Ruoli predefiniti di Microsoft Global Secure Access
Global Secure Access (GSA) usa Role-Based controllo di accesso (RBAC) per gestire in modo efficace l'accesso amministrativo. Per impostazione predefinita, Microsoft Entra ID richiede ruoli di amministratore specifici per l'accesso a Accesso sicuro globale.
Questo articolo illustra in dettaglio i ruoli predefiniti di Microsoft Entra che è possibile assegnare per la gestione dell'accesso sicuro globale.
Amministratore globale
Accesso completo: questo ruolo concede agli amministratori le autorizzazioni complete all'interno di Accesso sicuro globale. Possono gestire criteri, configurare le impostazioni e visualizzare i log; inclusi scenari di accesso condizionale, configurazioni per l'accesso privato, operazioni di scrittura su segmenti di applicazioni e gestione delle assegnazioni utente per i profili di traffico.
Importante
È consigliabile usare un approccio con privilegi minimi per motivi di sicurezza. Il ruolo Amministratore globale è necessario solo per configurare i log di Microsoft 365 arricchiti, come descritto nella tabella. Per tutti gli altri scenari, usare il ruolo con privilegi minimi necessari per amministrare il servizio. Per altre informazioni sui privilegi minimi, vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID. Per altre informazioni sui privilegi minimi in Microsoft Entra ID Governance, vedere Il principio dei privilegi minimi con Microsoft Entra ID Governance.
Amministratore della sicurezza
Accesso limitato: questo ruolo concede le autorizzazioni per eseguire attività specifiche, ad esempio la configurazione di reti remote, la configurazione di profili di sicurezza, la gestione dei profili di inoltro del traffico e la visualizzazione di log e avvisi del traffico. Tuttavia, gli amministratori della sicurezza non possono configurare l'accesso privato o abilitare i log di Microsoft 365 arricchiti.
Amministratore Accesso globale sicuro
Accesso limitato: questo ruolo concede le autorizzazioni per eseguire attività specifiche, ad esempio la configurazione di reti remote, la configurazione di profili di sicurezza, la gestione dei profili di inoltro del traffico e la visualizzazione di log e avvisi del traffico. Tuttavia, gli amministratori globali di Accesso sicuro non possono configurare l'accesso privato, creare o gestire criteri di accesso condizionale, gestire le assegnazioni di utenti e gruppi o configurare i log arricchiti di Microsoft 365.
Nota
Per eseguire attività aggiuntive di Microsoft Entra, ad esempio la modifica dei criteri di accesso condizionale, è necessario essere sia un amministratore di accesso sicuro globale che avere almeno un altro ruolo di amministratore assegnato. Vedere la tabella delle autorizzazioni basate sui ruoli precedente.
Amministratore dell’accesso condizionale
Gestione dell'accesso condizionale: questo ruolo può creare e gestire criteri di accesso condizionale per l'accesso sicuro globale, ad esempio la gestione di tutti i percorsi di rete conformi e l'uso dei profili di sicurezza di Accesso sicuro globale.
Amministratore di applicazioni
Configurazione dell'accesso privato: questo ruolo può configurare l'accesso privato, inclusi Accesso rapido, connettori di rete privati, segmenti di applicazioni e applicazioni aziendali.
Lettore di log di accesso sicuro globale
accesso in sola lettura: questo ruolo è destinato principalmente al personale di sicurezza e di rete che necessita di visibilità di sola lettura nei log del traffico e informazioni dettagliate correlate per monitorare e analizzare in modo efficace le attività di rete senza la possibilità di apportare modifiche all'ambiente. Gli utenti con questo ruolo possono visualizzare log dettagliati del traffico GSA, inclusi i dati di sessione, connessione e transazione, nonché l'accesso e la revisione di avvisi e report nel portale GSA.
Lettore di sicurezza e lettore globale
accesso in sola lettura: questi ruoli hanno accesso in sola lettura completo a tutti gli aspetti dell'accesso sicuro globale, ad eccezione dei log del traffico. Non possono modificare alcuna impostazione o eseguire alcuna azione.
Autorizzazioni basate sui ruoli
I ruoli di amministratore di Microsoft Entra ID seguenti hanno accesso a Accesso sicuro globale:
| Autorizzazioni | Amministratore globale | Amministrazione della protezione | Amministratore GSA | Amministratore CA | Amministratore delle app | Ruolo con autorizzazioni di lettura globali | Ruolo con autorizzazioni di lettura per la sicurezza | lettore log GSA |
|---|---|---|---|---|---|---|---|---|
| Configurare l'accesso privato (accesso rapido, connettori di rete privata, segmenti di applicazioni e app aziendali) | ✅ | ✅ | ||||||
| Creare e interagire con i criteri di accesso condizionale | ✅ | ✅ | ✅ | |||||
| Gestire i profili di inoltro del traffico | ✅ | ✅ | ✅ | |||||
| Assegnazioni di utenti e gruppi | ✅ | ✅ | ||||||
| Configurare le reti remote | ✅ | ✅ | ✅ | |||||
| Profili di sicurezza | ✅ | ✅ | ✅ | |||||
| Visualizzare i log e gli avvisi del traffico | ✅ | ✅ | ✅ | ✅ | ||||
| Visualizzare tutti gli altri log e dashboard | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configurare le restrizioni del tenant universale e la segnalazione dell'accesso sicuro globale per l'accesso condizionale | ✅ | ✅ | ✅ | |||||
| Configurare i log arricchiti di Microsoft 365 | ✅ | |||||||
| Accesso in sola lettura alle impostazioni del prodotto | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |