Azure PowerShell を使用して Microsoft Defender for Storage を有効にして構成する

サブスクリプションレベルで Microsoft Defender for Storage を有効にすることをお勧めします。そうすることで、サブスクリプションに現在存在するすべてのストレージアカウントが確実に保護されます。サブスクリプションレベルで Defender for Storage を有効にした後に作成するストレージアカウントの保護は、作成から最大 24 時間後に開始されます。

ヒント

サブスクリプションレベルで構成された設定とは異なるカスタム設定を使用して、常に特定のストレージアカウントを構成できます。つまり、サブスクリプションレベルの設定をオーバーライドできます。

Azure PowerShell を設定する

Azure PowerShell を使用する前に、次の手順を実行します。

まだインストールしていない場合は、 Az PowerShell モジュールをインストールします。
Connect-AzAccount コマンドレットを使って、Azure アカウントにサインインします。 Azure PowerShell を使用した Azure へのサインインの詳細について説明します。
次のコマンドを使用して、サブスクリプションを Microsoft Defender for Cloud リソースプロバイダーに登録します。 <subscriptionId> は、サブスクリプション ID で置き換えてください。
```
Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
```

Set-AzSecurityPricing コマンドレットを使用して、トランザクションごとの価格でサブスクリプションレベルで Defender for Storage を有効にします。

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "10000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

コマンドレットの拡張機能プロパティを指定しない場合、マルウェアスキャンと機密データ検出の両方が既定で有効になります。

このコードをカスタマイズすると、次のことができます。

アップロード時マルウェアスキャンの月単位のしきい値を変更する: CapGBPerMonthPerStorageAccount プロパティを希望の値に調整します。このパラメーターでは、ストレージアカウントごとに毎月マルウェアをスキャンできる最大データの上限を設定します。無制限のスキャンを許可する場合は、値を -1割り当てます。既定の制限は 10,000 GB です。
アップロード時のマルウェアスキャンまたは機密データの脅威検出機能を無効にする: isEnabledの値を、FalseとOnUploadMalwareScanning拡張機能のプロパティにSensitiveDataDiscoveryするように変更します。
Defender for Storage プラン全体を無効にする: -PricingTier プロパティの値を Freeに設定し、 -SubPlan プロパティと -Extension プロパティを削除します。

ヒント

GetAzSecurityPricing コマンドレットを使用すると、サブスクリプションで有効になっているすべての Defender for Cloud プランを確認できます。

Set-AzSecurityPricing コマンドレットの詳細については、Azure PowerShell リファレンスを参照してください。

Update-AzSecurityDefenderForStorage コマンドレットを使用して、ストレージアカウントレベルで Defender for Storage を有効にして構成します。次の例では、 <SubscriptionId>、 <ResourceGroupName>、および <StorageAccountName> の値を、独自の Azure サブスクリプション ID、リソースグループ、ストレージアカウント名に置き換えます。

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Defender for Storage がサブスクリプションレベルで有効になっている場合、サブスクリプションレベルで設定をオーバーライドするには -OverrideSubscriptionLevelSetting パラメーターが必要です。オーバーライドパラメーターを使用しない場合、拡張機能は、コマンドレットで指定したパラメーター値に関係なく、サブスクリプションレベルの設定に従って設定されます。

このコードをカスタマイズすると、次のことができます。

マルウェアスキャンの月単位のしきい値を変更する: -OnUploadCapGBPerMonth パラメーターを希望の値に調整します。このパラメーターは、ストレージアカウントごとに、毎月のマルウェアスキャンを行う最大データの上限を設定します。無制限のスキャンを許可する場合は、値を -1割り当てます。既定の制限は 10,000 GB です。
Azure Event Grid にマルウェアスキャン結果を送信する: パラメーター -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>"に Event Grid トピックのリソース ID を指定します。
アップロード時のマルウェアスキャンまたは機密データの脅威検出機能をオフにする: -OnUploadIsEnabled:$false または -SensitiveDataDiscoveryIsEnabled:$falseをそれぞれ設定します。
Defender for Storage プラン全体を無効にする: IsEnabled:$false、 -OnUploadIsEnabled:$false、 -SensitiveDataDiscoveryIsEnabled:$falseを設定します。

ヒント

Get-AzSecurityDefenderForStorage コマンドレットを使用して、ストレージアカウントの Defender for Storage 設定を表示できます。

Update-AzSecurityDefenderForStorageRefer コマンドレットの詳細については、Azure PowerShell リファレンスを参照してください。

ヒント

次の場合にスキャン結果を送信するようにマルウェアスキャンを構成できます。

Event Grid カスタムトピック: すべてのスキャン結果に基づくほぼリアルタイムの自動応答。
Log Analytics ワークスペース: すべてのスキャン結果をコンプライアンスと監査のために一元化されたログリポジトリに格納します。

マルウェアスキャンの結果に対する応答を設定する方法の詳細について説明します。

Azure 組み込みポリシーを使用して、Defender for Storage プランを大規模に有効にして構成する方法について説明します。
Defender for Cloud での PowerShell の使用の詳細について説明します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-09-16

次の方法で共有

Azure PowerShell を使用して Microsoft Defender for Storage を有効にして構成する

Azure PowerShell を設定する

Defender for Storage を有効にして構成する

関連コンテンツ

フィードバック

その他のリソース