Defender for Cloud CLI では、エンタープライズ セキュリティ プラクティスに合わせて 2 つの認証方法がサポートされています。Azure DevOps と GitHub のコネクタベースの認証で認証が自動的に処理されます。トークンベースの認証では、さまざまなビルド システムとローカル環境で柔軟性が提供されます。
コネクタ ベース (ADO および GitHub)
コネクタベースの認証では、セキュリティで保護されたコネクタを使用して、Azure DevOps と GitHub を Microsoft Defender for Cloud と直接統合します。 接続が確立されると、認証が自動的に管理されるため、パイプラインにトークンを格納または挿入する必要がなくなります。
この方法は、Azure DevOps と GitHub に推奨される認証方法です。 コネクタを作成する方法について説明します。
トークンベース方式
トークン ベースの認証を使用すると、セキュリティ管理者は Microsoft Defender for Cloud ポータルでトークンを生成し、CI/CD パイプラインまたはローカルターミナルで環境変数として構成できます。 この方法は、さまざまなビルド システム間で柔軟性を提供し、スクリプトに資格情報を埋め込むことなく、セキュリティで保護されたスコープアクセスを保証します。
Azure portal にサインインし、Microsoft Defender for Cloud を開きます。
管理に移動します 。 環境設定に移動します 。 統合。
![使用可能な統合オプションを示す [環境設定の統合] ページのスクリーンショット。](media/cli-cicd/env-settings-integrations.png)
「+ 統合を追加 ▸ DevOps インジェスト (プレビュー)」を選択してください
![DevOps インジェスト (プレビュー) オプションが強調表示されている [統合の追加] メニューのスクリーンショット。](media/cli-cicd/new-devops-ingestion.png)
アプリケーション名を入力します。
- シークレットを格納するテナントを選択します。
- 有効期限を設定し、トークンを有効にします。
- 保存 を選択します。
![アプリケーション名、テナント、有効期限、トークンの設定を含む [DevOps インジェストの追加] フォームのスクリーンショット。](media/cli-cicd/add-devops-ingestion.png)
保存した後、クライアント ID、クライアント シークレット、およびテナント ID をコピーします。 それらを再度取得することはできません。
![[クライアント ID]、[クライアント シークレット]、[テナント ID] が表示されている [成功の確認] パネルのスクリーンショット。](media/cli-cicd/devops-ingestion-created-success.png)