Habilitar o Defender para Nuvem em todas as assinaturas de um grupo de gerenciamento

Você pode usar o Azure Policy para habilitar o Microsoft Defender para Nuvem em todas as assinaturas do Azure no mesmo MG (grupo de gerenciamento). Isso é mais conveniente do que acessá-las individualmente no portal e funciona mesmo que as assinaturas pertençam a proprietários diferentes.

Pré-requisitos

Habilite o provedor de recursos _Microsoft.Security_ para o grupo de gerenciamento usando o seguinte comando da CLI do Azure:

az provider register --namespace Microsoft.Security --management-group-id …

Para integrar um grupo de gerenciamento e todas as suas assinaturas:

Para integrar um grupo de gerenciamento e todas as suas assinaturas:

  1. Como um usuário com permissões de Administrador de Segurança, abra o Azure Policy e pesquise a definição Enable Microsoft Defender for Cloud on your subscription.

    Captura de tela mostrando a definição do Azure Policy Habilitar o Defender para Nuvem em sua assinatura.

  2. Selecione Atribuir e defina o escopo para o nível do MG.

    Captura de tela mostrando como atribuir a definição Habilitar o Defender para Nuvem em sua assinatura.

    Dica

    Além do escopo, não há nenhum parâmetro obrigatório.

  3. Selecione Correção e selecione Criar uma tarefa de correção para garantir que todas as assinaturas existentes que não tenham o Defender para Nuvem habilitada sejam integradas.

    Captura de tela que mostra como criar uma tarefa de correção para a definição do Azure Policy Habilitar o Defender para Nuvem em sua assinatura.

  4. Selecione Examinar + criar.

  5. Examine suas informações e selecione Criar.

Quando a definição for atribuída, ela vai:

  • Detectará todas as assinaturas no MG que ainda não estão registradas no Defender para Nuvem.
  • Marcará essas assinaturas como "não compatível".
  • Marcará como "compatível" todas as assinaturas registradas (independentemente de elas terem os recursos de segurança aprimorada do Defender para Nuvem ligados).

A tarefa de correção habilitará a funcionalidade básica do Defender para Nuvem nas assinaturas não compatíveis.

Modificações opcionais

Há várias maneiras para você modificar a definição do Azure Policy:

  • Definir a conformidade de maneira diferente – a política fornecida classifica todas as assinaturas no MG que ainda não estão registradas no Defender para Nuvem como "não compatíveis". Você pode definir essa opção para todas as assinaturas sem os recursos de segurança aprimorada do Defender para Nuvem habilitados.

    A definição fornecida, define uma das configurações de "preço" abaixo como em conformidade. Isso significa que uma assinatura definida como "Standard" ou "Gratuita" está em conformidade.

    Dica

    Quando um plano do Microsoft Defender for habilitado, ele será descrito em uma definição de política como se estivesse na configuração 'Standard'. Quando é desabilitado, ele é "Gratuito". Para saber mais sobre as diferenças entre esses planos, consulte Planos do Defender do Microsoft Defender para Nuvem.

    "existenceCondition": {
        "anyof": [
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "standard"
            },
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "free"
            }
        ]
    },
    

    Se você alterá-lo conforme exibido abaixo, somente as assinaturas definidas como "Standard" serão classificadas como em conformidade:

    "existenceCondition": {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
          },
    
  • Definir alguns planos do Microsoft Defender a aplicar ao habilitar o Defender para Nuvem – a política fornecida habilita o Defender para Nuvem sem nenhum dos recursos opcionais de segurança aprimorada. Você pode optar por habilitar um ou mais dos planos do Microsoft Defender.

    A seção deployment da definição fornecida tem um parâmetro pricingTier. Por padrão, ele é definido como free, mas você pode modificá-lo.

Próximas etapas

Agora que você integrou um grupo de gerenciamento inteiro, habilite os recursos de segurança aprimorados.