Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page offre une expérience d’intégration simple pour connecter des environnements Azure DevOps à Microsoft Defender pour le cloud et découvrir automatiquement les référentiels Azure DevOps.
En connectant vos environnements Azure DevOps à Defender pour le cloud, vous étendez les fonctionnalités de sécurité de Defender pour le Cloud à vos ressources Azure DevOps et améliorez la posture de sécurité. En savoir plus.
Conditions préalables
Pour effectuer ce démarrage rapide, les éléments suivants sont requis :
- Un compte Azure avec Defender pour Cloud intégré. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.
- Notez que les appels d’API que Defender pour le cloud effectue sont comptabilisés dans la limite de consommation globale Azure DevOps.
- Étudiez les questions courantes sur la sécurité DevOps dans Defender pour le cloud.
Important
Defender for Cloud effectue des opérations dans Azure DevOps à l’aide de l’identité qui autorise le connecteur (un utilisateur ou un compte de service que vous choisissez). Les activités telles que les lectures de référentiel, les annotations de demande de tirage (pull request) et les requêtes de métadonnées de build sont attribuées à cette identité dans les journaux d’audit Azure DevOps, dans les tableaux de bord d’utilisation et dans les chronologies de PR. Pour éviter toute confusion et garantir la continuité, nous vous recommandons d’utiliser un compte de service dédié (par exemple, MDC-DevOps-Connector) avec les autorisations minimales requises au lieu d’un compte personnel.
Disponibilité
| Aspect | Détails |
|---|---|
| État de sortie : | Disponibilité générale. |
| Prix : | Pour plus d’informations sur la tarification, consultez la page des tarifs de Defender pour le cloud. Vous pouvez également estimer les coûts avec la calculatrice de coûts Defender pour cloud. |
| Autorisations nécessaires : |
-
Contributeur pour créer un connecteur sur l’abonnement Azure. - Administrateur de collection de projets sur l’organisation Azure DevOps. - Niveau d’accès Essentiel ou Essentiel + Test Plans sur l’organisation Azure DevOps. Vérifiez que vous disposez des autorisations d’administrateur de collection de projets et du niveau d’accès de base pour toutes les organisations Azure DevOps que vous souhaitez intégrer. Le niveau d’accès de partie prenante n’est pas suffisant. Accès aux applications de tiers via OAuth, qui doit être configuré sur On pour l'organisation Azure DevOps.
En savoir plus sur OAuth et comment l’activer dans vos organisations. |
| Régions et disponibilités : | Reportez-vous à la section Support et prérequis pour connaître la prise en charge et la disponibilité des fonctionnalités par région. |
| Clouds : |
Commercial
Commercial 
National (Azure Government, Microsoft Azure géré par 21Vianet) |
Remarque
Le rôle Lecteur de sécurité peut être appliqué sur l’étendue du groupe de ressources ou du connecteur Azure DevOps, pour éviter de devoir définir des autorisations avec privilèges élevés au niveau d’un abonnement pour l'accès en lecture aux évaluations de la posture de sécurité de DevOps.
Remarque
Le connecteur Azure DevOps est créé sous le Microsoft.Security/securityConnectors type de ressource.
Defender pour DevOps utilise également des ressources supplémentaires sous le Microsoft.Security fournisseur de ressources (par exemple, des évaluations de sécurité).
Pour les scénarios de gouvernance qui ont recours à des exemptions de stratégie au niveau du locataire, appliquez les exemptions d’étendue à Microsoft.Security/* pour garantir la pleine fonctionnalité de Defender pour DevOps.
Connecter votre organisation Azure DevOps
Remarque
Après avoir connecté Azure DevOps à Microsoft Defender pour le cloud, l’extension de mappage des conteneurs Microsoft Defender pour DevOps est automatiquement partagée et installée sur toutes les organisations Azure DevOps connectées. Cette extension permet à Microsoft Defender pour le cloud d’extraire des métadonnées à partir de pipelines, telles que l’ID de synthèse et le nom d’un conteneur. Ces métadonnées sont utilisées pour connecter des entités DevOps à leurs ressources cloud associées. Découvrez-en davantage sur le mappage de conteneurs.
Pour connecter votre organisation Azure DevOps à Defender for Cloud à l’aide d’un connecteur natif :
Connectez-vous au portail Azure.
Accédez à Microsoft Defender for Cloud>Paramètres d’environnement.
Sélectionnez Ajouter un environnement.
Sélectionner Azure DevOps.
Entrez un nom, un abonnement, un groupe de ressources et une région.
L’abonnement est l’emplacement où Microsoft Defender pour le cloud crée et stocke la connexion Azure DevOps.
Sélectionnez Suivant : Configurer l’accès.
Sélectionnez Autoriser. Vérifiez que vous autorisez le locataire Azure approprié à l’aide du menu déroulant de Azure DevOps et en vérifiant que vous êtes dans le locataire Azure correct dans Defender pour Cloud.
Dans le dialogue contextuel, lisez la liste des demandes d’autorisation, puis sélectionnez Accepter.
Pour les organisations, sélectionnez une des options suivantes :
- Sélectionnez toutes les organisations existantes pour découvrir automatiquement tous les projets et référentiels dans les organisations dans lesquelles vous êtes actuellement administrateur de collection de projets.
- Sélectionnez toutes les organisations existantes et futures pour découvrir automatiquement tous les projets et référentiels dans toutes les organisations actuelles et futures dans lesquelles vous êtes administrateur de collection de projets.
Remarque
L’accès aux applications de tiers via OAuth être configuré sur
Onpour chaque organisation Azure DevOps. En savoir plus sur OAuth et comment l’activer dans vos organisations.Étant donné que les référentiels Azure DevOps sont intégrés sans coût supplémentaire, la découverte automatique est appliquée au sein de l’organisation pour garantir que Defender pour Cloud peut évaluer de manière complète la posture de sécurité et répondre aux menaces de sécurité dans l’ensemble de votre écosystème DevOps. Les organisations peuvent ensuite être ajoutées et supprimées manuellement via Microsoft Defender pour le cloud>Paramètres d’environnement.
Sélectionnez Suivant : Vérifier et générer.
Vérifiez les informations, puis sélectionnez Créer.
Remarque
Pour garantir une fonctionnalité appropriée des fonctionnalités avancées de posture DevOps dans Defender pour cloud, une seule instance d’une organisation Azure DevOps peut être intégrée au locataire Azure dans lequel vous créez un connecteur.
Une fois l’intégration réussie, des ressources DevOps (par exemple, les référentiels, les builds) sont présentes dans l’inventaire et les pages de sécurité DevOps. L’affichage des ressources peut prendre jusqu’à 8 heures. Les recommandations d’analyse de sécurité peuvent nécessiter une étape supplémentaire pour la configuration de vos pipelines. Les intervalles d’actualisation des résultats de sécurité varient en fonction des recommandations et des détails sont disponibles dans la page Recommandations.
Utilisation de votre identité par Defender for Cloud
Après avoir autorisé la connexion, Defender for Cloud utilise les autorisations du compte qui a créé le connecteur pour exécuter des opérations dans Azure DevOps.
Les opérations telles que l’inventaire des référentiels, les lectures de métadonnées de build, les annotations de demande de tirage (pull request) et l’analyse de code sans agent s’exécutent toutes sous cette identité. L’analyse de code sans agent récupère les définitions de code et d’infrastructure en tant que code pour l’analyse, et ses appels d’API comptent également pour les quotas d’utilisation de l’identité.
Dans Azure DevOps, ces opérations apparaissent comme si elles étaient effectuées par ce compte et sont visibles dans les journaux d’audit, les tableaux de bord d’utilisation et les chronologies de PR.
Si le compte d’autorisation est supprimé ou perd l’accès, les opérations automatisées s’arrêtent jusqu’à ce que le connecteur soit réautorisé.
Remarque
Les appels d’API Defender for Cloud sont inclus dans la limite de consommation globale d’Azure DevOps pour l’identité qui a autorisé le connecteur. Defender for Cloud gère soigneusement l’utilisation des API pour éviter de dépasser les limites, et la plupart des clients ne font jamais l’expérience de la limitation.
Étapes suivantes
Découvrez plus en détail la sécurité DevOps dans Defender for Cloud.
Configurer la tâche Microsoft Security DevOps dans vos pipelines Azure.
Explorez l’analyse de code sans agent pour détecter les vulnérabilités du code et de l’infrastructure en tant que code (IaC) sur tous vos référentiels sans modifications de pipeline ni agents, avec des résultats exposés directement dans Defender for Cloud.