Microsoft DevOps セキュリティに関する一般的な質問が掲載されています。
接続しようとするとエラーが発生するのはなぜですか?
[承認] ボタンを選択すると、ログイン時に使用したアカウントが使用されます。 そのアカウントは同じメール アドレスを持つことができますが、別のテナントを持っている可能性があります。 ポップアップ同意画面と Visual Studio で、適切なアカウントとテナントの組み合わせが選択されていることを確認してください。
サインインしているアカウントを確認できます。
Azure DevOps リポジトリが見つからないのはなぜですか?
Defender for Cloud DevOps セキュリティ オンボードでは、リポジトリの種類 TfsGit
のみがサポートされます。 リポジトリの種類 TFSVC
は現在サポートされていません。
Microsoft Defender for Cloud にリポジトリをオンボードしていることを確認します。 まだリポジトリが表示されない場合は、正しい Azure DevOps 組織のユーザー アカウントでサインインしていることを確認してください。 Azure サブスクリプションと Azure DevOps 組織は、同じテナントに存在する必要があります。 コネクタのユーザーが間違っている場合は、以前に作成されたコネクタを削除し、正しいユーザー アカウントでサインインしてコネクタを再作成する必要があります。
生成された SARIF ファイルが、ドロップ先に選んだパスに表示されないのはなぜですか?
予想されるパスに SARIF ファイルが表示されない場合は、CodeAnalysisLogs/msdo.sarif
とは異なるドロップ パスを選んだ可能性があります。 現在、SARIF ファイルを CodeAnalysisLogs/msdo.sarif
にドロップする必要があります。
Microsoft Defender for Cloud で Azure DevOps Projects の結果が表示されないのはなぜですか?
クラシック パイプライン構成を使用する場合は、成果物の名前を変更しないようにしてください。 プロジェクトの結果が表示されない可能性があります。 結果を確認する方法の詳細については、こちらで確認できます。
DevOps コネクタが正常にオンボードされましたが、関連する推奨事項はどこで確認できますか?
[DevOps セキュリティ] ペインに移動して、DevOps セキュリティ態勢の概要を確認することをお勧めします。 関心のある DevOps リソースごとに並べ替えやフィルター処理を行って、推奨事項の詳細を確認できます。
DevOps ブックを使って、ニーズに合わせてカスタマイズすることもできます。
DevOps セキュリティ製品には、自分と自分の企業についてどのような情報が保存されますか? また、データはどこに保存され、処理されますか?
DevOps セキュリティ機能は、ソース コード管理システム (たとえば Azure DevOps、GitHub、GitLab など) に接続し、DevOps リソースとセキュリティ態勢の中央コンソールを提供します。 DevOps セキュリティ機能は、次の情報を処理して格納します。
接続されたソース コード管理システムと関連するリポジトリ上のメタデータ。 このデータには、ユーザー、組織、認証情報が含まれます。
結果をスキャンして推奨事項と詳細を確認します。
DevOps セキュリティ機能は、Microsoft Defender for Cloud の一部です。 Microsoft Defender for Cloud サービスに関連する、次のデータ所在地ガイダンスおよびEU データ境界の詳細を参照してください。
現在、DevOps セキュリティはでコード、ビルド、監査ログを処理または保存しませんが、将来的には機能が拡張され、対応される可能性があります。
詳細は、「Microsoft プライバシーに関する声明」を参照してください。
Azure DevOps コネクタでは、作業項目、ビルド、コード、サービス フック、高度なセキュリティに書き込みアクセス許可が必要なのはなぜですか?
これらのアクセス許可は、pull request 注釈などの特定の DevOps セキュリティ機能が動作するために必要です。
推奨事項の適用除外機能は、アプリケーション セキュリティの脆弱性管理で利用でき、追跡されますか?
現時点では、Microsoft Defender for Cloud 内の DevOps のセキュリティに関する推奨事項の適用除外は利用できません。
GitHub Advanced Security for Azure DevOps (GHAzDO) の結果が Defender for Cloud に表示されないのはなぜですか?
コネクタが適切に承認されたことを確認します。
GHAzDO と Defender for Cloud に同じサブスクリプション ID を使用していることを確認します。 それでも結果が表示できない場合は、ADO コネクタに必要なスコープがないために問題が発生している可能性があります。 DevOps セキュリティでは、6 月に Azure DevOps コネクタに対し新しいスコープが導入されました。 6 月より前にコネクタを作成し、更新していない場合は、コネクタのスコープがないため、GHAzDO の結果を表示できません。 新しいスコープが自動的に含まれる新しい ADO コネクタを作成する必要があります。
Microsoft Defender for DevOps のユーザー アクセス許可で、Advanced Security: view alerts
と Read
が Allow
に設定されていることを確認します。 [継承] トグルがオフになっている場合、これらのアクセス許可が変更されている可能性があります。 必要なアクセス許可が Not set
または Deny
に設定されている場合は、手動で Allow
に更新する必要があります。そうしないと、GHAzDO の結果が Defender for Cloud の推奨事項に表示されません。
継続的な自動スキャンは利用できますか?
現在、スキャンはビルド時に行われます。
pull request 注釈を構成できないのはなぜですか。
サブスクリプションへの書き込み (所有者/共同作成者) アクセス権があることを確認してください。 現在、この種類のアクセス権がない場合は、PIM で Microsoft Entra ロールをアクティブにすることで取得できます。
DevOps セキュリティ機能ではどのようなプログラミング言語がサポートされていますか?
DevOps セキュリティ機能では次の言語がサポートされています。
- Python
- JavaScript
- TypeScript
GitHub Advanced Security でサポートされている言語の一覧については、こちらを参照してください。
コネクタを別のリージョンに移行できますか?
たとえば、コネクタを米国中部リージョンから西ヨーロッパ リージョンに移行できますか?
現時点では、DevOps セキュリティ コネクタのリージョン間の自動移行はサポートされていません。
DevOps コネクタの場所を別のリージョンに移動する場合は、既存のコネクタを削除してから、新しいリージョンでコネクタを再作成することをお勧めします。
Defender for Cloud によって行われた API 呼び出しは、消費制限に対してカウントされますか?
Defender for Cloud によって行われた API 呼び出しは、Azure DevOps のグローバル消費制限に対してカウントされます。 Defender for Cloud は、コネクタをオンボードするユーザーに代わって呼び出しを行います。
UI で組織リストが空なのはなぜですか?
Azure DevOps コネクタをオンボードした後、UI で組織リストが空の場合は、Azure DevOps の組織が、コネクタを認証したユーザーを持つ Azure テナントに接続されていることを確認する必要があります。
この問題を修正する方法については、DevOps のトラブルシューティング ガイドを参照してください。
多数のリポジトリを持つ大規模な Azure DevOps 組織があります。 引き続きオンボードできますか?
はい。DevOps セキュリティ機能にオンボードできる Azure DevOps リポジトリの数に制限はありません。
ただし、大規模な組織のオンボードには、速度とスロットリングという 2 つの主な影響があります。 DevOps リポジトリの検出速度は、各コネクタのプロジェクト数 (1 時間あたり約 100 プロジェクト) によって決まります。 Azure DevOps API 呼び出しにはグローバル レート制限があり、全体的なクォータ制限のごく一部を使用するようにプロジェクト検出の呼び出しを制限しているため、スロットリングが発生する可能性があります。
大規模な組織をオンボードするときに個々のアカウントが調整されるのを避けるために、代替の Azure DevOps ID (つまり、サービス アカウントとして使われる組織管理者アカウント) の使用を検討してください。 代替 ID を使用して DevOps セキュリティ コネクタをオンボードする場合のシナリオをいくつか次に示します。
- 多数の Azure DevOps 組織とプロジェクト (500 プロジェクト以上)。
- 勤務時間中にピークに達する多数の同時実行ビルド。
- 許可されているユーザーは、追加の Azure DevOps API 呼び出しを行って、グローバル レート制限クォータを使い果たしている Power Platform ユーザーです。
このアカウントを使用して Azure DevOps リポジトリをオンボードし、CI/CD パイプラインで Microsoft Security DevOps Azure DevOps 拡張機能を構成して実行すると、スキャン結果がほぼ瞬時に Microsoft Defender for Cloud に表示されます。