特権エンティティの定義

Tenable Identity Exposure では、さまざまな露出インジケーター、攻撃インジケーター、その他の機能で「特権」エンティティの概念が使用されています。特権エンティティの定義は、Active Directory と Entra ID で次のように異なります。

Active Directory

特権エンティティには、特権ユーザー特権コンピューターアカウント特権サービスアカウント特権グループ特権セキュリティプリンシパルなどが含まれます。特権エンティティには、(ローカル) システムユーザーと、以下のネイティブ特権グループの直接または間接 (推移的) メンバーがすべて含まれます。これらのメンバーは、名前に関係なく、よく知られた RID/SID によって内部的に識別されます。

  • アカウントオペレーター

  • 管理者

  • バックアップオペレーター

  • 証明書発行者

  • ドメイン管理者

  • ドメインコントローラー

  • エンタープライズ管理者

  • エンタープライズドメインコントローラー

  • エンタープライズキー管理者

  • エンタープライズ読み取り専用ドメインコントローラー

  • グループポリシー作成者の所有者

  • キー管理者

  • 印刷オペレーター

  • 読み取り専用ドメインコントローラー

  • レプリケーター

  • スキーマ管理者

  • サーバーオペレーター

Entra ID

  • 特権エンタイトルメントアクセス許可は、Microsoft が識別するものに準じています

  • 権限ロールとは、Microsoft が定義しているように、1 つ以上の特権アクセス許可を持つ Entra ロールのことです。

  • 特権エンティティ (ユーザー、グループ、またはサービスプリンシパル) とは、いずれかの特権 Entra ロールに直接的または間接的に (ロール割り当て可能なグループを介して推移的に) 割り当てられたエンティティを指します。