Microsoft Entra ID-Unterstützung

Zusätzlich zu Active Directory unterstützt Tenable Identity Exposure auch Microsoft Entra ID (früher Azure AD oder AAD), um den Geltungsbereich von Identitäten in einer Organisation zu erweitern. Diese Funktion nutzt neue Indicators of Exposure, die sich auf Microsoft Entra ID-spezifische Risiken konzentrieren.

Um Microsoft Entra ID in Tenable Identity Exposure zu integrieren, befolgen Sie diesen Onboarding-Prozess:

  1. Voraussetzungen erfüllen

  2. Berechtigungen prüfen

  3. Netzwerkflüsse prüfen

  4. Microsoft Entra ID-Einstellungen konfigurieren

  5. Microsoft Entra ID-Unterstützung aktivieren

  6. Mandantenscans aktivieren

Voraussetzungen

Sie benötigen ein Tenable Cloud-Konto, um sich bei „cloud.tenable.com“ einzuloggen und die Supportfunktion von Microsoft Entra ID zu nutzen. Dieses Tenable Cloud-Konto ist dieselbe E-Mail-Adresse, die für Ihre Begrüßungs-E-Mail verwendet wird. Wenn Sie Ihre E-Mail-Adresse für „cloud.tenable.com“ nicht kennen, wenden Sie sich an den Support. Alle Kunden mit einer gültigen Lizenz (On-Premises oder SaaS) können unter „cloud.tenable.com“ auf die Tenable Cloud zugreifen. Mit dem Konto können Sie Tenable-Scans für Ihre Microsoft Entra ID konfigurieren und die Ergebnisse der Scans erfassen.

Hinweis: Sie benötigen keine gültige Tenable Vulnerability Management-Lizenz, um auf die Tenable Cloud zuzugreifen. Eine aktuell gültige eigenständige Tenable Identity Exposure-Lizenz (On-Premises oder SaaS) ist ausreichend.
Hinweis: Tenable Identity Exposure unterstützt Microsoft Entra ID nicht in den National Clouds, einschließlich der dedizierten Bereiche für China und die US-Regierung. Microsoft Entra ID bietet National Clouds an, bei denen es sich um physisch isolierte Azure-Instanzen handelt, die im Hinblick auf bestimmte behördliche und Compliance-Anforderungen entwickelt wurden. Tenable Identity Exposure unterstützt nur die globale Microsoft Entra ID-Umgebung, mit Ausnahme der China National Cloud und der National Cloud der US-Regierung. Weitere Informationen zu National Clouds für Microsoft Entra ID finden Sie unter Microsoft Entra-Authentifizierung und National Clouds – Microsoft Identity Platform.

Berechtigungen

Die Unterstützung von Microsoft Entra ID erfordert die Erfassung von Daten von Microsoft Entra ID, wie beispielsweise Benutzern, Gruppen, Anwendungen, Dienstprinzipalen, Rollen, Berechtigungen, Richtlinien, Protokollen usw. Diese Daten werden mithilfe der Microsoft Graph-API und Dienstprinzipal-Anmeldeinformationen gemäß den Empfehlungen von Microsoft erfasst.

  • Sie müssen sich bei Microsoft Entra ID als Benutzer mit der Berechtigung zum Erteilen einer mandantenweiten Administratoreinwilligung für Microsoft Graph einloggen, der laut Microsoft über die Rolle „Globaler Administrator“ oder „Privilegierter Rollenadministrator“ (oder eine beliebige benutzerdefinierte Rolle mit entsprechenden Berechtigungen) verfügen muss.

  • Um auf die Konfiguration und Datenvisualisierung für Microsoft Entra ID zuzugreifen, muss Ihre Tenable Identity Exposure-Benutzerrolle über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Set Permissions for a Role.

Netzwerkflüsse

Erlauben Sie den folgenden Adressen an Port 443 ausgehend vom Security Engine Node-Server, die Entra ID-Unterstützung zu aktivieren:

  • sensor.cloud.tenable.com

  • cloud.tenable.com

Anzahl der Lizenzen

Tenable rechnet doppelte Identitäten nur dann nicht auf die Lizenz an, wenn die Tenable Cloud-Synchronisierung aktiviert ist. Ohne diese Funktion können Konten aus Microsoft Entra ID und Active Directory nicht abgeglichen werden, sodass jedes Konto separat gezählt wird.

  • Ohne Tenable Cloud-Synchronisierung: Ein einzelner Benutzer mit sowohl einem AD-Konto als auch einem Entra ID-Konto zählt im Hinblick auf die Lizenz als zwei separate Benutzer.

  • Bei aktivierter Tenable Cloud-Synchronisierung: Das System fasst mehrere Konten zu einer einzigen Identität zusammen und stellt so sicher, dass ein Benutzer mit mehreren Konten nur einmal gezählt wird.

Microsoft Entra ID-Einstellungen konfigurieren

Verwenden Sie die folgenden Verfahren (übernommen aus dem Artikel Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform der Microsoft-Dokumentation), um alle erforderlichen Einstellungen in Microsoft Entra ID zu konfigurieren.

  1. Nachdem Sie alle erforderlichen Einstellungen in Microsoft Entra ID konfiguriert haben, führen Sie die folgenden Schritte aus:

    1. Erstellen Sie in Tenable Vulnerability Management neue Anmeldeinformationen des Typs „Microsoft Azure“.

    2. Wählen Sie die Authentifizierungsmethode „Schlüssel“ und geben Sie die Werte ein, die Sie im vorherigen Verfahren abgerufen haben: Mandanten-ID, Anwendungs-ID und Client-Geheimnis.

Microsoft Entra ID-Unterstützung aktivieren

  • Um Microsoft Entra IDverwenden zu können, müssen Sie die Funktion in den Einstellungen von Tenable Identity Exposure aktivieren.

  • Entsprechende Anweisungen finden Sie unter Identity 360, Exposure Center, and Microsoft Entra ID Support Activation .

Mandantenscans aktivieren