在管理组中的所有订阅上启用 Defender for Cloud

可以使用 Azure Policy 在同一管理组 (MG) 中的所有 Azure 订阅上启用 Microsoft Defender for Cloud。 这比通过门户单独访问它们更为方便,即使订阅属于不同的所有者,此方法也有效。

先决条件

使用以下 Azure CLI 命令为管理组启用资源提供程序 _Microsoft.Security_

az provider register --namespace Microsoft.Security --management-group-id …

加入管理组及其所有订阅

加入管理组及其所有订阅

  1. 以具有“安全管理员”权限的用户身份,打开 Azure Policy,然后搜索定义Enable Microsoft Defender for Cloud on your subscription

    Screenshot showing the Azure Policy definition Enable Defender for Cloud on your subscription.

  2. 选择“分配”,并确保将范围设置为 MG 级别。

    Screenshot showing how to assign the definition Enable Defender for Cloud on your subscription.

    提示

    除范围外,没有其他必需的参数。

  3. 选择“修正”,然后选择“创建修正任务”,确保加入所有未启用 Defender for Cloud 的现有订阅

    Screenshot that shows how to create a remediation task for the Azure Policy definition Enable Defender for Cloud on your subscription.

  4. 选择“查看 + 创建”。

  5. 检查信息,然后选择“创建”。

分配定义后,它将:

  • 检测 MG 中所有尚未注册到 Defender for Cloud 的订阅。
  • 将这些订阅标记为“不合规”。
  • 将所有已注册的订阅标记为“合规”(无论它们是否启用了 Defender for Cloud 的增强安全功能)。

然后,修正任务将在不合规的订阅上启用 Defender for Cloud 的基本功能。

可选修改

有多种用于修改 Azure Policy 定义的方法可供选择:

  • 以不同的方式定义合规性 - 提供的策略将 MG 中尚未注册到 Defender for Cloud 的所有订阅分类为“不合规”。 可以选择将它设置为未启用 Defender for Cloud 的增强安全功能的所有订阅。

    提供的定义将下面任一“定价”设置定义为合规。 也就是说设置为“标准”或“免费”的订阅均合规。

    提示

    启用任何 Microsoft Defender 计划后,将在策略定义中根据“标准”设置对其进行描述。 禁用时,它是“免费”设置。 若要了解这些计划之间的差异,请参阅 Microsoft Defender for Cloud 的 Defender 计划

    "existenceCondition": {
        "anyof": [
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "standard"
            },
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "free"
            }
        ]
    },
    

    如果将其更改为以下内容,则仅设置为“标准”的订阅会被分类为合规:

    "existenceCondition": {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
          },
    
  • 定义要在启用 Defender for Cloud 时应用的某些 Microsoft Defender 计划 - 提供的策略会启用没有任何可选增强安全功能的 Defender for Cloud。 可以选择启用一个或多个 Microsoft Defender 计划。

    提供的定义的 deployment 部分具有参数 pricingTier。 默认情况下,它设置为 free,但可以对其进行修改。

后续步骤

加入整个管理组后,即可启用增强的安全功能。