在管理组中的所有订阅上启用 Defender for Cloud
可以使用 Azure Policy 在同一管理组 (MG) 中的所有 Azure 订阅上启用 Microsoft Defender for Cloud。 这比通过门户单独访问它们更为方便,即使订阅属于不同的所有者,此方法也有效。
先决条件
使用以下 Azure CLI 命令为管理组启用资源提供程序 _Microsoft.Security_
:
az provider register --namespace Microsoft.Security --management-group-id …
加入管理组及其所有订阅
加入管理组及其所有订阅:
以具有“安全管理员”权限的用户身份,打开 Azure Policy,然后搜索定义
Enable Microsoft Defender for Cloud on your subscription
。选择“分配”,并确保将范围设置为 MG 级别。
提示
除范围外,没有其他必需的参数。
选择“修正”,然后选择“创建修正任务”,确保加入所有未启用 Defender for Cloud 的现有订阅。
选择“查看 + 创建”。
检查信息,然后选择“创建”。
分配定义后,它将:
- 检测 MG 中所有尚未注册到 Defender for Cloud 的订阅。
- 将这些订阅标记为“不合规”。
- 将所有已注册的订阅标记为“合规”(无论它们是否启用了 Defender for Cloud 的增强安全功能)。
然后,修正任务将在不合规的订阅上启用 Defender for Cloud 的基本功能。
可选修改
有多种用于修改 Azure Policy 定义的方法可供选择:
以不同的方式定义合规性 - 提供的策略将 MG 中尚未注册到 Defender for Cloud 的所有订阅分类为“不合规”。 可以选择将它设置为未启用 Defender for Cloud 的增强安全功能的所有订阅。
提供的定义将下面任一“定价”设置定义为合规。 也就是说设置为“标准”或“免费”的订阅均合规。
提示
启用任何 Microsoft Defender 计划后,将在策略定义中根据“标准”设置对其进行描述。 禁用时,它是“免费”设置。 若要了解这些计划之间的差异,请参阅 Microsoft Defender for Cloud 的 Defender 计划。
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },
如果将其更改为以下内容,则仅设置为“标准”的订阅会被分类为合规:
"existenceCondition": { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" },
定义要在启用 Defender for Cloud 时应用的某些 Microsoft Defender 计划 - 提供的策略会启用没有任何可选增强安全功能的 Defender for Cloud。 可以选择启用一个或多个 Microsoft Defender 计划。
提供的定义的
deployment
部分具有参数pricingTier
。 默认情况下,它设置为free
,但可以对其进行修改。
后续步骤
加入整个管理组后,即可启用增强的安全功能。