Ingebouwde rollen van Microsoft Global Secure Access
Global Secure Access (GSA) maakt gebruik van Role-Based RBAC (Access Control) om de beheertoegang effectief te beheren. Microsoft Entra ID vereist standaard specifieke beheerdersrollen voor toegang tot globale beveiligde toegang.
In dit artikel worden de ingebouwde Microsoft Entra-rollen beschreven die u kunt toewijzen voor het beheren van globale beveiligde toegang.
Globale beheerder
Volledige toegang: met deze rol krijgen beheerders volledige machtigingen binnen Globale beveiligde toegang. Ze kunnen beleidsregels beheren, instellingen configureren en logboeken weergeven; inclusief scenario's voor voorwaardelijke toegang, configuraties voor privétoegang, schrijfbewerkingen op toepassingssegmenten en beheer van gebruikerstoewijzingen voor verkeersprofielen.
Belangrijk
Het wordt ten zeerste aanbevolen om om veiligheidsredenen een benadering met minimale bevoegdheden te gebruiken. De rol Globale beheerder is alleen vereist voor het configureren van verrijkte Microsoft 365-logboeken, zoals beschreven in de tabel. Gebruik voor alle andere scenario's de minst bevoegde rol die is vereist om de service te beheren. Zie Rollen met minimale bevoegdheden per taak in Microsoft Entra IDvoor meer informatie over minst bevoorrechte rollen. Zie het principe van minimale bevoegdheden met Microsoft Entra ID-governance voor meer informatie over minimale bevoegdheden in Microsoft Entra ID-governance.
Beveiligingsbeheer
Beperkte toegang: deze rol verleent machtigingen voor het uitvoeren van specifieke taken, zoals het configureren van externe netwerken, het instellen van beveiligingsprofielen, het beheren van doorstuurprofielen voor verkeer en het weergeven van verkeerslogboeken en waarschuwingen. Beveiligingsbeheerders kunnen echter geen privétoegang configureren of verrijkte Microsoft 365-logboeken inschakelen.
Globale beheerder voor beveiligde toegang
Beperkte toegang: deze rol verleent machtigingen voor het uitvoeren van specifieke taken, zoals het configureren van externe netwerken, het instellen van beveiligingsprofielen, het beheren van doorstuurprofielen voor verkeer en het weergeven van verkeerslogboeken en waarschuwingen. Globale secure access-beheerders kunnen echter geen privétoegang configureren, beleid voor voorwaardelijke toegang maken of beheren, gebruikers- en groepstoewijzingen beheren of verrijkte Microsoft 365-logboeken configureren.
Notitie
Als u extra Microsoft Entra-taken wilt uitvoeren, zoals het bewerken van beleid voor voorwaardelijke toegang, moet u zowel een globale beheerder voor beveiligde toegang zijn als ten minste één andere beheerdersrol aan u toegewezen. Raadpleeg de bovenstaande tabel met machtigingen op basis van rollen.
Beheerder voor voorwaardelijke toegang
Beheer van voorwaardelijke toegang: met deze rol kunt u beleidsregels voor voorwaardelijke toegang maken en beheren voor globale beveiligde toegang, zoals het beheren van alle compatibele netwerklocaties en het gebruik van globale beveiligingsprofielen voor beveiligde toegang.
Toepassingsbeheerder
Configuratie voor privétoegang: deze rol kan persoonlijke toegang configureren, waaronder Snelle toegang, connectors voor privénetwerken, toepassingssegmenten en bedrijfstoepassingen.
Globale logboeklezer voor beveiligde toegang
alleen-lezentoegang: deze rol is voornamelijk bedoeld voor beveiligings- en netwerkpersoneel dat alleen-lezen zichtbaarheid nodig heeft in verkeerslogboeken en gerelateerde inzichten om netwerkactiviteiten effectief te bewaken en te analyseren zonder de mogelijkheid om wijzigingen in de omgeving aan te brengen. Gebruikers met deze rol kunnen gedetailleerde GSA-verkeerslogboeken bekijken, waaronder sessie-, verbindings- en transactiegegevens, evenals toegang en controle van waarschuwingen en rapporten in de GSA-portal.
Beveiligingslezer en globale lezer
alleen-lezentoegang: deze rollen hebben volledige alleen-lezentoegang tot alle aspecten van globale beveiligde toegang, met uitzondering van verkeerslogboeken. Ze kunnen geen instellingen wijzigen of acties uitvoeren.
Machtigingen op basis van rollen
De volgende Microsoft Entra ID-beheerdersrollen hebben toegang tot globale beveiligde toegang:
| Machtigingen | Globale beheerder | Beveiligingsbeheerder | GSA-beheerder | CA-beheerder | Apps-beheerder | Globale lezer | Beveiligingslezer | GSA-logboeklezer |
|---|---|---|---|---|---|---|---|---|
| Privétoegang configureren (Snelle toegang, connectors voor privénetwerken, toepassingssegmenten en bedrijfs-apps) | ✅ | ✅ | ||||||
| Beleid voor voorwaardelijke toegang maken en ermee werken | ✅ | ✅ | ✅ | |||||
| Profielen voor het doorsturen van verkeer beheren | ✅ | ✅ | ✅ | |||||
| Gebruikers- en groepstoewijzingen | ✅ | ✅ | ||||||
| Externe netwerken configureren | ✅ | ✅ | ✅ | |||||
| Beveiligingsprofielen | ✅ | ✅ | ✅ | |||||
| Verkeerslogboeken en -waarschuwingen weergeven | ✅ | ✅ | ✅ | ✅ | ||||
| Alle andere logboeken en dashboards weergeven | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Universele tenantbeperkingen en globale secure access-signalering configureren voor voorwaardelijke toegang | ✅ | ✅ | ✅ | |||||
| Verrijkte Microsoft 365-logboeken configureren | ✅ | |||||||
| Alleen-lezentoegang tot productinstellingen | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |