Microsoft Entra ID 支持

除了 Active Directory 之外,Tenable Identity Exposure 还支持 Microsoft Entra ID(原名 Azure AD 或 AAD)以扩展组织中的标识范围。此功能利用专注于 Microsoft Entra ID 特定风险的新风险暴露指标。

若要将 Microsoft Entra IDTenable Identity Exposure 集成,请严格遵循指导流程:

  1. 拥有 先决条件

  2. 检查 权限

  3. 配置 Microsoft Entra ID 设置

  4. 激活 Microsoft Entra ID 支持

  5. 启用租户扫描

先决条件

需要 Tenable Cloud 帐户才能登录“cloud.tenable.com”并使用 Microsoft Entra ID 支持功能。此 Tenable Cloud 帐户就是您接收欢迎电子邮件时所使用的同一电子邮件地址。如果您不知道“cloud.tenable.com”的电子邮件地址,请联系支持部门。所有拥有有效许可证(无论是本地部署还是 SaaS 版)的客户都可以通过 cloud.tenable.com 访问 Tenable Cloud。此帐户可让您为 Microsoft Entra ID 配置 Tenable 扫描并收集扫描结果。

注意:无需有效的 Tenable Vulnerability Management 许可证即可访问 Tenable Cloud。有当前有效的独立 Tenable Identity Exposure 许可证(无论是本地部署还是 SaaS 版)就足够了。

权限

Microsoft Entra ID 支持功能需要从 Microsoft Entra ID 收集数据,例如用户、组、应用程序、服务主体、角色、权限、策略、日志等。它使用 Microsoft Graph API 和遵循 Microsoft 建议的服务主体凭据收集此数据。

  • 根据 Microsoft 的要求,您必须以有权在租户范围内授予对 Microsoft Graph 的管理员同意的用户身份登录到 Microsoft Entra ID,该身份必须具有全局管理员或特权角色管理员角色(或具有相应权限的任何自定义角色)。

  • 如要访问 Microsoft Entra ID 的配置和数据可视化,您的 Tenable Identity Exposure 用户角色必须具有相应的权限。有关更多信息,请参阅“设置角色的权限”。

配置 Microsoft Entra ID 设置

通过以下过程(改编自 Microsoft《快速入门:向 Microsoft 标识平台注册应用程序》文档),在 Microsoft Entra ID 中配置所有必需的设置。

    1. 在 Azure 管理员门户中,打开“应用程序注册”页面。

    2. 点击“+ 新注册”。

    3. 为应用程序命名(示例:“Tenable Identity Collector”)。对于其他选项,您可以保留默认值。

    4. 点击“注册”。

    5. 在此新创建应用程序的“概述”页面上,记录“应用程序(客户端)ID”和“目录(租户)ID”。

    1. 在 Azure 管理员门户中,打开“应用程序注册”页面。

    2. 点击已您创建的应用程序。

    3. 在左侧菜单中,点击“证书和密钥”。

    4. 点击“+ 新客户端密钥”。

    5. 在“描述”框中,为此密钥指定一个实用名称和一个符合您策略的“到期”值。请记住在接近到期日时更新此密钥。

    6. 请将密钥值保存在安全位置,因为 Azure 只会显示一次,如果丢失,必须重新创建。

    1. 在 Azure 管理员门户中,打开“应用程序注册”页面。

    2. 点击已您创建的应用程序。

    3. 在左侧菜单中,点击“API 权限”。

    4. 删除现有 User.Read 权限:

    5. 点击“+ 添加权限”:

    6. 选择“Microsoft Graph”:

    7. 选择“应用程序权限”(非“委派权限”)。

    8. 使用列表或搜索栏查找并选择以下所有权限:

      • AuditLog.Read.All

      • Directory.Read.All

      • IdentityProvider.Read.All

      • Policy.Read.All

      • Reports.Read.All

      • RoleManagement.Read.All

      • UserAuthenticationMethod.Read.All

    9. 点击“添加权限”。

    10. 点击“为 <tenant name> 授予管理员同意”并点击“”以确认:

  1. Microsoft Entra ID 中配置所有必需的设置之后:

    1. Tenable Vulnerability Management 中创建‘Microsoft Azure’类型的新凭据

    2. 选择“密钥”身份验证方法并输入在之前的流程中检索到的值:租户 ID、应用程序 ID 和客户端密码。

激活 Microsoft Entra ID 支持

注意:为了成功激活此功能,创建了访问密钥和密钥的 Tenable Cloud 用户必须在 Tenable Identity Exposure 许可证引用的 Tenable Cloud 容器中拥有管理权限。有关更多信息,请参阅“Tenable Identity Exposure 许可”。

  1. Tenable Identity Exposure 中,点击左侧导航菜单中的系统图标

  2. 点击“配置”选项卡。

    配置”窗格随即打开。

  3. 在“应用程序服务”部分下,点击“Tenable Cloud”。

  4. 在“激活 Microsoft Entra ID 支持”中,点击以切换为启用。

  5. 如果您之前未登录 Tenable Cloud,请点击链接以转至登录页面:

    1. 点击“忘记密码?”以请求重置密码。

    2. 键入与 Tenable Identity Exposure 许可证相关联的电子邮件地址,然后点击“请求重置密码”。

      Tenable 会向该地址发送一封电子邮件,其中包含用于重置密码的链接。

      注意:如果您的电子邮件地址与 Tenable Identity Exposure 许可证关联的电子邮件地址不同,请联系客户支持以获取帮助。

  6. 登录 Tenable Vulnerability Management

  7. 如要在 Tenable Vulnerability Management 中生成 API 密钥,请转至“Tenable Vulnerability Management”>“设置”>“我的帐户”>“API 密钥”。

  1. 输入您的 Tenable Vulnerability Management“Admin”用户访问密钥安全密钥,以在 Tenable Identity Exposure 和 Tenable 云服务之间建立连接。

  2. 点击“编辑密钥”以提交 API 密钥。

    Tenable Identity Exposure 显示一条消息,以确认其已更新 API 密钥。

启用租户扫描

添加租户会将 Tenable Identity ExposureMicrosoft Entra ID 链接起来以对该租户执行扫描。

  1. 在“配置”页面中,点击“租户管理”选项卡。

    租户管理”页面随即打开。

  2. 点击“添加租户”。

    添加租户”页面随即打开。

  3. 在“租户名称”框中,输入名称。

  4. 在“凭据”框中,点击下拉列表以选择凭据。

  5. 如果您的凭据未出现在列表中,您可以:

    • Tenable Vulnerability Management 中创建一个(通过“Tenable Vulnerability Management”>“设置”>“凭据”)。有关更多信息,请参阅“在 Tenable Vulnerability Management创建 Azure 类型凭据的过程” 。

    • 检查您是否在 Tenable Vulnerability Management 中具有凭据的“可使用”或“可编辑”权限。除非您拥有这些权限,否则 Tenable Identity Exposure 不会在下拉列表中显示凭据。

  6. 点击“刷新”以更新凭据下拉列表。

  7. 选择您已创建的凭据。

  8. 单击“添加”。

    此时会出现一条消息,确认 Tenable Identity Exposure 添加了租户,该租户现在显示在“租户管理”页面的列表中。

注意:租户扫描不会实时发生,且至少需要 45 分钟的时间才能在 Identity Explorer 中看到 Microsoft Entra ID 数据。

  • 在列表中选择一个租户,然后点击以切换至“已启用扫描”。

    Tenable Identity Exposure 请求对租户进行扫描,随后结果会显示在“风险暴露指标”页面中。

    注意:两次扫描之间的强制性最短时间延迟为 30 分钟