共用方式為

在管理组中的所有订阅上启用 Defender for Cloud

重要

注意:根据世纪互联发布的公告2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。

可以使用 Azure Policy 在同一管理组(MG)内的所有 Azure 订阅上启用 Microsoft Defender for Cloud。 这比从门户单独访问它们更方便,即使订阅属于不同的所有者也是如此。

先决条件

使用以下 Azure CLI 命令为管理组启用资源提供程序 _Microsoft.Security_

az provider register --namespace Microsoft.Security --management-group-id …

导入管理组及其所有订阅

载入管理组及其所有订阅

  1. 作为具有 安全管理员 权限的用户,请打开 Azure Policy 并搜索定义 Enable Microsoft Defender for Cloud on your subscription

    屏幕截图显示 Azure Policy 定义“在订阅中启用 Defender for Cloud”。

  2. 选择 “分配 ”并确保将范围设置为 MG 级别。

    显示如何在订阅上分配“启用 Defender for Cloud”定义的屏幕截图。

    小窍门

    除了范围之外,没有必需的参数。

  3. 选择 “修正”,然后选择“ 创建修正任务 ”,以确保未启用 Defender for Cloud 的所有现有订阅都将载入。

    显示如何为订阅上的 Azure Policy 定义“启用 Defender for Cloud”创建修正任务的屏幕截图。

  4. 选择“查看 + 创建”

  5. 查看信息并选择“ 创建”。

分配定义后,它将:

  • 检测 MG 中尚未注册到 Defender for Cloud 的所有订阅。
  • 将这些订阅标记为“不符合”。
  • 将所有已注册的订阅标记为“合规”(无论它们是否已开启或关闭 Defender for Cloud 的增强安全功能)。

然后,修正任务将在不符合的订阅上启用 Defender for Cloud 的基本功能。

可选修改

有多种方法可以选择修改 Azure Policy 定义:

  • 以不同的方式定义符合性 - 提供的策略将 MG 中尚未注册到 Defender for Cloud 的所有订阅分类为“不合规”。 可以选择将其设置为所有订阅,而无需启用 Defender for Cloud 增强的安全功能。

    提供的定义将下面的“定价”设置之 定义为合规。 这意味着设置为“标准”或“免费”的订阅符合要求。

    小窍门

    启用任何Microsoft Defender 计划后,策略定义中将它描述为“标准”设置。 禁用时,它为“免费”。 若要了解这些计划之间的差异,请参阅 Microsoft Defender for Cloud 的 Defender 计划

    "existenceCondition": {
        "anyof": [
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "standard"
            },
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "free"
            }
        ]
    },
    

    如果将其更改为以下内容,则仅将设置为“standard”的订阅归类为合规:

    "existenceCondition": {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
          },
    
  • 定义在启用 Defender for Cloud 时要应用的一些Microsoft Defender 计划 - 提供的策略启用 Defender for Cloud,而无需任何可选的增强安全功能。 可以选择启用一个或多个Microsoft Defender 计划。

    提供的定义的 deployment 节有一个参数 pricingTier。 默认情况下,此设置设置为 free,但可以对其进行修改。

后续步骤

加入整个管理组后,启用增强的安全功能。