Roles integrados de Acceso seguro global de Microsoft
El acceso global seguro usa el control de acceso basado en rol (RBAC) para administrar eficazmente el acceso administrativo. De forma predeterminada, Microsoft Entra ID requiere roles de administrador específicos para acceder a Acceso seguro global.
En este artículo se detallan los roles integrados de Microsoft Entra que puede asignar para administrar el acceso global seguro.
Administrador global
Acceso completo: este rol concede a los administradores permisos completos en Acceso seguro global. Pueden administrar directivas, configurar opciones y ver registros; incluidos escenarios de acceso condicional, configuraciones para el acceso privado, operaciones de escritura en segmentos de aplicación y administración de asignaciones de usuarios para perfiles de tráfico.
Importante
Es muy recomendable utilizar un enfoque de mínimos privilegios por razones de seguridad. El rol Administrador global solo es necesario para configurar el registro de Office 365, tal como se describe en la tabla. Para todos los demás escenarios, use el rol con menos privilegios necesario para administrar el servicio. Para obtener más información acerca del reconocimiento mínimo, consulte Roles con privilegios mínimos por tarea en Microsoft Entra ID. Para obtener más información acerca de los privilegios mínimos en la gobernanza de Microsoft Entra ID, consulte Principio de privilegios mínimos con la gobernanza de identificadores de Entra de Microsoft.
Administrador de seguridad
Acceso limitado: este rol concede permisos para realizar tareas específicas, como configurar redes remotas, configurar perfiles de seguridad, administrar perfiles de reenvío de tráfico y ver registros de tráfico y alertas. Sin embargo, los administradores de seguridad no pueden configurar el acceso privado ni habilitar el registro de Office 365.
Administrador de Acceso seguro global
Acceso limitado: este rol concede permisos para realizar tareas específicas, como configurar redes remotas, configurar perfiles de seguridad, administrar perfiles de reenvío de tráfico y ver registros de tráfico y alertas. Sin embargo, los administradores de acceso seguro global no pueden configurar el acceso privado, crear o administrar directivas de acceso condicional, administrar asignaciones de usuarios y grupos o configurar el registro de Office 365.
Nota:
Para realizar tareas adicionales de Microsoft Entra, como editar directivas de acceso condicional, debe ser un administrador de GSA y tener asignado al menos otro rol de administrador. Consulte la tabla Permisos basados en roles anterior.
Administrador de acceso condicional
Administración del acceso condicional: este rol puede crear y administrar directivas de acceso condicional para Acceso global seguro, como administrar todas las ubicaciones de red compatibles y usar perfiles de seguridad de Acceso global seguro.
Administrador de aplicaciones
Configuración de acceso privado: este rol puede configurar el acceso privado, incluido el acceso rápido, los conectores de red privada, los segmentos de aplicación y las aplicaciones empresariales.
Lector de seguridad y Lector global
Acceso de solo lectura: estos roles tienen acceso de solo lectura completo a todos los aspectos de Acceso global seguro, excepto los registros de tráfico. No pueden cambiar ninguna configuración ni realizar ninguna acción.
Permisos basados en roles
Los siguientes roles de administrador de Microsoft Entra ID tienen acceso a Acceso global seguro:
| Permisos | Administrador global | Administrador de seguridad | Administrador de GSA | Administrador de CA | Administrador de aplicaciones | Lector global | Lector de seguridad |
|---|---|---|---|---|---|---|---|
| Configuración del acceso privado (acceso rápido, conectores de red privada, segmentos de aplicación y aplicaciones empresariales) | ✅ | ✅ | |||||
| Creación e interacción con directivas de acceso condicional | ✅ | ✅ | ✅ | ||||
| Administración de perfiles de reenvío de tráfico | ✅ | ✅ | ✅ | ||||
| Asignaciones de usuarios y grupos | ✅ | ✅ | |||||
| Configuración de redes remotas | ✅ | ✅ | ✅ | ||||
| Perfiles de seguridad de campo | ✅ | ✅ | ✅ | ||||
| Visualización de registros y alertas de tráfico | ✅ | ✅ | ✅ | ||||
| Visualización de todos los demás registros | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configuración de restricciones de inquilino universal y señalización de Acceso global seguro para el acceso condicional | ✅ | ✅ | ✅ | ||||
| Configurar el registro de Office 365 | ✅ | ||||||
| Acceso de solo lectura a la configuración del producto | ✅ | ✅ | ✅ | ✅ | ✅ |