Aktivera Defender för molnet för alla prenumerationer i en hanteringsgrupp
Du kan använda Azure Policy för att aktivera Microsoft Defender för molnet på alla Azure-prenumerationer i samma hanteringsgrupp (MG). Det här är enklare än att komma åt dem individuellt från portalen och fungerar även om prenumerationerna tillhör olika ägare.
Förutsättningar
Aktivera resursprovidern _Microsoft.Security_
för hanteringsgruppen med följande Azure CLI-kommando:
az provider register --namespace Microsoft.Security --management-group-id …
Registrera en hanteringsgrupp och alla dess prenumerationer
Så här registrerar du en hanteringsgrupp och alla dess prenumerationer:
Som användare med behörigheter som säkerhetsadministratör öppnar du Azure Policy och söker efter definitionen
Enable Microsoft Defender for Cloud on your subscription
.Välj Tilldela och se till att du anger omfånget till MG-nivån.
Dricks
Förutom omfånget finns det inga obligatoriska parametrar.
Välj Reparation och välj Skapa en reparationsuppgift för att säkerställa att alla befintliga prenumerationer som inte har Defender för molnet aktiverade registreras.
Välj Granska + skapa.
Granska din information och välj Skapa.
När definitionen har tilldelats kommer den att:
- Identifiera alla prenumerationer i MG som ännu inte har registrerats med Defender för molnet.
- Markera dessa prenumerationer som "icke-kompatibla".
- Markera som "kompatibla" alla registrerade prenumerationer (oavsett om de har Defender for Clouds förbättrade säkerhetsfunktioner på eller av).
Reparationsuppgiften aktiverar sedan Defender for Clouds grundläggande funktioner i de icke-kompatibla prenumerationerna.
Valfria ändringar
Du kan välja att ändra Azure Policy-definitionen på olika sätt:
Definiera efterlevnad på olika sätt – Den angivna principen klassificerar alla prenumerationer i MG som ännu inte har registrerats med Defender för molnet som "icke-kompatibla". Du kan välja att ange den till alla prenumerationer utan att Defender för molnets förbättrade säkerhetsfunktioner är aktiverade.
Den angivna definitionen definierar någon av prisinställningarna nedan som kompatibel. Det innebär att en prenumeration som är inställd på "standard" eller "kostnadsfri" är kompatibel.
Dricks
När någon Microsoft Defender-plan är aktiverad beskrivs den i en principdefinition som i inställningen Standard. När den är inaktiverad är den "Kostnadsfri". Mer information om skillnaderna mellan dessa planer finns i Microsoft Defender för molnets Defender-planer.
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },
Om du ändrar det till följande klassificeras endast prenumerationer som är inställda på "standard" som kompatibla:
"existenceCondition": { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" },
Definiera vissa Microsoft Defender-planer som ska tillämpas när du aktiverar Defender för molnet – Den angivna principen aktiverar Defender för molnet utan någon av de valfria utökade säkerhetsfunktionerna. Du kan välja att aktivera en eller flera av Microsoft Defender-abonnemangen.
Den angivna definitionens
deployment
avsnitt har en parameterpricingTier
. Som standard är detta inställt påfree
, men du kan ändra det.
Nästa steg
Nu när du har registrerat en hel hanteringsgrupp aktiverar du de förbättrade säkerhetsfunktionerna.