Freigeben über


Aktivieren von Defender für Cloud für alle Abonnements in einer Verwaltungsgruppe

Sie können Azure Policy verwenden, um Microsoft Defender für Cloud in allen Azure-Abonnements innerhalb derselben Verwaltungsgruppe zu aktivieren. Dies ist einfacher als der individuelle Zugriff darauf über das Portal und funktioniert sogar, wenn die Abonnements unterschiedliche Besitzer haben.

Voraussetzungen

Aktivieren Sie den Ressourcenanbieter _Microsoft.Security_ für die Verwaltungsgruppe mit dem folgenden Azure CLI-Befehl:

az provider register --namespace Microsoft.Security --management-group-id …

Onboarding einer Verwaltungsgruppe und aller zugehörigen Abonnements

Führen Sie das Onboarding einer Verwaltungsgruppe und aller zugehörigen Abonnements wie folgt durch:

  1. Öffnen Sie Azure Policy als Benutzer mit Berechtigungen vom Typ Sicherheitsadministrator, und suchen Sie nach der Definition Enable Microsoft Defender for Cloud on your subscription.

    Screenshot: Azure Policy-Definition „Enable Defender for Cloud on your subscription“

  2. Wählen Sie die Option Zuweisen aus, und stellen Sie sicher, dass Sie den Bereich auf die Ebene der Verwaltungsgruppe festlegen.

    Screenshot: Zuweisen der Definition „Enable Defender for Cloud on your subscription“

    Tipp

    Mit Ausnahme des Bereichs sind keine weiteren Parameter erforderlich.

  3. Wählen Sie Wartung und Eine Wartungsaufgabe erstellen aus, um sicherzustellen, dass alle vorhandenen Abonnements, für die Defender für Cloud nicht aktiviert ist, das Onboarding durchgeführt wird.

    Screenshot: Erstellen einer Wartungsaufgabe für die Azure Policy-Definition „Enable Defender for Cloud on your subscription“

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Überprüfen Sie Ihre Angaben, und wählen Sie Erstellen aus.

Wenn die Definition zugewiesen wird, bewirkt sie Folgendes:

  • Erkennen aller Abonnements in der Verwaltungsgruppe, die noch nicht bei Defender für Cloud registriert sind.
  • Kennzeichnen dieser Abonnements als „Nicht konform“
  • Markieren Sie alle registrierten Abonnements als „konform“ (unabhängig davon, ob die erweiterten Sicherheitsfeatures von Defender für Cloud aktiviert oder deaktiviert sind).

Mit dem Korrekturtask werden dann die Grundfunktionen von Defender für Cloud for die nicht konformen Abonnements aktiviert.

Optionale Änderungen

Es gibt verschiedene Möglichkeiten, wie Sie die Azure Policy-Definition ändern können:

  • Abweichendes Definieren von Konformität: Mit der bereitgestellten Richtlinie werden alle Abonnements der Verwaltungsgruppe, die noch nicht bei Defender für Cloud registriert sind, als „nicht konform“ klassifiziert. Sie können es für alle Abonnements festlegen, ohne dass die erweiterten Sicherheitsfeatures von Defender für Cloud aktiviert sind.

    Mit der bereitgestellten Definition werden beide unten angegebenen Preiseinstellungen als konform festgelegt. Dies bedeutet, dass ein Abonnement, das auf „Standard“ oder „Free“ festgelegt ist, konform ist.

    Tipp

    Wenn ein Microsoft Defender-Plan aktiviert ist, wird er in einer Richtliniendefinition als auf „Standard“ festgelegt beschrieben. Wenn er deaktiviert ist, gilt „Free“. Informationen zu den Unterschieden zwischen diesen Plänen finden Sie in der Auflistung der Defender-Pläne für Microsoft Defender for Cloud.

    "existenceCondition": {
        "anyof": [
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "standard"
            },
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "free"
            }
        ]
    },
    

    Wenn Sie eine Änderung in den folgenden Wert vornehmen, werden nur Abonnements, die auf „Standard“ festgelegt sind, als konform klassifiziert:

    "existenceCondition": {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
          },
    
  • Definieren einiger Microsoft Defender-Pläne, die beim Aktivieren von Defender für Cloud angewendet werden sollen: Die bereitgestellte Richtlinie aktiviert Defender für Cloud ohne optionale erweiterte Sicherheitsfeatures. Sie können einen oder mehrere Microsoft Defender-Pläne aktivieren.

    Im Abschnitt deployment der bereitgestellten Definition wird der Parameter pricingTier verwendet. Standardmäßig ist er auf free festgelegt, aber Sie können dies ändern.

Nächste Schritte

Nach dem Onboarding einer kompletten Verwaltungsgruppe aktivieren Sie nun die erweiterten Sicherheitsfeatures.