Integrierte Rollen für den globalen sicheren Zugriff von Microsoft
Beim globalen sicheren Zugriff wird die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet, um den Administratorzugriff effektiv zu verwalten. Microsoft Entra ID erfordert standardmäßig bestimmte Administratorrollen für den Zugriff auf globalen sicheren Zugriff.
In diesem Artikel werden die integrierten Microsoft Entra-Rollen beschrieben, die Sie für das Verwalten des globalen sicheren Zugriffs zuweisen können.
Globaler Administrator
Vollzugriff: Mit dieser Rolle erhalten Administrator:innen vollständige Berechtigungen für den globalen sicheren Zugriff. Sie können Richtlinien verwalten, Einstellungen konfigurieren und Protokolle anzeigen. Dies schließt auch Szenarien mit bedingtem Zugriff, Konfigurationen für den privaten Zugriff, Schreibvorgänge in Anwendungssegmenten und die Verwaltung von Benutzerzuweisungen für Datenverkehrsprofile ein.
Wichtig
Aus Sicherheitsgründen wird dringend empfohlen, den Ansatz der geringsten Rechte zu verwenden. Die Rolle „Globaler Administrator“ ist nur erforderlich, um die Office 365-Protokollierung wie in der Tabelle beschrieben zu konfigurieren. Verwenden Sie für alle anderen Szenarios die Rolle mit den geringsten Rechten, die zum Verwalten des Diensts erforderlich ist. Weitere Informationen zum Ansatz mit den geringsten Rechten finden Sie unter Rollen mit den geringsten Rechten nach Aufgabe in Microsoft Entra ID. Weitere Informationen zum Ansatz mit den geringsten Rechten in Microsoft Entra ID Governance finden Sie unter Das Prinzip der geringsten Rechte mit Microsoft Entra ID Governance.
Sicherheitsadministrator
Eingeschränkter Zugriff: Diese Rolle gewährt Berechtigungen zum Ausführen bestimmter Aufgaben, z. B. das Konfigurieren von Remotenetzwerken, das Einrichten von Sicherheitsprofilen, das Verwalten von Weiterleitungsprofilen für Datenverkehr und das Anzeigen von Datenverkehrsprotokollen und Warnungen. Sicherheitsadministrator:innen können jedoch keinen privaten Zugriff konfigurieren oder die Office 365-Protokollierung aktivieren.
Global Secure Access-Administrator
Eingeschränkter Zugriff: Diese Rolle gewährt Berechtigungen zum Ausführen bestimmter Aufgaben, z. B. das Konfigurieren von Remotenetzwerken, das Einrichten von Sicherheitsprofilen, das Verwalten von Weiterleitungsprofilen für Datenverkehr und das Anzeigen von Datenverkehrsprotokollen und Warnungen. Administratoren für den globalen sicheren Zugriff können jedoch keinen privaten Zugriff konfigurieren, Richtlinien für bedingten Zugriff erstellen oder verwalten, Benutzer- und Gruppenzuweisungen verwalten oder die Office 365-Protokollierung konfigurieren.
Hinweis
Um zusätzliche Microsoft Entra-Aufgaben auszuführen, z. B. das Bearbeiten von Richtlinien für bedingten Zugriff, müssen Sie sowohl ein globaler Administrator für den sicheren Zugriff sein als auch mindestens eine andere Administratorrolle zugewiesen haben. Weitere Informationen finden Sie oben in der Tabelle der rollenbasierten Berechtigungen.
Administrator für bedingten Zugriff
Verwaltung des bedingten Zugriffs: Diese Rolle kann Richtlinien für bedingten Zugriff für den globalen sicheren Zugriff erstellen und verwalten, z. B. für alle konformen Netzwerkadressen und zum Verwenden von Sicherheitsprofilen für den globalen sicheren Zugriff.
Anwendungsadministrator
Konfiguration für den privaten Zugriff: Diese Rolle kann den privaten Zugriff konfigurieren, einschließlich Schnellzugriff, private Netzwerkconnectors, Anwendungssegmente und Unternehmensanwendungen.
Sicherheitsleseberechtigter und globaler Leser
Schreibgeschützter Zugriff: Diese Rollen verfügen über vollständigen schreibgeschützten Zugriff auf alle Aspekte des globalen sicheren Zugriffs, mit Ausnahme von Datenverkehrsprotokollen. Sie ermöglicht nicht das Ändern von Einstellungen oder das Durchführen von Aktionen.
Rollenbasierte Berechtigungen
Die folgenden Microsoft Entra ID-Administratorrollen haben Zugriff auf den globalen sicheren Zugriff:
| Berechtigungen | Globaler Administrator | Sicherheitsadministrator | GSA-Administrator | CA-Administrator | Apps-Administrator | Globaler Leser | Sicherheitsleseberechtigter |
|---|---|---|---|---|---|---|---|
| Konfigurieren des privaten Zugriffs (Schnellzugriff, private Netzwerkconnectors, Anwendungssegmente und Unternehmens-Apps) | ✅ | ✅ | |||||
| Erstellen von und Interagieren mit Richtlinien für bedingten Zugriff | ✅ | ✅ | ✅ | ||||
| Verwalten von Datenverkehrsweiterleitungsprofilen | ✅ | ✅ | ✅ | ||||
| Benutzer- und Gruppenzuweisungen | ✅ | ✅ | |||||
| Konfigurieren von Remotenetzwerken | ✅ | ✅ | ✅ | ||||
| Sicherheitsprofile | ✅ | ✅ | ✅ | ||||
| Anzeigen von Datenverkehrsprotokollen und Warnungen | ✅ | ✅ | ✅ | ||||
| Anzeigen aller anderen Protokolle | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Konfigurieren von Einschränkungen für universelle Mandanten und Signalisieren des globalen sicheren Zugriffs für bedingten Zugriff | ✅ | ✅ | ✅ | ||||
| Konfigurieren der Office 365-Protokollierung | ✅ | ||||||
| Schreibgeschützter Zugriff auf Produkteinstellungen | ✅ | ✅ | ✅ | ✅ | ✅ |