Microsoft Entra ID のサポート

Tenable Identity Exposure は Active Directory のほかに Microsoft Entra ID (旧 Azure AD または AAD) もサポートし、企業内で使用できる ID の範囲を広げています。この機能では、Microsoft Entra IDに固有のリスクにフォーカスした、新しい露出インジケーター (IoE) が使用されます。

Microsoft Entra IDTenable Identity Exposure と統合するには、次のオンボーディングプロセスに厳密に従ってください。

  1. 前提条件を満たす

  2. アクセス許可をチェックする

  3. ネットワークフローをチェックする

  4. Microsoft Entra ID の設定

  5. Microsoft Entra ID のサポートのアクティブ化

  6. テナントスキャンの有効化

前提条件

「cloud.tenable.com」にログインし、Microsoft Entra ID のサポート機能を使用するには、Tenable クラウドアカウントが必要です。この Tenable クラウドアカウントは、ようこそメールに使用されたメールアドレスと同じものです。「cloud.tenable.com」のメールアドレスがわからない場合は、サポートまでご連絡ください。有効なライセンス (オンプレミスまたは SaaS) をお持ちのお客様は、「cloud.tenable.com」で Tenable クラウドにアクセスできます。このアカウントを使用して、Microsoft Entra ID にかける Tenable スキャンを設定したり、スキャン結果を収集したりできます。

注意: Tenable クラウドにアクセスするのに有効な Tenable Vulnerability Management ライセンスは必要ありません。現在有効なスタンドアロン Tenable Identity Exposure ライセンス (オンプレミスまたは SaaS) があれば十分です。

アクセス許可

Microsoft Entra ID をサポートするには、ユーザー、グループ、アプリケーション、サービスプリンシパル、ロール、アクセス許可、ポリシー、ログなどのデータを Microsoft Entra ID から収集する必要があります。このデータは、Microsoft の推奨に従い、Microsoft Graph API とサービスプリンシパル認証情報を使用して収集されます。

  • Microsoft Graph でテナント全体の管理者の同意を付与するアクセス許可を持つユーザーとして Microsoft Entra ID にサインインする必要があります。つまり、Microsoft が定めた条件によると、グローバル管理者または特権ロール管理者のロール (または適切なアクセス許可を持つカスタムロール) がなければなりません。

  • Microsoft Entra ID の設定とデータ視覚化にアクセスするには、Tenable Identity Exposureユーザーロールに適切なアクセス許可がなければなりません。詳細は、Set Permissions for a Roleを参照してください。

ネットワークフロー

Entra ID サポートをアクティブ化するために、次のアドレスで、ポート 443 でのセキュリティエンジンノードサーバーからの送信の許可します。

  • sensor.cloud.tenable.com

  • cloud.tenable.com

Microsoft Entra ID の設定

次の手順 (Microsoft のクイックスタート: Microsoft ID プラットフォームにアプリケーションを登録するのドキュメントから引用) を使用して、Microsoft Entra IDで必要なすべての設定を行います。

  1. Microsoft Entra ID で必要なすべての設定をしたら、以下を実行します。

    1. Tenable Vulnerability Management で「Microsoft Azure」タイプの新しい認証情報を作成します

    2. 「キー」認証方法を選択し、前の手順で取得した値 (テナント ID、アプリケーション ID、クライアントシークレット) を入力します。

Microsoft Entra ID のサポートのアクティブ化

テナントスキャンの有効化