Ruoli predefiniti di Microsoft Global Secure Access
L'accesso sicuro globale usa il controllo degli Controllo di accesso accessi in base al ruolo (RBAC) per gestire in modo efficace l'accesso amministrativo. Per impostazione predefinita, Microsoft Entra ID richiede ruoli di amministratore specifici per l'accesso a Accesso sicuro globale.
Questo articolo illustra in dettaglio i ruoli predefiniti di Microsoft Entra che è possibile assegnare per la gestione dell'accesso sicuro globale.
Amministratore globale
Accesso completo: questo ruolo concede agli amministratori le autorizzazioni complete all'interno di Accesso sicuro globale. Possono gestire criteri, configurare le impostazioni e visualizzare i log; inclusi scenari di accesso condizionale, configurazioni per l'accesso privato, operazioni di scrittura su segmenti di applicazioni e gestione delle assegnazioni utente per i profili di traffico.
Importante
È consigliabile usare un approccio con privilegi minimi per motivi di sicurezza. Il ruolo Amministratore globale è necessario solo per configurare la registrazione di Office 365 come descritto nella tabella. Per tutti gli altri scnearios, usare il ruolo meno privato necessario per amministrare il servizio. Per altre informazioni sulla meno privazione, vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID. Per altre informazioni sui privilegi minimi in Microsoft Entra ID Governance, vedere Il principio dei privilegi minimi con Microsoft Entra ID Governance.
Amministratore della sicurezza
Accesso limitato: questo ruolo concede le autorizzazioni per eseguire attività specifiche, ad esempio la configurazione di reti remote, la configurazione di profili di sicurezza, la gestione dei profili di inoltro del traffico e la visualizzazione di log e avvisi del traffico. Tuttavia, gli amministratori della sicurezza non possono configurare l'accesso privato o abilitare la registrazione di Office 365.
Amministratore Accesso globale sicuro
Accesso limitato: questo ruolo concede le autorizzazioni per eseguire attività specifiche, ad esempio la configurazione di reti remote, la configurazione di profili di sicurezza, la gestione dei profili di inoltro del traffico e la visualizzazione di log e avvisi del traffico. Tuttavia, gli amministratori globali di Accesso sicuro non possono configurare l'accesso privato, creare o gestire criteri di accesso condizionale, gestire le assegnazioni di utenti e gruppi o configurare la registrazione di Office 365.
Nota
Per eseguire attività aggiuntive di Microsoft Entra, ad esempio la modifica dei criteri di accesso condizionale, è necessario essere sia un amministratore di accesso sicuro globale che avere almeno un altro ruolo di amministratore assegnato. Vedere la tabella delle autorizzazioni basate sui ruoli precedente.
Amministratore dell’accesso condizionale
Gestione dell'accesso condizionale: questo ruolo può creare e gestire criteri di accesso condizionale per l'accesso sicuro globale, ad esempio la gestione di tutti i percorsi di rete conformi e l'uso dei profili di sicurezza di Accesso sicuro globale.
Amministratore di applicazioni
Configurazione dell'accesso privato: questo ruolo può configurare l'accesso privato, inclusi Accesso rapido, connettori di rete privati, segmenti di applicazioni e applicazioni aziendali.
Lettore di sicurezza e lettore globale
Accesso in sola lettura: questi ruoli hanno accesso in sola lettura completo a tutti gli aspetti dell'accesso sicuro globale, ad eccezione dei log del traffico. Non possono modificare alcuna impostazione o eseguire alcuna azione.
Autorizzazioni basate sui ruoli
I ruoli di amministratore di Microsoft Entra ID seguenti hanno accesso a Accesso sicuro globale:
| Autorizzazioni | Amministratore globale | Amministrazione della protezione | Amministratore GSA | Amministratore CA | Amministratore delle app | Ruolo con autorizzazioni di lettura globali | Ruolo con autorizzazioni di lettura per la sicurezza |
|---|---|---|---|---|---|---|---|
| Configurare l'accesso privato (accesso rapido, connettori di rete privata, segmenti di applicazioni e app aziendali) | ✅ | ✅ | |||||
| Creare e interagire con i criteri di accesso condizionale | ✅ | ✅ | ✅ | ||||
| Gestire i profili di inoltro del traffico | ✅ | ✅ | ✅ | ||||
| Assegnazioni di utenti e gruppi | ✅ | ✅ | |||||
| Configurare le reti remote | ✅ | ✅ | ✅ | ||||
| Profili di sicurezza | ✅ | ✅ | ✅ | ||||
| Visualizzare i log e gli avvisi del traffico | ✅ | ✅ | ✅ | ||||
| Visualizzare tutti gli altri log | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configurare le restrizioni del tenant universale e la segnalazione dell'accesso sicuro globale per l'accesso condizionale | ✅ | ✅ | ✅ | ||||
| Configurare la registrazione di Office 365 | ✅ | ||||||
| Accesso in sola lettura alle impostazioni del prodotto | ✅ | ✅ | ✅ | ✅ | ✅ |