Wbudowane role dostępu bezpiecznego dostępu firmy Microsoft
Globalny bezpieczny dostęp używa kontroli dostępu opartej na rolach (RBAC) do efektywnego zarządzania dostępem administracyjnym. Domyślnie identyfikator Entra firmy Microsoft wymaga określonych ról administratora na potrzeby uzyskiwania dostępu do globalnego bezpiecznego dostępu.
Ten artykuł zawiera szczegółowe informacje o wbudowanych rolach firmy Microsoft, które można przypisać do zarządzania globalnym bezpiecznym dostępem.
Globalny administrator usługi
Pełny dostęp: ta rola udziela administratorom pełnych uprawnień w ramach globalnego bezpiecznego dostępu. Mogą zarządzać zasadami, konfigurować ustawienia i wyświetlać dzienniki; w tym scenariusze dostępu warunkowego, konfiguracje dostępu prywatnego, operacje zapisu w segmentach aplikacji i zarządzanie przypisaniami użytkowników dla profilów ruchu.
Ważne
Zdecydowanie zaleca się stosowanie podejścia z najmniejszymi uprawnieniami ze względów bezpieczeństwa. Rola administratora globalnego jest wymagana tylko do skonfigurowania rejestrowania usługi Office 365 zgodnie z opisem w tabeli. W przypadku wszystkich innych scnearios użyj najmniejszej roli priveledge wymaganej do administrowania usługą. Aby dowiedzieć się więcej na temat najmniej priveledge, zobacz Najmniej uprzywilejowane role według zadania w usłudze Microsoft Entra ID. Aby dowiedzieć się więcej na temat najniższych uprawnień w Zarządzanie tożsamością Microsoft Entra, zobacz Zasada najniższych uprawnień z Zarządzanie tożsamością Microsoft Entra.
Administrator zabezpieczeń
Ograniczony dostęp: Ta rola udziela uprawnień do wykonywania określonych zadań, takich jak konfigurowanie sieci zdalnych, konfigurowanie profilów zabezpieczeń, zarządzanie profilami przekazywania ruchu oraz wyświetlanie dzienników ruchu i alertów. Jednak administratorzy zabezpieczeń nie mogą skonfigurować dostępu prywatnego ani włączyć rejestrowania usługi Office 365.
Globalny administrator bezpiecznego dostępu
Ograniczony dostęp: Ta rola udziela uprawnień do wykonywania określonych zadań, takich jak konfigurowanie sieci zdalnych, konfigurowanie profilów zabezpieczeń, zarządzanie profilami przekazywania ruchu oraz wyświetlanie dzienników ruchu i alertów. Jednak administratorzy globalnego bezpiecznego dostępu nie mogą konfigurować dostępu prywatnego, tworzyć zasad dostępu warunkowego ani zarządzać nimi, zarządzać przypisaniami użytkowników i grup ani konfigurować rejestrowania usługi Office 365.
Uwaga
Aby wykonać dodatkowe zadania firmy Microsoft Entra, takie jak edytowanie zasad dostępu warunkowego, musisz być zarówno administratorem GSA, jak i mieć przypisaną co najmniej jedną inną rolę administratora. Zapoznaj się z tabelą Uprawnienia oparte na rolach powyżej.
Administrator dostępu warunkowego
Zarządzanie dostępem warunkowym: ta rola może tworzyć zasady dostępu warunkowego dla globalnego bezpiecznego dostępu i zarządzać nimi, takie jak zarządzanie wszystkimi zgodnymi lokalizacjami sieciowymi i korzystanie z globalnych profilów zabezpieczeń bezpiecznego dostępu.
Administrator aplikacji
Konfiguracja dostępu prywatnego: ta rola może skonfigurować dostęp prywatny, w tym szybki dostęp, łączniki sieci prywatnej, segmenty aplikacji i aplikacje dla przedsiębiorstw.
Czytelnik zabezpieczeń i czytelnik globalny
Dostęp tylko do odczytu: te role mają pełny dostęp tylko do odczytu do wszystkich aspektów globalnego bezpiecznego dostępu, z wyjątkiem dzienników ruchu. Nie mogą zmieniać żadnych ustawień ani wykonywać żadnych akcji.
Uprawnienia oparte na rolach
Następujące role administratora identyfikatora entra firmy Microsoft mają dostęp do globalnego bezpiecznego dostępu:
| Uprawnienia | Administrator globalny | Administrator zabezpieczeń | Administrator GSA | Administrator urzędu certyfikacji | Administrator aplikacji | Czytelnik globalny | Czytelnik zabezpieczeń |
|---|---|---|---|---|---|---|---|
| Konfigurowanie dostępu prywatnego (szybki dostęp, łączniki sieci prywatnej, segmenty aplikacji i aplikacje dla przedsiębiorstw) | ✅ | ✅ | |||||
| Tworzenie zasad dostępu warunkowego i interakcja z nimi | ✅ | ✅ | ✅ | ||||
| Zarządzanie profilami przesyłania dalej ruchu | ✅ | ✅ | ✅ | ||||
| Przypisania użytkowników i grup | ✅ | ✅ | |||||
| Konfigurowanie sieci zdalnych | ✅ | ✅ | ✅ | ||||
| Profile zabezpieczeń | ✅ | ✅ | ✅ | ||||
| Wyświetlanie dzienników ruchu i alertów | ✅ | ✅ | ✅ | ||||
| Wyświetl wszystkie inne dzienniki | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Konfigurowanie ograniczeń dzierżawy uniwersalnej i globalnego sygnału bezpiecznego dostępu na potrzeby dostępu warunkowego | ✅ | ✅ | ✅ | ||||
| Konfigurowanie rejestrowania usługi Office 365 | ✅ | ||||||
| Dostęp tylko do odczytu do ustawień produktu | ✅ | ✅ | ✅ | ✅ | ✅ |