重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
可以使用 Azure Policy 在同一管理组(MG)内的所有 Azure 订阅上启用 Microsoft Defender for Cloud。 这比从门户单独访问它们更方便,即使订阅属于不同的所有者也是如此。
先决条件
使用以下 Azure CLI 命令为管理组启用资源提供程序 _Microsoft.Security_ :
az provider register --namespace Microsoft.Security --management-group-id …
导入管理组及其所有订阅
载入管理组及其所有订阅:
作为具有 安全管理员 权限的用户,请打开 Azure Policy 并搜索定义
Enable Microsoft Defender for Cloud on your subscription。
选择 “分配 ”并确保将范围设置为 MG 级别。
小窍门
除了范围之外,没有必需的参数。
选择 “修正”,然后选择“ 创建修正任务 ”,以确保未启用 Defender for Cloud 的所有现有订阅都将载入。
选择“查看 + 创建”。
查看信息并选择“ 创建”。
分配定义后,它将:
- 检测 MG 中尚未注册到 Defender for Cloud 的所有订阅。
- 将这些订阅标记为“不符合”。
- 将所有已注册的订阅标记为“合规”(无论它们是否已开启或关闭 Defender for Cloud 的增强安全功能)。
然后,修正任务将在不符合的订阅上启用 Defender for Cloud 的基本功能。
可选修改
有多种方法可以选择修改 Azure Policy 定义:
以不同的方式定义符合性 - 提供的策略将 MG 中尚未注册到 Defender for Cloud 的所有订阅分类为“不合规”。 可以选择将其设置为所有订阅,而无需启用 Defender for Cloud 增强的安全功能。
提供的定义将下面的“定价”设置之 一 定义为合规。 这意味着设置为“标准”或“免费”的订阅符合要求。
小窍门
启用任何Microsoft Defender 计划后,策略定义中将它描述为“标准”设置。 禁用时,它为“免费”。 若要了解这些计划之间的差异,请参阅 Microsoft Defender for Cloud 的 Defender 计划。
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },如果将其更改为以下内容,则仅将设置为“standard”的订阅归类为合规:
"existenceCondition": { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" },定义在启用 Defender for Cloud 时要应用的一些Microsoft Defender 计划 - 提供的策略启用 Defender for Cloud,而无需任何可选的增强安全功能。 可以选择启用一个或多个Microsoft Defender 计划。
提供的定义的
deployment节有一个参数pricingTier。 默认情况下,此设置设置为free,但可以对其进行修改。
后续步骤
加入整个管理组后,启用增强的安全功能。