Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite bietet einfache Onboardingfunktionen, um Azure DevOps-Umgebungen mit Microsoft Defender for Cloud zu verbinden und so automatisch Azure DevOps-Repositorys zu entdecken.
Durch die Verbindung Ihrer Azure DevOps-Umgebungen mit Defender for Cloud erweitern Sie die Sicherheitsfunktionen von Defender for Cloud auf Ihre Azure DevOps-Ressourcen und verbessern den Sicherheitsstatus. Erfahren Sie mehr.
Voraussetzungen
Für die Durchführung dieses Schnellstarts benötigen Sie Folgendes:
- Ein Azure-Konto, in das Defender for Cloud integriert ist. Wenn Sie noch kein Azure-Konto besitzen, erstellen Sie ein kostenloses Konto.
- Beachten Sie, dass die von Defender for Cloud ausgeführten API-Aufrufe auf den globalen Grenzwert für „Verbrauch“ von Azure DevOps angerechnet werden.
- Lesen Sie die allgemeinen Fragen zur DevOps-Sicherheit in Defender for Cloud.
Von Bedeutung
Defender for Cloud führt Operationen in Azure DevOps unter Verwendung der Identität durch, die den Connector (ein von Ihnen gewähltes Benutzer- oder Dienstkonto) autorisiert. Aktivitäten wie Repository-Lesevorgänge, Pull-Request-Anmerkungen und Build-Metadaten-Abfragen werden dieser Identität in Azure DevOps-Auditprotokollen, Nutzungs-Dashboards und PR-Zeitskalen zugeordnet. Um Verwirrung zu vermeiden und Kontinuität zu gewährleisten, empfehlen wir Ihnen, anstelle eines persönlichen Kontos ein spezielles Dienstkonto (z. B. MDC-DevOps-Connector) mit den erforderlichen Mindestberechtigungen zu verwenden.
Verfügbarkeit
| Aspekt | Einzelheiten |
|---|---|
| Versionsstatus: | Allgemeine Verfügbarkeit |
| Preise: | Preisinformationen finden Sie unter Microsoft Defender for Cloud – Preise. Sie können die Kosten auch mit dem Kostenrechner defender for Cloud schätzen. |
| Erforderliche Berechtigungen: |
-
Mitwirkender, um einen Connector für das Azure-Abonnement zu erstellen. - Projektsammlungsadministrator in der Azure DevOps-Organisation. - Basic oder Basic + Testplan-Zugriffsebene auf der Azure DevOps-Organisation. Stellen Sie sicher, dass Sie über Berechtigungen als Projektsammlungsadministrator*in UND die Standardzugriffsebene für alle Azure DevOps-Organisationen verfügen, die Sie integrieren möchten. Die Zugriffsebene als Projektbeteiligte reicht nicht aus. Zugriff auf Anwendungen von Dritten über OAuth, die in der Azure DevOps-Organisation auf On eingestellt sein müssen.
Erfahren Sie mehr über OAuth und wie Sie es in Ihren Organisationen aktivieren. |
| Regionen und Verfügbarkeit: | Weitere Informationen zur regionalen Unterstützung und Verfügbarkeit von Features finden Sie unter Unterstützung und Voraussetzungen: DevOps-Sicherheit. |
| Wolken: |
Kommerziell
Kommerziell 
National (Azure Government, Microsoft Azure betrieben von 21Vianet) |
Hinweis
Die Rolle Sicherheitsleseberechtigter kann auf den Bereich Ressourcengruppe/Azure DevOps-Connector angewendet werden, um zu vermeiden, dass auf einer Abonnementebene hoch privilegierte Berechtigungen für den Lesezugriff auf DevOps-Sicherheitsbewertungen festgelegt werden.
Hinweis
Der Azure DevOps-Connector wird unter dem Microsoft.Security/securityConnectors Ressourcentyp erstellt.
Defender für DevOps verwendet auch zusätzliche Ressourcen unter dem Microsoft.Security Ressourcenanbieter (z. B. Sicherheitsbewertungen).
Für Governance-Szenarien, die Ausnahmen auf Mandantenebene verwenden, können Sie die Ausnahmen auf Microsoft.Security/* erweitern, um die volle Funktionalität von Defender for DevOps sicherzustellen.
Verbinden Ihrer Azure DevOps-Organisation
Hinweis
Nachdem Sie Azure DevOps mit Defender for Cloud verbunden haben, wird die Containerzuordnungserweiterung von Microsoft Defender for DevOps automatisch freigegeben und in allen verbundenen Azure DevOps-Organisationen installiert. Mit dieser Erweiterung kann Defender for Cloud Metadaten aus Pipelines extrahieren, z. B. die Digest-ID und den Namen eines Containers. Diese Metadaten werden verwendet, um DevOps-Entitäten mit ihren zugehörigen Cloudressourcen zu verbinden. Weitere Informationen zum Container-Mapping.
So verbinden Sie Ihre Azure DevOps-Organisation mithilfe eines nativen Connectors mit Defender for Cloud:
Melden Sie sich beim Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie Umgebung hinzufügen aus.
Wählen Sie Azure DevOps aus.
Geben Sie einen Namen, ein Abonnement, eine Ressourcengruppe und eine Region ein.
Das Abonnement ist der Ort, an dem Microsoft Defender for Cloud die Azure DevOps-Verbindung erstellt und speichert.
Wählen Sie Weiter: Zugriff konfigurieren aus.
Wählen Sie "Autorisieren" aus. Achten Sie im Dropdownmenü Azure DevOps darauf, dass Sie den richtigen Azure-Mandanten autorisieren, und vergewissern Sie sich auch, dass Sie sich in Defender for Cloud im richtigen Azure-Mandanten befinden.
Lesen Sie die Liste der Berechtigungsanforderungen im Popupdialogfeld, und wählen Sie Akzeptieren aus.
Wählen Sie für „Organisationen“ eine der folgenden Optionen aus:
- Wählen Sie die Option Alle vorhandenen Organisationen aus, um alle Projekte und Repositorys in Organisationen, in denen Sie derzeit Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
- Wählen Sie die Option Alle vorhandenen und zukünftigen Organisationen aus, um alle Projekte und Repositorys in allen aktuellen und zukünftigen Organisationen, in denen Sie Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
Hinweis
Der Zugriff auf Drittanwendungen über OAuth muss für jede Azure DevOps-Organisation auf
Oneingestellt werden. Erfahren Sie mehr über OAuth und wie Sie es in Ihren Organisationen aktivieren.Da das Onboarding von Azure DevOps-Repositorys keine zusätzlichen Kosten verursacht, wird die automatische Erkennung auf die gesamte Organisation angewendet, um sicherzustellen, dass Defender for Cloud den Sicherheitsstatus umfassend bewerten und auf Sicherheitsbedrohungen in Ihrem gesamten DevOps-Ökosystem reagieren kann. Organisationen können später über Microsoft Defender for Cloud>Umgebungseinstellungen manuell hinzugefügt und entfernt werden.
Wählen Sie Weiter: Überprüfen und generieren aus.
Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.
Hinweis
Damit die erweiterten DevOps-Statusfunktionen in Defender for Cloud ordnungsgemäß funktionieren, kann nur eine einzelne Instanz einer Azure DevOps-Organisation in den Azure-Mandanten integriert werden, in dem Sie einen Connector erstellen.
Nach erfolgreichem Onboarding werden DevOps-Ressourcen (z. B. Repositorys, Builds) auf den Sicherheitsseiten „Inventar“ und „DevOps“ angezeigt. Es kann bis zu 8 Stunden dauern, bis die Ressourcen angezeigt werden. Empfehlungen zur Sicherheitsüberprüfung erfordern möglicherweise einen zusätzlichen Schritt zum Konfigurieren Ihrer Pipelines. Die Aktualisierungsintervalle für Sicherheitsergebnisse variieren je nach Empfehlung. Einzelheiten finden Sie auf der Seite „Empfehlungen“.
So nutzt Defender for Cloud Ihre Identität
Nachdem Sie die Verbindung autorisiert haben, verwendet Defender for Cloud die Berechtigungen des Kontos, das den Connector erstellt hat, um Vorgänge in Azure DevOps auszuführen.
Vorgänge wie die Inventarisierung des Repositorys, das Lesen von Build-Metadaten, Pull Request-Anmerkungen und agentenloses Code-Scanning laufen alle unter dieser Identität. Das agentenlose Code-Scanning ruft Code- und Infrastruktur-als-Code-Definitionen zur Analyse ab und seine API-Aufrufe werden auch auf die Nutzungsquoten der Identität angerechnet.
In Azure DevOps werden diese Vorgänge so angezeigt, als ob sie von diesem Konto durchgeführt worden wären, und sind in Audit-Protokollen, Nutzungs-Dashboards und PR-Zeitskalen sichtbar.
Wenn das autorisierende Konto entfernt wird oder den Zugriff verliert, werden die automatischen Vorgänge gestoppt, bis der Connector erneut autorisiert wird.
Hinweis
Defender for Cloud-API-Aufrufe werden in die globale Azure DevOps-Verbrauchsgrenze für die Identität einbezogen, die den Connector autorisiert hat. Defender for Cloud verwaltet die API-Nutzung sorgfältig, um ein Überschreiten der Grenzen zu vermeiden, und die meisten Kunden erleben nie eine Drosselung.
Nächste Schritte
Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud.
Konfigurieren Sie die Aufgabe „Microsoft Security DevOps“ in Azure Pipelines.
Entdecken Sie agentenloses Code-Scanning zur Erkennung von Code und IaC-Sicherheitsrisiken in Ihren Repositorys ohne Pipeline-Änderungen oder Agenten, wobei die Ergebnisse direkt in Defender for Cloud angezeigt werden.