Включите Защитник для облака во всех подписках в группе управления

Политику Azure можно использовать для включения Microsoft Defender для облака во всех подписках Azure в одной группе управления (MG). Это удобнее, чем доступ к ним по отдельности с портала, и работает, даже если подписки принадлежат разным владельцам.

Prerequisites

Включите поставщика _Microsoft.Security_ ресурсов для группы управления с помощью следующей команды Azure CLI:

az provider register --namespace Microsoft.Security --management-group-id …

Подключение на платформу группы управления и всех её подписок

Чтобы подключить группу управления и все ее подписки, выполните следующее:

1. В качестве пользователя с разрешениями администратора безопасности откройте политику Azure и найдите определение Enable Microsoft Defender for Cloud on your subscription.

   

2. Выберите "Назначить " и убедитесь, что область задана на уровне MG.

   

   Tip

   Помимо рамок, нет обязательных параметров.

3. Выберите "Исправление" и нажмите кнопку "Создать задачу исправления ", чтобы убедиться, что все существующие подписки, у которых нет Защитника для облака, будут подключены.

   

4. Выберите Review + create.

5. Просмотрите сведения и нажмите кнопку "Создать".

При назначении определения он будет:

• Обнаружить все подписки в MG, которые еще не зарегистрированы в Defender для облака.
• Пометьте эти подписки как "несоответствующие".
• Помечайте как "совместимые" все зарегистрированные подписки (независимо от того, имеются ли у них расширенные функции безопасности Defender для Облака).

Затем задача исправления включит базовую функциональность Защитника для облака на несоответствующих подписках.

Необязательные изменения

Можно изменить определение политики Azure различными способами:

• Определите соответствие по-разному . Указанная политика классифицирует все подписки в MG, которые еще не зарегистрированы в Defender для облака как "несоответствующие". Вы можете задать его для всех подписок без поддержки расширенных функций безопасности Defender для Облака.

  Указанное определение определяет любой из указанных ниже параметров ценообразования в соответствии с требованиями. Это означает, что подписка, заданная как "стандартная" или "бесплатная", соответствует требованиям.

  Tip

  Если любой план Microsoft Defender включен, он описывается в определении политики как в параметре "Стандартный". Когда он отключен, он "Бесплатный". Дополнительные сведения о различиях между этими планами см. в планах Microsoft Defender для Cloud.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Если изменить на следующее значение, будут классифицированы как соответствующие требованиям только подписки уровня "стандартный".

  "existenceCondition": {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  

• Определите некоторые планы Microsoft Defender, применяемые при включении Defender для облака . Указанная политика включает Defender для облака без дополнительных дополнительных функций расширенной безопасности. Вы можете включить один или несколько планов Microsoft Defender.

  В разделе указанного deployment определения есть параметр pricingTier. По умолчанию установлено free, но вы можете его изменить.

Дальнейшие шаги

Теперь, когда вы подключены ко всей группе управления, включите расширенные функции безопасности.