在管理群組中的所有訂用帳戶上啟用適用於雲端的 Defender

您可以使用 Azure 原則，在相同管理群組 (MG) 內的所有 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。 這比從入口網站個別進行存取更方便，而且即使訂用帳戶屬於不同擁有者也能運作。

必要條件

使用下列 Azure CLI 命令，為管理群組啟用資源提供者 _Microsoft.Security_：

az provider register --namespace Microsoft.Security --management-group-id …

將管理群組與其所有訂用帳戶上線

若要將管理群組與其所有訂用帳戶上線：

1. 身為具有安全性管理員權限的使用者，請開啟 Azure 原則並搜尋定義 Enable Microsoft Defender for Cloud on your subscription。

   

2. 選取 [指派] 並確保您將範圍設定為 MG 層級。

   

   提示

   除了範圍以外，沒有必要的參數。

3. 選取 [補救]，然後選取 [建立補救工作] 以確保所有未啟用適用於雲端的 Defender 的現有訂用帳戶都會上線。

   

4. 選取 [檢閱 + 建立]。

5. 檢閱您的資訊，然後選取 [建立]。

指派定義後，其將會：

• 偵測 MG 中尚未向適用於雲端的 Defender 註冊的所有訂用帳戶。
• 將這些訂用帳戶標示為「不符合規範」。
• 將所有已註冊的訂用帳戶標示為「符合規範」(不論已開啟或關閉適用於雲端的 Defender 增強式安全性)。

然後補救工作會在不符合規範的訂用帳戶上，啟用適用於雲端的 Defender 的基本功能。

選擇性修改

有各種方式可供您選擇來修改 Azure 原則定義：

• 以不同的方式定義合規性 - 提供的原則會將 MG 中尚未向適用於雲端的 Defender 註冊的所有訂用帳戶歸類為「不符合規範」。 您可以選擇將其設定為所有訂用帳戶，而佈啟用適用於雲端的 Defender 增強式安全性功能。

  提供的定義會將以下任何一個「定價」設定定義為符合規範。 表示設定為 'standard' 或 'free' 的訂用帳戶都符合規範。

  提示

  啟用任何 Microsoft Defender 方案時，系統會在原則定義中將其描述為位於 [標準] 設定上。 若已停用，則是 'Free'。 若要了解這些方案之間的差異，請參閱適用於雲端 Defender 的 Microsoft Defender 方案。

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  如果您將其變更為下列內容，則只有設定為 'standard' 的訂用帳戶會歸類為符合規範：

  "existenceCondition": {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  

• 定義啟用適用於雲端的 Defender 時要套用的一些 Microsoft Defender 方案 - 提供的原則會啟用適用於雲端的 Defender，而不需要任何選擇性的增強式安全性功能。 您可以選擇啟用一或多個 Microsoft Defender 方案。

  提供的定義 deployment 區段具有參數 pricingTier。 根據預設，這會設定為 free，但您可加以修改。

下一步

現在您已將整個管理群組上線，請啟用增強式安全性功能。

啟用增強的保護