Microsoft 全局安全访问内置角色
全局安全访问(GSA)使用 Role-Based 访问控制(RBAC)有效地管理管理访问权限。 默认情况下,Microsoft Entra ID 要求特定的管理员角色才能访问全局安全访问。
本文详细介绍了可为管理全局安全访问而分配的内置 Microsoft Entra 角色。
全局管理员
完全访问权限:此角色为管理员授予全局安全访问中的完全权限。 他们可以管理策略、配置设置以及查看日志,包括条件访问场景、专用访问的配置、应用程序段上的写入操作以及流量配置文件的用户分配管理。
重要
出于安全原因,强烈建议使用最低特权方法。 仅需要全局管理员角色才能配置表中所述的扩充Microsoft 365 日志。 对于所有其他方案,请使用管理服务所需的最低特权角色。 若要了解有关最低特权的详细信息,请参阅Microsoft Entra ID 中的任务最低特权角色。 若要详细了解 Microsoft Entra ID 治理中的最低特权,请参阅 Microsoft Entra ID 治理的最低特权原则。
安全管理员
有限的访问权限:此角色授予权限来执行特定任务,如配置远程网络、设置安全配置文件、管理流量转发配置文件、查看流量日志和警报。 但是,安全管理员无法配置专用访问或启用扩充Microsoft 365 日志。
全局安全访问管理员
有限的访问权限:此角色授予权限来执行特定任务,如配置远程网络、设置安全配置文件、管理流量转发配置文件、查看流量日志和警报。 但是,全局安全访问管理员无法配置专用访问、创建或管理条件访问策略、管理用户和组分配,或配置扩充Microsoft 365 日志。
注意
若要执行其他Microsoft Entra 任务(例如编辑条件访问策略),需要同时是全局安全访问管理员,并且至少分配了一个其他管理员角色。 请参阅上面列出了基于角色的权限的表。
条件访问管理员
条件访问管理:此角色可以创建和管理全局安全访问的条件访问策略(例如管理所有符合条件的网络位置),并利用全局安全访问安全配置文件。
应用程序管理员
专用访问配置:此角色可以配置专用访问,包括快速访问、专用网络连接器、应用程序段和企业应用程序。
全局安全访问日志读取器
只读访问:此角色主要用于需要对流量日志和相关见解进行只读可见性的安全和网络人员,从而有效地监视和分析网络活动,而无需更改环境。 具有此角色的用户可以查看详细的 GSA 流量日志,包括会话、连接和事务数据,以及访问和查看 GSA 门户中的警报和报告。
安全读取者和全局读取者
只读访问:这些角色对全局安全访问的各个方面(流量日志除外)具有完全只读访问权限。 他们无法更改任何设置或执行任何操作。
基于角色的权限
以下 Microsoft Entra ID 管理员角色有权访问全局安全访问:
| 权限 | 全局管理员 | 安全管理员 | GSA 管理员 | CA 管理员 | 应用管理员 | 全局读取者 | 安全读取者 | GSA 日志读取器 |
|---|---|---|---|---|---|---|---|---|
| 配置专用访问(快速访问、专用网络连接器、应用程序段、企业应用) | ✅ | ✅ | ||||||
| 创建条件访问策略并与其交互 | ✅ | ✅ | ✅ | |||||
| 管理流量转发配置文件 | ✅ | ✅ | ✅ | |||||
| 用户和组分配 | ✅ | ✅ | ||||||
| 配置远程网络 | ✅ | ✅ | ✅ | |||||
| 安全配置文件 | ✅ | ✅ | ✅ | |||||
| 查看流量日志和警报 | ✅ | ✅ | ✅ | ✅ | ||||
| 查看所有其他日志和仪表板 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 为条件访问配置通用租户限制和全局安全访问信令 | ✅ | ✅ | ✅ | |||||
| 配置扩充Microsoft 365 日志 | ✅ | |||||||
| 对产品设置的只读访问权限 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |