Microsoft Entra ID-Unterstützung

Zusätzlich zu Active Directory unterstützt Tenable Identity Exposure auch Microsoft Entra ID (früher Azure AD oder AAD), um den Geltungsbereich von Identitäten in einer Organisation zu erweitern. Diese Funktion nutzt neue Indicators of Exposure, die sich auf Microsoft Entra ID-spezifische Risiken konzentrieren.

Um Microsoft Entra ID in Tenable Identity Exposure zu integrieren, befolgen Sie diesen Onboarding-Prozess:

  1. Voraussetzungen erfüllen

  2. Berechtigungen prüfen

  3. Microsoft Entra ID-Einstellungen konfigurieren

  4. Microsoft Entra ID-Unterstützung aktivieren

  5. Mandantenscans aktivieren

Voraussetzungen

Sie benötigen ein Tenable Cloud-Konto, um sich bei „cloud.tenable.com“ einzuloggen und die Supportfunktion von Microsoft Entra ID zu nutzen. Dieses Tenable Cloud-Konto ist dieselbe E-Mail-Adresse, die für Ihre Begrüßungs-E-Mail verwendet wird. Wenn Sie Ihre E-Mail-Adresse für „cloud.tenable.com“ nicht kennen, wenden Sie sich an den Support. Alle Kunden mit einer gültigen Lizenz (On-Premises oder SaaS) können unter „cloud.tenable.com“ auf die Tenable Cloud zugreifen. Mit dem Konto können Sie Tenable-Scans für Ihre Microsoft Entra ID konfigurieren und die Ergebnisse der Scans erfassen.

Hinweis: Sie benötigen keine gültige Tenable Vulnerability Management-Lizenz, um auf die Tenable Cloud zuzugreifen. Eine aktuell gültige eigenständige Tenable Identity Exposure-Lizenz (On-Premises oder SaaS) ist ausreichend.

Berechtigungen

Die Unterstützung von Microsoft Entra ID erfordert die Erfassung von Daten von Microsoft Entra ID, wie beispielsweise Benutzern, Gruppen, Anwendungen, Dienstprinzipalen, Rollen, Berechtigungen, Richtlinien, Protokollen usw. Diese Daten werden mithilfe der Microsoft Graph-API und Dienstprinzipal-Anmeldeinformationen gemäß den Empfehlungen von Microsoft erfasst.

  • Sie müssen sich bei Microsoft Entra ID als Benutzer mit der Berechtigung zum Erteilen einer mandantenweiten Administratoreinwilligung für Microsoft Graph einloggen, der laut Microsoft über die Rolle „Globaler Administrator“ oder „Privilegierter Rollenadministrator“ (oder eine beliebige benutzerdefinierte Rolle mit entsprechenden Berechtigungen) verfügen muss.

  • Um auf die Konfiguration und Datenvisualisierung für Microsoft Entra ID zuzugreifen, muss Ihre Tenable Identity Exposure-Benutzerrolle über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Berechtigungen für eine Rolle festlegen.

Microsoft Entra ID-Einstellungen konfigurieren

Verwenden Sie die folgenden Verfahren (übernommen aus dem Artikel Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform der Microsoft-Dokumentation), um alle erforderlichen Einstellungen in Microsoft Entra ID zu konfigurieren.

    1. Öffnen Sie im Azure-Administratorportal die Seite App-Registrierungen.

    2. Klicken Sie auf + Neue Registrierung.

    3. Geben Sie der Anwendung einen Namen (Beispiel: „Tenable Identity Collector“). Für die anderen Optionen können Sie die Standardwerte unverändert lassen.

    4. Klicken Sie auf Registrieren.

    5. Notieren Sie sich auf der Übersichtsseite dieser neu erstellten App die „Anwendungs-ID (Client)“ und die „Verzeichnis-ID (Mandant)“.

    1. Öffnen Sie im Azure-Administratorportal die Seite App-Registrierungen.

    2. Klicken Sie auf die von Ihnen erstellte Anwendung.

    3. Klicken Sie im linken Menü auf Zertifikate und Geheimnisse.

    4. Klicken Sie auf + Neuer geheimer Clientschlüssel.

    5. Geben Sie im Feld Beschreibung einen praktischen Namen für dieses Geheimnis und einen Ablaufwert ein, der Ihren Richtlinien entspricht. Denken Sie daran, dieses Geheimnis kurz vor Ablauf seines Ablaufdatums zu erneuern.

    6. Speichern Sie den Wert des geheimen Schlüssels an einem sicheren Ort, da Azure ihn nur einmal anzeigt und Sie ihn neu erstellen müssen, wenn Sie ihn verlieren.

    1. Öffnen Sie im Azure-Administratorportal die Seite App-Registrierungen.

    2. Klicken Sie auf die von Ihnen erstellte Anwendung.

    3. Klicken Sie im linken Menü auf API-Berechtigungen.

    4. Entfernen Sie die vorhandene Berechtigung User.Read:

    5. Klicken Sie auf + Berechtigung hinzufügen:

    6. Wählen Sie Microsoft Graph aus:

    7. Wählen Sie Anwendungsberechtigungen aus (nicht „Delegierte Berechtigungen“).

    8. Verwenden Sie die Liste oder die Suchleiste, um alle folgenden Berechtigungen zu suchen und auszuwählen:

      • AuditLog.Read.All

      • Directory.Read.All

      • IdentityProvider.Read.All

      • Policy.Read.All

      • Reports.Read.All

      • RoleManagement.Read.All

      • UserAuthenticationMethod.Read.All

    9. Klicken Sie auf Berechtigungen hinzufügen.

    10. Klicken Sie auf Administratoreinwilligung erteilen für <Mandantenname> und klicken Sie zur Bestätigung auf Ja:

  1. Nachdem Sie alle erforderlichen Einstellungen in Microsoft Entra ID konfiguriert haben, führen Sie die folgenden Schritte aus:

    1. Erstellen Sie in Tenable Vulnerability Management neue Anmeldeinformationen des Typs „Microsoft Azure“.

    2. Wählen Sie die Authentifizierungsmethode „Schlüssel“ und geben Sie die Werte ein, die Sie im vorherigen Verfahren abgerufen haben: Mandanten-ID, Anwendungs-ID und Client-Geheimnis.

Microsoft Entra ID-Unterstützung aktivieren

Hinweis: Um diese Funktion erfolgreich zu aktivieren, muss der Tenable Cloud-Benutzer, der den Zugriffsschlüssel und die geheimen Schlüssel erstellt hat, Administratorrechte für den Tenable Cloud-Container haben, auf den von der Tenable Identity Exposure-Lizenz verwiesen wird. Weitere Informationen finden Sie unter Lizenzierung von Tenable Identity Exposure.

  1. Klicken Sie in Tenable Identity Exposure auf das Systeme-Symbol in der linken Navigationsleiste.

  2. Klicken Sie auf die Registerkarte Konfiguration.

    Die Seite Konfiguration wird geöffnet.

  3. Klicken Sie unter „Anwendungsdienste“ auf Tenable Cloud.

  4. Klicken Sie unter Microsoft Entra ID-Unterstützung aktivieren auf den Schalter, um ihn zu aktivieren.

  5. Wenn Sie sich zuvor noch nicht bei Tenable Cloud eingeloggt haben, klicken Sie auf den Link, um zur Login-Seite zu gelangen:

    1. Klicken Sie auf Passwort vergessen? , um ein Passwort-Reset anzufordern.

    2. Geben Sie die mit Ihrer Tenable Identity Exposure-Lizenz verknüpfte E-Mail-Adresse ein und klicken Sie auf Passwort-Reset anfordern.

      Tenable sendet eine E-Mail mit einem Link zum Zurücksetzen Ihres Passworts an diese Adresse.

      Hinweis: Wenn Ihre E-Mail-Adresse nicht mit der mit der Tenable Identity Exposure-Lizenz verknüpften übereinstimmt, wenden Sie sich für Unterstützung an Ihren Kundensupport.

  6. Loggen Sie sich bei Tenable Vulnerability Management ein.

  7. Um API-Schlüssel in Tenable Vulnerability Managementzu generieren, gehen Sie zu Tenable Vulnerability Management > Settings (Einstellungen) > My Account (Mein Konto) > API Keys (API-Schlüssel).

  1. Geben Sie Ihren Tenable Vulnerability Management-Admin-Benutzer AccessKey und SecretKey ein, um eine Verbindung zwischen Tenable Identity Exposure und dem Tenable-Cloud-Service einzurichten.

  2. Klicken Sie auf Schlüssel bearbeiten, um die API-Schlüssel zu übermitteln.

    Tenable Identity Exposure zeigt eine Meldung an, um zu bestätigen, dass die API-Schlüssel aktualisiert wurden.

Mandantenscans aktivieren

Durch das Hinzufügen eines Mandanten wird Tenable Identity Exposure mit dem Microsoft Entra ID-Mandanten verknüpft, um Scans für diesen Mandanten durchzuführen.

  1. Klicken Sie auf der Seite „Konfiguration“ auf die Registerkarte Mandantenverwaltung.

    Die Seite Mandantenverwaltung wird geöffnet.

  2. Klicken Sie auf Mandanten hinzufügen.

    Die Seite Mandanten hinzufügen wird geöffnet.

  3. Geben Sie im Feld Name des Mandanten einen Namen ein.

  4. Klicken Sie im Feld Anmeldeinformationen auf die Dropdown-Liste, um Anmeldeinformationen auszuwählen.

  5. Wenn Ihre Anmeldeinformationen nicht in der Liste angezeigt werden, haben Sie diese beiden Möglichkeiten:

  6. Klicken Sie auf Aktualisieren, um die Dropdown-Liste der Anmeldeinformationen zu aktualisieren.

  7. Wählen Sie die von Ihnen erstellten Anmeldeinformationen aus.

  8. Klicken Sie auf Hinzufügen.

    Eine Meldung bestätigt, dass Tenable Identity Exposure den Mandanten hinzugefügt hat, der nun in der Liste auf der Seite „Mandantenverwaltung“ angezeigt wird.

Hinweis: Mandantenscans erfolgen nicht in Echtzeit und erfordern mindestens 45 Minuten, bis Microsoft Entra ID-Daten im Identitäts-Explorer sichtbar sind.

  • Wählen Sie einen Mandanten in der Liste aus und stellen Sie den Schalter auf Scan aktiviert.

    Tenable Identity Exposure fordert einen Scan des Mandanten an und die Ergebnisse werden auf der Indicator of Exposure-Seite angezeigt.

    Hinweis: Die obligatorische Mindestzeitspanne zwischen zwei Scans beträgt 30 Minuten.