مشاركة عبر

تمكين Defender for Cloud على جميع الاشتراكات في مجموعة الإدارة

  • مقالة

يمكنك استخدام نهج Azure لتمكين Microsoft Defender for Cloud على جميع اشتراكات Azure ضمن نفس مجموعة الإدارة (MG). هذا أكثر ملاءمة من الوصول إليها بشكل فردي من المدخل ويعمل حتى لو كانت الاشتراكات مملوكة لمالكين مختلفين.

المتطلبات الأساسية

تمكين موفر _Microsoft.Security_ الموارد لمجموعة الإدارة باستخدام أمر Azure CLI التالي:

az provider register --namespace Microsoft.Security --management-group-id …

إلحاق مجموعة إدارة وجميع اشتراكاتها

لإلحاق مجموعة إدارة وجميع اشتراكاتها:

  1. كمستخدم لديه أذونات مسؤول الأمان، افتح Azure Policy وابحث عن التعريف Enable Microsoft Defender for Cloud on your subscription.

    Screenshot showing the Azure Policy definition Enable Defender for Cloud on your subscription.

  2. حدد تعيين وتأكد من تعيين النطاق إلى مستوى MG.

    Screenshot showing how to assign the definition Enable Defender for Cloud on your subscription.

    تلميح

    بخلاف النطاق، لا توجد معلمات مطلوبة.

  3. حدد المعالجة، وحدد إنشاء مهمة معالجة لضمان إلحاق جميع الاشتراكات الموجودة التي لم يتم تمكين Defender for Cloud بها.

    Screenshot that shows how to create a remediation task for the Azure Policy definition Enable Defender for Cloud on your subscription.

  4. حدد "Review + create".

  5. راجع معلوماتك وحدد إنشاء.

عند تعيين التعريف، سيتم:

  • اكتشف جميع الاشتراكات في MG التي لم يتم تسجيلها بعد مع Defender for Cloud.
  • وضع علامة على هذه الاشتراكات على أنها "غير متوافقة".
  • ضع علامة "متوافق" على جميع الاشتراكات المسجلة (بصرف النظر عما إذا كانت ميزات الأمان المحسنة لـ Defender for Cloud قيد التشغيل أو متوقفة عن التشغيل).

ستقوم مهمة المعالجة بعد ذلك بتمكين وظيفة Defender for Cloud الأساسية على الاشتراكات غير المتوافقة.

التعديلات الاختيارية

هناك طرق مختلفة قد تختارها لتعديل تعريف نهج Azure:

  • تعريف التوافق بشكل مختلف - يصنف النهج المقدم جميع الاشتراكات في MG التي لم يتم تسجيلها بعد مع Defender for Cloud على أنها "غير متوافقة". قد تختار تعيينه إلى جميع الاشتراكات دون تمكين ميزات الأمان المحسنة لـ Defender for Cloud.

    يعرف التعريف المقدم أيًا من إعدادات "التسعير" أدناه على أنه متوافق. ما يعني أن الاشتراك الذي تم تعيينه إلى "قياسي" أو "مجاني" متوافق.

    تلميح

    عند تمكين أي خطة Microsoft Defender، يتم وصفها في تعريف النهج على أنها موجودة في إعداد "قياسي". عندما يكون معطلاً، يكون "مجاني". للتعرف على الاختلافات بين هذه الخطط، راجع خطط Microsoft Defender for Cloud's Defender.

    "existenceCondition": {
    "anyof": [
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
        },
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "free"
        }
    ]
},

    إذا قمت بتغييره إلى ما يلي، فسيتم تصنيف الاشتراكات التي تم تعيينها إلى "قياسي" فقط على أنها متوافقة:

    "existenceCondition": {
      {
        "field": "microsoft.security/pricings/pricingTier",
        "equals": "standard"
      },
},

  • حدد بعض خطط Microsoft Defender لتطبيقها عند تمكين Defender for Cloud - يتيح النهج المتوفر Defender for Cloud دون أي من ميزات الأمان المحسنة الاختيارية. يمكنك اختيار تمكين واحدة أو أكثر من خطط Microsoft Defender.

    يحتوي قسم التعريف deployment المقدم على معلمة pricingTier. بشكل افتراضي، يتم تعيين هذا إلى free، ولكن يمكنك تعديله.

الخطوات التالية

الآن بعد أن قمت بإلحاق مجموعة إدارة بأكملها، قم بتمكين ميزات الأمان المحسنة.

تمكين الحماية المحسنة