Aktifkan Defender for Cloud di semua langganan dalam grup manajemen

Anda dapat menggunakan Azure Policy untuk mengaktifkan Microsoft Defender for Cloud di semua langganan Azure dalam grup manajemen (MG) yang sama. Ini lebih nyaman daripada mengaksesnya secara terpisah dari portal dan bekerja dengan baik meskipun langganan tersebut dimiliki oleh pemilik yang berbeda.

Prasyarat

Aktifkan penyedia _Microsoft.Security_ sumber daya untuk grup manajemen menggunakan perintah Azure CLI berikut:

az provider register --namespace Microsoft.Security --management-group-id …

Melakukan onboarding grup manajemen dan semua langganannya

Untuk melakukan onboarding grup manajemen dan semua langganannya:

1. Sebagai pengguna dengan izin Admin Keamanan, buka Azure Policy dan cari definisi Enable Microsoft Defender for Cloud on your subscription.

   

2. Pilih Tetapkan dan pastikan Anda mengatur cakupan ke tingkat MG.

   

   Tip

   Selain ruang lingkup, tidak ada parameter yang diperlukan.

3. Pilih Remediasi, dan pilih Buat tugas remediasi untuk memastikan semua langganan yang ada yang tidak mengaktifkan Defender untuk Cloud akan di-onboarding.

   

4. Pilih Tinjau + buat.

5. Tinjau informasi Anda dan pilih Buat.

Ketika definisi ditetapkan, definisi akan:

• Deteksi semua langganan di MG yang belum terdaftar di Defender for Cloud.
• Tandai langganan tersebut sebagai “tidak sesuai”.
• Berikan tanda "sesuai" pada semua langganan teregistrasi (terlepas dari apakah mereka mengaktifkan atau menonaktifkan fitur keamanan yang ditingkatkan pada Defender for Cloud).

Tugas remediasi kemudian akan mengaktifkan fungsionalitas dasar Defender untuk Cloud pada langganan yang tidak patuh.

Modifikasi opsional

Ada berbagai cara yang mungkin Anda pilih untuk mengubah definisi Azure Policy:

• Tentukan kesesuaian secara berbeda - Kebijakan yang disediakan mengklasifikasikan semua langganan di MG yang belum terdaftar di Defender for Cloud sebagai “tidak sesuai”. Anda dapat memilih untuk menyetelnya ke semua langganan tanpa mengaktifkan fitur keamanan yang ditingkatkan pada Defender for Cloud.

  Definisi yang disediakan, mendefinisikan salah satu pengaturan 'harga' di bawah sebagai sesuai. Artinya langganan yang diatur ke 'standar' atau 'gratis' adalah sesuai.

  Tip

  Saat paket Microsoft Defender diaktifkan, paket tersebut dijelaskan dalam definisi kebijakan sebagai 'Standar'. Ketika dinonaktifkan, berarti paket ini 'Gratis'. Untuk mempelajari tentang perbedaan antara paket ini, lihat rencana Defender Microsoft Defender untuk Cloud.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Jika Anda mengubahnya menjadi berikut, hanya langganan yang diatur ke 'standar' yang akan diklasifikasikan sebagai sesuai:

  "existenceCondition": {
        {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  },
  

• Tentukan beberapa paket Microsoft Defender yang akan diterapkan saat mengaktifkan Defender for Cloud - Kebijakan yang diberikan memungkinkan Defender for Cloud tanpa fitur keamanan opsional yang ditingkatkan. Anda dapat memilih untuk mengaktifkan satu atau beberapa paket Microsoft Defender.

  Bagian deployment definisi yang disediakan memiliki sebuah parameter pricingTier. Secara default, ini diatur ke free, tetapi Anda dapat memodifikasinya.

Langkah berikutnya

Sekarang setelah Anda melakukan onboarding seluruh grup manajemen, aktifkan fitur keamanan yang ditingkatkan.

Aktifkan perlindungan yang ditingkatkan