Funções integradas do Microsoft Global Secure Access
O GSA (Global Secure Access) usa o RBAC (Controle de Acesso Role-Based) para gerenciar efetivamente o acesso administrativo. Por padrão, o Microsoft Entra ID requer funções de administrador específicas para acessar o Global Secure Access.
Esse artigo detalha as funções internas do Microsoft Entra que você pode atribuir para gerenciar o Global Secure Access.
Administrador Global
Acesso total: Essa função concede aos administradores permissões completas no Global Secure Access. Eles podem gerenciar políticas, definir configurações e visualizar logs; incluindo cenários de acesso condicional, configurações para acesso privado, operações de gravação em segmentos de aplicativos e gerenciamento de atribuições de usuários para perfis de tráfego.
Importante
É altamente recomendável usar uma abordagem de privilégios mínimos por motivos de segurança. A função administrador global só é necessária para configurar logs enriquecidos do Microsoft 365, conforme descrito na tabela. Para todos os outros cenários, use a função menos privilegiada necessária para administrar o serviço. Para saber mais sobre os menos privilegiados, consulte funções com privilégios mínimos por tarefa no Microsoft Entra ID. Para saber mais sobre o princípio do privilégio mínimo na Governança do Microsoft Entra ID, consulte O princípio do privilégio mínimo com a Governança do Microsoft Entra ID.
Administrador de Segurança
Acesso limitado: Essa função concede permissões para executar tarefas específicas, como configurar redes remotas, configurar perfis de segurança, gerenciar perfis de encaminhamento de tráfego e visualizar logs e alertas de tráfego. No entanto, os administradores de segurança não podem configurar o Acesso Privado nem habilitar logs aprimorados do Microsoft 365.
Administrador de Acesso Seguro Global
Acesso limitado: Essa função concede permissões para executar tarefas específicas, como configurar redes remotas, configurar perfis de segurança, gerenciar perfis de encaminhamento de tráfego e visualizar logs e alertas de tráfego. No entanto, os administradores globais do Acesso Seguro não podem configurar o Acesso Privado, criar ou gerenciar políticas de Acesso Condicional, gerenciar atribuições de usuário e grupo ou configurar logs enriquecidos do Microsoft 365.
Observação
Para executar tarefas adicionais do Microsoft Entra, como editar políticas de Acesso Condicional, você precisa ser administrador global de acesso seguro e ter pelo menos uma outra função de administrador atribuída a você. Consulte a tabela de permissões baseadas em funções acima.
Administrador de acesso condicional
Gerenciamento de acesso condicional: Essa função pode criar e gerenciar políticas de acesso condicional para acesso seguro global, como gerenciar todos os locais de rede compatíveis e utilizar perfis de segurança de acesso seguro global.
Administrador de Aplicativos
Configuração de acesso privado: Essa função pode configurar o acesso privado, incluindo acesso rápido, conectores de rede privada, segmentos de aplicativos e aplicativos corporativos.
Leitor de log de acesso seguro global
de acesso somente leitura: essa função destina-se principalmente à segurança e à equipe de rede que precisam de visibilidade somente leitura em logs de tráfego e insights relacionados para monitorar e analisar efetivamente a atividade de rede sem a capacidade de fazer alterações no ambiente. Os usuários com essa função podem exibir logs de tráfego GSA detalhados, incluindo dados de sessão, conexão e transação, bem como acessar e examinar alertas e relatórios no portal da GSA.
Leitor de Segurança e Leitor Global
acesso somente leitura: essas funções têm acesso completo somente leitura a todos os aspectos do Acesso Seguro Global, exceto logs de tráfego. Eles não podem alterar nenhuma configuração nem realizar nenhuma ação.
Permissões baseadas em função
As seguintes funções de administrador do Microsoft Entra ID têm acesso ao Global Secure Access:
| Permissões | Administrador Global | Administrador de Segurança | Administrador do GSA | Administrador de CA | Administrador de Aplicativos | Leitor global | Leitor de segurança | de Leitor de Log GSA |
|---|---|---|---|---|---|---|---|---|
| Configurar o acesso privado (acesso rápido, conectores de rede privada, segmentos de aplicativos e aplicativos empresariais) | ✅ | ✅ | ||||||
| Criar e interagir com políticas de acesso condicional | ✅ | ✅ | ✅ | |||||
| Gerenciar perfis de encaminhamento de tráfego | ✅ | ✅ | ✅ | |||||
| Atribuições de usuários e grupos | ✅ | ✅ | ||||||
| Configurar redes remotas | ✅ | ✅ | ✅ | |||||
| Perfis de segurança | ✅ | ✅ | ✅ | |||||
| Exibir registros e alertas de tráfego | ✅ | ✅ | ✅ | ✅ | ||||
| Exibir todos os outros logs e dashboards | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configurar restrições universais de locatário e sinalização de acesso seguro global para acesso condicional | ✅ | ✅ | ✅ | |||||
| Configurar logs enriquecidos do Microsoft 365 | ✅ | |||||||
| Acesso somente leitura às configurações do produto | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |