Aktivieren von Defender für Cloud für alle Abonnements in einer Verwaltungsgruppe
Sie können Azure Policy verwenden, um Microsoft Defender für Cloud in allen Azure-Abonnements innerhalb derselben Verwaltungsgruppe zu aktivieren. Dies ist einfacher als der individuelle Zugriff darauf über das Portal und funktioniert sogar, wenn die Abonnements unterschiedliche Besitzer haben.
Voraussetzungen
Aktivieren Sie den Ressourcenanbieter _Microsoft.Security_ für die Verwaltungsgruppe mit dem folgenden Azure CLI-Befehl:
az provider register --namespace Microsoft.Security --management-group-id …
Onboarding einer Verwaltungsgruppe und aller zugehörigen Abonnements
Führen Sie das Onboarding einer Verwaltungsgruppe und aller zugehörigen Abonnements wie folgt durch:
Öffnen Sie Azure Policy als Benutzer mit Berechtigungen vom Typ Sicherheitsadministrator, und suchen Sie nach der Definition
Enable Microsoft Defender for Cloud on your subscription.
Wählen Sie die Option Zuweisen aus, und stellen Sie sicher, dass Sie den Bereich auf die Ebene der Verwaltungsgruppe festlegen.
Tipp
Mit Ausnahme des Bereichs sind keine weiteren Parameter erforderlich.
Wählen Sie Wartung und Eine Wartungsaufgabe erstellen aus, um sicherzustellen, dass alle vorhandenen Abonnements, für die Defender für Cloud nicht aktiviert ist, das Onboarding durchgeführt wird.
Klicken Sie auf Überprüfen + erstellen.
Überprüfen Sie Ihre Angaben, und wählen Sie Erstellen aus.
Wenn die Definition zugewiesen wird, bewirkt sie Folgendes:
- Erkennen aller Abonnements in der Verwaltungsgruppe, die noch nicht bei Defender für Cloud registriert sind.
- Kennzeichnen dieser Abonnements als „Nicht konform“
- Markieren Sie alle registrierten Abonnements als „konform“ (unabhängig davon, ob die erweiterten Sicherheitsfeatures von Defender für Cloud aktiviert oder deaktiviert sind).
Mit dem Korrekturtask werden dann die Grundfunktionen von Defender für Cloud for die nicht konformen Abonnements aktiviert.
Optionale Änderungen
Es gibt verschiedene Möglichkeiten, wie Sie die Azure Policy-Definition ändern können:
Abweichendes Definieren von Konformität: Mit der bereitgestellten Richtlinie werden alle Abonnements der Verwaltungsgruppe, die noch nicht bei Defender für Cloud registriert sind, als „nicht konform“ klassifiziert. Sie können es für alle Abonnements festlegen, ohne dass die erweiterten Sicherheitsfeatures von Defender für Cloud aktiviert sind.
Mit der bereitgestellten Definition werden beide unten angegebenen Preiseinstellungen als konform festgelegt. Dies bedeutet, dass ein Abonnement, das auf „Standard“ oder „Free“ festgelegt ist, konform ist.
Tipp
Wenn ein Microsoft Defender-Plan aktiviert ist, wird er in einer Richtliniendefinition als auf „Standard“ festgelegt beschrieben. Wenn er deaktiviert ist, gilt „Free“. Informationen zu den Unterschieden zwischen diesen Plänen finden Sie in der Auflistung der Defender-Pläne für Microsoft Defender for Cloud.
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },Wenn Sie eine Änderung in den folgenden Wert vornehmen, werden nur Abonnements, die auf „Standard“ festgelegt sind, als konform klassifiziert:
"existenceCondition": { { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, },Definieren einiger Microsoft Defender-Pläne, die beim Aktivieren von Defender für Cloud angewendet werden sollen: Die bereitgestellte Richtlinie aktiviert Defender für Cloud ohne optionale erweiterte Sicherheitsfeatures. Sie können einen oder mehrere Microsoft Defender-Pläne aktivieren.
Im Abschnitt
deploymentder bereitgestellten Definition wird der ParameterpricingTierverwendet. Standardmäßig ist er auffreefestgelegt, aber Sie können dies ändern.
Nächste Schritte
Nach dem Onboarding einer kompletten Verwaltungsgruppe aktivieren Sie nun die erweiterten Sicherheitsfeatures.