Hjem Lab-prosjekter Azure lab fra scratch

Azure lab-miljø
fra scratch

Bygget et komplett Azure lab-miljø fra bunnen av: VNet, NSG, Entra ID-brukere og grupper, RBAC, Windows Server VM, Defender for Cloud, Log Analytics og kostnadsstyring.

FullførtAZ-104 / SC-300Azure · Entra ID
Hva jeg gjorde
Fundament — budsjett, ressursgruppe og tagging

Det første som ble gjort — før noen ressurser — var å sette et budsjett i Cost Management. Pay-As-You-Go har ingen automatisk stoppgrense, og ressurser kan løpe kostnader uten at du merker det. Varsler ved 80% og 100% av månedlig grense er minimum.

Opprettet én ressursgruppe for hele lab-miljøet og definerte en tagging-konvensjon fra starten: environment, owner og purpose på alle ressurser. Tags er grunnlaget for policy-håndhevelse og sporbarhet.

Stopp alltid VM-en til "Stopped (deallocated)" etter bruk — ikke bare "Stopped". Deallocated frigir compute-ressursene og du betaler kun for disk. En "Stopped" VM fortsetter å fakturere for compute.
Nettverk — VNet, subnett og NSG

Opprettet et Virtual Network med ett subnett og koblet en Network Security Group til subnettet — ikke til VM-en direkte. Én NSG på subnettnivå er enklere å administrere enn separate NSG-er per ressurs.

Åpnet RDP (port 3389) kun fra min egen offentlige IP-adresse. Aldri source: Any — bots skanner konstant etter åpen RDP og starter brute force-angrep innen minutter.

Azure oppretter automatisk en ekstra NSG på nettverkskortet (NIC) når du lager en VM. Fjern denne — to NSG-er på ulike nivåer gir dobbel regeladministrasjon og kan skape forvirring om hvilke regler som faktisk gjelder.
Entra ID, RBAC og VM

Opprettet dedikerte lab-brukere og tildelte Contributor-rollen til en sikkerhetsgruppe, ikke direkte til brukerne. Grupper gjør tilgangsstyring skalerbar: legg til eller fjern brukere fra gruppen uten å røre selve rolletildelingen.

Deployerte en Windows Server 2025 VM og koblet den til nettverksinfrastrukturen. B-serie VM-er er ikke tilgjengelige i Norway East — valgte D2s_v3 som erstatning.

Defender for Cloud og Log Analytics

Aktiverte Foundational CSPM (gratis) for Secure Score og anbefalinger, og Defender for Servers Plan 1 for de 30 gratis prøvedagene. Opprettet en Log Analytics Workspace og en Data Collection Rule for å samle inn Windows Event Logs fra VM-en.

Data Collection Rule er den moderne erstatningen for den gamle Log Analytics-agenten. VM Insights kunne ikke aktiveres uten DCR — dette er ikke dokumentert tydelig og tok tid å finne ut av.

Defender for Servers og Resource Manager koster penger etter 30 dagers prøveperiode. Husk å skru dem av via Environment Settings i Defender for Cloud innen fristen.
Ting å huske
Gikk galt
Satte feil subnet-range (/26 i stedet for /24) under VNet-oppsett. Range kan ikke endres etter at subnettet er opprettet. Måtte slette og opprette på nytt. Planlegg adresserommet før du oppretter.
Lærte
Security Audit-logger (EventID 4624/4625 — innlogging lyktes/feilet) er det viktigste for SC-300-pensum. Her ser du hvem som logger inn, når og fra hvilken IP. I produksjon er dette grunnlaget for å oppdage uautorisert tilgang.
Husk
Pay-As-You-Go har ingen automatisk stoppgrense for kostnader. Budsjetter sender e-post, men stopper ikke ressursene automatisk. Deallocate VM-er og slett dyre ressurser (Bastion, Firewall) mellom øktene.
Microsoft-dokumentasjon
🌐
Virtual Network oversikt
Microsoft Learn — AZ-104
🛡️
NSG oversikt
Microsoft Learn — AZ-104
🔍
Defender for Cloud
Microsoft Learn — SC-300
📊
Log Analytics Workspace
Microsoft Learn — AZ-104