Defender voor Cloud inschakelen voor alle abonnementen in een beheergroep

U kunt Azure Policy gebruiken om Microsoft Defender voor Cloud in te schakelen voor alle Azure abonnementen binnen dezelfde beheergroep (MG). Dit is handiger dan ze afzonderlijk te openen vanuit de portal en werkt zelfs als de abonnementen deel uitmaken van verschillende eigenaren.

Prerequisites

Schakel de resourceprovider _Microsoft.Security_ in voor de beheergroep met behulp van de volgende Azure CLI opdracht:

az provider register --namespace Microsoft.Security --management-group-id …

Een beheergroep en alle bijbehorende abonnementen onboarden

Een beheergroep en alle bijbehorende abonnementen onboarden:

1. Als gebruiker met Beveiligingsbeheerdersmachtigingen opent u Azure Policy en zoekt u naar de definitie Enable Microsoft Defender voor Cloud on your subscription.

   

2. Selecteer Toewijzen en zorg ervoor dat u het bereik instelt op het MG-niveau.

   

   Tip

   Behalve het bereik zijn er geen vereiste parameters.

3. Selecteer Herstel en selecteer Maak een hersteltaak om ervoor te zorgen dat alle bestaande abonnementen waarvoor Defender voor Cloud niet zijn ingeschakeld, onboarding krijgen.

   

4. Kies Beoordelen + creëren.

5. Controleer uw gegevens en selecteer Maken.

Wanneer de definitie is toegewezen, gebeurt het volgende:

• Detecteer alle abonnementen in de MG die nog niet zijn geregistreerd bij Defender voor Cloud.
• Markeer deze abonnementen als 'niet-compatibel'.
• Markeer alle geregistreerde abonnementen als 'compatibel' (ongeacht of ze de verbeterde beveiligingsfuncties van Defender voor Cloud in- of uitschakelen).

Met de hersteltaak wordt vervolgens de basisfunctionaliteit van Defender voor Cloud ingeschakeld voor de niet-compatibele abonnementen.

Optionele wijzigingen

Er zijn verschillende manieren waarop u de definitie van de Azure Policy kunt wijzigen:

• Define compliance anders definiëren : het opgegeven beleid classificeert alle abonnementen in de MG die nog niet zijn geregistreerd bij Defender voor Cloud als 'niet-compatibel'. U kunt ervoor kiezen om deze in te stellen op alle abonnementen zonder dat de verbeterde beveiligingsfuncties van Defender voor Cloud zijn ingeschakeld.

  De opgegeven definitie definieert een van de onderstaande prijsinstellingen als compatibel. Dit betekent dat een abonnement dat is ingesteld op 'standaard' of 'gratis' compatibel is.

  Tip

  Wanneer een Microsoft Defender-abonnement is ingeschakeld, wordt dit beschreven in een beleidsdefinitie als de standaardinstelling. Wanneer deze is uitgeschakeld, is het 'Gratis'. Zie de Defender-abonnementen van Microsoft Defender voor Cloud voor meer informatie over de verschillen tussen deze abonnementen.

  "existenceCondition": {
      "anyof": [
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "standard"
          },
          {
              "field": "microsoft.security/pricings/pricingTier",
              "equals": "free"
          }
      ]
  },
  

  Als u dit wijzigt in het volgende, worden alleen abonnementen die zijn ingesteld op Standaard, geclassificeerd als compatibel:

  "existenceCondition": {
          "field": "microsoft.security/pricings/pricingTier",
          "equals": "standard"
        },
  

• Definieer enkele Microsoft Defender plannen die van toepassing moeten zijn bij het inschakelen van Defender voor Cloud - Het opgegeven beleid maakt Defender voor Cloud mogelijk zonder een van de optionele verbeterde beveiligingsfuncties. U kunt ervoor kiezen om een of meer van de Microsoft Defender-abonnementen in te schakelen.

  De sectie van deployment de opgegeven definitie heeft een parameter pricingTier. Dit is standaard ingesteld op free, maar u kunt deze wijzigen.

Volgende stappen

Nu u een volledige beheergroep hebt toegevoegd, schakelt u de verbeterde beveiligingsfuncties in.