Inbyggda roller i Microsoft Global Secure Access
Global säker åtkomst använder rollbaserad åtkomstkontroll (RBAC) för att effektivt hantera administrativ åtkomst. Som standard kräver Microsoft Entra-ID specifika administratörsroller för åtkomst till global säker åtkomst.
Den här artikeln beskriver de inbyggda Microsoft Entra-roller som du kan tilldela för att hantera global säker åtkomst.
Global administratör
Fullständig åtkomst: Den här rollen ger administratörer fullständig behörighet inom Global säker åtkomst. De kan hantera principer, konfigurera inställningar och visa loggar. inklusive scenarier med villkorsstyrd åtkomst, konfigurationer för privat åtkomst, skrivåtgärder i programsegment och hantering av användartilldelningar för trafikprofiler.
Viktigt!
Vi rekommenderar starkt att du använder en metod med lägsta behörighet av säkerhetsskäl. Rollen Global administratör krävs bara för att konfigurera Office 365-loggning enligt beskrivningen i tabellen. För alla andra scnearios använder du den minst priveledge-roll som krävs för att administrera tjänsten. Mer information om minsta priveledge finns i Minsta privilegierade roller efter uppgift i Microsoft Entra-ID. Mer information om minsta behörighet i Microsoft Entra ID-styrning finns i Principen om lägsta behörighet med Microsoft Entra ID-styrning.
Säkerhetsadministratör
Begränsad åtkomst: Den här rollen ger behörighet att utföra specifika uppgifter, till exempel att konfigurera fjärrnätverk, konfigurera säkerhetsprofiler, hantera trafikvidarebefordringsprofiler och visa trafikloggar och aviseringar. Säkerhetsadministratörer kan dock inte konfigurera privat åtkomst eller aktivera Office 365-loggning.
Global administratör för säker åtkomst
Begränsad åtkomst: Den här rollen ger behörighet att utföra specifika uppgifter, till exempel att konfigurera fjärrnätverk, konfigurera säkerhetsprofiler, hantera trafikvidarebefordringsprofiler och visa trafikloggar och aviseringar. Globala administratörer för säker åtkomst kan dock inte konfigurera privat åtkomst, skapa eller hantera principer för villkorsstyrd åtkomst, hantera användar- och grupptilldelningar eller konfigurera Office 365-loggning.
Kommentar
Om du vill utföra ytterligare Microsoft Entra-uppgifter, till exempel redigering av principer för villkorsstyrd åtkomst, måste du vara både global administratör för säker åtkomst och ha minst en annan administratörsroll tilldelad till dig. Läs tabellen Rollbaserade behörigheter ovan.
Administratör för villkorsstyrd åtkomst
Hantering av villkorlig åtkomst: Den här rollen kan skapa och hantera principer för villkorlig åtkomst för global säker åtkomst, till exempel hantera alla kompatibla nätverksplatser och använda globala säkerhetsprofiler för säker åtkomst.
Appadministratör
Konfiguration av privat åtkomst: Den här rollen kan konfigurera privat åtkomst, inklusive snabbåtkomst, privata nätverksanslutningar, programsegment och företagsprogram.
Säkerhetsläsare och global läsare
Skrivskyddad åtkomst: Dessa roller har fullständig skrivskyddad åtkomst till alla aspekter av global säker åtkomst, förutom trafikloggar. De kan inte ändra några inställningar eller utföra några åtgärder.
Rollbaserade behörigheter
Följande administratörsroller för Microsoft Entra-ID har åtkomst till global säker åtkomst:
| Behörigheter | Global administratör | Säkerhetsadministratör | GSA-administratör | CA-administratör | Appadministratör | Global läsare | Säkerhetsläsare |
|---|---|---|---|---|---|---|---|
| Konfigurera privat åtkomst (snabbåtkomst, privata nätverksanslutningar, programsegment och företagsappar) | ✅ | ✅ | |||||
| Skapa och interagera med principer för villkorsstyrd åtkomst | ✅ | ✅ | ✅ | ||||
| Hantera profiler för trafikvidarebefordring | ✅ | ✅ | ✅ | ||||
| Användar- och grupptilldelningar | ✅ | ✅ | |||||
| Konfigurera fjärrnätverk | ✅ | ✅ | ✅ | ||||
| Säkerhetsprofiler | ✅ | ✅ | ✅ | ||||
| Visa trafikloggar och aviseringar | ✅ | ✅ | ✅ | ||||
| Visa alla andra loggar | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Konfigurera universella klientbegränsningar och global signal om säker åtkomst för villkorsstyrd åtkomst | ✅ | ✅ | ✅ | ||||
| Konfigurera Office 365-loggning | ✅ | ||||||
| Skrivskyddad åtkomst till produktinställningar | ✅ | ✅ | ✅ | ✅ | ✅ |