Compartir a través de


Roles integrados de Acceso seguro global de Microsoft

El acceso global seguro usa el control de acceso basado en rol (RBAC) para administrar eficazmente el acceso administrativo. De forma predeterminada, Microsoft Entra ID requiere roles de administrador específicos para acceder a Acceso seguro global.

En este artículo se detallan los roles integrados de Microsoft Entra que puede asignar para administrar el acceso global seguro.

Administrador global

Acceso completo: este rol concede a los administradores permisos completos en Acceso seguro global. Pueden administrar directivas, configurar opciones y ver registros; incluidos escenarios de acceso condicional, configuraciones para el acceso privado, operaciones de escritura en segmentos de aplicación y administración de asignaciones de usuarios para perfiles de tráfico.

Importante

Es muy recomendable utilizar un enfoque de mínimos privilegios por razones de seguridad. El rol Administrador global solo es necesario para configurar el registro de Office 365, tal como se describe en la tabla. Para todos los demás escenarios, use el rol con menos privilegios necesario para administrar el servicio. Para obtener más información acerca del reconocimiento mínimo, consulte Roles con privilegios mínimos por tarea en Microsoft Entra ID. Para obtener más información acerca de los privilegios mínimos en la gobernanza de Microsoft Entra ID, consulte Principio de privilegios mínimos con la gobernanza de identificadores de Entra de Microsoft.

Administrador de seguridad

Acceso limitado: este rol concede permisos para realizar tareas específicas, como configurar redes remotas, configurar perfiles de seguridad, administrar perfiles de reenvío de tráfico y ver registros de tráfico y alertas. Sin embargo, los administradores de seguridad no pueden configurar el acceso privado ni habilitar el registro de Office 365.

Administrador de Acceso seguro global

Acceso limitado: este rol concede permisos para realizar tareas específicas, como configurar redes remotas, configurar perfiles de seguridad, administrar perfiles de reenvío de tráfico y ver registros de tráfico y alertas. Sin embargo, los administradores de acceso seguro global no pueden configurar el acceso privado, crear o administrar directivas de acceso condicional, administrar asignaciones de usuarios y grupos o configurar el registro de Office 365.

Nota:

Para realizar tareas adicionales de Microsoft Entra, como editar directivas de acceso condicional, debe ser un administrador de GSA y tener asignado al menos otro rol de administrador. Consulte la tabla Permisos basados en roles anterior.

Administrador de acceso condicional

Administración del acceso condicional: este rol puede crear y administrar directivas de acceso condicional para Acceso global seguro, como administrar todas las ubicaciones de red compatibles y usar perfiles de seguridad de Acceso global seguro.

Administrador de aplicaciones

Configuración de acceso privado: este rol puede configurar el acceso privado, incluido el acceso rápido, los conectores de red privada, los segmentos de aplicación y las aplicaciones empresariales.

Lector de seguridad y Lector global

Acceso de solo lectura: estos roles tienen acceso de solo lectura completo a todos los aspectos de Acceso global seguro, excepto los registros de tráfico. No pueden cambiar ninguna configuración ni realizar ninguna acción.

Permisos basados en roles

Los siguientes roles de administrador de Microsoft Entra ID tienen acceso a Acceso global seguro:

Permisos Administrador global Administrador de seguridad Administrador de GSA Administrador de CA Administrador de aplicaciones Lector global Lector de seguridad
Configuración del acceso privado (acceso rápido, conectores de red privada, segmentos de aplicación y aplicaciones empresariales)
Creación e interacción con directivas de acceso condicional
Administración de perfiles de reenvío de tráfico
Asignaciones de usuarios y grupos
Configuración de redes remotas
Perfiles de seguridad de campo
Visualización de registros y alertas de tráfico
Visualización de todos los demás registros
Configuración de restricciones de inquilino universal y señalización de Acceso global seguro para el acceso condicional
Configurar el registro de Office 365
Acceso de solo lectura a la configuración del producto

Pasos siguientes