Microsoft グローバル セキュア アクセスの組み込みロール
グローバル セキュリティで保護されたアクセス (GSA) では、Role-Based アクセス制御 (RBAC) を使用して、管理アクセスを効果的に管理します。 グローバル セキュア アクセスにアクセスするには、既定では、Microsoft Entra ID に特定の管理者ロールが必要です。
この記事では、グローバル セキュア アクセスを管理するために割り当てることができる組み込みの Microsoft Entra ロールについて詳しく説明します。
グローバル管理者
フル アクセス: このロールは、グローバル セキュア アクセス内で管理者に完全なアクセス許可を付与します。 条件付きアクセス シナリオ、プライベート アクセスの構成、アプリケーション セグメントに対する書き込み操作、トラフィック プロファイルのユーザー割り当ての管理など、ポリシーの管理、設定の構成、ログの表示を行うことができます。
重要
セキュリティ上の理由から、最小限の特権のアプローチを使用することを強くお勧めします。 グローバル管理者ロールは、次の表に示すように、強化された Microsoft 365 ログを構成する場合にのみ必要です。 その他のすべてのシナリオでは、サービスの管理に必要な最小限の特権ロールを使用します。 最小特権の詳細については、Microsoft Entra ID のタスク別の最小特権ロールのを参照してください。 Microsoft Entra ID Governance での最小限の特権の詳細については、「Microsoft Entra ID Governance での最小限の特権の原則」を参照してください。
セキュリティ管理者
制限付きアクセス: このロールは、リモート ネットワークの構成、セキュリティ プロファイルの設定、トラフィック転送プロファイルの管理、トラフィック ログとアラートの表示など、特定のタスクを実行するアクセス許可を付与します。 ただし、セキュリティ管理者はプライベート アクセスを構成したり、強化された Microsoft 365 ログを有効にしたりすることはできません。
Global Secure Access 管理者
制限付きアクセス: このロールは、リモート ネットワークの構成、セキュリティ プロファイルの設定、トラフィック転送プロファイルの管理、トラフィック ログとアラートの表示など、特定のタスクを実行するアクセス許可を付与します。 ただし、グローバル セキュリティで保護されたアクセス管理者は、プライベート アクセスの構成、条件付きアクセス ポリシーの作成または管理、ユーザーとグループの割り当ての管理、強化された Microsoft 365 ログの構成を行うことはできません。
Note
条件付きアクセス ポリシーの編集など、追加の Microsoft Entra タスクを実行するには、グローバル セキュリティで保護されたアクセス管理者であり、少なくとも 1 つの他の管理者ロールが割り当てられている必要があります。 上記のロールベースのアクセス許可の表を参照してください。
条件付きアクセス管理者
条件付きアクセス管理: このロールは、すべての準拠ネットワークの場所の管理やグローバル セキュア アクセス セキュリティ プロファイルの利用など、グローバル セキュア アクセスの条件付きアクセス ポリシーを作成および管理できます。
アプリケーション管理者
プライベート アクセスの構成: このロールは、クイック アクセス、プライベート ネットワーク コネクタ、アプリケーション セグメント、エンタープライズ アプリケーションなど、プライベート アクセスを構成できます。
グローバルなセキュリティで保護されたアクセス ログ 閲覧者
読み取り専用アクセス: このロールは、主に、環境に変更を加えることなくネットワーク アクティビティを効果的に監視および分析するために、トラフィック ログと関連する分析情報の読み取り専用の可視性を必要とするセキュリティおよびネットワーク担当者を対象としています。 このロールを持つユーザーは、セッション、接続、トランザクション データなどの詳細な GSA トラフィック ログを表示できるほか、GSA ポータルでアラートとレポートにアクセスして確認できます。
セキュリティ閲覧者とグローバル閲覧者
読み取り専用アクセス: これらのロールには、トラフィック ログを除くグローバル セキュア アクセスのすべての側面に対する完全な読み取り専用アクセス権があります。 設定の変更またはアクションの実行を行うことはできません。
ロール ベース アクセス許可
グローバル セキュア アクセスにアクセスできる Microsoft Entra ID 管理者ロールは次のとおりです。
| アクセス許可 | 全体管理者 | Security Admin | GSA 管理者 | CA 管理者 | アプリ管理者 | グローバル閲覧者 | Security Reader | GSA ログ リーダー の |
|---|---|---|---|---|---|---|---|---|
| プライベート アクセスの構成 (クイック アクセス、プライベート ネットワーク コネクタ、アプリケーション セグメント、エンタープライズ アプリ) | ✅ | ✅ | ||||||
| 条件付きアクセス ポリシーを作成して操作する | ✅ | ✅ | ✅ | |||||
| トラフィック転送プロファイルの管理 | ✅ | ✅ | ✅ | |||||
| ユーザーおよびグループの割り当て | ✅ | ✅ | ||||||
| リモート ネットワークの構成 | ✅ | ✅ | ✅ | |||||
| セキュリティ プロファイル | ✅ | ✅ | ✅ | |||||
| トラフィック ログとアラートの表示 | ✅ | ✅ | ✅ | ✅ | ||||
| 他のすべてのログとダッシュボードを表示する | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 条件付きアクセス用のユニバーサル テナント制限とグローバル セキュア アクセス信号の構成 | ✅ | ✅ | ✅ | |||||
| 強化された Microsoft 365 ログを構成する | ✅ | |||||||
| 製品設定への読み取り専用アクセス | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |