Microsoft Entra ID のサポート
Tenable Identity Exposure は Active Directory のほかに Microsoft Entra ID (旧 Azure AD または AAD) もサポートし、企業内で使用できる ID の範囲を広げています。この機能では、Microsoft Entra IDに固有のリスクにフォーカスした、新しい露出インジケーター (IoE) が使用されます。
Microsoft Entra ID を Tenable Identity Exposure と統合するには、次のオンボーディングプロセスに厳密に従ってください。
「cloud.tenable.com」にログインし、Microsoft Entra ID のサポート機能を使用するには、Tenable クラウドアカウントが必要です。この Tenable クラウドアカウントは、ようこそメールに使用されたメールアドレスと同じものです。「cloud.tenable.com」のメールアドレスがわからない場合は、サポートまでご連絡ください。有効なライセンス (オンプレミスまたは SaaS) をお持ちのお客様は、「cloud.tenable.com」で Tenable クラウドにアクセスできます。このアカウントを使用して、Microsoft Entra ID にかける Tenable スキャンを設定したり、スキャン結果を収集したりできます。
Microsoft Entra ID をサポートするには、ユーザー、グループ、アプリケーション、サービスプリンシパル、ロール、アクセス許可、ポリシー、ログなどのデータを Microsoft Entra ID から収集する必要があります。このデータは、Microsoft の推奨に従い、Microsoft Graph API とサービスプリンシパル認証情報を使用して収集されます。
-
Microsoft Graph でテナント全体の管理者の同意を付与するアクセス許可を持つユーザーとして Microsoft Entra ID にサインインする必要があります。つまり、Microsoft が定めた条件によると、グローバル管理者または特権ロール管理者のロール (または適切なアクセス許可を持つカスタムロール) がなければなりません。
-
Microsoft Entra ID の設定とデータ視覚化にアクセスするには、Tenable Identity Exposureユーザーロールに適切なアクセス許可がなければなりません。詳細は、Set Permissions for a Roleを参照してください。
Entra ID サポートをアクティブ化するために、次のアドレスで、ポート 443 でのセキュリティエンジンノードサーバーからの送信の許可します。
-
sensor.cloud.tenable.com
-
cloud.tenable.com
次の手順 (Microsoft のクイックスタート: Microsoft ID プラットフォームにアプリケーションを登録するのドキュメントから引用) を使用して、Microsoft Entra IDで必要なすべての設定を行います。
-
アプリケーションを作成する
-
Azure 管理者ポータルで、[アプリの登録] ページを開きます。
-
[+ 新規登録] をクリックします。
-
アプリケーションに名前を付けます (例: Tenable Identity Collector)。その他のオプションについては、デフォルト値のままにしておくことができます。
-
[登録] をクリックします。
-
この新たに作成されたアプリの [概要] ページにある、「アプリケーション (クライアント) ID」と「ディレクトリ (テナント) ID」を書き留めます。
-
-
認証情報をアプリケーションに追加する
-
Azure 管理者ポータルで、[アプリの登録] ページを開きます。
-
作成したアプリケーションをクリックします。
-
左側のメニューにある [証明書とシークレット] をクリックします。
-
[+ 新しいクライアント シークレット]をクリックします。
-
[説明] ボックスに、このシークレットに実際に使用する名前と、ポリシーに準拠した有効期限の値を入力します。有効期限が近づいたら忘れずにこのシークレットを更新します。
-
シークレットは Azure に 1 度しか表示されないため、シークレットの値を安全な場所に保存してください。紛失した場合は再作成する必要があります。
-
-
アプリケーションにアクセス許可を割り当てる
-
Azure 管理者ポータルで、[アプリの登録] ページを開きます。
-
作成したアプリケーションをクリックします。
-
左側のメニューにある [API のアクセス許可] をクリックします。
- 既存の User.Read アクセス許可を削除します。
-
[+ アクセス許可の追加] をクリックします。
-
[Microsoft Graph] を選択します。
-
[アプリケーションのアクセス許可] を選択します ([委任されたアクセス許可] ではありません)。
-
リストか検索バーを使用して、次のすべてのアクセス許可を見つけて選択します。
-
AuditLog.Read.All
-
Directory.Read.All
-
IdentityProvider.Read.All
-
Policy.Read.All
-
Reports.Read.All
-
RoleManagement.Read.All
-
UserAuthenticationMethod.Read.All
-
[アクセス許可の追加] をクリックします。
-
[<テナント名> に管理者の同意を付与する] をクリックし、[はい] をクリックして確定します。
-
-
Microsoft Entra ID で必要なすべての設定をしたら、以下を実行します。
-
Tenable Vulnerability Management で「Microsoft Azure」タイプの新しい認証情報を作成します。
-
「キー」認証方法を選択し、前の手順で取得した値 (テナント ID、アプリケーション ID、クライアントシークレット) を入力します。
-
Microsoft Entra ID のサポートのアクティブ化
-
Tenable Identity Exposure で、左側のナビゲーションメニューのシステムアイコン をクリックします。
-
[設定] タブをクリックします。
[設定] ページが開きます。
-
アプリケーションサービスで、[Tenable クラウド] をクリックします。
-
[Microsoft Entra ID のサポートをアクティブ化する] のトグルをクリックして有効にします。
-
Tenable クラウドにログインしたことがない場合は、リンクをクリックしてログインページに移動します。
-
[パスワードをお忘れですか?] をクリックし、パスワードリセットをリクエストします。
-
Tenable Identity Exposure ライセンスに関連付けられているメールアドレスを入力し、[パスワードのリセットをリクエスト] をクリックします。
Tenable はそのアドレスに、パスワードをリセットするためのリンクが記載されたメールを送信します。
注意: メールアドレスが Tenable Identity Exposure ライセンスに関連付けられているものと異なる場合は、カスタマーサポートに連絡してサポートを受けてください。
-
-
Tenable Vulnerability Management にログインします。
-
Tenable Vulnerability Management で API キーを生成するには、Tenable Vulnerability Managementの [設定] > [マイアカウント] > [API キー] に移動します。
テナントを追加すると、Tenable Identity Exposureと Microsoft Entra ID テナントがリンクして、そのテナントに対してスキャンを実行できるようになります。
-
[設定] ページで、[テナント管理] タブをクリックします。
[テナント管理] ページが開きます。
-
[テナントの追加] をクリックします。
[テナントの追加] ページが開きます。
-
[テナントの名前] ボックスに名前を入力します。
-
[認証情報] ボックスのドロップダウンリストをクリックして、認証情報を選択します。
-
使用する認証情報がリストに表示されない場合は、次のいずれかを行うことができます。
-
Tenable Vulnerability Management (Tenable Vulnerability Management > [設定] > [認証情報]) で作成します。詳細については、Tenable Vulnerability Managementの Azure タイプの認証情報を作成する手順を参照してください。
-
Tenable Vulnerability Management で、認証情報に「使用可能」または「編集可能」アクセス許可があることを確認してください。これらのアクセス許可がない限り、Tenable Identity Exposureのドロップダウンリストに認証情報が表示されません。
-
-
[更新] をクリックして、認証情報のドロップダウンリストを更新します。
-
作成した認証情報を選択します。
-
[追加] をクリックします。
Tenable Identity Exposure がテナントを追加したことを確認するメッセージが表示され、テナント管理ページのリストに表示されるようになります。