Microsoft Entra ID 지원

Tenable Identity Exposure에서는 Active Directory 외에 Microsoft Entra ID(이전의 Azure AD, 즉 AAD)도 지원하여 조직의 ID 범위를 확장합니다. 이 기능은 Microsoft Entra ID 관련 위험에 초점을 맞춘 새 위험 노출 지표를 활용합니다.

Microsoft Entra ID를 Tenable Identity Exposure에 통합하려면 이 온보딩 절차를 정확히 따르십시오.

1. 필수 조건을 충족합니다.

2. 권한을 확인합니다.

3. 네트워크 흐름을 확인합니다.

4. Microsoft Entra ID 설정 구성

5. Microsoft Entra ID 지원 활성화

6. 테넌트 스캔 활성화

필수 조건

"cloud.tenable.com"에 로그인하고 Microsoft Entra ID 지원 기능을 이용하려면 Tenable Cloud 계정이 있어야 합니다. 이 Tenable Cloud 계정은 웰컴 이메일에 사용한 이메일 주소와 같습니다. "cloud.tenable.com"용 이메일 주소를 모르는 경우, 지원팀에 문의하시기 바랍니다. 유효한 라이선스(온프레미스 또는 SaaS)가 있는 모든 고객은 "cloud.tenable.com"에서 Tenable Cloud에 액세스할 수 있습니다. 이 계정을 사용해 Microsoft Entra ID에 대한 Tenable 스캔을 구성하고 스캔 결과를 수집할 수 있습니다.

권한

Microsoft Entra ID를 지원하려면 Microsoft Entra ID에서 사용자, 그룹, 애플리케이션, 서비스 주체, 역할, 권한, 정책, 로그 등과 같은 데이터를 수집해야 합니다. 이 데이터는 Microsoft 권장 사항에 따라 Microsoft Graph API 및 서비스 주체 자격 증명을 사용하여 수집합니다.

• Microsoft Graph에서 테넌트 전반에 걸친 관리자 동의를 부여할 권한이 있는 사용자로서 Microsoft Entra ID에 로그인해야 합니다(Microsoft에 따른 전역 관리자 또는 권한이 있는 역할 관리자 역할(또는 적절한 권한을 가진 각종 사용자 지정 역할)이 있어야 함).

• Microsoft Entra ID의 구성과 데이터 시각화에 액세스하려면 Tenable Identity Exposure 사용자 역할에 적절한 권한이 있어야 합니다. 자세한 내용은 Set Permissions for a Role을 참조하십시오.

네트워크 흐름

Entra ID 지원을 활성화하려면 포트 443을 통해 보안 엔진 노드 서버에서 다음 주소로의 아웃바운드 통신 허용:

• sensor.cloud.tenable.com

• cloud.tenable.com

라이선스 수

Tenable에서는 Tenable Cloud 동기화 기능이 사용 설정되어 있을 때만 중복 ID를 라이선스 수에 포함하지 않습니다. 이 기능이 없으면 Tenable에서 Microsoft Entra ID와 Active Directory의 계정을 매칭할 수 없어서 각 계정을 따로 세게 됩니다.

• Tenable Cloud 동기화 없음: AD 계정과 Entra ID 계정을 둘 다 가진 사용자 한 명은 라이선스에서 사용자 두 명으로 계산됩니다.

• Tenable Cloud 동기화 사용 설정: 시스템이 여러 계정을 ID 하나로 통합해 계정이 여러 개인 사용자를 한 명으로 계산합니다.

Microsoft Entra ID 설정 구성

다음과 같은 절차(Microsoft 빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록 설명서에서 수정)를 사용해 Microsoft Entra ID의 필수 설정을 모두 구성하십시오.

1. 애플리케이션 만들기:

   1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.

   2. + 신규 등록을 클릭합니다.

   3. 애플리케이션에 이름을 지정합니다(예: "Tenable Identity Collector"). 다른 옵션의 경우, 기본값을 그대로 두어도 됩니다.

   4. 등록을 클릭합니다.

   5. 새로 생성된 이 앱의 개요 페이지에서 "애플리케이션(클라이언트) ID"와 "디렉터리(테넌트) ID"를 적어 두십시오. 나중에 새 Microsoft Entra ID 테넌트를 추가하는 방법:단계에서 필요합니다.

      주의: 구성이 제대로 작동하려면 개체 ID가 아니라 애플리케이션 ID를 선택해야 합니다.

      

2. 애플리케이션에 자격 증명 추가:

   1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.

   2. 만든 애플리케이션을 클릭합니다.

   3. 왼쪽 메뉴에서 인증서 및 암호를 클릭합니다.

   4. + 새 클라이언트 암호를 클릭합니다.

   5. 설명 상자에 이 암호에 실용적인 이름을 부여하고 정책에 부합하는 만료 값을 입력합니다. 만료 날짜가 가까워지면 이 암호를 갱신해야 합니다.

   6. Azure는 이 값을 한 번만 표시하므로 암호 값을 안전한 위치에 저장하십시오. 잃어버린 경우 다시 만들어야 합니다.

3. 애플리케이션에 권한 할당:

   1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.

   2. 만든 애플리케이션을 클릭합니다.

   3. 왼쪽 메뉴에서 API 권한을 클릭합니다.

   4. 기존 User.Read 권한을 제거합니다.
      
   

   5. + 권한 추가를 클릭합니다.

   

   6. Microsoft Graph를 선택합니다.

   

   7. 애플리케이션 권한을 선택합니다("위임된 권한" 아님).

   

   8. 목록 또는 검색창을 사용하여 다음과 같은 권한을 찾아 모두 선택합니다.

   • AuditLog.Read.All

   • Directory.Read.All

   • IdentityProvider.Read.All

   • Policy.Read.All

   • Reports.Read.All

   • RoleManagement.Read.All

   • UserAuthenticationMethod.Read.All

   9. 권한 추가를 클릭합니다.

   10. <tenant name>에 관리자 동의 부여를 클릭하고 예를 클릭하여 확인합니다.

   

4. Microsoft Entra ID에서 모든 필수 설정을 구성한 다음:

   1. Tenable Vulnerability Management에 'Microsoft Azure' 유형의 새 자격 증명을 만듭니다.

   2. "키" 인증 방법을 선택하고 이전 절차에서 가져온 값(테넌트 ID, 애플리케이션 ID 및 클라이언트 암호)을 입력합니다.

Microsoft Entra ID 지원 활성화

• Microsoft Entra ID를 사용하려면 Tenable Identity Exposure 설정에서 해당 기능을 활성화해야 합니다.

• Identity 360, Exposure Center, and Microsoft Entra ID Support Activation 의 설명을 참조하십시오.

테넌트 스캔 활성화