Habilitar Microsoft Defender for Cloud en todas las suscripciones de un grupo de administración

Puede usar Azure Policy para habilitar Microsoft Defender for Cloud en todas las suscripciones de Azure dentro del mismo grupo de administración (MG). Esto resulta más cómodo que acceder a ellas de forma individual desde el portal y funciona aunque las suscripciones pertenezcan a distintos propietarios.

Requisitos previos

Habilite el proveedor de recursos _Microsoft.Security_ para el grupo de administración mediante el siguiente comando de la CLI de Azure:

az provider register --namespace Microsoft.Security --management-group-id …

Incorporar un grupo de administración y todas sus suscripciones

Para incorporar un grupo de administración y todas sus suscripciones:

1. Como usuario con permisos de administrador de seguridad, abra Azure Policy y busque la definición Enable Microsoft Defender for Cloud on your subscription.

   

2. Seleccione Asignar y asegúrese de establecer el ámbito en el nivel de grupo de administración.

   

   Sugerencia

   Aparte del ámbito, no hay parámetros obligatorios.

3. Seleccione Corrección y, a continuación, Crear una tarea de corrección para asegurarse de que se incorporarán todas las suscripciones existentes que no tienen Defender for Cloud habilitado.

   

4. Seleccione Revisar + crear.

5. Revise la información y seleccione Crear.

Cuando se asigne la definición:

• Detecte todas las suscripciones en el grupo de administración que aún no estén registradas en Defender for Cloud.
• Marque esas suscripciones como "no compatibles".
• Marque como "compatibles" todas las suscripciones registradas (independientemente de si tienen activas o desactivadas las características de seguridad mejorada de Defender for Cloud).

Luego, la tarea de corrección habilitará las funciones básicas de Defender for Cloud en las suscripciones no compatibles.

Modificaciones opcionales

Hay varias formas entre las que elegir para modificar la definición de Azure Policy:

• Definir el cumplimiento de forma diferente: la directiva suministrada clasifica todas las suscripciones del grupo de administración que aún no están registradas en Defender for Cloud como "no compatibles". Puede establecerla en todas las suscripciones sin las características de seguridad mejorada de Defender for Cloud habilitadas.

  La definición suministrada, puede definir cualquiera de los valores de "precio" siguientes como compatibles. Esto significa que una suscripción establecida como "estándar" o "gratis" es compatible.

  Sugerencia

  Cuando se habilita un plan de Microsoft Defender, se describe en una definición de directiva con el valor "Estándar". Cuando se deshabilita es "Gratis". Para obtener información sobre las diferencias entre estos planes, consulte Planes de Defender de Microsoft Defender for Cloud.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Si lo cambia a lo siguiente, solo se clasificarían como compatibles las suscripciones establecidas como "estándar":

  "existenceCondition": {
        {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  },
  

• Definir algunos planes de Microsoft Defender que se aplicarán al habilitar Defender for Cloud: la directiva proporcionada habilita Defender for Cloud sin ninguna de las características de seguridad mejorada opcionales. Puede optar por habilitar uno o varios de los planes de Microsoft Defender.

  La sección deployment de la definición suministrada incluye el parámetro pricingTier. De forma predeterminada, se establece en free, pero se puede modificar.

Pasos siguientes

Ahora que ha incorporado un grupo de administración completo, habilite las características de seguridad mejorada.

Habilitar las protecciones mejoradas