Funções integradas do Microsoft Global Secure Access
O Global Secure Access usa Serviço de Controle de Acesso Baseado em Função (RBAC) para gerenciar com eficácia o acesso administrativo. Por padrão, o Microsoft Entra ID requer funções de administrador específicas para acessar o Global Secure Access.
Esse artigo detalha as funções internas do Microsoft Entra que você pode atribuir para gerenciar o Global Secure Access.
Administrador Global
Acesso total: Essa função concede aos administradores permissões completas no Global Secure Access. Eles podem gerenciar políticas, definir configurações e visualizar logs; incluindo cenários de acesso condicional, configurações para acesso privado, operações de gravação em segmentos de aplicativos e gerenciamento de atribuições de usuários para perfis de tráfego.
Importante
É altamente recomendável usar uma abordagem de privilégios mínimos por motivos de segurança. A função Administrador Global só é necessária para configurar o registro em log do Office 365 conforme descrito na tabela. Para todos os outros cenários, use a função de menor privilégio necessária para administrar o serviço. Para saber mais sobre o princípio do privilégio mínimo, consulte Funções com privilégios mínimos por tarefa no Microsoft Entra ID. Para saber mais sobre o princípio do privilégio mínimo na Governança do Microsoft Entra ID, consulte O princípio do privilégio mínimo com a Governança do Microsoft Entra ID.
Administrador de Segurança
Acesso limitado: Essa função concede permissões para executar tarefas específicas, como configurar redes remotas, configurar perfis de segurança, gerenciar perfis de encaminhamento de tráfego e visualizar logs e alertas de tráfego. No entanto, os administradores de segurança não podem configurar o Acesso Privado ou habilitar o log do Office 365.
Administrador de Acesso Seguro Global
Acesso limitado: Essa função concede permissões para executar tarefas específicas, como configurar redes remotas, configurar perfis de segurança, gerenciar perfis de encaminhamento de tráfego e visualizar logs e alertas de tráfego. No entanto, os administradores do Acesso Seguro Global não podem configurar o Acesso Privado, criar ou gerenciar políticas de Acesso Condicional, gerenciar atribuições de usuários e grupos ou configurar o registro em log do Office 365.
Observação
Para executar tarefas adicionais do Microsoft Entra, como editar políticas de acesso condicional, você precisa ser administrador do GSA e ter pelo menos uma outra função de administrador atribuída a você. Consulte a tabela de permissões baseadas em funções acima.
Administrador de acesso condicional
Gerenciamento de acesso condicional: Essa função pode criar e gerenciar políticas de acesso condicional para acesso seguro global, como gerenciar todos os locais de rede compatíveis e utilizar perfis de segurança de acesso seguro global.
Administrador de Aplicativos
Configuração de acesso privado: Essa função pode configurar o acesso privado, incluindo acesso rápido, conectores de rede privada, segmentos de aplicativos e aplicativos corporativos.
Leitor de Segurança e Leitor Global
Acesso somente leitura: Essas funções têm acesso somente leitura total a todos os aspectos do Global Secure Access, exceto logs de tráfego. Eles não podem alterar nenhuma configuração nem realizar nenhuma ação.
Permissões baseadas em função
As seguintes funções de administrador do Microsoft Entra ID têm acesso ao Global Secure Access:
| Permissões | Administrador Global | Administrador de Segurança | Administrador do GSA | Administrador de CA | Administrador de Aplicativos | Leitor global | Leitor de segurança |
|---|---|---|---|---|---|---|---|
| Configurar o acesso privado (acesso rápido, conectores de rede privada, segmentos de aplicativos e aplicativos empresariais) | ✅ | ✅ | |||||
| Criar e interagir com políticas de acesso condicional | ✅ | ✅ | ✅ | ||||
| Gerenciar perfis de encaminhamento de tráfego | ✅ | ✅ | ✅ | ||||
| Atribuições de usuários e grupos | ✅ | ✅ | |||||
| Configurar redes remotas | ✅ | ✅ | ✅ | ||||
| Perfis de segurança | ✅ | ✅ | ✅ | ||||
| Exibir registros e alertas de tráfego | ✅ | ✅ | ✅ | ||||
| Exibir todos os outros registros | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configurar restrições universais de locatário e sinalização de acesso seguro global para acesso condicional | ✅ | ✅ | ✅ | ||||
| Configurar o log do Office 365 | ✅ | ||||||
| Acesso somente leitura às configurações do produto | ✅ | ✅ | ✅ | ✅ | ✅ |