Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare Azure Policy per abilitare Microsoft Defender for Cloud in tutte le sottoscrizioni Azure all'interno dello stesso gruppo di gestione (MG). Ciò risulta più pratico rispetto all'accesso individuale dal portale e funziona anche se le sottoscrizioni appartengono a proprietari diversi.
Prerequisites
Abilitare il provider di risorse _Microsoft.Security_ per il gruppo di gestione usando il comando Azure CLI seguente:
az provider register --namespace Microsoft.Security --management-group-id …
Eseguire l'onboarding di un gruppo di gestione e di tutte le relative sottoscrizioni
Per eseguire l'onboarding di un gruppo di gestione e di tutte le relative sottoscrizioni:
Come utente con autorizzazioni Security Admin, aprire Azure Policy e cercare la definizione
Enable Microsoft Defender for Cloud on your subscription.
Selezionare Assegna e assicurarsi di impostare l'ambito sul livello del gruppo di gestione.
Tip
Oltre all'ambito, non esistono parametri obbligatori.
Selezionare Remediation e selezionare Crea un'attività di correzione per assicurarsi che tutte le sottoscrizioni esistenti che non dispongono di Defender for Cloud abilitate vengano caricate.
Screenshot che illustra come creare un'attività di correzione per la definizione di Azure Policy "Enable Defender for Cloud" sulla tua sottoscrizione.
Selezionare Rivedi e crea.
Esaminare le informazioni e selezionare Crea.
Quando viene assegnata la definizione, verrà eseguita la seguente operazione:
- Rilevare tutte le sottoscrizioni nel gruppo di gestione non ancora registrate con Defender per il cloud.
- Contrassegnare tali sottoscrizioni come "non conformi".
- Contrassegnare come "conformi" tutte le sottoscrizioni registrate (indipendentemente dal fatto che abbiano Defender for Cloud funzionalità di sicurezza avanzate su o disattivato).
L'attività di correzione abiliterà quindi le funzionalità di base di Defender for Cloud nelle sottoscrizioni non conformi.
Modifiche facoltative
Esistono diversi modi per scegliere di modificare la definizione di Azure Policy:
Definire la conformità in modo diverso: I criteri forniti classificano tutte le sottoscrizioni nel MG che non sono ancora registrate con Defender for Cloud come "non conformi". È possibile scegliere di impostarlo su tutte le sottoscrizioni senza abilitare le funzionalità di sicurezza avanzate di Defender for Cloud.
La definizione fornita definisce una delle impostazioni "pricing" riportate di seguito come conformi. Ciò significa che una sottoscrizione impostata su 'standard' o 'free' è conforme.
Tip
Quando un piano Microsoft Defender è abilitato, viene descritto in una definizione di criteri come nell'impostazione "Standard". Quando è disabilitato, è "Gratuito". Per informazioni sulle differenze tra questi piani, vedere i piani di Defender di Microsoft Defender for Cloud.
"existenceCondition": { "anyof": [ { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" }, { "field": "microsoft.security/pricings/pricingTier", "equals": "free" } ] },Se si passa a quanto segue, solo le sottoscrizioni impostate su "standard" vengono classificate come conformi:
"existenceCondition": { "field": "microsoft.security/pricings/pricingTier", "equals": "standard" },Define alcuni piani di Microsoft Defender da applicare quando si abilita Defender for Cloud: il criterio fornito abilita Defender for Cloud senza alcuna funzionalità di sicurezza avanzata facoltativa. È possibile scegliere di abilitare uno o più piani di Microsoft Defender.
La sezione della
deploymentdefinizione fornita ha un parametropricingTier. Per impostazione predefinita, questa opzione è impostata sufree, ma è possibile modificarla.
Passaggi successivi
Ora che è stato eseguito l'onboarding di un intero gruppo di gestione, abilitare le funzionalità di sicurezza avanzate.