Microsoft Entra ID のサポート

Tenable Identity Exposure は Active Directory のほかに Microsoft Entra ID (旧 Azure AD または AAD) もサポートし、企業内で使用できる ID の範囲を広げています。この機能では、Microsoft Entra ID に固有のリスクにフォーカスした、新しい露出インジケーター (IoE) が使用されます。

Microsoft Entra IDTenable Identity Exposure と統合するには、次のオンボーディングプロセスに厳密に従ってください。

  1. 前提条件を満たす

  2. アクセス許可をチェックする

  3. Microsoft Entra ID 設定を行う

  4. Microsoft Entra ID のサポートを有効化する

  5. テナントスキャンを有効にする

前提条件

「cloud.tenable.com」にログインし、Microsoft Entra ID のサポート機能を使用するには、Tenable クラウドアカウントが必要です。この Tenable クラウドアカウントは、ようこそメールに使用されるメールアドレスと同じものです。「cloud.tenable.com」のメールアドレスがわからない場合は、サポートにお問い合わせください。有効なライセンス (オンプレミスまたは SaaS) を持つお客様はすべて、「cloud.tenable.com」で Tenable クラウドにアクセスできます。このアカウントがあれば、Microsoft Entra ID にかける Tenable スキャンを設定したり、スキャン結果を収集したりできます。

注意: Tenable クラウドにアクセスするのに有効な Tenable Vulnerability Management ライセンスは必要ありません。現在有効なスタンドアロン Tenable Identity Exposure ライセンス (オンプレミスまたは SaaS) があれば十分です。

アクセス許可

Microsoft Entra ID をサポートするには、ユーザー、グループ、アプリケーション、サービスプリンシパル、ロール、アクセス許可、ポリシー、ログなどのデータを Microsoft Entra ID から収集する必要があります。このデータは、Microsoft の推奨に従い、Microsoft Graph API とサービスプリンシパル認証情報を使用して収集されます。

  • Microsoft Graph でテナント全体の管理者の同意を付与するアクセス許可を持つユーザーとして Microsoft Entra ID にサインインする必要があります。つまり、Microsoft が定めた条件によると、グローバル管理者または特権ロール管理者のロール (または適切なアクセス許可を持つカスタムロール) がなければなりません。

  • Microsoft Entra ID の設定とデータ視覚化にアクセスするには、Tenable Identity Exposure ユーザーロールに適切なアクセス許可がなければなりません。詳細は、ロールのアクセス許可の設定 を参照してください。

Microsoft Entra ID 設定を行う

次の手順 (Microsoft のクイックスタート: Microsoft ID プラットフォームにアプリケーションを登録するのドキュメントから引用) を使用して、Microsoft Entra ID で必要なすべての設定を行います。

  1. Microsoft Entra ID で必要なすべての設定をしたら、以下を実行します。

    1. Tenable Vulnerability Management で「Microsoft Azure」タイプの新しい認証情報を作成します

    2. 「キー」認証方法を選択し、前の手順で取得した値 (テナント ID、アプリケーション ID、クライアントシークレット) を入力します。

Microsoft Entra ID のサポートを有効化する

テナントスキャンを有効にする