Microsoft Entra ID 支援

除了 Active Directory,Tenable Identity Exposure 也支援 Microsoft Entra ID (前稱 Azure AD 或 AAD) 以擴展組織中的身分識別範圍。此功能會利用著重於 Microsoft Entra ID 特定風險的新曝險指標。

如要將 Microsoft Entra IDTenable Identity Exposure整合,請仔細依照以下入門程序操作:

  1. 交由先決條件

  2. 檢查權限

  3. 配置 Microsoft Entra ID 設定

  4. 啟用 Microsoft Entra ID 支援

  5. 啟用租用戶掃描

先決條件

您需要 Tenable Cloud 帳戶,才能登入「cloud.tenable.com」並使用 Microsoft Entra ID 支援功能。此 Tenable Cloud 帳戶與您的歡迎電子郵件所使用的電子郵件地址相同。如果您不知道「cloud.tenable.com」的電子郵件地址,請聯絡支援服務。具有有效授權 (內部部署或 SaaS) 的所有客戶皆可存取位於「cloud.tenable.com」的 Tenable Cloud。此帳戶可讓您為 Microsoft Entra ID 設定 Tenable 掃描並且收集掃描結果。

注意:您不需要有效的 Tenable Vulnerability Management 授權也可存取 Tenable Cloud。目前有效的獨立 Tenable Identity Exposure 授權 (內部部署或 SaaS) 便已足夠。

權限

Microsoft Entra ID 的支援需要收集來自 Microsoft Entra ID 的資料,例如使用者、群組、應用程式、服務主體、角色、權限、原則、記錄等等。它會遵循 Microsoft 的建議,使用 Microsoft Graph API 和服務主體憑證收集此資料。

  • 根據 Microsoft 的說明,您必須以有權在 Microsoft Graph 上授予全租用戶管理員同意的使用者身分登入 Microsoft Entra ID,而這必須具有全域管理員或特殊權限角色管理員角色 (或任何具有適當權限的自訂角色)。

  • 您的 Tenable Identity Exposure 使用者角色必須具備適當的權限,才能存取 Microsoft Entra ID 的設定和資料圖表。如需詳細資訊,請參閱設定角色的權限

配置 Microsoft Entra ID 設定

使用下列程序 (改編自《Microsoft 快速入門:使用 Microsoft 身分識別平台註冊應用程式》說明文件),設定 Microsoft Entra ID 中的所有必要設定。

    1. 在 Azure 管理入口網站中,開啟「應用程式註冊」頁面。

    2. 按一下「+ 新註冊」。

    3. 為應用程式命名 (例如:「Tenable Identity Collector」)。其他選項可以保留預設值。

    4. 按一下「註冊」。

    5. 在此新建立應用程式的「概覽」頁面上,記下「應用程式 (用戶端) ID」和「目錄 (租用戶) ID」。

    1. 在 Azure 管理入口網站中,開啟「應用程式註冊」頁面。

    2. 按一下您建立的應用程式。

    3. 在左側功能表中,按一下「憑證與密碼」。

    4. 按一下「+ 新用戶端密碼」。

    5. 在「說明」方塊中,提供此密碼的實際名稱,以及符合您原則的「到期」值。請記得在鄰近到期日前更新此密碼。

    6. 將密碼值儲存在安全的位置,因為 Azure 只會顯示一次密碼值,而且一旦密碼遺失就必須重新建立。

    1. 在 Azure 管理入口網站中,開啟「應用程式註冊」頁面。

    2. 按一下您建立的應用程式。

    3. 在左側功能表中,按一下「API 權限」。

    4. 移除現有的 User.Read 權限:

    5. 按一下「+ 新增權限」:

    6. 選取「Microsoft Graph」:

    7. 選取「應用程式權限」(非「委派的權限」)。

    8. 使用清單或搜尋列,尋找並選取下列所有權限:

      • AuditLog.Read.All

      • Directory.Read.All

      • IdentityProvider.Read.All

      • Policy.Read.All

      • Reports.Read.All

      • RoleManagement.Read.All

      • UserAuthenticationMethod.Read.All

    9. 按一下「新增權限」。

    10. 按一下「向 <租用戶名稱> 授予管理員同意」,然後按一下「」確認:

  1. Microsoft Entra ID 中配置所有必要設定後:

    1. Tenable Vulnerability Management 中建立 Microsoft Azure 類型的新憑證

    2. 選取「金鑰」驗證方法,並輸入您在之前程序中擷取的值:租用戶 ID、應用程式 ID 和用戶端密碼。

啟用 Microsoft Entra ID 支援

注意:如要成功啟用此功能,已建立存取權和私密金鑰的 Tenable Cloud 使用者必須在 Tenable Identity Exposure 授權所引用的 Tenable Cloud 容器中擁有管理權限。如需詳細資訊,請參閱Tenable Identity Exposure 授權

  1. Tenable Identity Exposure 中,按一下左側導覽列中的系統圖示

  2. 按一下「設定」索引標籤。

    設定」頁面會隨即開啟。

  3. 在「應用程式服務」下方,按一下「Tenable Cloud」。

  4. 在「 啟用 Microsoft Entra ID 支援」中,按一下切換為啟用。

  5. 如果您之前未曾登入 Tenable Cloud,請按一下連結前往登入頁面:

    1. 按一下「忘記密碼?」以要求重設密碼。

    2. 輸入與 Tenable Identity Exposure 授權相關聯的電子郵件地址,然後按一下「要求重設密碼」。

      Tenable 會向此地址傳送包含重設密碼連結的電子郵件。

      注意:如果您的電子郵件地址與 Tenable Identity Exposure 授權相關聯的電子郵件地址不同,請聯絡您的客戶支援團隊以取得協助。

  6. 登入 Tenable Vulnerability Management

  7. 若要Tenable Vulnerability Management 中產生 API 金鑰,請前往「Tenable Vulnerability Management」>「設定」>「我的帳戶」>「API 金鑰」。

  1. 輸入 Tenable Vulnerability Management「管理員」使用者存取金鑰密碼金鑰,在 Tenable Identity Exposure 與 Tenable Cloud Service 之間設定連線。

  2. 按一下「編輯金鑰」以提交 API 金鑰。

    Tenable Identity Exposure 會顯示一則訊息,確認其已更新 API 金鑰。

啟用租用戶掃描

新增租用戶連結 Tenable Identity ExposureMicrosoft Entra ID 租用戶,以便在該租用戶上執行掃描。

  1. 在「設定」頁面中,按一下「租用戶管理」索引標籤。

    租用戶管理」頁面隨即開啟。

  2. 按一下「新增租用戶」。

    新增租用戶」頁面隨即開啟。

  3. 在「租用戶名稱」方塊中輸入名稱。

  4. 在「憑證」方塊中,按一下下拉式清單以選取一個憑證。

  5. 如果清單中沒有出現您的憑證,您可以:

    • Tenable Vulnerability Management 中建立一個 (「Tenable Vulnerability Management」>「設定」>「憑證」)。如需詳細資訊,請參閱 Tenable Vulnerability Management 中的建立 Azure 類型憑證的程序

    • 檢查您對於 Tenable Vulnerability Management 中的憑證是否擁有「可使用」或「可編輯」權限 。您必須具備這些權限,Tenable Identity Exposure 才會在下拉式清單中顯示憑證。

  6. 按一下「重新整理」以更新憑證的下拉式清單。

  7. 選取您建立的憑證。

  8. 按一下「新增」。

    系統會顯示一則訊息,確認 Tenable Identity Exposure 已新增租用戶。現在,「租用戶管理」頁面的清單中會顯示此租用戶。

注意:租用戶掃描並非即時發生,至少需要 45 分鐘後,身分識別總管中才會顯示 Microsoft Entra ID 資料。

  • 從清單中選取一個租用戶,然後按一下切換為「已啟用掃描」。

    Tenable Identity Exposure 會要求對此租用戶進行掃描,掃描結果會顯示在「曝險指標」頁面中。

    注意:兩次掃描之間必須至少間隔 30 分鐘