Microsoft Entra ID 支持

除了 Active Directory 之外,Tenable Identity Exposure 还支持 Microsoft Entra ID(原名 Azure AD 或 AAD)以扩展组织中的标识范围。此功能利用专注于 Microsoft Entra ID 特定风险的新风险暴露指标。

若要将 Microsoft Entra IDTenable Identity Exposure 集成,请严格遵循指导流程:

  1. 拥有 先决条件

  2. 检查 权限

  3. 检查 网络流

  4. 配置 Microsoft Entra ID 设置

  5. 激活 Microsoft Entra ID 支持

  6. 启用租户扫描

先决条件

需要 Tenable Cloud 帐户才能登录“cloud.tenable.com”并使用 Microsoft Entra ID 支持功能。此 Tenable Cloud 帐户就是您接收欢迎电子邮件时所使用的同一电子邮件地址。如果您不知道“cloud.tenable.com”的电子邮件地址,请联系支持部门。所有拥有有效许可证(无论是本地部署还是 SaaS 版)的客户都可以通过 cloud.tenable.com 访问 Tenable Cloud。此帐户可让您为 Microsoft Entra ID 配置 Tenable 扫描并收集扫描结果。

注意:无需有效的 Tenable Vulnerability Management 许可证即可访问 Tenable Cloud。有当前有效的独立 Tenable Identity Exposure 许可证(无论是本地部署还是 SaaS 版)就足够了。

权限

Microsoft Entra ID 支持功能需要从 Microsoft Entra ID 收集数据,例如用户、组、应用程序、服务主体、角色、权限、策略、日志等。它使用 Microsoft Graph API 和遵循 Microsoft 建议的服务主体凭据收集此数据。

  • 根据 Microsoft 的要求,您必须以有权在租户范围内授予对 Microsoft Graph 的管理员同意的用户身份登录到 Microsoft Entra ID,该身份必须具有全局管理员或特权角色管理员角色(或具有相应权限的任何自定义角色)。

  • 如要访问 Microsoft Entra ID 的配置和数据可视化,您的 Tenable Identity Exposure 用户角色必须具有相应的权限。有关更多信息,请参阅“Set Permissions for a Role”。

网络流

允许端口 443 上的以下地址从安全引擎节点服务器出站,以激活 Entra ID 支持:

  • sensor.cloud.tenable.com

  • cloud.tenable.com

配置 Microsoft Entra ID 设置

通过以下过程(改编自 Microsoft《快速入门:向 Microsoft 标识平台注册应用程序》文档),在 Microsoft Entra ID 中配置所有必需的设置。

  1. Microsoft Entra ID 中配置所有必需的设置之后:

    1. Tenable Vulnerability Management 中创建‘Microsoft Azure’类型的新凭据

    2. 选择“密钥”身份验证方法并输入在之前的流程中检索到的值:租户 ID、应用程序 ID 和客户端密码。

激活 Microsoft Entra ID 支持

启用租户扫描