このページでは、Azure DevOps 環境を Microsoft Defender for Cloud に接続し、Azure DevOps リポジトリを自動的に検出するための簡単なオンボード エクスペリエンスを提供します。
Azure DevOps 環境を Defender for Cloud に接続することで、Defender for Cloud のセキュリティ機能を Azure DevOps リソースに拡張し、セキュリティ態勢を向上させることができます。 詳細については、こちらを参照してください。
[前提条件]
このクイック スタートを完了するには、次のものが必要です。
- Defender for Cloud がオンボードされている Azure アカウント。 Azure アカウントをまだお持ちでない場合は、 無料で作成してください。
- Defender for Cloud によって実行される API 呼び出しは、Azure DevOps のグローバル消費制限に対してカウントされることに注意してください。
- Defender for Cloud の DevOps セキュリティに関する一般的な質問を確認してください。
Important
Defender for Cloud は、コネクタの承認に使用される ID (選択したユーザーまたはサービス アカウント) を使用して、Azure DevOps で操作を実行します。 リポジトリの読み取り、プル要求注釈、ビルド メタデータ クエリなどのアクティビティは、Azure DevOps の監査ログ、使用状況ダッシュボード、PR タイムラインでその ID に関連付けられます。 混乱を避け、継続性を確保するために、最低限必要なアクセス許可を持つ専用のサービス アカウント (たとえば、MDC-DevOps-Connector) を使用し、個人用アカウントの使用は避けることをおすすめします。
可用性
| 特徴 | 詳細 |
|---|---|
| リリース状態: | 一般提供。 |
| 価格: | 価格については、Defender for Cloud の価格ページをご覧ください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。 |
| 必要なアクセスを許可: |
-
Azure サブスクリプションでコネクタを作成する投稿者。 - Azure DevOps 組織のプロジェクト コレクション管理者。 - Azure DevOps 組織の Basic または Basic + Test Plans アクセス レベル。 オンボードするすべての Azure DevOps 組織に対して、プロジェクト コレクション管理者のアクセス許可と基本アクセス レベルの両方があることを確認してください。 利害関係者アクセス レベルでは不十分です。 OAuth 経由のサード パーティ製アプリケーション アクセス。これは Azure DevOps 組織で On に設定する必要があります。
OAuth の詳細と、組織で OAuth を有効にする方法について説明します。 |
| リージョンと可用性。 | リージョンのサポートと利用できる機能については、サポートと前提条件のセクションを参照してください。 |
| クラウド: |
商用
商用 
National (Azure Government、21Vianet によって運営される Microsoft Azure) |
注
セキュリティ閲覧者 ロールをリソース グループ/Azure DevOps コネクタ スコープに適用して、DevOps セキュリティ体制評価の読み取りアクセスに対してサブスクリプション レベルで高い特権のアクセス許可を設定しないようにすることができます。
注
Azure DevOps コネクタは、 Microsoft.Security/securityConnectors リソースの種類の下に作成されます。
Defender for DevOps では、 Microsoft.Security リソース プロバイダー (セキュリティ評価など) の下で追加のリソースも使用されます。
テナント レベルのポリシーの除外を使用するガバナンス シナリオでは、除外の範囲を Microsoft.Security/* し、Defender for DevOps の完全な機能を確保します。
Azure DevOps 組織を接続する
注
Azure DevOps を Defender for Cloud に接続すると、Microsoft Defender for DevOps のコンテナー マッピング拡張機能が自動的に共有され、接続されているすべての Azure DevOps 組織にインストールされます。 この拡張機能を使用すると、Defender for Cloud では、コンテナーのダイジェスト ID や名前などのメタデータをパイプラインから抽出できます。 このメタデータは、DevOps エンティティと、その関連するクラウド リソースとを接続するために使用されます。 コンテナー マッピングの詳細を参照してください。
ネイティブ コネクタを使用して Azure DevOps 組織を Defender for Cloud に接続するには:
Azure portal にサインインします。
Microsoft Defender for Cloud >に移動します。
[ 環境の追加] を選択します。
[Azure DevOps] を選択します。
名前、サブスクリプション、リソース グループ、リージョンを入力します。
サブスクリプションは、Microsoft Defender for Cloud が Azure DevOps 接続を作成して格納する場所です。
[次: アクセスの構成] を選択します。
[承認] を選択します。 Azure DevOps のドロップダウン メニューを使用し、Defender for Cloud の正しい Azure テナントにいることを確認して、正しい Azure テナントを承認していることを確認します。
ポップアップ ダイアログで、アクセス許可要求の一覧を読み、[承諾] を選択します。
組織の場合は、次のいずれかのオプションを選択します:
- 現在プロジェクト コレクション管理者である組織のすべてのプロジェクトとリポジトリを自動検出するには、既存のすべての組織を選択します。
- プロジェクト コレクション管理者である現在および将来のすべての組織のすべてのプロジェクトとリポジトリを自動検出するには、既存および将来のすべての組織を選択します。
注
OAuth を介したサードパーティアプリケーションアクセス は、各 Azure DevOps 組織に対して
Onに設定する必要があります。 OAuth の詳細と、組織で OAuth を有効にする方法について説明します。Azure DevOps リポジトリは追加コストなしでオンボードされるため、組織全体に自動検出が適用され、Defender for Cloud がセキュリティ態勢を包括的に評価し、DevOps エコシステム全体のセキュリティ上の脅威に対応できるようになります。 組織は、後で [Microsoft Defender for Cloud]>[環境の設定] を使用して手動で追加および削除できます。
次: 確認と生成 を選択します。
情報を確認し、[作成] を選択します。
注
Defender for Cloud の高度な DevOps 態勢機能の適切な機能を確保するために、コネクタを作成する Azure テナントにオンボードできる Azure DevOps 組織のインスタンスは 1 つだけです。
オンボードが成功すると、DevOps リソース (リポジトリ、ビルドなど) が、インベントリ ページおよび DevOps セキュリティ ページ内に表示されます。 リソースを表示するには最大 8 時間かかる場合があります。 セキュリティ スキャンの推奨事項には、パイプラインを構成するための追加の手順が必要になる場合があります。 セキュリティ所見の更新間隔は推奨事項によって異なります。詳細は、[推奨事項] ページを参照してください。
Defender for Cloud による ID の使用方法
接続を承認すると、Defender for Cloud は、コネクタを作成したアカウントのアクセス許可を使用して、Azure DevOps 内で操作を実行します。
リポジトリ インベントリ、ビルド メタデータの読み取り、プル要求注釈、エージェントレス コード スキャンなどの操作は、すべてその ID の下で実行されます。 エージェントレス コード スキャンでは、分析のためにコードと Infrastructure as Code (IaC) の定義を取得し、その API 呼び出しも ID の使用クォータにカウントされます。
Azure DevOps では、これらの操作はそのアカウントによって実行されたように表示され、監査ログ、使用状況ダッシュボード、PR タイムラインで確認できます。
承認に使用されたアカウントが削除された場合、またはアクセス権を失った場合は、コネクタが再承認されるまで自動操作が停止します。
注
Defender for Cloud の API 呼び出しは、コネクタを承認した ID の Azure DevOps グローバル使用制限に含まれます。 Defender for Cloud では、API の使用を慎重に管理し、制限を超えないようにしています。そのため、ほとんどのお客様がスロットリングを受けることはありません。
次のステップ
Defender for Cloud での DevOps セキュリティの詳細を確認する。
エージェントやパイプラインの変更なしで、リポジトリ全体のコードと IaC の脆弱性を検出できるエージェントレス コード スキャンを利用できます。検出結果は Defender for Cloud に直接表示されます。