Herstellen einer Verbindung zwischen Azure DevOps-Umgebungen und Defender for Cloud

Diese Seite bietet einfache Onboardingfunktionen, um Azure DevOps-Umgebungen mit Microsoft Defender for Cloud zu verbinden und so automatisch Azure DevOps-Repositorys zu entdecken.

Durch die Verbindung Ihrer Azure DevOps-Umgebungen mit Defender for Cloud erweitern Sie die Sicherheitsfunktionen von Defender for Cloud auf Ihre Azure DevOps-Ressourcen und verbessern den Sicherheitsstatus. Weitere Informationen

Voraussetzungen

Für die Durchführung dieses Schnellstarts benötigen Sie Folgendes:

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit
Preise: Preisinformationen finden Sie unter Microsoft Defender for Cloud – Preise.
Erforderliche Berechtigungen: Kontoadministrator mit Berechtigungen zum Anmelden beim Azure-Portal.
Mitwirkender, um einen Connector im Azure-Abonnement zu erstellen
Projektsammlungsadministrator für die Azure DevOps-Organisation
Zugriffsebene Basic oder Basic + Test Plans in der Azure DevOps-Organisation.
Stellen Sie sicher, dass Sie über Berechtigungen als Projektsammlungsadministrator*in UND die Standardzugriffsebene für alle Azure DevOps-Organisationen verfügen, die Sie integrieren möchten. Die Zugriffsebene als Projektbeteiligte reicht nicht aus.
Zugriff auf Anwendungen von Drittanbietern über OAuth: Diese Option muss auf für die Azure DevOps-Organisation auf On festgelegt werden. Weitere Informationen zu OAuth und zur Aktivierung in Ihren Organisationen finden Sie hier.
Regionen und Verfügbarkeit: Weitere Informationen zur regionalen Unterstützung und Verfügbarkeit von Features finden Sie unter Unterstützung und Voraussetzungen: DevOps-Sicherheit.
Clouds: Kommerziell
National (Azure Government, Microsoft Azure betrieben von 21Vianet)

Hinweis

Die Rolle Sicherheitsleseberechtigter kann auf den Bereich „Ressourcengruppe/Azure DevOps-Connector“ angewendet werden, um das Festlegen sehr privilegierter Berechtigungen auf einer Abonnementebene für Lesezugriff auf DevOps-Sicherheitsstatusbewertungen zu vermeiden.

Verbinden Ihrer Azure DevOps-Organisation

Hinweis

Nachdem Sie Azure DevOps mit Defender for Cloud verbunden haben, wird die Containerzuordnungserweiterung von Microsoft Defender for DevOps automatisch freigegeben und in allen verbundenen Azure DevOps-Organisationen installiert. Mit dieser Erweiterung kann Defender for Cloud Metadaten aus Pipelines extrahieren, z. B. die Digest-ID und den Namen eines Containers. Diese Metadaten werden verwendet, um DevOps-Entitäten mit ihren zugehörigen Cloudressourcen zu verbinden. Weitere Informationen zur Containerzuordnung finden Sie hier.

So verbinden Sie Ihre Azure DevOps-Organisation mithilfe eines nativen Connectors mit Defender for Cloud:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie Umgebung hinzufügen aus.

  4. Wählen Sie Azure DevOps aus.

    Screenshot: Auswahl für das Hinzufügen von Azure DevOps als Connector

  5. Geben Sie einen Namen, ein Abonnement, eine Ressourcengruppe und eine Region ein.

    Das Abonnement ist der Ort, an dem Microsoft Defender for Cloud die Azure DevOps-Verbindung erstellt und speichert.

  6. Wählen Sie Weiter: Zugriff konfigurieren aus.

  7. Wählen Sie Autorisieren. Achten Sie im Dropdownmenü Azure DevOps darauf, dass Sie den richtigen Azure-Mandanten autorisieren, und vergewissern Sie sich auch, dass Sie sich in Defender for Cloud im richtigen Azure-Mandanten befinden.

  8. Lesen Sie die Liste der Berechtigungsanforderungen im Popupdialogfeld, und wählen Sie Akzeptieren aus.

    Screenshot: Schaltfläche zum Akzeptieren von Berechtigungen

  9. Wählen Sie für „Organisationen“ eine der folgenden Optionen aus:

    • Wählen Sie die Option Alle vorhandenen Organisationen aus, um alle Projekte und Repositorys in Organisationen, in denen Sie derzeit Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
    • Wählen Sie die Option Alle vorhandenen und zukünftigen Organisationen aus, um alle Projekte und Repositorys in allen aktuellen und zukünftigen Organisationen, in denen Sie Projektsammlungsadministrator*in sind, automatisch zu ermitteln.

    Hinweis

    Zugriff auf Anwendungen von Drittanbietern über OAuth muss für die Azure DevOps-Organisation auf On festgelegt werden. Weitere Informationen zu OAuth und zur Aktivierung in Ihren Organisationen finden Sie hier.

    Da das Onboarding von Azure DevOps-Repositorys keine zusätzlichen Kosten verursacht, wird die automatische Erkennung auf die gesamte Organisation angewendet, um sicherzustellen, dass Defender for Cloud den Sicherheitsstatus umfassend bewerten und auf Sicherheitsbedrohungen in Ihrem gesamten DevOps-Ökosystem reagieren kann. Organisationen können später manuell unter Microsoft Defender for Cloud>Umgebungseinstellungen hinzugefügt und entfernt werden.

  10. Wählen Sie Weiter: Überprüfen und generieren aus.

  11. Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.

Hinweis

Damit die erweiterten DevOps-Statusfunktionen in Defender for Cloud ordnungsgemäß funktionieren, kann nur eine einzelne Instanz einer Azure DevOps-Organisation in den Azure-Mandanten integriert werden, in dem Sie einen Connector erstellen.

Nach erfolgreichem Onboarding werden DevOps-Ressourcen (z. B. Repositorys, Builds) auf den Sicherheitsseiten „Inventar“ und „DevOps“ angezeigt. Es kann bis zu 8 Stunden dauern, bis die Ressourcen angezeigt werden. Empfehlungen zur Sicherheitsüberprüfung erfordern möglicherweise einen zusätzlichen Schritt zum Konfigurieren Ihrer Pipelines. Die Aktualisierungsintervalle für Sicherheitsergebnisse variieren je nach Empfehlung. Einzelheiten finden Sie auf der Seite „Empfehlungen“.

Nächste Schritte