지원

에서는 Active Directory 외에 (이전의 Azure AD, 즉 AAD)도 지원하여 조직의 ID 범위를 확장합니다. 이 기능은 관련 위험에 초점을 맞춘 새 위험 노출 지표를 활용합니다.

를 에 통합하려면 이 온보딩 절차를 정확히 따르십시오.

Prerequisites을 충족합니다.
Permissions을 확인합니다.
Network Flows을 확인합니다.
Configure [%=Integrations.MicrosoftEntraID%] settings
Activate [%=Integrations.MicrosoftEntraID%] support
Enable tenant scans

필수 조건

"cloud.tenable.com"에 로그인하고 Microsoft Entra ID 지원 기능을 이용하려면 Tenable Cloud 계정이 있어야 합니다. 이 Tenable Cloud 계정은 웰컴 이메일에 사용한 이메일 주소와 같습니다. "cloud.tenable.com"용 이메일 주소를 모르는 경우, 지원팀에 문의하시기 바랍니다. 유효한 라이선스(온프레미스 또는 SaaS)가 있는 모든 고객은 "cloud.tenable.com"에서 Tenable Cloud에 액세스할 수 있습니다. 이 계정을 사용해 Microsoft Entra ID에 대한 Tenable 스캔을 구성하고 스캔 결과를 수집할 수 있습니다.

참고: 유효한 라이선스가 없어도 Tenable Cloud에 액세스할 수 있습니다. 현재 유효한 독립형 라이선스(온프레미스 또는 SaaS)면 충분합니다.

참고: 은(는) 중국 및 미국 정부 전용 지역을 포함한 국가 클라우드에서 을(를) 지원하지 않습니다. 에서는 특정 규제 및 규정 준수 요구 사항에 맞춰 설계되고 물리적으로 격리된 Azure 인스턴스인 국가 클라우드를 제공합니다. 에서는 중국 국가 클라우드와 미국 정부 국가 클라우드를 제외하고 전 세계 환경만 지원합니다. 국가 클라우드에 관한 자세한 내용은 Microsoft Entra 인증 및 국가 클라우드 - Microsoft ID 플랫폼을 참조하십시오.

권한

를 지원하려면 에서 사용자, 그룹, 애플리케이션, 서비스 주체, 역할, 권한, 정책, 로그 등과 같은 데이터를 수집해야 합니다. 이 데이터는 Microsoft 권장 사항에 따라 Microsoft Graph API 및 서비스 주체 자격 증명을 사용하여 수집합니다.

Microsoft Graph에서 테넌트 전반에 걸친 관리자 동의를 부여할 권한이 있는 사용자로서 에 로그인해야 합니다(Microsoft에 따른 전역 관리자 또는 권한이 있는 역할 관리자 역할(또는 적절한 권한을 가진 각종 사용자 지정 역할)이 있어야 함).
의 구성과 데이터 시각화에 액세스하려면 사용자 역할에 적절한 권한이 있어야 합니다. 자세한 내용은 Set Permissions for a Role을 참조하십시오.

네트워크 흐름

Entra ID 지원을 활성화하려면 포트 443을 통해 보안 엔진 노드 서버에서 다음 주소로의 아웃바운드 통신 허용:

sensor.cloud.tenable.com
cloud.tenable.com

라이선스 수

Tenable에서는 Tenable Cloud 동기화 기능이 사용 설정되어 있을 때만 중복 ID를 라이선스 수에 포함하지 않습니다. 이 기능이 없으면 Tenable에서 Microsoft Entra ID와 Active Directory의 계정을 매칭할 수 없어서 각 계정을 따로 세게 됩니다.

Tenable Cloud 동기화 없음: AD 계정과 Entra ID 계정을 둘 다 가진 사용자 한 명은 라이선스에서 사용자 두 명으로 계산됩니다.
Tenable Cloud 동기화 사용 설정: 시스템이 여러 계정을 ID 하나로 통합해 계정이 여러 개인 사용자를 한 명으로 계산합니다.

설정 구성

다음과 같은 절차(Microsoft 빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록 설명서에서 수정)를 사용해 의 필수 설정을 모두 구성하십시오.

애플리케이션 만들기:
1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.
2. + 신규 등록을 클릭합니다.
3. 애플리케이션에 이름을 지정합니다(예: "Tenable Identity Collector"). 다른 옵션의 경우, 기본값을 그대로 두어도 됩니다.
4. 등록을 클릭합니다.
5. 새로 생성된 이 앱의 개요 페이지에서 "애플리케이션(클라이언트) ID"와 "디렉터리(테넌트) ID"를 적어 두십시오. 나중에 To add a new [%=Integrations.MicrosoftEntraID%] tenant:단계에서 필요합니다.
  
  주의: 구성이 제대로 작동하려면 개체 ID가 아니라 애플리케이션 ID를 선택해야 합니다.

애플리케이션에 자격 증명 추가:
1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.
2. 만든 애플리케이션을 클릭합니다.
3. 왼쪽 메뉴에서 인증서 및 암호를 클릭합니다.
4. + 새 클라이언트 암호를 클릭합니다.
5. 설명 상자에 이 암호에 실용적인 이름을 부여하고 정책에 부합하는 만료 값을 입력합니다. 만료 날짜가 가까워지면 이 암호를 갱신해야 합니다.
6. Azure는 이 값을 한 번만 표시하므로 암호 값을 안전한 위치에 저장하십시오. 잃어버린 경우 다시 만들어야 합니다.

애플리케이션에 권한 할당:
1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.
2. 만든 애플리케이션을 클릭합니다.
3. 왼쪽 메뉴에서 API 권한을 클릭합니다.
4. 기존 User.Read 권한을 제거합니다.
5. + 권한 추가를 클릭합니다.
6. Microsoft Graph를 선택합니다.
7. 애플리케이션 권한을 선택합니다("위임된 권한" 아님).
8. 목록 또는 검색창을 사용하여 다음과 같은 권한을 찾아 모두 선택합니다.
9. 권한 추가를 클릭합니다.
10. <tenant name>에 관리자 동의 부여를 클릭하고 예를 클릭하여 확인합니다.

에서 모든 필수 설정을 구성한 다음:
1. 에 "Microsoft Azure" 유형의 새 자격 증명을 만듭니다.
2. "키" 인증 방법을 선택하고 이전 절차에서 가져온 값(테넌트 ID, 애플리케이션 ID 및 클라이언트 암호)을 입력합니다.

지원 활성화

Microsoft Entra ID를 사용하려면 설정에서 해당 기능을 활성화해야 합니다.
Identity 360, Exposure Center, and Microsoft Entra ID Support Activation 의 설명을 참조하십시오.

To activate support:

Note: To activate this feature successfully, the Tenable Cloud user who created the access and secret keys must have administrative privileges in the Tenable Cloud container referenced by the license. For more information, see [%=Tenable.TenableAD%] License.

In , click on the Systems icon in the left navigation menu.
Click on the Configuration tab.

The Configuration page opens.
Under Application Services, click on Tenable Cloud.
In Activate Support, click the toggle to enabled.
If you have not previously logged in to the Tenable Cloud, click the link to go to the login page:
1. Click Forgot your password? to request a password reset.
2. Type the email address associated with your license and click Request Password Reset.
  
  Tenable sends an email to that address with a link to reset your password.
  
  Note: If your email address is not the same as the one associated with the license, contact your Customer Support for assistance.
Log in to .
To generate API keys in , go to > Settings > My Account > API Keys.

Enter your "Admin" user AccessKey and SecretKey to set up a connection between and the Tenable Cloud Service.
Click Edit keys to submit the API keys.

shows a message to confirm that it updated the API keys.

테넌트 스캔 활성화

새 테넌트를 추가하는 방법:

테넌트를 추가하면 를 테넌트와 연결하여 해당 테넌트에서 스캔을 수행할 수 있습니다.

구성 페이지에서 테넌트 관리 탭을 클릭합니다.

테넌트 관리 페이지가 열립니다.
테넌트 추가를 클릭합니다.

테넌트 추가 페이지가 열립니다.
테넌트 이름 상자에 이름을 입력합니다.
자격 증명 상자에서 드롭다운 목록을 클릭하여 자격 증명을 선택합니다.
자격 증명이 목록에 표시되지 않는 경우, 다음 중 한 가지 조치를 취할 수 있습니다.
- ( > 설정 > 자격 증명)에서 만듭니다. 자세한 내용은 에서 Azure 유형 자격 증명을 만드는 절차를 참조하십시오.
- 에서 자격 증명에 대하여 "사용할 수 있음" 또는 "편집할 수 있음" 권한이 있는지 확인하십시오. 이러한 권한이 없으면 에서 해당 자격 증명을 드롭다운 목록에 표시하지 않습니다.
새로 고침을 클릭하여 자격 증명 드롭다운 목록을 업데이트합니다.
만든 자격 증명을 선택합니다.
추가를 클릭합니다.

메시지가 표시되어 에서 테넌트를 추가했다고 확인하며 해당 테넌트는 이제 테넌트 관리 페이지 목록에 표시됩니다.

테넌트 스캔을 사용 설정하는 방법:

참고: 테넌트 스캔은 실시간으로 수행되지 않으며 데이터가 ID 탐색기에 표시되기까지 최소 45분이 필요합니다.

목록에서 테넌트를 선택하고 토글을 클릭하여 스캔 사용으로 바꿉니다.

에서 해당 테넌트에 대한 스캔을 요청하고 결과가 위험 노출 지표 페이지에 표시됩니다.

참고: 두 스캔 사이의 필수 최소 시간 지연은 30분입니다.