Share via

Povolení defenderu pro cloud ve všech předplatných ve skupině pro správu

  • Článek

Pomocí služby Azure Policy můžete povolit Microsoft Defender for Cloud pro všechna předplatná Azure ve stejné skupině pro správu (MG). To je pohodlnější než přístup k nim jednotlivě z portálu a funguje i v případě, že předplatná patří různým vlastníkům.

Požadavky

Pomocí následujícího příkazu Azure CLI povolte poskytovatele _Microsoft.Security_ prostředků pro skupinu pro správu:

az provider register --namespace Microsoft.Security --management-group-id …

Onboarding skupiny pro správu a všech jejích předplatných

Nasazení skupiny pro správu a všech jejích předplatných:

  1. Jako uživatel s oprávněními Správa zabezpečení otevřete Azure Policy a vyhledejte definici Enable Microsoft Defender for Cloud on your subscription.

    Screenshot showing the Azure Policy definition Enable Defender for Cloud on your subscription.

  2. Vyberte Přiřadit a ujistěte se, že jste obor nastavili na úroveň MG.

    Screenshot showing how to assign the definition Enable Defender for Cloud on your subscription.

    Tip

    Kromě oboru neexistují žádné požadované parametry.

  3. Vyberte Náprava a vyberte Vytvořit úlohu nápravy, abyste zajistili, že se zprovozní všechna existující předplatná, která nemají povolený Defender pro cloud.

    Screenshot that shows how to create a remediation task for the Azure Policy definition Enable Defender for Cloud on your subscription.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Zkontrolujte informace a vyberte Vytvořit.

Když je definice přiřazena, bude:

  • Detekujte všechna předplatná v mg, která ještě nejsou zaregistrovaná v programu Defender for Cloud.
  • Označte tato předplatná jako nedodržovaná.
  • Označte jako vyhovující všechna zaregistrovaná předplatná (bez ohledu na to, jestli mají zapnuté nebo vypnuté funkce rozšířeného zabezpečení Defenderu pro cloud).

Úloha nápravy pak povolí základní funkce Defenderu pro cloud u nevyhovujících předplatných.

Volitelné úpravy

Existují různé způsoby, jak můžete změnit definici služby Azure Policy:

  • Definujte dodržování předpisů odlišně – Zadaná zásada klasifikuje všechna předplatná v mg, která ještě nejsou zaregistrovaná v programu Defender for Cloud jako nevyhovující předpisům. Můžete se rozhodnout, že ho nastavíte na všechna předplatná bez povolených funkcí rozšířeného zabezpečení v programu Defender for Cloud.

    Zadaná definice definuje některé z níže uvedených nastavení cen jako vyhovující předpisům. To znamená, že předplatné nastavené na "standard" nebo "free" je kompatibilní.

    Tip

    Pokud je povolený jakýkoli plán Programu Microsoft Defender, popisuje se v definici zásad jako v nastavení Standard. Když je zakázaná, je to Free. Informace o rozdílech mezi těmito plány najdete v plánech Microsoft Defenderu pro Cloud.

    "existenceCondition": {
    "anyof": [
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
        },
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "free"
        }
    ]
},

    Pokud ho změníte na následující, klasifikují se jako vyhovující pouze předplatná nastavená na standard:

    "existenceCondition": {
      {
        "field": "microsoft.security/pricings/pricingTier",
        "equals": "standard"
      },
},

  • Definujte některé plány Microsoft Defenderu, které se mají použít při povolování defenderu pro cloud – zadané zásady umožňují Defender for Cloud bez jakýchkoli volitelných rozšířených funkcí zabezpečení. Můžete se rozhodnout povolit jeden nebo více plánů Microsoft Defenderu.

    Zadaný oddíl definice deployment má parametr pricingTier. Ve výchozím nastavení je toto nastavení nastavené na free, ale můžete ho upravit.

Další kroky

Teď, když jste nasadili celou skupinu pro správu, povolte vylepšené funkce zabezpečení.

Povolení rozšířených ochrany