重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 成本计算器是一个有用的工具,用于估算与云安全需求相关的潜在成本。 它允许你配置不同的计划和环境,并提供详细的成本明细,包括适用的折扣。
访问成本计算器
若要开始使用 Defender for Cloud 成本计算器,请访问 此链接。
配置“Defender for Cloud”计划和环境
在计算器的第一页上,选择“添加资产”按钮,开始向成本计算添加资产。 你有三种方法可添加资产:
- 从载入环境添加资产: 建议 - 从已载入到 Defender for Cloud 的环境中添加资产。 此方法涵盖 Azure 的所有计划,其工作速度比脚本选项更快。
- 使用脚本添加资产:下载并执行脚本以自动添加现有资产。
- 添加自定义资产:在不使用自动化的情况下手动添加资产。
注释
成本计算器不考虑 Defender for Cloud 的预留计划。
从载入环境添加资产
小窍门
建议对 Azure 环境使用此方法,因为它涵盖所有计划,并提供比使用脚本更快的结果。
- 从已加入 Defender for Cloud 的 Azure 环境列表中选择要包含在成本计算中的环境。 - 注释 - 计算器可发现你拥有权限的资源。 
- 选择计划。 计算器根据所选内容和任何现有折扣估算成本。 
使用脚本添加资产
注释
对于尚未载入到 Azure 的环境,建议使用此方法。
- 选择环境类型(Azure),并将脚本复制到新的 *.ps1 文件。 - 注释 - 该脚本仅收集运行它的用户有权访问的信息。 
- 使用特权用户帐户在 PowerShell 7.X 环境中运行脚本。 该脚本收集有关可计费资产的信息并创建 CSV 文件。 它分两个步骤收集信息。 首先,它收集通常保持不变的当前计费资产数。 其次,它收集有关可计费资产的信息,这些资产在月份可能会更改很多。 对于这些资产,它检查过去 30 天内的使用量以评估成本。 可以在第一步后停止脚本,这需要几秒钟时间。 或者,可以继续收集动态资产过去 30 天的使用量,这对于大型帐户可能需要更长的时间。 
- 将此 CSV 文件上传到下载脚本的向导中。 
- 选择所需的 Defender for Cloud 计划。 计算器根据所选内容和任何现有折扣估算成本。 
注释
- 不考虑适用于 Defender for Cloud 的预留计划。
- 对于 Defender for API:根据过去 30 天内的 API 调用数计算成本时,我们自动为你选择最佳的 Defender for API 计划。 如果过去 30 天内没有 API 调用,我们自动禁用该计划以进行计算。
脚本所需的权限
本节概述了为每个云提供商运行脚本所需的权限。
蔚蓝
若要为每个订阅成功运行此脚本,所使用的帐户需要允许它执行以下操作的权限:
- 发现和列出资源 (包括虚拟机、存储帐户、APIM 服务、Cosmos DB 帐户和其他资源)。 
- 查询资源图(通过 Search-AzGraph)。 
- 读取指标(通过 Get-AzMetric 和 Azure Monitor/Insights API)。 
推荐的内置角色:
在大多数情况下,订阅范围内的“读取者”角色已足够。 “读取者”角色提供此脚本所需的以下关键功能:
- 读取所有资源类型(使你可以列出并分析存储帐户、VM、Cosmos DB 和 APIM 等内容)。
- 读取指标 (Microsoft.Insights/metrics/read),以确保对 Get-AzMetric 或直接 Azure Monitor REST 查询的调用成功。
- 只要对订阅中的这些资源至少拥有读取访问权限,Resource Graph 查询就可以正常执行。
注释
如果希望确定你拥有必要的指标权限,你也可以使用“监视读取者”角色;但是,标准“读取者”角色已包括对指标的读取访问权限,通常你只需要该角色。
如果您已经拥有“参与者”或“所有者”角色:
- 订阅中的“参与者”或“所有者”角色就足够了(这些角色的特权高于“读者”)。
- 该脚本不执行资源的创建或删除。 因此,从最小特权的角度来看,仅出于数据收集目的而授予高级角色(如参与者/所有者)可能有些大材小用。
汇总:
通过向用户或服务主体授予对要查询的每个订阅的“读取者”角色(或任何更高权限的角色),可确保脚本可以:
- 检索订阅列表。
- 枚举并读取所有相关资源信息(通过 REST 或 Az PowerShell)。
- 提取必要的指标(APIM 请求数、Cosmos DB 的 RU 使用量、存储帐户流入量等)。
- 在没有问题的情况下,运行 Resource Graph 查询。
分配已接入的资产
- 从已加入 Defender for Cloud 的 Azure 环境列表中选择要包含在成本计算中的环境。 - 注释 - 计算器可发现你拥有权限的资源。 
- 选择计划。 计算器根据所选内容和任何现有折扣估算成本。 
分配自定义资产
- 选择自定义环境的名称。
- 指定计划以及每个计划的计费资产数。
- 选择要包含在成本计算中的资产类型。
- 计算器根据输入和任何现有折扣估算成本。
注释
计算器不考虑 Defender for Cloud 的预留计划。
调整您的报告
生成报表后,可以调整计划以及计费资产数:
- 选择要修改的环境,方法是选择 “编辑 ”(铅笔)图标。
- 此时会显示一个配置页,可在其中调整计划、可计费资产数和平均每月小时数。
- 选择 “重新计算 ”以更新成本估算。
导出报表
对报表感到满意后,可以将其导出为 CSV 文件:
- 选择右侧“摘要”面板底部的“导出到 CSV”。
- 成本信息下载为一个 CSV 文件。
常见问题
什么是成本计算器?
成本计算器是一种工具,可简化安全保护需求的估算成本。 定义所需计划和环境的范围时,计算器提供潜在费用的详细明细,包括任何适用的折扣。
成本计算器的工作原理是什么?
选择要启用的环境和计划。 然后,计算器执行发现过程,自动填充每个环境的每个计划的计费单位数。 还可以手动调整单位数量和折扣级别。
什么是发现过程?
发现过程会生成所选环境的报表,包括各种 Defender for Cloud 计划的计费资产清单。 此过程依赖于发现时的用户权限和环境状态。 对于大型环境,此过程可能需要大约 30 到 60 分钟,因为它也会采样动态资产。
是否需要授予成本计算器任何特殊权限以执行发现过程?
成本计算器使用现有权限运行脚本并自动执行发现。 它收集必要的数据,而无需进一步的访问权限。 若要查看运行脚本所需的权限,请参阅 “脚本所需的权限 ”部分。
估算是否准确预测了我的成本?
计算器根据脚本运行时可用的信息提供估计值。 各种因素可能会影响最终成本,因此应考虑其近似计算。
什么是计费单位?
计划的成本取决于其保护的单位数。 每个计划针对不同的单位类型收费,可在 Microsoft Defender for Cloud Environment 设置页上找到这些费用。
是否可以手动调整估算?
是的,成本计算器支持自动数据收集和手动调整。 可以修改单位数量和折扣级别,以更好地反映特定需求,并了解这些更改如何影响总体成本。
如何共享成本估算?
生成成本估算后,可以轻松导出并共享预算规划和审批。 此功能确保所有利益干系人都有权访问必要的信息。
如果我有疑问,可以在哪里获取帮助?
我们的支持团队随时准备帮助你解决你可能提出的任何问题或疑虑。 请随时联系我们寻求帮助。
 
              
               
              
               
              
              