Встроенные роли Microsoft Global Secure Access
Глобальный безопасный доступ использует контроль доступа на основе ролей (RBAC) для эффективного управления административным доступом. По умолчанию идентификатор Microsoft Entra ID требует определенных ролей администратора для доступа к глобальному безопасному доступу.
В этой статье описаны встроенные роли Microsoft Entra, которые можно назначить для управления глобальным безопасным доступом.
Глобальный администратор
Полный доступ. Эта роль предоставляет администраторам полные разрешения в глобальном безопасном доступе. Они могут управлять политиками, настраивать параметры и просматривать журналы; включая сценарии условного доступа, конфигурации для частного доступа, операции записи в сегментах приложений и управление назначениями пользователей для профилей трафика.
Внимание
Настоятельно рекомендуется использовать наименее привилегированный подход по соображениям безопасности. Роль глобального администратора необходима только для настройки ведения журнала Office 365, как описано в таблице. Для всех остальных scnearios используйте наименьшую роль priveledge, необходимую для администрирования службы. Дополнительные сведения о наименее priveledge см. в разделе "Наименее привилегированные роли по задачам" в идентификаторе Microsoft Entra ID. Дополнительные сведения о наименьших привилегиях в Управление идентификацией Microsoft Entra см. в разделе "Принцип наименьшей привилегии с Управление идентификацией Microsoft Entra".
Администратор безопасности
Ограниченный доступ. Эта роль предоставляет разрешения для выполнения определенных задач, таких как настройка удаленных сетей, настройка профилей безопасности, управление профилями перенаправления трафика и просмотр журналов трафика и оповещений. Однако администраторы безопасности не могут настроить частный доступ или включить ведение журнала Office 365.
Глобальный администратор безопасного доступа
Ограниченный доступ. Эта роль предоставляет разрешения для выполнения определенных задач, таких как настройка удаленных сетей, настройка профилей безопасности, управление профилями перенаправления трафика и просмотр журналов трафика и оповещений. Однако администраторы глобального безопасного доступа не могут настраивать частный доступ, создавать политики условного доступа или управлять ими, управлять назначениями пользователей и групп или настраивать ведение журнала Office 365.
Примечание.
Для выполнения дополнительных задач Microsoft Entra, таких как изменение политик условного доступа, необходимо иметь как глобальный администратор безопасного доступа, так и по крайней мере одну другую роль администратора. Ознакомьтесь с таблицей разрешений на основе ролей выше.
Администратор условного доступа
Управление условным доступом. Эта роль может создавать политики условного доступа и управлять ими для глобального безопасного доступа, например управлять всеми соответствующими сетевыми расположениями и использовать профили безопасности глобального безопасного доступа.
Администратор приложений
Конфигурация приватного доступа: эта роль может настроить частный доступ, включая быстрый доступ, соединители частной сети, сегменты приложений и корпоративные приложения.
Средство чтения безопасности и глобальное средство чтения
Доступ только для чтения: эти роли имеют полный доступ только для чтения ко всем аспектам глобального безопасного доступа, кроме журналов трафика. Они не могут изменять параметры или выполнять какие-либо действия.
Разрешения на основе ролей
Следующие роли администратора идентификатора Идентификатора Майкрософт имеют доступ к global Secure Access:
| Разрешения | Глобальный администратор | Администратор безопасности | Администратор GSA | Администратор ЦС | Администратор приложений | Глобальный читатель | читатель сведений о безопасности; |
|---|---|---|---|---|---|---|---|
| Настройка приватного доступа (быстрый доступ, соединители частной сети, сегменты приложений и корпоративные приложения) | ✅ | ✅ | |||||
| Создание и взаимодействие с политиками условного доступа | ✅ | ✅ | ✅ | ||||
| Управление профилями пересылки трафика | ✅ | ✅ | ✅ | ||||
| Назначения пользователей и групп | ✅ | ✅ | |||||
| Настройка удаленных сетей | ✅ | ✅ | ✅ | ||||
| Профили безопасности | ✅ | ✅ | ✅ | ||||
| Просмотр журналов трафика и оповещений | ✅ | ✅ | ✅ | ||||
| Просмотр всех остальных журналов | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Настройка ограничений универсального клиента и сигналов глобального безопасного доступа для условного доступа | ✅ | ✅ | ✅ | ||||
| Настройка ведения журнала Office 365 | ✅ | ||||||
| Доступ только для чтения к параметрам продукта | ✅ | ✅ | ✅ | ✅ | ✅ |