Microsoft Entra ID のサポート

Tenable Identity Exposure は Active Directory のほかに Microsoft Entra ID (旧 Azure AD または AAD) もサポートし、企業内で使用できる ID の範囲を広げています。この機能では、Microsoft Entra ID に固有のリスクにフォーカスした、新しい露出インジケーター (IoE) が使用されます。

Microsoft Entra IDTenable Identity Exposure と統合するには、次のオンボーディングプロセスに厳密に従ってください。

  1. 前提条件を満たす

  2. アクセス許可をチェックする

  3. Microsoft Entra ID の設定

  4. Microsoft Entra ID のサポートのアクティブ化

  5. テナントスキャンの有効化

前提条件

「cloud.tenable.com」にログインし、Microsoft Entra ID のサポート機能を使用するには、Tenable クラウドアカウントが必要です。この Tenable クラウドアカウントは、ようこそメールに使用されたメールアドレスと同じものです。「cloud.tenable.com」のメールアドレスがわからない場合は、サポートまでご連絡ください。有効なライセンス (オンプレミスまたは SaaS) をお持ちのお客様は、「cloud.tenable.com」で Tenable クラウドにアクセスできます。このアカウントを使用して、Microsoft Entra ID にかける Tenable スキャンを設定したり、スキャン結果を収集したりできます。

注意: Tenable クラウドにアクセスするのに有効な Tenable Vulnerability Management ライセンスは必要ありません。現在有効なスタンドアロン Tenable Identity Exposure ライセンス (オンプレミスまたは SaaS) があれば十分です。

アクセス許可

Microsoft Entra ID をサポートするには、ユーザー、グループ、アプリケーション、サービスプリンシパル、ロール、アクセス許可、ポリシー、ログなどのデータを Microsoft Entra ID から収集する必要があります。このデータは、Microsoft の推奨に従い、Microsoft Graph API とサービスプリンシパル認証情報を使用して収集されます。

  • Microsoft Graph でテナント全体の管理者の同意を付与するアクセス許可を持つユーザーとして Microsoft Entra ID にサインインする必要があります。つまり、Microsoft が定めた条件によると、グローバル管理者または特権ロール管理者のロール (または適切なアクセス許可を持つカスタムロール) がなければなりません。

  • Microsoft Entra ID の設定とデータ視覚化にアクセスするには、Tenable Identity Exposure ユーザーロールに適切なアクセス許可がなければなりません。詳細は、ロールのアクセス許可の設定を参照してください。

Microsoft Entra ID の設定

次の手順 (Microsoft のクイックスタート: Microsoft ID プラットフォームにアプリケーションを登録するのドキュメントから引用) を使用して、Microsoft Entra ID で必要なすべての設定を行います。

    1. Azure 管理者ポータルで、[アプリの登録] ページを開きます。

    2. [+ 新規登録] をクリックします。

    3. アプリケーションに名前を付けます (例: Tenable Identity Collector)。その他のオプションについては、デフォルト値のままにしておくことができます。

    4. [登録] をクリックします。

    5. この新たに作成されたアプリの [概要] ページにある、「アプリケーション (クライアント) ID」と「ディレクトリ (テナント) ID」を書き留めます。

    1. Azure 管理者ポータルで、[アプリの登録] ページを開きます。

    2. 作成したアプリケーションをクリックします。

    3. 左側のメニューにある [証明書とシークレット] をクリックします。

    4. [+ 新しいクライアント シークレット]をクリックします。

    5. [説明] ボックスに、このシークレットに実際に使用する名前と、ポリシーに準拠した有効期限の値を入力します。有効期限が近づいたら忘れずにこのシークレットを更新します。

    6. シークレットは Azure に 1 度しか表示されないため、シークレットの値を安全な場所に保存してください。紛失した場合は再作成する必要があります。

    1. Azure 管理者ポータルで、[アプリの登録] ページを開きます。

    2. 作成したアプリケーションをクリックします。

    3. 左側のメニューにある [API のアクセス許可] をクリックします。

    4. 既存の User.Read アクセス許可を削除します。

    5. [+ アクセス許可の追加] をクリックします。

    6. [Microsoft Graph] を選択します。

    7. [アプリケーションのアクセス許可] を選択します ([委任されたアクセス許可] ではありません)。

    8. リストか検索バーを使用して、次のすべてのアクセス許可を見つけて選択します。

      • AuditLog.Read.All

      • Directory.Read.All

      • IdentityProvider.Read.All

      • Policy.Read.All

      • Reports.Read.All

      • RoleManagement.Read.All

      • UserAuthenticationMethod.Read.All

    9. [アクセス許可の追加] をクリックします。

    10. [<テナント名> に管理者の同意を付与する] をクリックし、[はい] をクリックして確定します。

  1. Microsoft Entra ID で必要なすべての設定をしたら、以下を実行します。

    1. Tenable Vulnerability Management で「Microsoft Azure」タイプの新しい認証情報を作成します

    2. 「キー」認証方法を選択し、前の手順で取得した値 (テナント ID、アプリケーション ID、クライアントシークレット) を入力します。

Microsoft Entra ID のサポートのアクティブ化

注意: この機能をアクティブ化するには、このアクセスキーとシークレットキーを作成した Tenable クラウドユーザーが、Tenable Identity Exposure ライセンスで参照されている Tenable クラウドコンテナで、管理者権限を持っていなければなりません。詳細は、Tenable Identity Exposure のライセンシングを参照してください。

  1. Tenable Identity Exposure で、左側のナビゲーションメニューのシステムアイコン をクリックします。

  2. [設定] タブをクリックします。

    [設定] ページが開きます。

  3. アプリケーションサービスで、[Tenable クラウド] をクリックします。

  4. [Microsoft Entra ID のサポートをアクティブ化する] のトグルをクリックして有効にします。

  5. Tenable クラウドにログインしたことがない場合は、リンクをクリックしてログインページに移動します。

    1. [パスワードをお忘れですか?] をクリックし、パスワードリセットをリクエストします。

    2. Tenable Identity Exposure ライセンスに関連付けられているメールアドレスを入力し、[パスワードのリセットをリクエスト] をクリックします。

      Tenable はそのアドレスに、パスワードをリセットするためのリンクが記載されたメールを送信します。

      注意: メールアドレスが Tenable Identity Exposure ライセンスに関連付けられているものと異なる場合は、カスタマーサポートに連絡してサポートを受けてください。

  6. Tenable Vulnerability Management にログインします。

  7. Tenable Vulnerability Management で API キーを生成するには、Tenable Vulnerability Management[設定] > [マイアカウント] > [API キー] に移動します。

  1. Tenable Vulnerability Management「管理者」ユーザーの AccessKeySecretKey を入力して、Tenable Identity Exposure と Tenableクラウドサービスの間の接続を設定します。

  2. [キーを編集する] をクリックして、API キーを送信します。

    Tenable Identity Exposure に、API キーを更新したことを確認するメッセージが表示されます。

テナントスキャンの有効化

テナントを追加すると、Tenable Identity ExposureMicrosoft Entra ID テナントがリンクして、そのテナントに対してスキャンを実行できるようになります。

  1. [設定] ページで、[テナント管理] タブをクリックします。

    [テナント管理] ページが開きます。

  2. [テナントの追加] をクリックします。

    [テナントの追加] ページが開きます。

  3. [テナントの名前] ボックスに名前を入力します。

  4. [認証情報] ボックスのドロップダウンリストをクリックして、認証情報を選択します。

  5. 使用する認証情報がリストに表示されない場合は、次のいずれかを行うことができます。

  6. [更新] をクリックして、認証情報のドロップダウンリストを更新します。

  7. 作成した認証情報を選択します。

  8. [追加] をクリックします。

    Tenable Identity Exposure がテナントを追加したことを確認するメッセージが表示され、テナント管理ページのリストに表示されるようになります。

注意: テナントスキャンはリアルタイムでは行われず、ID エクスプローラーに Microsoft Entra ID のデータが表示されるまで少なくとも 45 分必要です。

  • リストでテナントを選択し、トグルをクリックして [スキャン可能] に切り替えます。

    Tenable Identity Exposure はテナントに対するスキャンをリクエストし、その結果が露出インジケーターページに表示されます。

    注意: 2 つのスキャン間の必須の最小遅延時間は 30 分です。