Aktivera Defender för molnet för alla prenumerationer i en hanteringsgrupp

Du kan använda Azure Policy för att aktivera Microsoft Defender för molnet på alla Azure-prenumerationer i samma hanteringsgrupp (MG). Det här är enklare än att komma åt dem individuellt från portalen och fungerar även om prenumerationerna tillhör olika ägare.

Förutsättningar

Aktivera resursprovidern _Microsoft.Security_ för hanteringsgruppen med följande Azure CLI-kommando:

az provider register --namespace Microsoft.Security --management-group-id …

Registrera en hanteringsgrupp och alla dess prenumerationer

Så här registrerar du en hanteringsgrupp och alla dess prenumerationer:

1. Som användare med behörigheter som säkerhetsadministratör öppnar du Azure Policy och söker efter definitionen Enable Microsoft Defender for Cloud on your subscription.

   

2. Välj Tilldela och se till att du anger omfånget till MG-nivån.

   

   Dricks

   Förutom omfånget finns det inga obligatoriska parametrar.

3. Välj Reparation och välj Skapa en reparationsuppgift för att säkerställa att alla befintliga prenumerationer som inte har Defender för molnet aktiverade registreras.

   

4. Välj Granska + skapa.

5. Granska din information och välj Skapa.

När definitionen har tilldelats kommer den att:

• Identifiera alla prenumerationer i MG som ännu inte har registrerats med Defender för molnet.
• Markera dessa prenumerationer som "icke-kompatibla".
• Markera som "kompatibla" alla registrerade prenumerationer (oavsett om de har Defender for Clouds förbättrade säkerhetsfunktioner på eller av).

Reparationsuppgiften aktiverar sedan Defender for Clouds grundläggande funktioner i de icke-kompatibla prenumerationerna.

Valfria ändringar

Du kan välja att ändra Azure Policy-definitionen på olika sätt:

• Definiera efterlevnad på olika sätt – Den angivna principen klassificerar alla prenumerationer i MG som ännu inte har registrerats med Defender för molnet som "icke-kompatibla". Du kan välja att ange den till alla prenumerationer utan att Defender för molnets förbättrade säkerhetsfunktioner är aktiverade.

  Den angivna definitionen definierar någon av prisinställningarna nedan som kompatibel. Det innebär att en prenumeration som är inställd på "standard" eller "kostnadsfri" är kompatibel.

  Dricks

  När någon Microsoft Defender-plan är aktiverad beskrivs den i en principdefinition som i inställningen Standard. När den är inaktiverad är den "Kostnadsfri". Mer information om skillnaderna mellan dessa planer finns i Microsoft Defender för molnets Defender-planer.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Om du ändrar det till följande klassificeras endast prenumerationer som är inställda på "standard" som kompatibla:

  "existenceCondition": {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  

• Definiera vissa Microsoft Defender-planer som ska tillämpas när du aktiverar Defender för molnet – Den angivna principen aktiverar Defender för molnet utan någon av de valfria utökade säkerhetsfunktionerna. Du kan välja att aktivera en eller flera av Microsoft Defender-abonnemangen.

  Den angivna definitionens deployment avsnitt har en parameter pricingTier. Som standard är detta inställt på free, men du kan ändra det.

Nästa steg

Nu när du har registrerat en hel hanteringsgrupp aktiverar du de förbättrade säkerhetsfunktionerna.

Aktivera förbättrat skydd