Funções internas do Microsoft Global Secure Access
O Global Secure Access usa o RBAC (Controle de Acesso Baseado em Função) para gerenciar o acesso administrativo de forma eficaz. Por padrão, o Microsoft Entra ID requer funções de administrador específicas para acessar o Acesso Seguro Global.
Este artigo detalha as funções internas do Microsoft Entra que você pode atribuir para gerenciar o Acesso Seguro Global.
Administrador Global
Acesso total: esta função concede aos administradores permissões totais no Global Secure Access. Eles podem gerenciar políticas, definir configurações e visualizar logs; incluindo cenários de Acesso Condicional, configurações para Acesso Privado, operações de gravação em segmentos de aplicativos e gerenciamento de atribuições de usuário para perfis de tráfego.
Importante
É altamente recomendável usar uma abordagem de privilégios mínimos por motivos de segurança. A função de Administrador Global só é necessária para configurar o registo do Office 365 conforme descrito na tabela. Para todos os outros scnearios, use a função de menor privilégio necessária para administrar o serviço. Para saber mais sobre privilégios mínimos, consulte Funções menos privilegiadas por tarefa no Microsoft Entra ID. Para saber mais sobre o menor privilégio na Governança de ID do Microsoft Entra, consulte O princípio de menor privilégio com a Governança de ID do Microsoft Entra.
Administrador de Segurança
Acesso limitado: essa função concede permissões para executar tarefas específicas, como configurar redes remotas, configurar perfis de segurança, gerenciar perfis de encaminhamento de tráfego e exibir logs e alertas de tráfego. No entanto, os administradores de segurança não podem configurar o Acesso Privado ou ativar o registo do Office 365.
Administrador de Acesso Seguro Global
Acesso limitado: essa função concede permissões para executar tarefas específicas, como configurar redes remotas, configurar perfis de segurança, gerenciar perfis de encaminhamento de tráfego e exibir logs e alertas de tráfego. No entanto, os administradores de Acesso Seguro Global não podem configurar o Acesso Privado, criar ou gerir políticas de Acesso Condicional, gerir atribuições de utilizadores e grupos ou configurar o registo em log do Office 365.
Nota
Para executar tarefas adicionais do Microsoft Entra, como editar políticas de Acesso Condicional, você precisa ser um administrador do GSA e ter pelo menos uma outra função de administrador atribuída a você. Consulte a tabela de permissões baseadas em função acima.
Administrador de Acesso Condicional
Gerenciamento de Acesso Condicional: essa função pode criar e gerenciar políticas de Acesso Condicional para Acesso Seguro Global, como gerenciar todos os locais de rede compatíveis e utilizar perfis de segurança de Acesso Seguro Global.
Administrador da Aplicação
Configuração de Acesso Privado: esta função pode configurar o Acesso Privado, incluindo Acesso Rápido, conectores de rede privada, segmentos de aplicativos e aplicativos corporativos.
Leitor de Segurança e Leitor Global
Acesso somente leitura: essas funções têm acesso somente leitura completo a todos os aspetos do Acesso Seguro Global, exceto logs de tráfego. Eles não podem alterar nenhuma configuração ou executar nenhuma ação.
Permissões baseadas em função
As seguintes funções de administrador do Microsoft Entra ID têm acesso ao Global Secure Access:
| Permissões | Administrador Global | Administrador de Segurança | Administrador da GSA | Administrador da CA | Administrador de Aplicações | Leitor Global | Leitor de Segurança |
|---|---|---|---|---|---|---|---|
| Configurar o Acesso Privado (Acesso Rápido, conectores de rede privada, segmentos de aplicativos e aplicativos corporativos) | ✅ | ✅ | |||||
| Criar e interagir com políticas de Acesso Condicional | ✅ | ✅ | ✅ | ||||
| Gerenciar perfis de encaminhamento de tráfego | ✅ | ✅ | ✅ | ||||
| Atribuições de usuário e grupo | ✅ | ✅ | |||||
| Configurar redes remotas | ✅ | ✅ | ✅ | ||||
| Perfis de segurança | ✅ | ✅ | ✅ | ||||
| Ver registos e alertas de tráfego | ✅ | ✅ | ✅ | ||||
| Ver todos os outros registos | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configurar restrições de locatário universal e sinalização de Acesso Seguro Global para Acesso Condicional | ✅ | ✅ | ✅ | ||||
| Configurar o registo do Office 365 | ✅ | ||||||
| Acesso somente leitura às configurações do produto | ✅ | ✅ | ✅ | ✅ | ✅ |