Předdefinované role globálního zabezpečeného přístupu Microsoftu
Globální zabezpečený přístup používá řízení přístupu na základě role (RBAC) k efektivní správě přístupu pro správu. Ve výchozím nastavení vyžaduje Microsoft Entra ID konkrétní role správce pro přístup k globálnímu zabezpečenému přístupu.
Tento článek podrobně popisuje předdefinované role Microsoft Entra, které můžete přiřadit pro správu globálního zabezpečeného přístupu.
Globální správce
Úplný přístup: Tato role uděluje správcům úplná oprávnění v rámci globálního zabezpečeného přístupu. Můžou spravovat zásady, konfigurovat nastavení a zobrazovat protokoly; včetně scénářů podmíněného přístupu, konfigurací pro privátní přístup, operací zápisu v segmentech aplikací a správy přiřazení uživatelů pro profily přenosů.
Důležité
Z bezpečnostních důvodů důrazně doporučujeme použít přístup s nejnižšími oprávněními. Role globálního správce je nutná jenom ke konfiguraci protokolování Office 365, jak je uvedeno v tabulce. Pro všechny ostatní scnearios použijte nejmenší roli priveledge potřebnou ke správě služby. Další informace o nejnižších privilegovaných rolích podle úkolů v Microsoft Entra ID. Další informace o nejnižších oprávněních v zásadách správného řízení ID Microsoft Entra najdete v tématu Princip nejnižšího oprávnění se zásadami správného řízení MICROSOFT Entra ID.
Správce zabezpečení
Omezený přístup: Tato role uděluje oprávnění k provádění konkrétních úloh, jako je konfigurace vzdálených sítí, nastavení profilů zabezpečení, správa profilů předávání přenosů a zobrazení protokolů provozu a výstrah. Správci zabezpečení ale nemůžou nakonfigurovat privátní přístup ani povolit protokolování Office 365.
Globální správce zabezpečeného přístupu
Omezený přístup: Tato role uděluje oprávnění k provádění konkrétních úloh, jako je konfigurace vzdálených sítí, nastavení profilů zabezpečení, správa profilů předávání přenosů a zobrazení protokolů provozu a výstrah. Globální správci zabezpečeného přístupu ale nemůžou konfigurovat privátní přístup, vytvářet nebo spravovat zásady podmíněného přístupu, spravovat přiřazení uživatelů a skupin nebo konfigurovat protokolování Office 365.
Poznámka:
Pokud chcete provádět další úlohy Microsoft Entra, jako je třeba úprava zásad podmíněného přístupu, musíte být globálním správcem zabezpečeného přístupu a mít přiřazenou aspoň jednu další roli správce. Projděte si výše uvedenou tabulku oprávnění na základě role.
Správce podmíněného přístupu
Správa podmíněného přístupu: Tato role může vytvářet a spravovat zásady podmíněného přístupu pro globální zabezpečený přístup, například spravovat všechna kompatibilní síťová umístění a využívat globální profily zabezpečení zabezpečeného přístupu.
Správce aplikace
Konfigurace privátního přístupu: Tato role může nakonfigurovat privátní přístup, včetně rychlých přístupů, privátních síťových konektorů, segmentů aplikací a podnikových aplikací.
Čtenář zabezpečení a globální čtenář
Přístup jen pro čtení: Tyto role mají úplný přístup jen pro čtení ke všem aspektům globálního zabezpečeného přístupu s výjimkou protokolů přenosů. Nemůžou měnit žádná nastavení ani provádět žádné akce.
Oprávnění založená na rolích
K globálnímu zabezpečenému přístupu mají přístup následující role správce Microsoft Entra ID:
| Oprávnění | Globální správce | Správce zabezpečení | Správce GSA | Správce certifikační autority | Správce aplikací | Globální čtenář | Čtenář zabezpečení |
|---|---|---|---|---|---|---|---|
| Konfigurace privátního přístupu (Rychlý přístup, konektory privátní sítě, segmenty aplikací a podnikové aplikace) | ✅ | ✅ | |||||
| Vytvoření a interakce se zásadami podmíněného přístupu | ✅ | ✅ | ✅ | ||||
| Správa profilů předávání přenosů | ✅ | ✅ | ✅ | ||||
| Přiřazení uživatelů a skupin | ✅ | ✅ | |||||
| Konfigurace vzdálených sítí | ✅ | ✅ | ✅ | ||||
| Profily zabezpečení | ✅ | ✅ | ✅ | ||||
| Zobrazení protokolů a upozornění provozu | ✅ | ✅ | ✅ | ||||
| Zobrazit všechny ostatní protokoly | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Konfigurace omezení univerzálního tenanta a globálního zabezpečeného přístupu pro podmíněný přístup | ✅ | ✅ | ✅ | ||||
| Konfigurace protokolování Office 365 | ✅ | ||||||
| Přístup jen pro čtení k nastavení produktu | ✅ | ✅ | ✅ | ✅ | ✅ |