacja | Zablokowane — używa parametru strategii. |
| szablon usług domena usługi Active Directory | Szablon usługi Resource Manager | Nazwa użytkownika administratora domeny | Nazwa użytkownika dla serwera przesiadkowego ADDS. Musi być zgodna z tą samą wartością właściwości w szablonie usługi Key Vault. Wartość domyślna to adds-admin-user. |
| szablon usług domena usługi Active Directory | Szablon usługi Resource Manager | Hasło administratora domeny (identyfikator zasobu usługi Key Vault) | Identyfikator zasobu usługi Key Vault. Użyj polecenia "/subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv" i zastąp {subscriptionId} identyfikatorem subskrypcji i {orgName} parametrem strategii nazwy organizacji. |
| szablon usług domena usługi Active Directory | Szablon usługi Resource Manager | Hasło administratora domeny (nazwa wpisu tajnego usługi Key Vault) | Nazwa użytkownika administratora domeny. Musi być zgodna z wartością właściwości szablonu usługi Key Vault Nazwa użytkownika administratora domeny. |
| szablon usług domena usługi Active Directory | Szablon usługi Resource Manager | Nazwa domeny | Nazwa usługi Active Directory utworzonej przez przykład. Wartość domyślna to contoso.com. |
| szablon usług domena usługi Active Directory | Szablon usługi Resource Manager | Użytkownik administratora domeny | Nazwa użytkownika konta usługi AD administratora i dołączania urządzeń do domeny usługi AD. Musi być zgodna z wartością właściwości nazwy użytkownika administratora usługi AD w szablonie usługi Key Vault. Wartość domyślna to domain-admin-user. |
| szablon usług domena usługi Active Directory | Szablon usługi Resource Manager | Hasło administratora domeny | Ustaw szczegóły usługi Key Vault na potrzeby przechowywania hasła. Brak wartości domyślnej i nie można pozostawić jej pustej. |
Następne kroki
Po zapoznaniu się z krokami wdrażania przykładowej strategii usług udostępnionych ISO 27001 zapoznaj się z następującymi artykułami, aby dowiedzieć się więcej o architekturze i mapowaniu kontrolek:
Strategia usług udostępnionych ISO 27001 — omówieniestrategii usług udostępnionych ISO 27001 — mapowanie kontrolek
Dodatkowe artykuły na temat strategii i sposobu ich używania:
- Uzyskaj informacje na temat cyklu życia strategii.
- Dowiedz się, jak używać parametrów statycznych i dynamicznych.
- Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
- Dowiedz się, jak używać blokowania zasobów strategii.
- Dowiedz się, jak zaktualizować istniejące przypisania.