Implementar o exemplo de esquema do Azure Security Benchmark Foundation
Importante
A 11 de julho de 2026, o Blueprints (Pré-visualização) será preterido. Migre as definições e atribuições de esquemas existentes para As Especificações de Modelo e As Pilhas de Implementação. Os artefactos de esquema devem ser convertidos em modelos JSON do ARM ou ficheiros Bicep utilizados para definir pilhas de implementação. Para saber como criar um artefacto como um recurso do ARM, consulte:
Para implementar o exemplo de esquema do Azure Security Benchmark Foundation, têm de ser seguidos os seguintes passos:
- Criar um esquema novo a partir do exemplo
- Marcar a cópia do exemplo como Publicada
- Atribuir a cópia do esquema a uma subscrição já existente
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Criar um esquema a partir de um exemplo
Primeiro, crie um esquema novo no ambiente utilizando o exemplo como ponto de partida, para implementar o esquema de exemplo.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Na página Começar à esquerda, selecione o botão Criar em Criar um esquema.
Localize o exemplo de esquema do Azure Security Benchmark Foundation em Outros Exemplos e selecione Utilizar este exemplo.
Introduza as Informações Básicas do esquema de exemplo:
- Nome do esquema: forneça um nome para a sua cópia do exemplo de esquema do Azure Security Benchmark Foundation.
- Localização da definição: utilize as reticências e selecione o grupo de gestão para guardar a cópia do exemplo.
Selecione o separador Artefactos, na parte superior da página, ou Seguinte: Artefactos, na parte inferior.
Reveja a lista de artefactos que compõem o esquema de exemplo. Muitos dos artefactos têm parâmetros que vamos definir mais tarde. Quando terminar de rever o esquema de exemplo, selecione Guardar Rascunho.
Publicar a cópia do exemplo
A cópia do esquema de exemplo está agora criada no seu ambiente. Está criada no modo Rascunho e tem de ser Publicada antes de poder ser atribuída e implementada. A cópia do exemplo de esquema pode ser personalizada para o seu ambiente e necessidades, mas essa modificação pode movê-la para longe do esquema do Azure Security Benchmark Foundation.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a cópia do esquema de exemplo e selecione-a.
Selecione Publicar esquema, na parte superior da página. Na página nova à direita, indique uma Versão para a cópia do esquema de exemplo. Esta propriedade é útil se fizer modificações mais tarde. Indique Notas de alteração como "Primeira versão publicada a partir do exemplo de esquema do Azure Security Benchmark Foundation". Em seguida, selecione Publicar na parte inferior da página.
Atribuir a cópia de exemplo
Depois de a cópia do exemplo de esquema ter sido publicada com êxito, pode ser atribuída a uma subscrição no grupo de gestão para a qual foi guardada. É neste passo que são fornecidos os parâmetros que fazem com que cada implementação da cópia do esquema de exemplo seja única.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a cópia do esquema de exemplo e selecione-a.
Selecione Atribuir esquema, na parte superior da página de definição do esquema.
Indique os valores dos parâmetros para a atribuição do esquema:
Noções básicas
- Subscrições: selecione uma ou mais das subscrições que estão no grupo de gestão para o qual guardou a sua cópia do exemplo de esquema. Se selecionar mais de uma subscrição, é criada uma atribuição para cada uma mediante a utilização dos parâmetros introduzidos.
- Nome da atribuição: o nome é pré-preenchido para si com base no nome do esquema. Mude-o se necessário ou deixe-o como está.
- Localização: selecione uma região na qual a identidade gerida deve ser criada.
- O Azure Blueprints utiliza esta identidade gerida para implementar todos os artefactos no esquema atribuído. Para saber mais, veja Identidades geridas para recursos do Azure.
- Versão da definição do esquema: selecione uma versão publicada da sua cópia do exemplo de esquema.
Bloquear Atribuição
Selecione a definição de bloqueio do esquema no seu ambiente. Para obter mais informações, veja bloqueio de recurso em esquemas.
Identidade Gerida
Escolha a opção de identidade gerida atribuída pelo sistema predefinida ou a opção de identidade atribuída pelo utilizador.
Parâmetros de esquema
Os parâmetros definidos nesta secção são utilizados por muitos dos artefactos na definição do esquema, para proporcionar consistência.
- Prefixo para recursos e grupos de recursos: esta cadeia é utilizada como um prefixo para todos os nomes de recursos e grupos de recursos
- Nome do hub: nome do hub
- Retenção de registos (dias): Número de dias em que os registos são retidos; a introdução de '0' retém os registos indefinidamente
- Implementar hub: introduza "true" ou "false" para especificar se a atribuição implementa os componentes do hub da arquitetura
- Localização do hub: localização para o grupo de recursos do hub
- Endereços IP de destino: endereços IP de destino para conectividade de saída; lista separada por vírgulas de endereços IP ou prefixos de intervalo de IP
- Observador de Rede nome: nome do recurso Observador de Rede
- Observador de Rede nome do grupo de recursos: nome para o grupo de recursos Observador de Rede
- Ativar a proteção de DDoS: introduza "true" ou "false" para especificar se a Proteção DDoS está ou não ativada na rede virtual
Nota
Se Observador de Rede já estiver ativada, recomenda-se que utilize o grupo de recursos Observador de Rede existente. Também tem de fornecer a localização do grupo de recursos Observador de Rede existente para o parâmetro de artefacto Observador de Rede localização do grupo de recursos.
Parâmetros dos artefactos
Os parâmetros definidos nesta secção aplicam-se ao artefacto no qual são definidos. Estes parâmetros são parâmetros dinâmicos , uma vez que são definidos durante a atribuição do esquema. Para obter uma lista completa ou parâmetros de artefacto e respetivas descrições, veja Tabela de parâmetros de artefactos.
Depois de introduzidos todos os parâmetros, selecione Atribuir, na parte inferior da página. A atribuição do esquema é criada e a implementação do artefacto inicia-se. A implementação demora cerca de uma hora. Para verificar o estado, abra a atribuição do esquema.
Aviso
O serviço Azure Blueprints e os esquemas de exemplo incorporados são gratuitos. Os preços dos recursos do Azure são os preços por produto. Utilize a calculadora de preços para prever o custo da execução de recursos implementados por este esquema de exemplo.
Tabela de parâmetros dos artefactos
A tabela seguinte fornece uma lista dos parâmetros do esquema:
| Nome do artefacto | Tipo de artefacto | Nome do parâmetro | Descrição |
|---|---|---|---|
| Grupo de recursos do Hub | Grupo de recursos | Nome do grupo de recursos | Bloqueado - Concatena o prefixo com o nome do hub |
| Grupo de recursos do Hub | Grupo de recursos | Localização do grupo de recursos | Bloqueado - Utiliza a localização do hub |
| Azure Firewall modelo | Modelo do Resource Manager | Azure Firewall endereço IP privado | |
| Modelo de Diagnóstico e Análise de Registos do Azure | Modelo do Resource Manager | Localização da área de trabalho do Log Analytics | Localização onde a área de trabalho do Log Analytics é criada; executar Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName no Azure PowersShell para ver as regiões disponíveis |
| Modelo de Diagnóstico e Análise de Registos do Azure | Modelo do Resource Manager | Automatização do Azure ID da conta (opcional) | ID do recurso da conta de automatização; utilizado para criar um serviço ligado entre o Log Analytics e uma conta de Automatização |
| Modelo do Grupo de Segurança de Rede do Azure | Modelo do Resource Manager | Ativar registos de fluxo do NSG | Introduza "true" ou "false" para ativar ou desativar os registos de fluxo do NSG |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixo de endereço de rede virtual | Prefixo de endereço de rede virtual para a rede virtual do hub |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixo de endereço de sub-rede da firewall | Prefixo de endereço da sub-rede da firewall para a rede virtual do hub |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixo de endereço da sub-rede bastion | Prefixo de endereço da sub-rede do Bastion para a rede virtual do hub |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixo do endereço da sub-rede do gateway | Prefixo de endereço de sub-rede do gateway para a rede virtual do hub |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixo de endereço da sub-rede de gestão | Prefixo de endereço da sub-rede de gestão para a rede virtual do hub |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixo de endereço da sub-rede jump box | Prefixo de endereço da sub-rede jump box para a rede virtual do hub |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Nomes de endereços de sub-rede (opcional) | Matriz de nomes de sub-redes a implementar na rede virtual do hub; por exemplo, "sub-rede1","sub-rede2" |
| Modelo de hub do Azure Rede Virtual | Modelo do Resource Manager | Prefixos de endereços de sub-rede (opcional) | Matriz de prefixos de endereços IP para sub-redes opcionais para a rede virtual do hub; por exemplo, "10.0.7.0/24", "10.0.8.0/24" |
| Grupo de recursos spoke | Grupo de recursos | Nome do grupo de recursos | Bloqueado - Concatena o prefixo com o nome spoke |
| Grupo de recursos spoke | Grupo de recursos | Localização do grupo de recursos | Bloqueado - Utiliza a localização do hub |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | Implementar spoke | Introduza "true" ou "false" para especificar se a atribuição implementa os componentes spoke da arquitetura |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | ID da subscrição do Hub | ID da subscrição onde o hub é implementado; valor predefinido é a subscrição onde está localizada a definição do esquema |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | Nome spoke | Nome do spoke |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | prefixo de endereço Rede Virtual | Rede Virtual prefixo de endereço para a rede virtual spoke |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | Prefixo de endereço de sub-rede | Prefixo de endereço de sub-rede para a rede virtual spoke |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | Nomes de endereços de sub-rede (opcional) | Matriz de nomes de sub-rede para implementar na rede virtual spoke; por exemplo, "sub-rede1","sub-rede2" |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | Prefixos de endereços de sub-rede (opcional) | Matriz de prefixos de endereços IP para sub-redes opcionais para a rede virtual spoke; por exemplo, "10.0.7.0/24", "10.0.8.0/24" |
| Modelo spoke do Azure Rede Virtual | Modelo do Resource Manager | Implementar spoke | Introduza "true" ou "false" para especificar se a atribuição implementa os componentes spoke da arquitetura |
| Modelo de Observador de Rede do Azure | Modelo do Resource Manager | Observador de Rede localização | Localização do recurso Observador de Rede |
| Modelo de Observador de Rede do Azure | Modelo do Resource Manager | Observador de Rede localização do grupo de recursos | Se Observador de Rede já estiver ativado, este valor de parâmetro tem de corresponder à localização do grupo de recursos Observador de Rede existente. |
Resolução de problemas
Se encontrar o erro The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'., verifique se o parâmetro de esquema Observador de Rede nome do grupo de recursos especifica o nome do grupo de recursos Observador de Rede existente e se o parâmetro do artefacto Observador de Rede localização do grupo de recursos especifica o existente Observador de Rede localização do grupo de recursos.
Passos seguintes
Agora que reviu os passos para implementar o exemplo de esquema do Azure Security Benchmark Foundation, veja o seguinte artigo para saber mais sobre a arquitetura:
Artigos adicionais sobre esquemas e como os utilizar:
- Saiba mais sobre o ciclo de vida do esquema.
- Compreenda como utilizar parâmetros estáticos e dinâmicos.
- Aprenda a personalizar a ordem de sequenciação do esquema.
- Saiba como utilizar o bloqueio de recursos de esquema.
- Saiba como atualizar as atribuições existentes.