Activer Defender pour le cloud sur tous les abonnements d’un groupe d’administration
Vous pouvez utiliser Azure Policy pour activer Defender pour le cloud sur tous les abonnements Azure au sein du même groupe d’administration. Cela est plus pratique que d’accéder aux abonnements individuellement à partir du portail et fonctionne même s’ils appartiennent à des propriétaires différents.
Prérequis
Activez le fournisseur de ressources _Microsoft.Security_ pour le groupe d’administration à l’aide de la commande Azure CLI suivante :
az provider register --namespace Microsoft.Security --management-group-id …
Intégrer un groupe d’administration et tous ses abonnements
Pour intégrer un groupe d’administration et tous ses abonnements :
En tant qu’utilisateur disposant des autorisations Administration de sécurité, ouvrez Azure Policy et recherchez la définition
Enable Microsoft Defender for Cloud on your subscription.
Sélectionnez Affecter et veillez à définir l’étendue sur le niveau du groupe d’administration.
Conseil
Hormis l’étendue, il n’existe aucun paramètre obligatoire.
Sélectionnez Correction, puis Créer une tâche de correction afin que soient intégrés tous les abonnements existants pour lesquels Defender pour le cloud n’est pas activé.
Sélectionnez Revoir + créer.
Passez en revue vos informations, puis sélectionnez Créer.
Quand la définition est assignée, elle effectue les opérations suivantes :
- Elle détecte tous les abonnements du groupe d’administration qui ne sont pas encore inscrits auprès de Defender pour le cloud.
- Elle marque ces abonnements comme étant « non conformes ».
- Marquer comme « conforme » tous les abonnements inscrits (que les fonctionnalités de sécurité renforcée de Defender pour le cloud soient activées ou non).
La tâche de correction active ensuite la fonctionnalité de base de Defender pour le cloud sur les abonnements non conformes.
Modifications facultatives
Vous pouvez modifier la définition Azure Policy de plusieurs façons :
Définir la conformité différemment : la stratégie fournie classifie comme « non conformes » tous les abonnements du groupe d’administration qui ne sont pas encore inscrits auprès de Defender pour le cloud. Vous pouvez choisir de la définir sur tous les abonnements où les fonctionnalités de sécurité renforcée de Defender pour le cloud sont activées.
La définition fournie définit un des paramètres de tarif ci-dessous comme étant conforme. Cela signifie qu’un abonnement défini sur « standard » ou « free » (gratuit) est conforme.
Conseil
Quand un plan Microsoft Defender est activé, il est décrit dans une définition de stratégie comme étant associé au paramètre « Standard ». Quand il est désactivé, il est « Gratuit ». Pour en savoir plus sur les différences entre ces plans, consultez les offres Defender de Microsoft Defender pour le cloud.
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },Si vous le remplacez par ce qui suit, seuls les abonnements définis sur « standard » sont classifiés comme étant conformes :
"existenceCondition": { { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, },Définir des plans Microsoft Defender à appliquer lors de l’activation de Defender pour le cloud : la stratégie fournie active Defender pour le cloud sans aucune des fonctionnalités de sécurité renforcée facultatives. Vous pouvez choisir d’activer un ou plusieurs plans Microsoft Defender.
La section
deploymentde la définition fournie a un paramètrepricingTier. Par défaut, ce paramètre est défini surfree, mais vous pouvez le modifier.
Étapes suivantes
Maintenant que vous avez intégré un groupe d’administration entier, activez les fonctionnalités de sécurité renforcée.