Partager via


Activer Defender pour le cloud sur tous les abonnements d’un groupe d’administration

Vous pouvez utiliser Azure Policy pour activer Microsoft Defender pour le cloud sur tous les abonnements Azure au sein du même groupe d’administration. Cela est plus pratique que d’accéder aux abonnements individuellement à partir du portail et fonctionne même s’ils appartiennent à des propriétaires différents.

Prérequis

Activez le fournisseur de ressources _Microsoft.Security_ pour le groupe d’administration à l’aide de la commande Azure CLI suivante :

az provider register --namespace Microsoft.Security --management-group-id …

Intégrer un groupe d’administration et tous ses abonnements

Pour intégrer un groupe d’administration et tous ses abonnements :

  1. En tant qu’utilisateur disposant des autorisations Administration de sécurité, ouvrez Azure Policy et recherchez la définition Enable Microsoft Defender for Cloud on your subscription.

    Capture d’écran affichant la définition Azure Policy Activer Defender pour le cloud sur votre abonnement.

  2. Sélectionnez Affecter et veillez à définir l’étendue sur le niveau du groupe d’administration.

    Capture d’écran affichant comment attribuer la définition Activer Defender pour le cloud sur votre abonnement.

    Conseil

    Hormis l’étendue, il n’existe aucun paramètre obligatoire.

  3. Sélectionnez Correction, puis Créer une tâche de correction afin que soient intégrés tous les abonnements existants pour lesquels Defender pour le cloud n’est pas activé.

    Capture d’écran affichant comment créer une tâche de correction pour la définition Azure Policy Activer Defender pour le cloud sur votre abonnement.

  4. Sélectionnez Revoir + créer.

  5. Passez en revue vos informations, puis sélectionnez Créer.

Quand la définition est assignée, elle effectue les opérations suivantes :

  • Elle détecte tous les abonnements du groupe d’administration qui ne sont pas encore inscrits auprès de Defender pour le cloud.
  • Elle marque ces abonnements comme étant « non conformes ».
  • Marquer comme « conforme » tous les abonnements inscrits (que les fonctionnalités de sécurité renforcée de Defender pour le cloud soient activées ou non).

La tâche de correction active ensuite la fonctionnalité de base de Defender pour le cloud sur les abonnements non conformes.

Modifications facultatives

Vous pouvez modifier la définition Azure Policy de plusieurs façons :

  • Définir la conformité différemment : la stratégie fournie classifie comme « non conformes » tous les abonnements du groupe d’administration qui ne sont pas encore inscrits auprès de Defender pour le cloud. Vous pouvez choisir de la définir sur tous les abonnements où les fonctionnalités de sécurité renforcée de Defender pour le cloud sont activées.

    La définition fournie définit un des paramètres de tarif ci-dessous comme étant conforme. Cela signifie qu’un abonnement défini sur « standard » ou « free » (gratuit) est conforme.

    Conseil

    Quand un plan Microsoft Defender est activé, il est décrit dans une définition de stratégie comme étant associé au paramètre « Standard ». Quand il est désactivé, il est « Gratuit ». Pour en savoir plus sur les différences entre ces plans, consultez les offres Defender de Microsoft Defender pour le cloud.

    "existenceCondition": {
        "anyof": [
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "standard"
            },
            {
                "field": "microsoft.security/pricings/pricingTier",
                "equals": "free"
            }
        ]
    },
    

    Si vous le remplacez par ce qui suit, seuls les abonnements définis sur « standard » sont classifiés comme étant conformes :

    "existenceCondition": {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
          },
    
  • Définir des plans Microsoft Defender à appliquer lors de l’activation de Defender pour le cloud : la stratégie fournie active Defender pour le cloud sans aucune des fonctionnalités de sécurité renforcée facultatives. Vous pouvez choisir d’activer un ou plusieurs plans Microsoft Defender.

    La section deployment de la définition fournie a un paramètre pricingTier. Par défaut, ce paramètre est défini sur free, mais vous pouvez le modifier.

Étapes suivantes

Maintenant que vous avez intégré un groupe d’administration entier, activez les fonctionnalités de sécurité renforcée.