Prise en charge de Microsoft Entra ID

Outre Active Directory, Tenable Identity Exposure prend en charge Microsoft Entra ID (anciennement Azure AD ou AAD) pour étendre la portée des identités dans une organisation. Cette fonctionnalité utilise de nouveaux indicateurs d'exposition qui se concentrent sur les risques spécifiques à Microsoft Entra ID.

Pour intégrer Microsoft Entra ID à Tenable Identity Exposure, suivez scrupuleusement ce processus d'intégration :

  1. Respecter les Conditions préalables

  2. Vérifier les Autorisations

  3. Configurer les paramètres Microsoft Entra ID

  4. Activer la prise en charge de Microsoft Entra ID

  5. Activer les scans de tenant

Conditions préalables

Vous avez besoin d'un compte Tenable Cloud pour vous connecter à « cloud.tenable.com » et utiliser la fonction de prise en charge de Microsoft Entra ID. Ce compte Tenable Cloud utilise la même adresse e-mail que celle de votre e-mail de bienvenue. Si vous ne connaissez pas l'adresse e-mail à utiliser pour « cloud.tenable.com », veuillez contacter le service d'assistance. Tous les clients disposant d'une licence valide (sur site ou SaaS) peuvent accéder à Tenable Cloud sur « cloud.tenable.com ». Ce compte vous permet de configurer des scans Tenable pour Microsoft Entra ID et de collecter les résultats de ces scans.

Remarque : vous n'avez pas besoin d'une licence Tenable Vulnerability Management valide pour accéder à Tenable Cloud. Une licence autonome Tenable Identity Exposure en cours de validité (sur site ou SaaS) est suffisante.

Autorisations

La prise en charge de Microsoft Entra ID nécessite de collecter des données auprès de Microsoft Entra ID : utilisateurs, groupes, applications, principaux de service, rôles, autorisations, politiques, journaux, etc. Ces données sont collectées à l'aide de l'API Microsoft Graph et des identifiants des principaux de service conformément aux recommandations de Microsoft.

  • Vous devez vous connecter à Microsoft Entra ID en tant qu'utilisateur disposant des autorisations nécessaires pour accorder le consentement d'administrateur à l'échelle du tenant sur Microsoft Graph, qui doit avoir le rôle administrateur global ou d'administrateur de rôle privilégié (ou tout autre rôle personnalisé avec les autorisations appropriées), selon Microsoft.

  • Pour accéder à la configuration et à la visualisation des données pour Microsoft Entra ID, votre rôle utilisateur Tenable Identity Exposure doit disposer des autorisations appropriées. Pour plus d'informations, voir Définir les autorisations d'un rôle.

Configurer les paramètres Microsoft Entra ID

Utilisez les procédures suivantes (adaptées de la documentation Microsoft Démarrage rapide : Inscrire une application avec la plateforme d'identités Microsoft) pour configurer tous les paramètres requis dans Microsoft Entra ID.

    1. Dans le portail d'administration Azure, ouvrez la page Inscriptions d'application.

    2. Cliquez sur Nouvelle inscription.

    3. Donnez un nom à l'application (par exemple, « Tenable Identity Collector »). Pour les autres options, vous pouvez laisser les valeurs par défaut telles qu'elles.

    4. Cliquez sur Inscrire.

    5. Sur la page Présentation de cette application nouvellement créée, notez l'« ID de l'application (client) » et l'« ID de l'annuaire (tenant) ».

    1. Dans le portail d'administration Azure, ouvrez la page Inscriptions d'application.

    2. Cliquez sur l'application que vous avez créée.

    3. Dans le menu de gauche, cliquez sur Certificats et secrets.

    4. Cliquez sur Nouveau secret de client.

    5. Dans la zone Description, donnez un nom pratique à ce secret et une valeur d'expiration conforme à vos politiques. N'oubliez pas de renouveler ce secret quand sa date d'expiration approche.

    6. Enregistrez la valeur secrète dans un emplacement sécurisé, car Azure ne l'affiche qu'une seule fois et vous devez la recréer si vous la perdez.

    1. Dans le portail d'administration Azure, ouvrez la page Inscriptions d'application.

    2. Cliquez sur l'application que vous avez créée.

    3. Dans le menu de gauche, cliquez sur Autorisations des API

    4. Supprimer l'autorisation existante User.Read :

    5. Cliquez sur Ajouter une autorisation :

    6. Sélectionnez Microsoft Graph :

    7. Sélectionnez Autorisations de l'application et non pas « Autorisations déléguées ».

    8. Utilisez la liste ou la barre de recherche pour rechercher et sélectionner toutes les autorisations suivantes :

      • AuditLog.Read.All

      • Directory.Read.All

      • IdentityProvider.Read.All

      • Policy.Read.All

      • Reports.Read.All

      • RoleManagement.Read.All

      • UserAuthenticationMethod.Read.All

    9. Cliquez sur Ajouter des autorisations.

    10. Cliquez sur Accorder le consentement administrateur <nom du tenant> et cliquez sur Oui pour confirmer :

  1. Après avoir configuré tous les paramètres requis dans Microsoft Entra ID :

    1. Dans Tenable Vulnerability Management, créez un nouvel identifiant de type « Microsoft Azure ».

    2. Sélectionnez la méthode d'authentification « Clé » et saisissez les valeurs que vous avez récupérées dans la procédure précédente : ID de tenant, ID d'application et Secret de client.

Activer la prise en charge de Microsoft Entra ID

Remarque : pour activer cette fonctionnalité, l'utilisateur de Tenable Cloud ayant créé les clés d'accès et secrètes doit disposer d'autorisations administrateur dans le conteneur Tenable Cloud reférencé par la licence Tenable Identity Exposure. Pour plus d'informations, voir Licences Tenable Identity Exposure.

  1. Dans Tenable Identity Exposure, cliquez sur l'icône Systèmes dans le menu de navigation de gauche.

  2. Cliquez sur l'onglet Configuration.

    La page Configuration apparaît.

  3. Sous Services de l'application, cliquez sur Tenable Cloud.

  4. Dans Activer la prise en charge de Microsoft Entra ID, cliquez sur le curseur pour l'activer.

  5. Si vous ne vous êtes pas déjà connecté à Tenable Cloud, cliquez sur le lien pour accéder à la page de connexion :

    1. Cliquez sur Mot de passe oublié ? pour demander la réinitialisation du mot de passe.

    2. Saisissez l'adresse e-mail associée à votre licence Tenable Identity Exposure et cliquez sur Demander la réinitialisation du mot de passe.

      Tenable envoie un e-mail à cette adresse avec un lien pour réinitialiser votre mot de passe.

      Remarque : si votre adresse e-mail n'est pas celle qui est associée à la licence Tenable Identity Exposure, contactez le support client pour obtenir de l'aide.

  6. Connectez-vous à Tenable Vulnerability Management.

  7. Pour générer des clés API dans Tenable Vulnerability Management, accédez à Tenable Vulnerability Management > Paramètres > Mon compte > Clés API.

  1. Saisissez votre clé d'accès et votre clé secrète d'utilisateur « Administrateur » pour Tenable Vulnerability Management afin d'établir une connexion entre Tenable Identity Exposure et le service Tenable Cloud.

  2. Cliquez sur Modifier les clés pour soumettre les clés API.

    Tenable Identity Exposure affiche un message pour confirmer qu'il a mis à jour les clés API.

Activer les scans de tenant

L'ajout d'un tenant lie Tenable Identity Exposure au tenant Microsoft Entra ID pour effectuer des scans sur le tenant.

  1. Sur la page de configuration, cliquez sur l'onglet Gestion des tenants.

    La page Gestion des tenants apparaît.

  2. Cliquez sur Ajouter un tenant.

    La page Ajouter un tenant apparaît.

  3. Dans la zone Nom du tenant, saisissez un nom.

  4. Dans la zone Identifiants, cliquez sur la liste déroulante pour sélectionner un identifiant.

  5. Si votre identifiant ne figure pas dans la liste, vous pouvez effectuer l'une ou l'autre des opérations suivantes :

  6. Cliquez sur Actualiser pour mettre à jour la liste déroulante des identifiants.

  7. Sélectionnez l'identifiant que vous avez créé.

  8. Cliquez sur Ajouter.

    Un message confirme que Tenable Identity Exposure a ajouté le tenant qui apparaît désormais dans la liste de la page Gestion des tenants.

Remarque : les scans de tenant ne sont pas exécutés en temps réel et il faut compter au moins 45 minutes avant que les données Microsoft Entra ID soient visibles dans l'Explorateur d'identités.

  • Sélectionnez un tenant dans la liste et cliquez sur le curseur pour activer l'option Scan activé.

    Tenable Identity Exposure demande un scan sur le tenant ; les résultats apparaissent sur la page Indicateur d'exposition.

    Remarque : le délai minimum obligatoire entre deux scans est de 30 minutes.