Compatibilidad con Microsoft Entra ID

Además de Active Directory, Tenable Identity Exposure admite Microsoft Entra ID (anteriormente, Azure AD o AAD) para ampliar el ámbito de las identidades en una organización. Esta funcionalidad aprovecha nuevos indicadores de exposición que se centran en los riesgos específicos de Microsoft Entra ID.

Para integrar Microsoft Entra ID en Tenable Identity Exposure, siga de cerca este proceso de incorporación:

Cumplir con los Requisitos previos.
Comprobar los Permisos.
Configurar las opciones de Microsoft Entra ID
Activar la compatibilidad con Microsoft Entra ID
Habilitar escaneos de inquilinos

Requisitos previos

Necesita una cuenta de Tenable Cloud para iniciar sesión en “cloud.tenable.com” y usar la funcionalidad de compatibilidad con Microsoft Entra ID. Esta cuenta de Tenable Cloud es la misma dirección de correo electrónico usada para el correo electrónico de bienvenida. Si no conoce su dirección de correo electrónico para “cloud.tenable.com”, póngase en contacto con Soporte. Todos los clientes que tengan una licencia válida (local o SaaS) pueden acceder a Tenable Cloud en “cloud.tenable.com”. Esta cuenta le permite configurar los escaneos de Tenable para su instancia de Microsoft Entra ID y recopilar los resultados de los escaneos.

Nota: No necesita una licencia de Tenable Vulnerability Management válida para acceder a Tenable Cloud, alcanza con una licencia de Tenable Identity Exposure (local o SaaS) independiente actualmente válida.

Permisos

La compatibilidad de Microsoft Entra ID requiere la recopilación de datos de Microsoft Entra ID, como usuarios, grupos, aplicaciones, entidades de servicio, roles, permisos, políticas, registros, etc. Recopila estos datos mediante Microsoft Graph API y las credenciales de la entidad de servicio siguiendo las recomendaciones de Microsoft.

Debe iniciar sesión en Microsoft Entra ID como usuario con permisos para conceder el consentimiento del administrador para todo el inquilino en Microsoft Graph, que debe tener el rol de Administrador global o Administrador de roles privilegiados (o cualquier rol personalizado con los permisos adecuados), según Microsoft.
Para acceder a la configuración y a la visualización de datos de Microsoft Entra ID, su rol de usuario de Tenable Identity Exposure debe tener los permisos adecuados. Para obtener más información, consulte Establecer permisos para un rol.

Configurar las opciones de Microsoft Entra ID

Siga los procedimientos a continuación (adaptados a partir de la documentación de Microsoft Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft) para configurar todas las opciones necesarias en Microsoft Entra ID.

Crear una aplicación:
1. En el portal de administración de Azure, abra la página Registros de aplicaciones.
2. Haga clic en + Nuevo registro.
3. Asigne un nombre a la aplicación (ejemplo: “Tenable Identity Collector”). Para las demás opciones, puede dejar los valores predeterminados tal como están.
4. Haga clic en Registrar.
5. En la página “Descripción general” de esta aplicación recién creada, anote el “Id. de la aplicación (cliente)” y el “Id. del directorio (inquilino)”.

Agregar credenciales a la aplicación:
1. En el portal de administración de Azure, abra la página Registros de aplicaciones.
2. Haga clic en la aplicación que creó.
3. En el menú de la izquierda, haga clic en Certificados y secretos.
4. Haga clic en + Nuevo secreto de cliente.
5. En el cuadro Descripción, asigne un nombre práctico a este secreto y un valor de Vencimiento que cumpla con sus políticas. Recuerde renovar este secreto cerca de su fecha de vencimiento.
6. Guarde el valor secreto en una ubicación segura, ya que Azure solo lo muestra una vez y debe volver a crearlo si lo pierde.

Asignar permisos a la aplicación:
1. En el portal de administración de Azure, abra la página Registros de aplicaciones.
2. Haga clic en la aplicación que creó.
3. En el menú de la izquierda, haga clic en Permisos de API.
4. Elimine el permiso User.Read existente:
5. Haga clic en + Agregar un permiso:
6. Seleccione Microsoft Graph:
7. Seleccione Permisos de aplicación (no “Permisos delegados”).
8. Use la lista o la barra de búsqueda para buscar y seleccionar todos los permisos siguientes:
9. Haga clic en Agregar permisos.
10. Haga clic en Otorgar consentimiento de administrador a <nombre del inquilino> y haga clic en Sí para confirmar:

Después de configurar todas las opciones obligatorias en Microsoft Entra ID:
1. En Tenable Vulnerability Management, cree una nueva credencial de tipo “Microsoft Azure”.
2. Seleccione el método de autenticación “Clave” e ingrese los valores que recuperó en el procedimiento anterior: ID de inquilino, ID de aplicación y Secreto de cliente.

Activar la compatibilidad con Microsoft Entra ID

Para activar la compatibilidad con Microsoft Entra ID:

Nota: Para activar esta funcionalidad correctamente, el usuario de Tenable Cloud que creó la clave de acceso y las claves secretas deben tener privilegios administrativos en el contenedor de Tenable Cloud al que hace referencia la licencia de Tenable Identity Exposure. Para obtener más información, consulte Otorgamiento de licencias de Tenable Identity Exposure.

En Tenable Identity Exposure, haga clic en el ícono “Sistema” en el menú de navegación izquierdo.
Haga clic en la pestaña Configuración.

Se abre la página Configuración.
En “Servicios de aplicación”, haga clic en Tenable Cloud.
En Activar compatibilidad con Microsoft Entra ID, haga clic en el conmutador para habilitarla.
Si aún no inició sesión en Tenable Cloud, haga clic en el vínculo para ir a la página de inicio de sesión:
1. Haga clic en ¿Olvidó la contraseña? para solicitar un restablecimiento de la contraseña.
2. Escriba la dirección de correo electrónico asociada a su licencia de Tenable Identity Exposure y haga clic en Solicitar restablecimiento de la contraseña.
  
  Tenable envía un correo electrónico a esa dirección con un vínculo para restablecer la contraseña.
  
  Nota: Si la dirección de correo electrónico no es la misma que la asociada a la licencia de Tenable Identity Exposure, comuníquese con su servicio de atención al cliente para obtener asistencia.
Inicie sesión en Tenable Vulnerability Management.
Para generar claves de API en Tenable Vulnerability Management, vaya a Tenable Vulnerability Management > Configuración > Mi cuenta > Claves de API.

Ingrese su AccessKey y SecretKey de usuario “Admin” de Tenable Vulnerability Management para establecer una conexión entre Tenable Identity Exposure y el servicio de Tenable Cloud.
Haga clic en Editar claves para enviar las claves de API.

Tenable Identity Exposure muestra un mensaje para confirmar que actualizó las claves de API.

Habilitar escaneos de inquilinos

Para agregar un nuevo inquilino de Microsoft Entra ID:

Al agregar un inquilino, se vincula Tenable Identity Exposure con el inquilino de Microsoft Entra ID para realizar escaneos en ese inquilino.

En la página “Configuración”, haga clic en la pestaña Gestión de inquilinos.

Se abre la página Gestión de inquilinos.
Haga clic en Agregar un inquilino.

Se abre la página Agregar un inquilino.
En el cuadro Nombre del inquilino, escriba un nombre.
En el cuadro Credenciales, haga clic en la lista desplegable para seleccionar una credencial.
Si la credencial no aparece en la lista, puede:
- Crear una en Tenable Vulnerability Management (Tenable Vulnerability Management > Configuración > Credenciales). Para obtener más información, consulte el procedimiento para crear una credencial de tipo Azure en Tenable Vulnerability Management.
- Comprobar que tiene el permiso “Puede usar” o “Puede editar” para la credencial en Tenable Vulnerability Management. A menos que tenga estos permisos, Tenable Identity Exposure no muestra la credencial en la lista desplegable.
Haga clic en Actualizar para actualizar la lista desplegable de las credenciales.
Seleccione la credencial que creó.
Haga clic en Agregar.

Un mensaje confirma que Tenable Identity Exposure agregó el inquilino, que ahora aparece en la lista de la página “Gestión de inquilinos”.