DevOps セキュリティに関する一般的な質問

[承認] ボタンを選択すると、ログイン時に使用したアカウントが使用されます。 そのアカウントは同じメール アドレスを持つことができますが、別のテナントを持っている可能性があります。 ポップアップ同意画面と Visual Studio で、適切なアカウントとテナントの組み合わせが選択されていることを確認してください。

サインインしているアカウントを確認できます。

Defender for Cloud DevOps セキュリティ オンボードでは、リポジトリの種類 TfsGit のみがサポートされます。 リポジトリの種類 TFSVC は現在サポートされていません。

Microsoft Defender for Cloud にリポジトリをオンボードしていることを確認します。 まだリポジトリが表示されない場合は、正しい Azure DevOps 組織のユーザー アカウントでサインインしていることを確認してください。 Azure サブスクリプションと Azure DevOps 組織は、同じテナントに存在する必要があります。 コネクタのユーザーが間違っている場合は、以前に作成されたコネクタを削除し、正しいユーザー アカウントでサインインしてコネクタを再作成する必要があります。

予想されるパスに SARIF ファイルが表示されない場合は、CodeAnalysisLogs/msdo.sarif とは異なるドロップ パスを選んだ可能性があります。 現在、SARIF ファイルを CodeAnalysisLogs/msdo.sarif にドロップする必要があります。

クラシック パイプライン構成を使用する場合は、成果物の名前を変更しないようにしてください。 プロジェクトの結果が表示されない可能性があります。 結果を確認する方法の詳細については、こちらで確認できます。

[DevOps セキュリティ] ペインに移動して、DevOps セキュリティ態勢の概要を確認することをお勧めします。 関心のある DevOps リソースごとに並べ替えやフィルター処理を行って、推奨事項の詳細を確認できます。

DevOps ブックを使って、ニーズに合わせてカスタマイズすることもできます。

DevOps セキュリティ機能は、ソース コード管理システム (たとえば Azure DevOps、GitHub、GitLab など) に接続し、DevOps リソースとセキュリティ態勢の中央コンソールを提供します。 DevOps セキュリティ機能は、次の情報を処理して格納します。

• 接続されたソース コード管理システムと関連するリポジトリ上のメタデータ。 このデータには、ユーザー、組織、認証情報が含まれます。

• 結果をスキャンして推奨事項と詳細を確認します。

DevOps セキュリティ機能は、Microsoft Defender for Cloud の一部です。 Microsoft Defender for Cloud サービスに関連する、次のデータ所在地ガイダンスおよびEU データ境界の詳細を参照してください。

現在、DevOps セキュリティはでコード、ビルド、監査ログを処理または保存しませんが、将来的には機能が拡張され、対応される可能性があります。

詳細は、「Microsoft プライバシーに関する声明」を参照してください。

これらのアクセス許可は、pull request 注釈などの特定の DevOps セキュリティ機能が動作するために必要です。

現時点では、Microsoft Defender for Cloud 内の DevOps のセキュリティに関する推奨事項の適用除外は利用できません。

コネクタが適切に承認されたことを確認します。

GHAzDO と Defender for Cloud に同じサブスクリプション ID を使用していることを確認します。 それでも結果が表示できない場合は、ADO コネクタに必要なスコープがないために問題が発生している可能性があります。 DevOps セキュリティでは、6 月に Azure DevOps コネクタに対し新しいスコープが導入されました。 6 月より前にコネクタを作成し、更新していない場合は、コネクタのスコープがないため、GHAzDO の結果を表示できません。 新しいスコープが自動的に含まれる新しい ADO コネクタを作成する必要があります。

Microsoft Defender for DevOps のユーザー アクセス許可で、Advanced Security: view alerts と Read が Allow に設定されていることを確認します。 [継承] トグルがオフになっている場合、これらのアクセス許可が変更されている可能性があります。 必要なアクセス許可が Not set または Deny に設定されている場合は、手動で Allow に更新する必要があります。そうしないと、GHAzDO の結果が Defender for Cloud の推奨事項に表示されません。

現在、スキャンはビルド時に行われます。

サブスクリプションへの書き込み (所有者/共同作成者) アクセス権があることを確認してください。 現在、この種類のアクセス権がない場合は、PIM で Microsoft Entra ロールをアクティブにすることで取得できます。

DevOps セキュリティ機能では次の言語がサポートされています。

• Python
• JavaScript
• TypeScript

GitHub Advanced Security でサポートされている言語の一覧については、こちらを参照してください。

たとえば、コネクタを米国中部リージョンから西ヨーロッパ リージョンに移行できますか?

現時点では、DevOps セキュリティ コネクタのリージョン間の自動移行はサポートされていません。

DevOps コネクタの場所を別のリージョンに移動する場合は、既存のコネクタを削除してから、新しいリージョンでコネクタを再作成することをお勧めします。

Defender for Cloud によって行われた API 呼び出しは、Azure DevOps のグローバル消費制限に対してカウントされます。 Defender for Cloud は、コネクタをオンボードするユーザーに代わって呼び出しを行います。

Azure DevOps コネクタをオンボードした後、UI で組織リストが空の場合は、Azure DevOps の組織が、コネクタを認証したユーザーを持つ Azure テナントに接続されていることを確認する必要があります。

この問題を修正する方法については、DevOps のトラブルシューティング ガイドを参照してください。

はい。DevOps セキュリティ機能にオンボードできる Azure DevOps リポジトリの数に制限はありません。

ただし、大規模な組織のオンボードには、速度とスロットリングという 2 つの主な影響があります。 DevOps リポジトリの検出速度は、各コネクタのプロジェクト数 (1 時間あたり約 100 プロジェクト) によって決まります。 Azure DevOps API 呼び出しにはグローバル レート制限があり、全体的なクォータ制限のごく一部を使用するようにプロジェクト検出の呼び出しを制限しているため、スロットリングが発生する可能性があります。

大規模な組織をオンボードするときに個々のアカウントが調整されるのを避けるために、代替の Azure DevOps ID (つまり、サービス アカウントとして使われる組織管理者アカウント) の使用を検討してください。 代替 ID を使用して DevOps セキュリティ コネクタをオンボードする場合のシナリオをいくつか次に示します。

• 多数の Azure DevOps 組織とプロジェクト (500 プロジェクト以上)。
• 勤務時間中にピークに達する多数の同時実行ビルド。
• 許可されているユーザーは、追加の Azure DevOps API 呼び出しを行って、グローバル レート制限クォータを使い果たしている Power Platform ユーザーです。

このアカウントを使用して Azure DevOps リポジトリをオンボードし、CI/CD パイプラインで Microsoft Security DevOps Azure DevOps 拡張機能を構成して実行すると、スキャン結果がほぼ瞬時に Microsoft Defender for Cloud に表示されます。

次のステップ

DevOps セキュリティの詳細情報