重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 成本计算器是一个有用的工具,用于估算与云安全需求相关的潜在成本。 它允许你配置不同的计划和环境,并提供详细的成本明细,包括适用的折扣。
访问成本计算器
若要开始使用 Defender for Cloud 成本计算器,请访问 此链接。
配置“Defender for Cloud”计划和环境
在计算器的第一页上,选择“添加资产”按钮,开始向成本计算添加资产。 你有三种方法可添加资产:
- 从载入环境添加资产: 建议 - 从已载入到 Defender for Cloud 的环境中添加资产。 此方法涵盖 Azure 的所有计划,其工作速度比脚本选项更快。
- 使用脚本添加资产:下载并执行脚本以自动添加现有资产。
- 添加自定义资产:在不使用自动化的情况下手动添加资产。
注释
成本计算器不考虑 Defender for Cloud 的预留计划(P3)。
从载入环境添加资产
小窍门
建议对 Azure 环境使用此方法,因为它涵盖所有计划,并提供比使用脚本更快的结果。
从已加入 Defender for Cloud 的 Azure 环境列表中选择要包含在成本计算中的环境。
注释
计算器可发现你拥有权限的资源。
选择计划。 计算器根据所选内容和任何现有折扣估算成本。
使用脚本添加资产
注释
对于尚未载入到 Azure 的环境,建议使用此方法。
选择环境类型(Azure),并将脚本复制到新的 *.ps1 文件。
注释
该脚本仅收集运行它的用户有权访问的信息。
使用特权用户帐户在 PowerShell 7.X 环境中运行脚本。 该脚本收集有关可计费资产的信息并创建 CSV 文件。 它分两个步骤收集信息。 首先,它收集通常保持不变的当前计费资产数。 其次,它收集有关可计费资产的信息,这些资产在月份可能会更改很多。 对于这些资产,它检查过去 30 天内的使用量以评估成本。 可以在第一步后停止脚本,这需要几秒钟时间。 或者,可以继续收集动态资产过去 30 天的使用量,这对于大型帐户可能需要更长的时间。
将此 CSV 文件上传到下载脚本的向导中。
选择所需的 Defender for Cloud 计划。 计算器根据所选内容和任何现有折扣估算成本。
注释
- 不考虑适用于 Defender for Cloud 的预留计划。
- 对于 Defender for API:根据过去 30 天内的 API 调用数计算成本时,我们自动为你选择最佳的 Defender for API 计划。 如果过去 30 天内没有 API 调用,我们自动禁用该计划以进行计算。
脚本所需的权限
本节概述了为每个云提供商运行脚本所需的权限。
蔚蓝
若要为每个订阅成功运行此脚本,所使用的帐户需要允许它执行以下操作的权限:
发现和列出资源 (包括虚拟机、存储帐户、APIM 服务、Cosmos DB 帐户和其他资源)。
查询资源图(通过 Search-AzGraph)。
读取指标(通过 Get-AzMetric 和 Azure Monitor/Insights API)。
推荐的内置角色:
在大多数情况下,订阅范围内的“读取者”角色已足够。 “读取者”角色提供此脚本所需的以下关键功能:
- 读取所有资源类型(使你可以列出并分析存储帐户、VM、Cosmos DB 和 APIM 等内容)。
- 读取指标 (Microsoft.Insights/metrics/read),以确保对 Get-AzMetric 或直接 Azure Monitor REST 查询的调用成功。
- 只要对订阅中的这些资源至少拥有读取访问权限,Resource Graph 查询就可以正常执行。
注释
如果希望确定你拥有必要的指标权限,你也可以使用“监视读取者”角色;但是,标准“读取者”角色已包括对指标的读取访问权限,通常你只需要该角色。
如果您已经拥有“参与者”或“所有者”角色:
- 订阅中的“参与者”或“所有者”角色就足够了(这些角色的特权高于“读者”)。
- 该脚本不执行资源的创建或删除。 因此,从最小特权的角度来看,仅出于数据收集目的而授予高级角色(如参与者/所有者)可能有些大材小用。
汇总:
通过向用户或服务主体授予对要查询的每个订阅的“读取者”角色(或任何更高权限的角色),可确保脚本可以:
- 检索订阅列表。
- 枚举并读取所有相关资源信息(通过 REST 或 Az PowerShell)。
- 提取必要的指标(APIM 请求数、Cosmos DB 的 RU 使用量、存储帐户流入量等)。
- 在没有问题的情况下,运行 Resource Graph 查询。
分配已接入的资产
从已加入 Defender for Cloud 的 Azure 环境列表中选择要包含在成本计算中的环境。
注释
计算器可发现你拥有权限的资源。
选择计划。 计算器根据所选内容和任何现有折扣估算成本。
分配自定义资产
- 选择自定义环境的名称。
- 指定计划以及每个计划的计费资产数。
- 选择要包含在成本计算中的资产类型。
- 计算器根据输入和任何现有折扣估算成本。
注释
计算器不考虑 Defender for Cloud 的预留计划。
调整您的报告
生成报表后,可以调整计划以及计费资产数:
- 选择要修改的环境,方法是选择 “编辑 ”(铅笔)图标。
- 此时会显示一个配置页,可在其中调整计划、可计费资产数和平均每月小时数。
- 选择 “重新计算 ”以更新成本估算。
导出报表
对报表感到满意后,可以将其导出为 CSV 文件:
- 选择右侧“摘要”面板底部的“导出到 CSV”。
- 成本信息下载为一个 CSV 文件。
常见问题
什么是成本计算器?
成本计算器是一种工具,可简化安全保护需求的估算成本。 定义所需计划和环境的范围时,计算器提供潜在费用的详细明细,包括任何适用的折扣。
成本计算器的工作原理是什么?
选择要启用的环境和计划。 然后,计算器执行发现过程,自动填充每个环境的每个计划的计费单位数。 还可以手动调整单位数量和折扣级别。
什么是发现过程?
发现过程会生成所选环境的报表,包括各种 Defender for Cloud 计划的计费资产清单。 此过程依赖于发现时的用户权限和环境状态。 对于大型环境,此过程可能需要大约 30 到 60 分钟,因为它也会采样动态资产。
是否需要授予成本计算器任何特殊权限以执行发现过程?
成本计算器使用现有权限运行脚本并自动执行发现。 它收集必要的数据,而无需进一步的访问权限。 若要查看运行脚本所需的权限,请参阅 “脚本所需的权限 ”部分。
估算是否准确预测了我的成本?
计算器根据脚本运行时可用的信息提供估计值。 各种因素可能会影响最终成本,因此应考虑其近似计算。
什么是计费单位?
计划的成本取决于其保护的单位数。 每个计划针对不同的单位类型收费,可在 Microsoft Defender for Cloud Environment 设置页上找到这些费用。
是否可以手动调整估算?
是的,成本计算器支持自动数据收集和手动调整。 可以修改单位数量和折扣级别,以更好地反映特定需求,并了解这些更改如何影响总体成本。
如何共享成本估算?
生成成本估算后,可以轻松导出并共享预算规划和审批。 此功能确保所有利益干系人都有权访问必要的信息。
如果我有疑问,可以在哪里获取帮助?
我们的支持团队随时准备帮助你解决你可能提出的任何问题或疑虑。 请随时联系我们寻求帮助。