設定雲端設定以與合規性管理員搭配使用

設定多雲端支援

合規性管理員會與適用於雲端的 Microsoft Defender 整合，以提供多雲端支援。 組織必須在 Microsoft Azure 內至少有一個訂用帳戶，然後啟用適用於雲端的 Defender，讓合規性管理員可以接收必要的訊號來監視您的雲端服務。 擁有適用於雲端的 Defender 之後，您必須將相關的產業和法規標準指派給您的訂用帳戶。

根據您的組織已設定的內容，請跳至以下符合您情況的區段，以便開始使用：

• 您沒有 Azure： 啟用 Azure 並建立訂用帳戶
• 您有 Azure，但沒有適用於雲端的 Defender： 在 Azure 訂用帳戶上啟用適用於雲端的 Defender
• 您有適用於雲端的 Defender，但尚未指派標準： 將標準指派給您的雲端服務訂用帳戶

合規性管理員和適用於雲端的 Defender 所支援的標準

下列標準或法規支援適用於雲端的 Defender 和合規性管理員。 除了括弧中列出的其他雲端服務之外，每個標準都可用於支援 Microsoft 365。

提示

適用於雲端的 Defender 是指「標準」，而合規性管理員則使用「法規」來指代相同的專案。

• AWS 基礎安全最佳實務
• CIS 1.1.0 (GCP)
• CIS Microsoft Azure Foundations Benchmark v1.1.0 (Azure)
• CIS 1.2.0 (AWS、GCP)
• CIS Microsoft Azure Foundations Benchmark v1.3.0 (Azure)
• CIS Microsoft Azure Foundations Benchmark v1.4.0 (Azure)
• FedRAMP High (Azure)
• FedRAMP Moderate (Azure)
• ISO 27001 (Azure、GCP)
• NIST SP 800-171 Rev.2 (Azure)
• NIST SP 800-53 Rev.4 (Azure)
• NIST SP 800 53 Rev.5 (Azure、AWS、GCP)
• PCI DSS 3.2.1 (AWS、GCP)
• PCI DSS v4.0 (Azure)
• SOC 2 類型 2 (Azure)
• SWIFT CSP-CDCF v2022 (Azure)

啟用 Azure 並建立訂用帳戶

在 Microsoft Azure 內設定訂用帳戶是開始使用適用於雲端的 Defender 的必要條件。 如果您沒有訂閱，可以 註冊一個免費帳戶。

啟用適用於雲端的 Defender

請瀏覽快速入門：設定適用於雲端的 Microsoft Defender。 請遵循步驟在 Azure 訂用帳戶上啟用適用於雲端的 Defender，並熟悉適用於雲端的 Defender 概觀頁面。 啟用適用於雲端的 Defender 之後，請遵循下列步驟，以確定您已設定合規性管理員整合。

大部分的安裝函式都需要使用者在 Azure 中持有擁有者角色。 取得 適用於雲端的 Defender 使用者角色和許可權的詳細資訊。

確認適用於雲端的 Defender 法規合規性的存取權

1. 移至適用於雲端的 Microsoft Defender |法規遵循。

2. 驗證您是否看到如下的儀錶板

3. 如果您沒有看到上述儀錶板，而是看到授權不足的通知，請遵循提示來啟用適用的適用於雲端的 Defender 方案。 建議您啟用兩個方案之一：基礎 CSPM 或 Defender CSPM () 深入瞭解這些方案。 您可以按照以下步驟手動選擇計劃：

   1. 在適用於雲端的 Defender 中，選取左側導覽上的 [環境設定 ]。
   2. 從環境清單中選取 Azure 。 展開 Azure 底下的專案以檢視訂用帳戶，然後選取訂用帳戶。 您到達 Defender 計劃 頁面。
   3. 在 [ 計劃 ] 資料行中，尋找基礎 CSPM 和 Defender CSPM 的資料列。 在 [狀態] 資料列中，選取兩個方案的 [開啟 ] 按鈕。

檢視可用的環境

1. 在適用於雲端的 Defender 中，選取左側導覽上的 [環境設定 ]。

2. 檢視租用戶 MDC 目前可見的可用環境和訂用帳戶。 您可能需要展開管理群組才能檢視訂用帳戶，您可以選取搜尋列下方的 [全部展開 ]。 除了 Azure 訂用帳戶之外，您也會看到任何 Google Cloud Platform (GCP) 專案或 Amazon Web Services (連線至適用於雲端的 Defender 的 AWS) 帳戶。

3. 如果您沒有看到預期的訂用帳戶，而且已在先前的步驟中確認適用於雲端的 Defender 授權，請在 Azure 入口網站設定中檢查目前的目錄和訂用帳戶篩選。 在此檢視中，您可以調整任何訂閱篩選器，或切換至不同的目錄 （如果有的話），然後返回 [環境設定 ] 檢視以檢查結果。

4. 如果您沒有看到預期的 AWS 或 GCP 環境、帳戶或專案，請繼續進行下一個步驟以設定必要的連接器。

連線至您的Amazon Web Services或Google Cloud Provider帳戶 (選用)

如果您有 Amazon Web Services (AWS) 帳戶或 Google Cloud Platform (GCP) 專案，而您想要合規性管理員評估合規性狀態，而且您尚未在 Azure 環境設定中看到這些帳戶或專案，請遵循這些指示。 完成此程序後，您可以在大約一小時內開始將標準指派給已連線的 AWS 或 GCP 訂閱，但完整資料最多可能需要 24 小時才能顯示。

1. 在適用於雲端的 Defender 中，選取左側導覽上的 [環境設定 ]。

2. 選取 [ 新增環境 ]，然後選擇 Amazon Web Services 或 Google Cloud Platform。 適用於

3. 請依照精靈步驟完成帳戶設定。 連線至帳戶需要正在使用的 AWS 或 GCP 帳戶中的管理員權限，以及 AWS 或 GCP 中的一些組態步驟。 精靈中詳細說明了這些步驟。

   1. 對於簡單的設定選項，請考慮從一個帳戶（例如 GCP）開始。 在帳戶詳細資料的第一個步驟中，在 [上線] 中，選取 [單一帳戶]。 此選項需要最少的組態工作。

將標準新增至您的訂閱

檢查 適用於雲端的 Defender 和合規性管理員所支援的標準清單 ，以確保支援您想要的標準。 然後按照以下步驟操作。

1. 在適用於雲端的 Defender 中，選取左側導覽上的 [環境設定 ]。

2. 您的可用環境和訂閱會列在頁面上。 您可能需要展開管理群組才能檢視訂用帳戶，您可以選取搜尋列下方的 [全部展開 ]。 尋找您要新增標準的訂閱。

3. 在訂用帳戶的資料列上，選取最右側的省略符號，然後選取 [編輯設定]。

4. 在左側導覽的原則 設定下，選取 安全性原則。

5. 瀏覽 工業 & 監管標準下的可用標準清單。 您可以選取清單底部的「 新增更多標準」 按鈕來檢視更多標準。 選取標準資料列上的 [啟用 ]，將下列至少一個支援的標準指派給您的訂用帳戶。

資源

• 快速入門：設定適用於雲端的 Microsoft Defender
• 適用於雲端的 Defender 的使用者角色和許可權