Roles integrados de Acceso seguro global de Microsoft
El acceso seguro global (GSA) usa Role-Based Control de acceso (RBAC) para administrar eficazmente el acceso administrativo. De forma predeterminada, Microsoft Entra ID requiere roles de administrador específicos para acceder a Acceso seguro global.
En este artículo se detallan los roles integrados de Microsoft Entra que puede asignar para administrar el acceso global seguro.
Administrador global
Acceso completo: este rol concede a los administradores permisos completos en Acceso seguro global. Pueden administrar directivas, configurar opciones y ver registros; incluidos escenarios de acceso condicional, configuraciones para el acceso privado, operaciones de escritura en segmentos de aplicación y administración de asignaciones de usuarios para perfiles de tráfico.
Importante
Es muy recomendable utilizar un enfoque de mínimos privilegios por razones de seguridad. El rol Administrador global solo es necesario para configurar los registros enriquecidos de Microsoft 365, tal como se describe en la tabla. Para todos los demás escenarios, use el rol con privilegios mínimos necesarios para administrar el servicio. Para obtener más información sobre los privilegios mínimos, consulte roles con privilegios mínimos por tarea en Microsoft Entra ID. Para obtener más información acerca de los privilegios mínimos en la gobernanza de Microsoft Entra ID, consulte Principio de privilegios mínimos con la gobernanza de identificadores de Entra de Microsoft.
Administrador de seguridad
Acceso limitado: este rol concede permisos para realizar tareas específicas, como configurar redes remotas, configurar perfiles de seguridad, administrar perfiles de reenvío de tráfico y ver registros de tráfico y alertas. Sin embargo, los administradores de seguridad no pueden configurar el acceso privado ni habilitar registros enriquecidos de Microsoft 365.
Administrador de Acceso seguro global
Acceso limitado: este rol concede permisos para realizar tareas específicas, como configurar redes remotas, configurar perfiles de seguridad, administrar perfiles de reenvío de tráfico y ver registros de tráfico y alertas. Sin embargo, los administradores de acceso seguro global no pueden configurar el acceso privado, crear o administrar directivas de acceso condicional, administrar asignaciones de usuarios y grupos o configurar registros enriquecidos de Microsoft 365.
Nota:
Para realizar tareas adicionales de Microsoft Entra, como editar directivas de acceso condicional, debe ser un administrador de acceso seguro global y tener al menos otro rol de administrador asignado. Consulte la tabla Permisos basados en roles anterior.
Administrador de acceso condicional
Administración del acceso condicional: este rol puede crear y administrar directivas de acceso condicional para Acceso global seguro, como administrar todas las ubicaciones de red compatibles y usar perfiles de seguridad de Acceso global seguro.
Administrador de aplicaciones
Configuración de acceso privado: este rol puede configurar el acceso privado, incluido el acceso rápido, los conectores de red privada, los segmentos de aplicación y las aplicaciones empresariales.
Lector de registro de acceso seguro global
de acceso de solo lectura: este rol está pensado principalmente para el personal de seguridad y red que necesita visibilidad de solo lectura en los registros de tráfico y información relacionada para supervisar y analizar eficazmente la actividad de red sin la capacidad de realizar cambios en el entorno. Los usuarios con este rol pueden ver registros detallados de tráfico de GSA, incluidos los datos de sesión, conexión y transacción, así como acceso y revisión de alertas e informes en el portal de GSA.
Lector de seguridad y Lector global
acceso de solo lectura: estos roles tienen acceso de solo lectura completo a todos los aspectos del acceso seguro global, excepto los registros de tráfico. No pueden cambiar ninguna configuración ni realizar ninguna acción.
Permisos basados en roles
Los siguientes roles de administrador de Microsoft Entra ID tienen acceso a Acceso global seguro:
| Permisos | Administrador global | Administrador de seguridad | Administrador de GSA | Administrador de CA | Administrador de aplicaciones | Lector global | Lector de seguridad | del lector de registros de GSA de |
|---|---|---|---|---|---|---|---|---|
| Configuración del acceso privado (acceso rápido, conectores de red privada, segmentos de aplicación y aplicaciones empresariales) | ✅ | ✅ | ||||||
| Creación e interacción con directivas de acceso condicional | ✅ | ✅ | ✅ | |||||
| Administración de perfiles de reenvío de tráfico | ✅ | ✅ | ✅ | |||||
| Asignaciones de usuarios y grupos | ✅ | ✅ | ||||||
| Configuración de redes remotas | ✅ | ✅ | ✅ | |||||
| Perfiles de seguridad de campo | ✅ | ✅ | ✅ | |||||
| Visualización de registros y alertas de tráfico | ✅ | ✅ | ✅ | ✅ | ||||
| Ver todos los demás registros y paneles | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configuración de restricciones de inquilino universal y señalización de Acceso global seguro para el acceso condicional | ✅ | ✅ | ✅ | |||||
| Configuración de registros enriquecidos de Microsoft 365 | ✅ | |||||||
| Acceso de solo lectura a la configuración del producto | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |