重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 成本计算器是一个有用的工具,用于估算与云安全需求相关的潜在成本。 它允许你配置不同的计划和环境,并提供详细的成本明细,包括适用的折扣。
访问成本计算器
若要开始使用 Defender for Cloud 成本计算器,请访问 此链接。
配置“Defender for Cloud”计划和环境
在计算器的第一页上,选择“添加资产”按钮,开始向成本计算添加资产。 你有三种方法可添加资产:
- 使用脚本添加资产:下载并执行脚本以自动添加现有资产。
- 从已接入的环境中添加资产:从已接入到 Defender for Cloud 的环境中添加资产。
- 添加自定义资产:在不使用自动化的情况下手动添加资产。
注释
不考虑适用于 Defender for Cloud 的预留计划 (P3)。
使用脚本添加资产
选择环境类型(Azure),并将脚本复制到新的 *.ps1 文件。
注释
该脚本仅收集运行它的用户有权访问的信息。
使用特权用户帐户在 PowerShell 7.X 环境中运行该脚本。 该脚本收集有关计费资产的信息并创建一个 CSV 文件。 它分两个步骤收集信息。 首先,它收集通常保持不变的当前计费资产数。 其次,它收集有关计费资产的信息,这些信息在当月可能会发生很大变化。 对于这些资产,它检查过去 30 天内的使用量以评估成本。 可以在第一步后停止脚本,这需要几秒钟时间。 或者,可以继续收集动态资产过去 30 天的使用量,这对于大型帐户可能需要更长的时间。
将此 CSV 文件上传到下载脚本的向导中。
选择所需的 Defender for Cloud 计划。 计算器根据所选内容和任何现有折扣估算成本。
注释
- 不考虑适用于 Defender for Cloud 的预留计划。
- 对于 Defender for API:根据过去 30 天内的 API 调用数计算成本时,我们自动为你选择最佳的 Defender for API 计划。 如果过去 30 天内没有 API 调用,我们自动禁用该计划以进行计算。
脚本所需的权限
本节概述了为每个云提供商运行脚本所需的权限。
蔚蓝
若要为每个订阅成功运行此脚本,所使用的帐户需要允许它执行以下操作的权限:
发现并列出资源(包括虚拟机、存储帐户、APIM 服务、Cosmos DB 帐户等)。
查询资源图(通过 Search-AzGraph)。
读取指标(通过 Get-AzMetric 和 Azure Monitor/Insights API)。
推荐的内置角色:
在大多数情况下,订阅范围内的“读取者”角色已足够。 “读取者”角色提供此脚本所需的以下关键功能:
- 读取所有资源类型(使你可以列出并分析存储帐户、VM、Cosmos DB 和 APIM 等内容)。
- 读取指标 (Microsoft.Insights/metrics/read),以确保对 Get-AzMetric 或直接 Azure Monitor REST 查询的调用成功。
- 只要对订阅中的这些资源至少拥有读取访问权限,Resource Graph 查询就可以正常执行。
注释
如果希望确定你拥有必要的指标权限,你也可以使用“监视读取者”角色;但是,标准“读取者”角色已包括对指标的读取访问权限,通常你只需要该角色。
如果您已经拥有“参与者”或“所有者”角色:
- 订阅中的“参与者”或“所有者”角色就足够了(这些角色的特权高于“读者”)。
- 该脚本不执行资源的创建或删除。 因此,从最小特权的角度来看,仅出于数据收集目的而授予高级角色(如参与者/所有者)可能有些大材小用。
汇总:
通过向用户或服务主体授予对要查询的每个订阅的“读取者”角色(或任何更高权限的角色),可确保脚本可以:
- 检索订阅列表。
- 枚举并读取所有相关资源信息(通过 REST 或 Az PowerShell)。
- 提取必要的指标(APIM 请求数、Cosmos DB 的 RU 使用量、存储帐户流入量等)。
- 在没有问题的情况下,运行 Resource Graph 查询。
分配已接入的资产
从已加入 Defender for Cloud 的 Azure 环境列表中选择要包含在成本计算中的环境。
注释
我们将仅包含在接入期间获得权限的资源。
选择计划。 计算器根据所选内容和任何现有折扣估算成本。
分配自定义资产
- 选择自定义环境的名称。
- 指定计划以及每个计划的计费资产数。
- 选择要包含在成本计算中的资产类型。
- 计算器根据输入和任何现有折扣估算成本。
注释
不考虑适用于 Defender for Cloud 的预留计划。
调整您的报告
生成报表后,可以调整计划以及计费资产数:
- 通过选择“编辑”(铅笔)图标来选择要修改的环境。
- 随即显示一个配置页,使你可以调整计划、计费资产数和每月平均小时数。
- 选择“重新计算”按钮以更新成本估算。
导出报表
对报表感到满意后,可以将其导出为 CSV 文件:
- 选择位于右侧”摘要”面板底部的“导出为 CSV”按钮。
- 成本信息下载为一个 CSV 文件。
常见问题
什么是成本计算器?
成本计算器是一种工具,旨在简化估算安全保护需求成本的过程。 定义所需计划和环境的范围时,计算器提供潜在费用的详细明细,包括任何适用的折扣。
成本计算器的工作原理是什么?
利用计算器,可以选择想要启用的环境和计划。 它随后会执行发现过程,以自动填充每个环境中每个计划的计费单位数。 你也可以手动调整单位数量和折扣级别。
什么是发现过程?
发现过程会生成所选环境的报表,包括各种 Defender for Cloud 计划的计费资产清单。 此过程基于发现时的用户权限和环境状态。 对于大型环境,此过程可能需要大约 30-60 分钟,因为也会对动态资产进行采样。
是否需要授予成本计算器任何特殊权限以执行发现过程?
成本计算器使用用户的现有权限来运行脚本并自动执行发现,确保它收集必要的数据,而无需进一步的访问权限。 若要查看用户运行脚本所需的权限,请参阅脚本所需的权限一节。
估算是否准确预测了我的成本?
计算器根据执行脚本时可用的信息提供一个估算。 各种因素都可能会影响最终成本,因此应将其视为近似计算。
什么是计费单位?
计划的成本取决于其保护的单位数。 每个计划根据不同的单位类型收费,可以在 Microsoft Defender for Cloud Environment 设置页上找到。
是否可以手动调整估算?
是,成本计算器允许自动数据收集和手动调整。 可以修改单位数量和折扣级别,以更好地反映特定需求,并了解这些更改如何影响总体成本。
如何共享成本估算?
生成成本估算后,可以轻松导出并共享它进行预算规划和审批。 此功能确保所有利益干系人都有权访问必要的信息。
如果我有疑问,可以在哪里获取帮助?
我们的支持团队随时准备帮助你解决你可能提出的任何问题或疑虑。 请随时联系我们寻求帮助。