관리 그룹의 모든 구독에서 클라우드용 Defender 활성화
Azure Policy를 사용하여 동일한 MG(관리 그룹) 내의 모든 Azure 구독에서 클라우드용 Microsoft Defender를 활성화할 수 있습니다. 이는 포털에서 개별적으로 액세스하는 것보다 편리하며, 구독이 다른 소유자에게 속한 경우에도 작동합니다.
필수 조건
다음 Azure CLI 명령을 사용하여 관리 그룹에 리소스 공급자 _Microsoft.Security_를 사용하도록 설정합니다.
az provider register --namespace Microsoft.Security --management-group-id …
관리 그룹 및 모든 해당 구독 온보딩
관리 그룹 및 모든 해당 구독을 온보딩하려면 다음을 수행합니다.
보안 관리자 권한이 있는 사용자가 Azure Policy를 열고,
Enable Microsoft Defender for Cloud on your subscription정의를 검색합니다.
할당을 선택하고, 범위를 MG 수준으로 설정했는지 확인합니다.
팁
범위 외에는 필수 매개 변수가 없습니다.
수정을 선택하고 수정 작업 만들기를 선택하여 클라우드용 Defender가 활성화되지 않은 모든 기존 구독이 온보딩되도록 합니다.
검토 + 만들기를 선택합니다.
정보를 검토하고 만들기를 선택합니다.
정의가 할당되면 다음이 수행됩니다.
- 클라우드용 Defender에 아직 등록되지 않은 MG의 모든 구독을 검색합니다.
- 해당 구독을 "비준수"로 표시합니다.
- 등록된 모든 구독을 "규격"으로 표시합니다(클라우드용 Defender의 향상된 보안 기능 설정 또는 해제 여부에 관계없이).
그런 다음, 수정 작업을 통해 비준수 구독에서 클라우드용 Defender의 기본 기능을 활성화합니다.
선택적 수정
Azure Policy 정의를 수정하기 위해 선택할 수 있는 다양한 방법이 있습니다.
규정 준수를 다르게 정의 - 이 정책은 아직 클라우드용 Defender에 등록되지 않은 MG의 모든 구독을 "비준수"로 분류합니다. 클라우드용 Defender의 향상된 보안 기능을 사용하지 않고 모든 구독으로 설정하도록 선택할 수 있습니다.
제공된 정의는 아래 '가격 책정' 설정 중 하나를 준수로 정의합니다. '표준' 또는 '체험'으로 설정된 구독은 규정을 준수함을 의미합니다.
팁
Microsoft Defender 플랜이 활성화되면 정책 정의에 '표준' 설정에 있는 것으로 설명됩니다. 사용하지 않도록 설정되면 '체험'입니다. 이러한 계획 간의 차이점에 대해 알아보려면 클라우드용 Microsoft Defender의 Defender 계획을 참조하세요.
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },이를 다음으로 변경하면 '표준'으로 설정된 구독만 준수로 분류됩니다.
"existenceCondition": { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" },클라우드용 Defender를 활성화할 때 적용할 Microsoft Defender 계획을 정의합니다. 제공된 정책은 선택적 향상된 보안 기능 없이 클라우드용 Defender를 활성화합니다. 하나 이상의 Microsoft Defender 계획을 활성화하도록 선택할 수 있습니다.
제공된 정의의
deployment섹션에는pricingTier매개 변수가 있습니다. 이는 기본적으로free로 설정되지만 수정할 수 있습니다.
다음 단계
이제 전체 관리 그룹을 온보딩했으므로 향상된 보안 기능을 활성화합니다.