Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Am 11. Juli 2026 wird Blueprints (Vorschau) veraltet sein. Migrieren Sie Ihre vorhandenen Blueprintdefinitionen und -zuweisungen zu Vorlagenspezifikationen und Bereitstellungsstapeln. Blueprintartefakte werden in ARM-JSON-Vorlagen oder Bicep-Dateien konvertiert, die zum Definieren von Bereitstellungsstapeln verwendet werden. Informationen zum Erstellen eines Artefakts als ARM-Ressource finden Sie unter:
Zum Bereitstellen des Azure Security Benchmark Foundation-Blueprintbeispiels müssen die folgenden Schritte ausgeführt werden:
- Erstellen eines neuen Blueprints aus dem Beispiel
- Markieren Sie Ihre Kopie des Beispiels als Veröffentlicht
- Weisen Sie Ihre Kopie des Bauplans einem bestehenden Abonnement zu
Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Erstellen einer Blaupause mithilfe des Beispiels
Implementieren Sie zunächst das Blueprint-Beispiel, indem Sie einen neuen Blueprint in Ihrer Umgebung mithilfe des Beispiels als Starter erstellen.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie auf der Seite " Erste Schritte " auf der linken Seite die Schaltfläche " Erstellen " unter "Entwurf erstellen" aus.
Suchen Sie das Azure Security Benchmark Foundation-Blueprintbeispiel unter "Andere Beispiele ", und wählen Sie "Dieses Beispiel verwenden" aus.
Geben Sie die Grundlagen des Blueprint-Beispiels ein:
- Blueprintname: Geben Sie einen Namen für Ihre Kopie des Azure Security Benchmark Foundation-Blueprintbeispiels an.
- Definitionsspeicherort: Klicken Sie auf die Schaltfläche mit den Auslassungspunkten, und wählen Sie die Verwaltungsgruppe aus, in der Sie Ihre Kopie des Beispiels speichern möchten.
Wählen Sie die Registerkarte " Artefakte " oben auf der Seite oder "Weiter" aus: Artefakte am unteren Rand der Seite.
Überprüfen Sie die Liste der Artefakte, aus denen das Blueprintbeispiel besteht. Viele der Artefakte verfügen über Parameter, die wir später definieren werden. Wählen Sie " Entwurf speichern " aus, wenn Sie die Überprüfung des Blueprintbeispiels abgeschlossen haben.
Veröffentlichen der Beispielkopie
Ihre Kopie des Blueprintbeispiels wurde jetzt in Ihrer Umgebung erstellt. Er wird im Entwurfsmodus erstellt und muss veröffentlicht werden, bevor es zugewiesen und bereitgestellt werden kann. Die Kopie des Blueprintbeispiels kann an Ihre Umgebung und Ihre Anforderungen angepasst werden, diese Änderung kann sie jedoch vom Azure Security Benchmark Foundation-Blueprint wegbewegen.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie die Seite "Blueprintdefinitionen " auf der linken Seite aus. Verwenden Sie die Filter, um Ihre Kopie des Blueprint-Beispiels zu finden, und wählen Sie diese aus.
Wählen Sie " Blueprint veröffentlichen" oben auf der Seite aus. Geben Sie auf der neuen Seite rechts für Ihre Kopie des Blaupausenbeispiels eine Version an. Diese Eigenschaft ist nützlich, wenn Sie später eine Änderung vornehmen. Stellen Sie Änderungsnotizen bereit, z. B. "Erste Version, die aus dem Azure Security Benchmark Foundation-Blueprintbeispiel veröffentlicht wurde.". Wählen Sie dann unten auf der Seite "Veröffentlichen" aus.
Weise die Beispielkopie zu
Nachdem die Kopie des Blueprint-Beispiels erfolgreich veröffentlicht wurde, kann sie einem Abonnement innerhalb der Verwaltungsgruppe zugewiesen werden, in der es gespeichert wurde. In diesem Schritt werden Parameter bereitgestellt, um jede Bereitstellung der Kopie des Blueprintbeispiels eindeutig zu machen.
Wählen Sie im linken Bereich "Alle Dienste " aus. Suchen Sie nach Blueprints, und wählen Sie sie aus.
Wählen Sie die Seite "Blueprintdefinitionen " auf der linken Seite aus. Verwenden Sie die Filter, um Ihre Kopie des Blueprint-Beispiels zu finden, und wählen Sie diese aus.
Wählen Sie oben auf der Seite mit der Blaupausendefinition die Option Blaupause zuweisen aus.
Geben Sie die Parameterwerte für die Blaupausenzuweisung an:
Basics
- Abonnements: Wählen Sie ein oder mehrere Abonnements aus, die sich in der Verwaltungsgruppe befinden, in der Sie Ihre Kopie des Blueprintbeispiels gespeichert haben. Wenn Sie mehr als ein Abonnement auswählen, wird für jede mit den eingegebenen Parametern eine Zuordnung erstellt.
- Zuweisungsname: Der Name wird basierend auf dem Namen der Blaupause vorab ausgefüllt. Ändern Sie es nach Bedarf oder lassen Sie es wie es ist.
- Region: Wählen Sie eine Region für die verwaltete Identität aus, in der sie erstellt werden soll.
- Azure Blueprints verwendet diese verwaltete Identität, um alle Artefakte im zugewiesenen Blueprint bereitzustellen. Weitere Informationen finden Sie unter verwaltete Identitäten für Azure-Ressourcen.
- Blueprintdefinitionsversion: Wählen Sie eine veröffentlichte Version Ihrer Kopie des Blueprintbeispiels aus.
Zuweisung sperren
Wählen Sie die Blaupausensperreinstellung für die Umgebung aus. Weitere Informationen finden Sie unter "Blueprints-Ressourcensperre".
Verwaltete Identität
Wählen Sie entweder die Standardoption verwaltete Identität des Systems oder die vom Benutzer zugewiesene Identitätsoption aus.
Blueprint-Parameter
Die in diesem Abschnitt definierten Parameter werden von vielen Artefakten in der Blueprintdefinition verwendet, um Konsistenz zu gewährleisten.
- Präfix für Ressourcen und Ressourcengruppen: Diese Zeichenfolge wird als Präfix für alle Ressourcen- und Ressourcengruppennamen verwendet.
- Hubname: Name für den Hub
- Protokollaufbewahrung (Tage):Anzahl der Tage, die Protokolle aufbewahrt werden; Durch die Eingabe von "0" werden Protokolle unbegrenzt aufbewahrt.
- Deploy hub: Geben Sie 'true' oder 'false' ein, um anzugeben, ob die Zuordnung die Hub-Komponenten der Architektur bereitstellt.
- Hubstandort: Standort für die Hubressourcengruppe
- Ziel-IP-Adressen: Ziel-IP-Adressen für ausgehende Konnektivität; durch Trennzeichen getrennte Liste von IP-Adressen oder IP-Bereichspräfixen
- Network Watcher name: Name für die Netzwerküberwachungsressource
- Netzwerküberwachungsressourcengruppenname: Name für die Netzwerküberwachungsressourcengruppe
- DDoS-Schutz aktivieren: Geben Sie "true" oder "false" ein, um anzugeben, ob der DDoS-Schutz im virtuellen Netzwerk aktiviert ist.
Hinweis
Wenn die Netzwerküberwachung bereits aktiviert ist, empfiehlt es sich, die vorhandene Netzwerküberwachungsressourcengruppe zu verwenden. Außerdem müssen Sie den Speicherort für die vorhandene Network Watcher-Ressourcengruppe für den Artefaktparameter Network Watcher-Speicherort für Ressourcengruppen angeben.
Artefaktparameter
Die in diesem Abschnitt definierten Parameter gelten für das Artefakt, unter dem es definiert ist. Diese Parameter sind dynamische Parameter , da sie während der Zuweisung des Blueprints definiert werden. Eine vollständige Liste oder Artefaktparameter und deren Beschreibungen finden Sie in der Tabelle "Artefaktparameter".
Nachdem alle Parameter eingegeben wurden, wählen Sie unten auf der Seite " Zuweisen" aus. Die Blaupausenzuweisung wird erstellt, und die Artefaktbereitstellung wird gestartet. Die Bereitstellung dauert ungefähr eine Stunde. Um den Status der Bereitstellung zu überprüfen, öffnen Sie die Blueprint-Zuweisung.
Warnung
Der Azure Blueprints-Dienst und die integrierten Blueprintbeispiele sind kostenlos. Azure-Ressourcen werden nach Produktpreisen angeboten. Verwenden Sie den Preisrechner, um die Kosten der laufenden Ressourcen zu schätzen, die durch das Blueprint-Beispiel bereitgestellt werden.
Artefaktparametertabelle
Die folgende Tabelle enthält eine Liste der Blueprintparameter:
| Artefaktname | Artefakttyp | Parametername | Description |
|---|---|---|---|
| Hub-Ressourcengruppe | Ressourcengruppe | Ressourcengruppenname | Gesperrt – Verkettet Präfix mit dem Hubnamen |
| Hub-Ressourcengruppe | Ressourcengruppe | Ressourcengruppenstandort | Gesperrt – Verwendet Hub-Standort |
| Azure Firewall-Vorlage | Resource Manager-Vorlage | Private IP-Adresse der Azure Firewall | |
| Vorlage für Azure Log Analytics und Diagnose | Resource Manager-Vorlage | Speicherort des Log Analytics-Arbeitsbereichs | Der Standort, an dem der Log Analytics-Arbeitsbereich erstellt wird. Führen Sie Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName in Azure PowerShell aus, um verfügbare Regionen anzuzeigen. |
| Vorlage für Azure Log Analytics und Diagnose | Resource Manager-Vorlage | Azure Automation-Konto-ID (optional) | Ressourcen-ID des Automatisierungskontos; wird verwendet, um einen verknüpften Dienst zwischen Log Analytics und einem Automatisierungskonto zu erstellen. |
| Azure Network Security Group-Vorlage | Resource Manager-Vorlage | Aktivieren von NSG-Ablaufprotokollen | Geben Sie "true" oder "false" ein, um NSG-Flussprotokolle zu aktivieren oder zu deaktivieren. |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Präfix für virtuelle Netzwerkadressen | Adresspräfix des virtuellen Netzwerks für das virtuelle Hubnetzwerk |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Präfix für Firewall-Subnetzadresse | Präfix der Firewall-Subnetzadresse für virtuelles Hub-Netzwerk |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Präfix für Bastion-Subnetzadresse | Präfix der Bastion-Subnetzadresse für virtuelles Hub-Netzwerk |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Gateway-Subnetzpräfix | Gateway-Subnetzadressenpräfix für virtuelles Hubnetzwerk |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Subnetzadresspräfix für die Verwaltung | Präfix der Management-Subnetzadresse für das virtuelle Hubnetzwerk |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Adresspräfix des Jumpboxsubnetzes | Subnetzadressenpräfix für das Jump-Box-Hub-Virtualnetzwerk |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Subnetzadressennamen (optional) | Array von Subnetznamen, die im virtuellen Hubnetzwerk bereitgestellt werden sollen; Beispiel: "subnetz1","subnetz2" |
| Azure Virtual Network Hub-Vorlage | Resource Manager-Vorlage | Subnetzadressenpräfixe (optional) | Array von IP-Adresspräfixen für optionale Subnetze für das virtuelle Hubnetzwerk; Beispiel: "10.0.7.0/24","10.0.8.0/24" |
| Spoke-Ressourcengruppe | Ressourcengruppe | Ressourcengruppenname | Gesperrt: Verkettet das Präfix mit dem Spoke-Namen. |
| Spoke-Ressourcengruppe | Ressourcengruppe | Ressourcengruppenstandort | Gesperrt – Verwendet Hub-Standort |
| Azure Virtual Network-Spoke-Vorlage | Resource Manager-Vorlage | Bereitstellen von Spoke | Geben Sie "true" oder "false" ein, um anzugeben, ob die Zuweisung die Speichenkomponenten der Architektur implementiert. |
| Azure Virtual Network-Spoke-Vorlage | Resource Manager-Vorlage | Hubabonnement-ID | Abonnement-ID, in dem der Hub bereitgestellt wird; Standardwert ist das Abonnement, in dem sich die Blueprint-Definition befindet. |
| Azure Virtual Network-Speichenvorlage | Resource Manager-Vorlage | Speichenname | Name des Sprechers |
| Azure Virtual Network-Spoke-Vorlage | Resource Manager-Vorlage | Präfix der virtuellen Netzwerkadresse | Virtual Network-Adresspräfix für das virtuelle Spoke-Netzwerk |
| Azure Virtual Network-Spoke-Vorlage | Resource Manager-Vorlage | Subnetzadresspräfix | Subnet-Adresspräfix für virtuelles Spoke-Netzwerk |
| Azure Virtual Network-Speichenvorlage | Resource Manager-Vorlage | Subnetzadressennamen (optional) | Array von Subnetznamen, die im virtuellen Spoke-Netzwerk bereitgestellt werden sollen. Beispiel: subnet1, subnet2 |
| Azure Virtual Network-Spokevorlage | Resource Manager-Vorlage | Subnetzadressenpräfixe (optional) | Array von IP-Adresspräfixen für optionale Subnetze für das virtuelle Spoke-Netzwerk; Beispiel: 10.0.7.0/24, 10.0.8.0/24 |
| Azure Virtual Network-Spoke-Vorlage | Resource Manager-Vorlage | Bereitstellung von Spoke | Geben Sie "true" oder "false" ein, um anzugeben, ob die Zuweisung die Speichenkomponenten der Architektur einsatzbereit macht. |
| Azure Network Watcher-Vorlage | Resource Manager-Vorlage | Network Watcher-Standort | Speicherort der Network Watcher-Ressource |
| Azure Network Watcher-Vorlage | Resource Manager-Vorlage | Speicherort der Network-Watcher-Ressourcengruppe | Wenn die Netzwerküberwachung bereits aktiviert ist, muss dieser Parameterwert mit dem Speicherort der vorhandenen Netzwerküberwachungsressourcengruppe übereinstimmen. |
Problembehandlung
Wenn der Fehler The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'.auftritt, überprüfen Sie, ob der Blueprint-Parameter Ressourcengruppenname für den Network Watcher den vorhandenen Ressourcengruppennamen der Netzwerküberwachung angibt und ob der Artefaktparameter Ressourcengruppenstandort für den Network Watcher den vorhandenen Standort der Netzwerküberwachungsressourcengruppe angibt.
Nächste Schritte
Nachdem Sie die Schritte zum Bereitstellen des Azure Security Benchmark Foundation-Blueprintbeispiels überprüft haben, besuchen Sie den folgenden Artikel, um mehr über die Architektur zu erfahren:
Weitere Artikel zu Blueprints und deren Verwendung:
- Erfahren Sie mehr über den Blueprint-Lebenszyklus.
- Verstehen, wie man statische und dynamische Parameter verwendet.
- Hier erfahren Sie, wie Sie die Reihenfolge der Blueprint-Sequenzierung anpassen.
- Erfahren Sie, wie Sie die Sperrung von Blueprintressourcen verwenden.
- Erfahren Sie, wie Sie vorhandene Zuordnungen aktualisieren.