Defender voor Cloud inschakelen voor alle abonnementen in een beheergroep

U kunt Azure Policy gebruiken om Microsoft Defender voor Cloud in te schakelen voor alle Azure-abonnementen binnen dezelfde beheergroep (MG). Dit is handiger dan wanneer u ze afzonderlijk opent vanuit de portal, en werkt ook als de abonnementen verschillende eigenaars hebben.

Vereisten

Schakel de resourceprovider _Microsoft.Security_ in voor de beheergroep met behulp van de volgende Azure CLI-opdracht:

az provider register --namespace Microsoft.Security --management-group-id …

Een beheergroep en alle bijbehorende abonnementen onboarden

Een beheergroep en alle bijbehorende abonnementen onboarden:

1. Als gebruiker met machtigingen voor beveiligingsbeheerders opent u Azure Policy en zoekt u naar de definitie Enable Microsoft Defender for Cloud on your subscription.

   

2. Selecteer Toewijzen en zorg ervoor dat u het bereik instelt op het MG-niveau.

   

   Tip

   Behalve het bereik zijn er geen vereiste parameters.

3. Selecteer Herstel en selecteer Een hersteltaak maken om ervoor te zorgen dat alle bestaande abonnementen waarvoor Defender voor Cloud niet zijn ingeschakeld, onboarding krijgen.

   

4. Selecteer Controleren + maken.

5. Controleer uw gegevens en selecteer Maken.

Wanneer de definitie is toegewezen, gebeurt het volgende:

• Detecteer alle abonnementen in de MG die nog niet zijn geregistreerd bij Defender voor Cloud.
• Deze abonnementen worden gemarkeerd als niet-compatibel.
• Markeer alle geregistreerde abonnementen als 'compatibel' (ongeacht of ze de verbeterde beveiligingsfuncties van Defender voor Cloud in- of uitschakelen).

Met de hersteltaak wordt vervolgens de basisfunctionaliteit van Defender voor Cloud ingeschakeld voor de niet-compatibele abonnementen.

Optionele wijzigingen

Er zijn verschillende manieren waarop u ervoor kunt kiezen om de Azure Policy-definitie te wijzigen:

• Definieer de naleving anders: het opgegeven beleid classificeert alle abonnementen in de MG die nog niet zijn geregistreerd bij Defender voor Cloud als 'niet-compatibel'. U kunt ervoor kiezen om deze in te stellen op alle abonnementen zonder dat de verbeterde beveiligingsfuncties van Defender voor Cloud zijn ingeschakeld.

  Met de geleverde definitie wordt een van de prijsinstellingen hieronder gedefinieerd als compatibel. Dit betekent dat een abonnement dat is ingesteld op Standard of Gratis, compatibel is.

  Tip

  Wanneer een Microsoft Defender-abonnement is ingeschakeld, wordt dit beschreven in een beleidsdefinitie als de standaardinstelling. Wanneer het is uitgeschakeld, is het Gratis. Zie de Defender-abonnementen van Microsoft Defender voor Cloud voor meer informatie over de verschillen tussen deze abonnementen.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Als u deze optie wijzigt in het volgende, worden alleen abonnementen die zijn ingesteld op Standard, geclassificeerd als compatibel:

  "existenceCondition": {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  

• Definieer enkele Microsoft Defender-plannen die moeten worden toegepast bij het inschakelen van Defender voor Cloud: het opgegeven beleid maakt Defender voor Cloud mogelijk zonder een van de optionele verbeterde beveiligingsfuncties. U kunt ervoor kiezen om een of meer van de Microsoft Defender-abonnementen in te schakelen.

  De sectie deployment van de geleverde definitie bevat een parameter pricingTier. Dit is standaard ingesteld op free, maar u kunt dit wijzigen.

Volgende stappen

Nu u een volledige beheergroep hebt toegevoegd, schakelt u de verbeterde beveiligingsfuncties in.

Verbeterde beveiliging inschakelen