Включение Defender для облака для всех подписок в группе управления

Вы можете использовать Политика Azure для включения Microsoft Defender для облака для всех подписок Azure в одной группе управления (MG). Это удобнее, чем доступ к ним по отдельности с портала, и работает, даже если подписки принадлежат разным владельцам.

Prerequisites

Включите поставщик ресурсов _Microsoft.Security_ для группы управления, выполнив следующую команду Azure CLI:

az provider register --namespace Microsoft.Security --management-group-id …

Подключение на платформу группы управления и всех её подписок

Чтобы подключить группу управления и все ее подписки, выполните следующее:

  1. Как пользователь с разрешениями Security Admin откройте Политика Azure и найдите определение Enable Microsoft Defender для облака on your subscription.

    Скриншот, показывающий определение политики Azure

  2. Выберите "Назначить " и убедитесь, что область задана на уровне MG.

    Screenshot, показывающий, как назначить определение Enable Defender для облака в подписке.

    Совет

    Помимо рамок, нет обязательных параметров.

  3. Выберите Remediation и выберите Создать задачу исправления, чтобы обеспечить подключение всех существующих подписок, для которых Defender для облака не включен.

    Снимок экрана, который показывает, как создать задачу исправления для определения политики Azure

  4. Выберите Review + create.

  5. Просмотрите сведения и нажмите кнопку "Создать".

При назначении определения он будет:

  • Обнаружьте все подписки в MG, которые еще не зарегистрированы в Defender для облака.
  • Пометьте эти подписки как "несоответствующие".
  • Пометьте как "совместимые" все зарегистрированные подписки (независимо от того, имеют ли они расширенные функции безопасности Defender для облака включено или выключено).

Затем задача по исправлению активирует базовые функциональные возможности Defender для облака для подписок, несоответствующих требованиям.

Необязательные изменения

Можно изменить определение Политика Azure различными способами:

  • Политика по-разному определяет соответствие — указанная политика классифицирует все подписки в MG, которые еще не зарегистрированы в Defender для облака, как "несоответствие". Вы можете задать его для всех подписок без поддержки расширенных функций безопасности Defender для облака.

    Указанное определение определяет любой из указанных ниже параметров ценообразования в соответствии с требованиями. Это означает, что подписка, заданная как "стандартная" или "бесплатная", соответствует требованиям.

    Совет

    Если любой план Microsoft Defender включен, он описывается в определении политики как в параметре "Стандартный". Когда он отключен, он "Бесплатный". Дополнительные сведения о различиях между этими планами см. в планах Defender решения Microsoft Defender для облака.

    "existenceCondition": {
        "anyof": [
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "standard"
            },
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "free"
            }
        ]
    },
    

    Если изменить на следующее значение, будут классифицированы как соответствующие требованиям только подписки уровня "стандартный".

    "existenceCondition": {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
          },
    
  • Определите некоторые планы Microsoft Defender, которые следует применять при активации Defender для облака — указанная политика позволяет активацию Defender для облака без дополнительных функций расширенной безопасности. Вы можете включить один или несколько планов Microsoft Defender.

    В разделе указанного deployment определения есть параметр pricingTier. По умолчанию установлено free, но вы можете его изменить.

Следующий шаг