Felhőhöz készült Defender engedélyezése egy felügyeleti csoport összes előfizetésén

Az Azure Policy használatával engedélyezheti a Felhőhöz készült Microsoft Defender az ugyanazon felügyeleti csoporton (MG) belüli összes Azure-előfizetésen. Ez kényelmesebb, mint egyenként elérni őket a portálról, és akkor is működik, ha az előfizetések különböző tulajdonosokhoz tartoznak.

Előfeltételek

Engedélyezze az erőforrás-szolgáltatót _Microsoft.Security_ a felügyeleti csoport számára az alábbi Azure CLI-paranccsal:

az provider register --namespace Microsoft.Security --management-group-id …

Felügyeleti csoport és annak összes előfizetésének előkészítése

Felügyeleti csoport és annak összes előfizetésének előkészítése:

1. Biztonsági rendszergazdai engedélyekkel rendelkező felhasználóként nyissa meg az Azure Policyt, és keresse meg a definíciótEnable Microsoft Defender for Cloud on your subscription.

   

2. Válassza a Hozzárendelés lehetőséget , és győződjön meg arról, hogy a hatókört az MG szintre állítja.

   

   Tipp.

   A hatókörön kívül nincsenek kötelező paraméterek.

3. Válassza a Szervizelés lehetőséget, és válassza a Szervizelési feladat létrehozása lehetőséget annak biztosításához, hogy az összes meglévő előfizetés, amely nem rendelkezik Felhőhöz készült Defender engedélyezve van, be legyen-e állítva.

   

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Tekintse át az adatokat, és válassza a Létrehozás lehetőséget.

A definíció hozzárendelésekor a következő lesz:

• Észleli az mg összes előfizetését, amely még nincs regisztrálva Felhőhöz készült Defender.
• Jelölje meg ezeket az előfizetéseket "nem megfelelőként".
• Jelölje meg "megfelelőként" az összes regisztrált előfizetést (függetlenül attól, hogy Felhőhöz készült Defender továbbfejlesztett biztonsági funkcióival rendelkeznek-e be- vagy kikapcsolva).

A szervizelési feladat ezután engedélyezi Felhőhöz készült Defender alapszintű funkcióit a nem megfelelő előfizetéseken.

Választható módosítások

Többféleképpen is módosíthatja az Azure Policy definícióját:

• A megfelelőség meghatározása másként – A megadott szabályzat az MG-ben az összes olyan előfizetést besorolja, amely még nincs regisztrálva Felhőhöz készült Defender "nem megfelelőként". Dönthet úgy is, hogy az összes előfizetésre beállítja anélkül, hogy engedélyezve lenne Felhőhöz készült Defender továbbfejlesztett biztonsági funkciói.

  A megadott definíció az alábbi "díjszabási" beállítások egyikét megfelelőként határozza meg. Ez azt jelenti, hogy egy "standard" vagy "ingyenes" előfizetés megfelelő.

  Tipp.

  Ha bármely Microsoft Defender-csomag engedélyezve van, a szabályzatdefiníció úgy írja le, hogy a "Standard" beállításban szerepel. Ha le van tiltva, az "Ingyenes". A csomagok közötti különbségekről a Felhőhöz készült Microsoft Defender Defender-csomagjaiban olvashat.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Ha a következőre módosítja, csak a "standard" értékű előfizetések minősülnek megfelelőnek:

  "existenceCondition": {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  

• Definiáljon néhány, a Felhőhöz készült Defender engedélyezésekor alkalmazandó Microsoft Defender-tervet – A megadott szabályzat lehetővé teszi, hogy Felhőhöz készült Defender az opcionális továbbfejlesztett biztonsági funkciók nélkül. Dönthet úgy, hogy engedélyez egy vagy több Microsoft Defender-csomagot.

  A megadott definíció szakasza deployment paraméterrel pricingTierrendelkezik. Alapértelmezés szerint ez a beállítás a következőre freevan állítva, de módosíthatja.

Következő lépések

Most, hogy egy teljes felügyeleti csoportot előkészített, engedélyezze a továbbfejlesztett biztonsági funkciókat.

Fokozott védelem engedélyezése