共用方式為

在管理群組中的所有訂用帳戶上啟用適用於雲端的 Defender

  • 發行項

您可以使用 Azure 原則,在相同管理群組 (MG) 內的所有 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。 這比從入口網站個別進行存取更方便,而且即使訂用帳戶屬於不同擁有者也能運作。

必要條件

使用下列 Azure CLI 命令,為管理群組啟用資源提供者 _Microsoft.Security_

az provider register --namespace Microsoft.Security --management-group-id …

將管理群組與其所有訂用帳戶上線

若要將管理群組與其所有訂用帳戶上線:

  1. 身為具有安全性管理員權限的使用者,請開啟 Azure 原則並搜尋定義 Enable Microsoft Defender for Cloud on your subscription

    螢幕擷取畫面顯示 Azure 原則定義。在您的訂用帳戶上啟用適用於雲端的 Defender。

  2. 選取 [指派] 並確保您將範圍設定為 MG 層級。

    螢幕擷取畫面顯示如何指派定義。在您的訂用帳戶上啟用適用於雲端的 Defender。

    提示

    除了範圍以外,沒有必要的參數。

  3. 選取 [補救],然後選取 [建立補救工作] 以確保所有未啟用適用於雲端的 Defender 的現有訂用帳戶都會上線。

    螢幕擷取畫面顯示如何針對 Azure 原則定義建立補救工作。在您的訂用帳戶上啟用適用於雲端的 Defender。

  4. 選取 [檢閱 + 建立]。

  5. 檢閱您的資訊,然後選取 [建立]

指派定義後,其將會:

  • 偵測 MG 中尚未向適用於雲端的 Defender 註冊的所有訂用帳戶。
  • 將這些訂用帳戶標示為「不符合規範」。
  • 將所有已註冊的訂用帳戶標示為「符合規範」(不論已開啟或關閉適用於雲端的 Defender 增強式安全性)。

然後補救工作會在不符合規範的訂用帳戶上,啟用適用於雲端的 Defender 的基本功能。

選擇性修改

有各種方式可供您選擇來修改 Azure 原則定義:

  • 以不同的方式定義合規性 - 提供的原則會將 MG 中尚未向適用於雲端的 Defender 註冊的所有訂用帳戶歸類為「不符合規範」。 您可以選擇將其設定為所有訂用帳戶,而佈啟用適用於雲端的 Defender 增強式安全性功能。

    提供的定義會將以下任何一個「定價」設定定義為符合規範。 表示設定為 'standard' 或 'free' 的訂用帳戶都符合規範。

    提示

    啟用任何 Microsoft Defender 方案時,系統會在原則定義中將其描述為位於 [標準] 設定上。 若已停用,則是 'Free'。 若要了解這些方案之間的差異,請參閱適用於雲端 Defender 的 Microsoft Defender 方案

    "existenceCondition": {
    "anyof": [
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
        },
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "free"
        }
    ]
},

    如果您將其變更為下列內容,則只有設定為 'standard' 的訂用帳戶會歸類為符合規範:

    "existenceCondition": {
        "field": "microsoft.security/pricings/pricingTier",
        "equals": "standard"
      },

  • 定義啟用適用於雲端的 Defender 時要套用的一些 Microsoft Defender 方案 - 提供的原則會啟用適用於雲端的 Defender,而不需要任何選擇性的增強式安全性功能。 您可以選擇啟用一或多個 Microsoft Defender 方案。

    提供的定義 deployment 區段具有參數 pricingTier。 根據預設,這會設定為 free,但您可加以修改。

下一步

現在您已將整個管理群組上線,請啟用增強式安全性功能。

啟用增強的保護