Aktivera Defender för molnet för alla prenumerationer i en hanteringsgrupp

  • Artikel

Du kan använda Azure Policy för att aktivera Microsoft Defender för molnet för alla Azure-prenumerationer i samma hanteringsgrupp (MG). Det här är enklare än att komma åt dem individuellt från portalen och fungerar även om prenumerationerna tillhör olika ägare.

Förutsättningar

Aktivera resursprovidern _Microsoft.Security_ för hanteringsgruppen med följande Azure CLI-kommando:

az provider register --namespace Microsoft.Security --management-group-id …

Registrera en hanteringsgrupp och alla dess prenumerationer

Så här registrerar du en hanteringsgrupp och alla dess prenumerationer:

  1. Som användare med behörigheter som säkerhetsadministratör öppnar du Azure Policy och söker efter definitionen Enable Microsoft Defender for Cloud on your subscription.

    Screenshot showing the Azure Policy definition Enable Defender for Cloud on your subscription.

  2. Välj Tilldela och se till att du anger omfånget till MG-nivån.

    Screenshot showing how to assign the definition Enable Defender for Cloud on your subscription.

    Dricks

    Förutom omfånget finns det inga obligatoriska parametrar.

  3. Välj Reparation och välj Skapa en reparationsaktivitet för att säkerställa att alla befintliga prenumerationer som inte har Defender för molnet aktiverade registreras.

    Screenshot that shows how to create a remediation task for the Azure Policy definition Enable Defender for Cloud on your subscription.

  4. Välj Granska + skapa.

  5. Granska din information och välj Skapa.

När definitionen har tilldelats kommer den att:

  • Identifiera alla prenumerationer i MG som ännu inte har registrerats med Defender för molnet.
  • Markera dessa prenumerationer som "icke-kompatibla".
  • Markera som "kompatibla" alla registrerade prenumerationer (oavsett om de har Defender för molnet förbättrade säkerhetsfunktioner på eller av).

Reparationsaktiviteten aktiverar sedan Defender för molnet grundläggande funktioner i de icke-kompatibla prenumerationerna.

Valfria ändringar

Du kan välja att ändra Azure Policy-definitionen på olika sätt:

  • Definiera efterlevnad på olika sätt – Den angivna principen klassificerar alla prenumerationer i MG som ännu inte har registrerats med Defender för molnet som "icke-kompatibla". Du kan välja att ställa in den på alla prenumerationer utan att Defender för molnet förbättrade säkerhetsfunktioner är aktiverade.

    Den angivna definitionen definierar någon av prisinställningarna nedan som kompatibel. Det innebär att en prenumeration som är inställd på "standard" eller "kostnadsfri" är kompatibel.

    Dricks

    När någon Microsoft Defender-plan är aktiverad beskrivs den i en principdefinition som i inställningen Standard. När den är inaktiverad är den "Kostnadsfri". Mer information om skillnaderna mellan dessa planer finns i Microsoft Defender för molnet Defender-planer.

    "existenceCondition": {
    "anyof": [
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
        },
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "free"
        }
    ]
},

    Om du ändrar det till följande klassificeras endast prenumerationer som är inställda på "standard" som kompatibla:

    "existenceCondition": {
      {
        "field": "microsoft.security/pricings/pricingTier",
        "equals": "standard"
      },
},

  • Definiera vissa Microsoft Defender-planer som ska tillämpas när du aktiverar Defender för molnet – Den angivna principen aktiverar Defender för molnet utan någon av de valfria utökade säkerhetsfunktionerna. Du kan välja att aktivera en eller flera av Microsoft Defender-abonnemangen.

    Den angivna definitionens deployment avsnitt har en parameter pricingTier. Som standard är detta inställt på free, men du kan ändra det.

Nästa steg

Nu när du har registrerat en hel hanteringsgrupp aktiverar du de förbättrade säkerhetsfunktionerna.

Aktivera förbättrat skydd