Встроенные роли Microsoft Global Secure Access
Глобальный безопасный доступ (GSA) использует Role-Based управление доступом (RBAC) для эффективного управления административным доступом. По умолчанию идентификатор Microsoft Entra ID требует определенных ролей администратора для доступа к глобальному безопасному доступу.
В этой статье описаны встроенные роли Microsoft Entra, которые можно назначить для управления глобальным безопасным доступом.
Глобальный администратор
Полный доступ. Эта роль предоставляет администраторам полные разрешения в глобальном безопасном доступе. Они могут управлять политиками, настраивать параметры и просматривать журналы; включая сценарии условного доступа, конфигурации для частного доступа, операции записи в сегментах приложений и управление назначениями пользователей для профилей трафика.
Внимание
Настоятельно рекомендуется использовать наименее привилегированный подход по соображениям безопасности. Роль глобального администратора необходима только для настройки обогащенных журналов Microsoft 365, как описано в таблице. Для всех других сценариев используйте наименьшую привилегированную роль, необходимую для администрирования службы. Дополнительные сведения о наименее привилегированных ролях см. в разделе роли с минимальными привилегиями по задачам видентификатора Microsoft Entra. Дополнительные сведения о наименьших привилегиях в Управление идентификацией Microsoft Entra см. в разделе "Принцип наименьшей привилегии с Управление идентификацией Microsoft Entra".
Администратор безопасности
Ограниченный доступ. Эта роль предоставляет разрешения для выполнения определенных задач, таких как настройка удаленных сетей, настройка профилей безопасности, управление профилями перенаправления трафика и просмотр журналов трафика и оповещений. Однако администраторы безопасности не могут настроить закрытый доступ или включить обогащенные журналы Microsoft 365.
Глобальный администратор безопасного доступа
Ограниченный доступ. Эта роль предоставляет разрешения для выполнения определенных задач, таких как настройка удаленных сетей, настройка профилей безопасности, управление профилями перенаправления трафика и просмотр журналов трафика и оповещений. Однако администраторы глобального безопасного доступа не могут настраивать частный доступ, создавать или управлять политиками условного доступа, управлять назначениями пользователей и групп или настраивать обогащенные журналы Microsoft 365.
Примечание.
Для выполнения дополнительных задач Microsoft Entra, таких как изменение политик условного доступа, необходимо иметь как глобальный администратор безопасного доступа, так и по крайней мере одну другую роль администратора. Ознакомьтесь с таблицей разрешений на основе ролей выше.
Администратор условного доступа
Управление условным доступом. Эта роль может создавать политики условного доступа и управлять ими для глобального безопасного доступа, например управлять всеми соответствующими сетевыми расположениями и использовать профили безопасности глобального безопасного доступа.
Администратор приложений
Конфигурация приватного доступа: эта роль может настроить частный доступ, включая быстрый доступ, соединители частной сети, сегменты приложений и корпоративные приложения.
Средство чтения журналов глобального безопасного доступа
доступ только для чтения. Эта роль в основном предназначена для безопасности и сетевого персонала, которым требуется видимость только для чтения в журналах трафика и связанных аналитических сведений, чтобы эффективно отслеживать и анализировать сетевые действия без возможности вносить изменения в среду. Пользователи с этой ролью могут просматривать подробные журналы трафика GSA, включая данные сеанса, подключения и транзакции, а также доступ к оповещениям и отчетам на портале GSA.
Средство чтения безопасности и глобальное средство чтения
доступ только для чтения. Эти роли имеют полный доступ только для чтения ко всем аспектам глобального безопасного доступа, кроме журналов трафика. Они не могут изменять параметры или выполнять какие-либо действия.
Разрешения на основе ролей
Следующие роли администратора идентификатора Идентификатора Майкрософт имеют доступ к global Secure Access:
| Разрешения | Глобальный администратор | Администратор безопасности | Администратор GSA | Администратор ЦС | Администратор приложений | Глобальный читатель | читатель сведений о безопасности; | средство чтения журналов GSA |
|---|---|---|---|---|---|---|---|---|
| Настройка приватного доступа (быстрый доступ, соединители частной сети, сегменты приложений и корпоративные приложения) | ✅ | ✅ | ||||||
| Создание и взаимодействие с политиками условного доступа | ✅ | ✅ | ✅ | |||||
| Управление профилями пересылки трафика | ✅ | ✅ | ✅ | |||||
| Назначения пользователей и групп | ✅ | ✅ | ||||||
| Настройка удаленных сетей | ✅ | ✅ | ✅ | |||||
| Профили безопасности | ✅ | ✅ | ✅ | |||||
| Просмотр журналов трафика и оповещений | ✅ | ✅ | ✅ | ✅ | ||||
| Просмотр всех других журналов и панелей мониторинга | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Настройка ограничений универсального клиента и сигналов глобального безопасного доступа для условного доступа | ✅ | ✅ | ✅ | |||||
| Настройка обогащенных журналов Microsoft 365 | ✅ | |||||||
| Доступ только для чтения к параметрам продукта | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |