你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门:将 Azure DevOps 环境连接到 Microsoft Defender for Cloud
本快速入门介绍如何在 Microsoft Defender for Cloud 中的“环境设置”页上连接 Azure DevOps 组织。 本页提供用于自动发现 Azure DevOps 存储库的简单加入体验。
将 Azure DevOps 组织连接到 Defender for Cloud 后,可将 Defender for Cloud 的安全功能扩展到 Azure DevOps 资源。 这些功能包括:
基础云安全态势管理 (CSPM) 功能:可以通过特定于 Azure DevOps 的安全建议来评估 Azure DevOps 安全态势。 还可以了解所有针对 DevOps 的建议资源。
Defender CSPM 功能:Defender CSPM 客户将收到区分云上下文的攻击路径、风险评估和见解代码,以识别可由攻击者用来入侵其环境的最关键弱点。 连接 Azure DevOps 存储库后,可以将云工作负载上的 DevOps 安全检测结果上下文化,并识别问题起源供开发人员及时修正。 有关详细信息,请参阅识别和分析环境中的风险。
Defender for Cloud 执行的 API 调用计入 Azure DevOps 全局使用限制。 有关详细信息,请参阅有关 Defender for Cloud 中的 DevOps 安全的常见问题解答。
先决条件
若要完成本快速入门,你需要:
- 已加入 Defender for Cloud 的 Azure 帐户。 如果还没有 Azure 帐户,请免费创建一个帐户。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布。 |
| 定价: | 有关定价,请参阅 Defender for Cloud 定价页面。 |
| 所需的权限: | 有权登录到 Azure 门户的帐户管理员。 具有参与者角色,可以在 Azure 订阅上创建连接器。 具有 Azure DevOps 组织的项目集合管理员角色。 Azure DevOps 组织中的基本或基本 + 测试计划访问级别。 请确保你拥有要加入的所有 Azure DevOps 组织的项目集合管理员权限和基本访问级别。 利益干系人访问级别不足。 通过 OAuth 进行第三方应用程序访问,必须在 Azure DevOps 组织中将此项设置为 On。 详细了解 OAuth 以及如何在组织中启用它。 |
| 区域和可用性: | 有关区域支持和功能可用性,请参阅支持和先决条件部分。 |
| 云: |  商用  国家/地区(Azure 政府、由世纪互联运营的 Microsoft Azure) |
注意
可以在资源组/Azure DevOps 连接器范围应用安全读取者角色,以避免在订阅级别设置高特权来对 DevOps 安全态势评估进行读取访问。
连接 Azure DevOps 组织
注意
将 Azure DevOps 连接到 Defender for Cloud 后,会在所有连接的 Azure DevOps 组织中自动共享并安装 Microsoft Defender for DevOps Container Mapping 扩展。 此扩展允许 Defender for Cloud 从管道中提取元数据,例如容器的摘要 ID 和名称。 此元数据用于将 DevOps 实体与其相关的云资源连接起来。 详细了解容器映射。
若要使用本机连接器将 Azure DevOps 组织连接到 Defender for Cloud,请执行以下操作:
登录到 Azure 门户。
转至“Microsoft Defender for Cloud”>“环境设置”。
选择“添加环境”。
选择“Azure DevOps”。
输入名称、订阅、资源组和区域。
订阅将是 Microsoft Defender for Cloud 创建和存储 Azure DevOps 连接的位置。
选择“下一步: 配置访问权限”。
选择“授权”。 确保使用 Azure DevOps 中的下拉菜单为正确的 Azure 租户授权,并确认你在 Defender for Cloud 中的正确 Azure 租户中操作。
在弹出对话框中,阅读权限请求列表,然后选择“接受”。
对于“组织”,请选择以下选项之一:
- 选择“所有现有组织”以自动发现你当前充当其项目集合管理员的组织中的所有项目和存储库。
- 选择“所有现有组织和未来组织”以自动发现你充当其项目集合管理员的所有当前组织和未来组织中的所有项目和存储库。
注意
对于每个 Azure DevOps 组织,必须将“通过 OAuth 进行第三方应用程序访问”设置为
On。 详细了解 OAuth 以及如何在组织中启用它。由于加入 Azure DevOps 存储库不会产生额外的费用,因此自动发现将对整个组织应用,以确保 Defender for Cloud 能够全面评估安全态势,并响应整个 DevOps 生态系统中的安全威胁。 稍后可以通过“Microsoft Defender for Cloud”>“环境设置”手动添加和删除组织。
选择“下一步: 审阅并生成”。
查看信息,然后选择“创建”。
注意
为了确保 Defender for Cloud 中高级 DevOps 态势功能正常运行,只能将 Azure DevOps 组织的一个实例加入你要在其中创建连接器的 Azure 租户。
成功加入后,DevOps 资源(例如存储库、内部版本)将出现在清单和 DevOps 安全性页面中。 可能需要长达 8 小时才能显示资源。 安全扫描建议可能需要执行额外的步骤来配置管道。 安全结果的刷新间隔因建议而异,详细信息可以在“建议”页面上找到。