調整適用於伺服器的 Defender 部署
本文可協助您調整適用於伺服器的 Microsoft Defender 部署。
適用於伺服器的 Defender 是由 適用於雲端的 Microsoft Defender 所提供的付費方案。
開始之前
本文是適用於伺服器的 Defender 規劃指南系列的中 第六篇 也是最後一篇文章。 開始之前,請先檢閱先前的文章:開始之前,請檢閱先前的文章:
- 開始 規劃您的部署。
- 檢閱 適用於伺服器的Defender存取角色。
- 選取適用於伺服器的 Defender 方案
- 瞭解 Defender for Servers 如何 收集數據以進行評量,以及何時需要工作區。
- 瞭解適用於伺服器的 Defender 儲存資料的位置。
啟用概觀
當您啟用適用於雲端的 Defender 訂用帳戶時,會發生此流程:
- microsoft.security 資源提供者會自動在訂用帳戶上註冊。
- 同時,負責建立安全性建議及計算安全分數的雲端安全性基準方案會指派給訂用帳戶。
- 在訂用帳戶上啟用 適用於雲端的 Defender 之後,您會開啟適用於伺服器的 Defender 方案 1 或適用於伺服器的 Defender 方案 2。
在下一個章節中,當您調整部署時,請檢閱特定步驟的注意事項:
- 調整雲端安全性效能評定部署Microsoft
- 調整適用於伺服器的 Defender 方案
調整MCSB部署
適用於雲端的 Defender 使用內建的 Azure 原則計劃來評估和強制執行最佳做法安全性設定。 Microsoft雲端安全性效能評定 (MCSB) 是 適用於雲端的 Defender 的預設方案。
在調整的部署中,您可能會想要自動指派 MCSB。
管理群組中每個現有和未來的訂用帳戶都會繼承指派。 若要設定部署以自動套用基準,請將原則方案指派給管理群組 (根),而不是指派給每個訂用帳戶。
您可以在 GitHub 上取得 Microsoft Cloud Security Benchmark 原則定義。
深入了解如何使用內建原則定義來註冊資源提供者。
調整適用於伺服器的 Defender 方案
您可以使用原則定義大規模啟用適用於伺服器的 Defender:
若要取得內建的 [設定以啟用適用於伺服器的 Azure Defender] 原則定義,請在部署的 Azure 入口網站中,移至 [Azure 原則]>[原則定義]。
![此螢幕快照顯示 [設定以啟用適用於伺服器的 Azure Defender] 原則定義。](media/plan-defender-for-servers-scale/select-policy-definition.png)
或者,您可以使用 [自訂原則] 來啟用適用於伺服器的 Defender,並同時選取方案。
您只能在每個訂用帳戶上啟用一個適用於伺服器的 Defender 方案。 您無法在同一個訂用帳戶上啟用適用於伺服器的 Defender 方案 1 和方案 2。
如果您想要在環境中同時使用這兩個方案,請將訂用帳戶分成兩個管理群組。 在每個管理群組上,指派原則以在每個基礎訂用帳戶上啟用個別方案。
![此螢幕快照顯示 [設定以啟用適用於伺服器的 Azure Defender] 原則定義。](media/plan-defender-for-servers-scale/select-policy-definition.png#lightbox)
下一步
為您的案例開始部署: