次の方法で共有

管理グループ内のすべてのサブスクリプションで Defender for Cloud を有効にする

Azure Policy を使用して、同じ管理グループ (MG) 内のすべての Azure サブスクリプションで Microsoft Defender for Cloud を有効にすることができます。 これは、ポータルから個別にアクセスするよりも便利であり、サブスクリプションが別の所有者に属している場合でも機能します。

Prerequisites

次の Azure CLI コマンドを使用して、管理グループのリソース プロバイダーの _Microsoft.Security_ を有効にします。

az provider register --namespace Microsoft.Security --management-group-id …

管理グループとそのすべてのサブスクリプションをオンボードする

管理グループとそのすべてのサブスクリプションをオンボードするには:

  1. セキュリティ管理者のアクセス許可を持つユーザーとして、Azure Policy を開き、Enable Microsoft Defender for Cloud on your subscription定義を検索します。

    サブスクリプションで Defender for Cloud を有効にする Azure Policy 定義を示すスクリーンショット。

  2. [ 割り当て] を選択し、スコープを MG レベルに設定していることを確認します。

    サブスクリプションで Defender for Cloud を有効にする定義を割り当てる方法を示すスクリーンショット。

    Tip

    スコープ以外に、必要なパラメーターはありません。

  3. [修復] を選択し、[修復タスクの作成] を選択して、Defender for Cloud が有効になっていないすべての既存のサブスクリプションがオンボードされるようにします。

    サブスクリプションで Azure Policy 定義 Enable Defender for Cloud の修復タスクを作成する方法を示すスクリーンショット。

  4. [Review + create](レビュー + 作成) を選択します。

  5. 情報を確認し、[ 作成] を選択します。

定義が割り当てられると、次のようになります。

  • まだ Defender for Cloud に登録されていない MG 内のすべてのサブスクリプションを検出します。
  • これらのサブスクリプションを "非準拠" としてマークします。
  • 登録されているすべてのサブスクリプションを "準拠" としてマークします (Defender for Cloud の強化されたセキュリティ機能がオンかオフかに関係なく)。

修復タスクにより、準拠していないサブスクリプションで Defender for Cloud の基本的な機能が有効になります。

オプションの変更

Azure Policy 定義を変更するには、さまざまな方法があります。

  • コンプライアンスを異なる方法で定義 する - 指定されたポリシーは、まだ Defender for Cloud に登録されていない MG 内のすべてのサブスクリプションを "非準拠" として分類します。 Defender for Cloud の強化されたセキュリティ機能が有効になっていないすべてのサブスクリプションに設定することもできます。

    指定された定義では、以下の "価格" 設定 のいずれかが 準拠として定義されます。 つまり、"standard" または "free" に設定されたサブスクリプションは準拠しています。

    Tip

    Microsoft Defender プランが有効になっている場合は、ポリシー定義で "Standard" 設定に記載されています。 無効にすると、"無料" になります。 これらのプランの違いについては、 Microsoft Defender for Cloud の Defender プランを参照してください。

    "existenceCondition": {
    "anyof": [
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
        },
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "free"
        }
    ]
},

    これを次のように変更すると、"standard" に設定されたサブスクリプションのみが準拠として分類されます。

    "existenceCondition": {
        "field": "microsoft.security/pricings/pricingTier",
        "equals": "standard"
      },

  • Defender for Cloud を有効にするときに適用する Microsoft Defender プランをいくつか定義する - 指定されたポリシーにより、オプションの強化されたセキュリティ機能を使用せずに Defender for Cloud が有効になります。 1 つ以上の Microsoft Defender プランを有効にすることもできます。

    指定された定義の deployment セクションには、パラメーター pricingTierがあります。 既定では、これは free に設定されていますが、変更することもできます。

次のステップ

管理グループ全体をオンボードしたら、強化されたセキュリティ機能を有効にします。

強化された保護を有効にする

  • Last updated on