Microsoft Entra ID 支持

除了 Active Directory 之外,Tenable Identity Exposure 还支持 Microsoft Entra ID(原名 Azure AD 或 AAD)以扩展组织中的标识范围。此功能利用专注于 Microsoft Entra ID 特定风险的新风险暴露指标。

若要将 Microsoft Entra IDTenable Identity Exposure 集成,请严格遵循指导流程:

  1. 拥有 先决条件

  2. 检查 权限

  3. 配置 Microsoft Entra ID 设置

  4. 激活 Microsoft Entra ID 支持

  5. 启用租户扫描

先决条件

需要 Tenable Cloud 帐户才能登录“cloud.tenable.com”并使用 Microsoft Entra ID 支持功能。此 Tenable Cloud 帐户就是您接收欢迎电子邮件时所使用的同一电子邮件地址。如果您不知道“cloud.tenable.com”的电子邮件地址,请联系支持部门。所有拥有有效许可证(无论是本地部署还是 SaaS 版)的客户都可以通过“cloud.tenable.com”访问 Tenable Cloud。此帐户可让您为 Microsoft Entra ID 配置 Tenable 扫描并收集扫描结果。

注意:无需有效的 Tenable Vulnerability Management 许可证即可访问 Tenable Cloud。有当前有效的独立 Tenable Identity Exposure 许可证(无论是本地部署还是 SaaS 版)就足够了。

权限

Microsoft Entra ID 支持功能需要从 Microsoft Entra ID 收集数据,例如用户、组、应用程序、服务主体、角色、权限、策略、日志等。它使用 Microsoft Graph API 和遵循 Microsoft 建议的服务主体凭据收集此数据。

  • 根据 Microsoft 的要求,您必须以有权在租户范围内授予对 Microsoft Graph 的管理员同意的用户身份登录到 Microsoft Entra ID,该身份必须具有全局管理员或特权角色管理员角色(或具有相应权限的任何自定义角色)。

  • 如要访问 Microsoft Entra ID 的配置和数据可视化,您的 Tenable Identity Exposure 用户角色必须具有相应的权限。有关更多信息,请参阅“设置角色的权限”。

配置 Microsoft Entra ID 设置

通过以下过程(改编自 Microsoft《快速入门:向 Microsoft 标识平台注册应用程序》文档),在 Microsoft Entra ID 中配置所有必需的设置。

  1. Microsoft Entra ID 中配置所有必需的设置之后:

    1. Tenable Vulnerability Management 中创建‘Microsoft Azure’类型的新凭据

    2. 选择“密钥”身份验证方法并输入在之前的流程中检索到的值:租户 ID、应用程序 ID 和客户端密码。

激活 Microsoft Entra ID 支持

启用租户扫描