Microsoft 全球安全存取內建角色
全球安全存取使用角色型存取控制 (RBAC) 有效地管理系統管理存取權。 根據預設,Microsoft Entra ID 需要特定的系統管理員角色,以存取全球安全存取。
本文詳述您可以指派用於管理全球安全存取的內建 Microsoft Entra 角色。
全域系統管理員
完整存取:此角色會授與系統管理員全球安全存取內的完整權限。 他們可以管理原則、進行設定和檢視記錄;包括條件式存取案例、私人存取的設定、應用程式區段的寫入作業,以及流量設定檔的使用者指派管理。
重要
基於安全性原因,強烈建議使用最低權限方法。 全域管理員角色只需要設定表格中所述的 Office 365 記錄。 對於所有其他案例,請使用管理服務所需的最低權限角色。 若要深入了解最低權限,請參閱依 Microsoft Entra ID 中工作的最低權限角色。 若要深入了解 Microsoft Entra ID 控管中的最低權限,請參閱使用 Microsoft Entra ID 控管的最低權限原則 (部分機器翻譯)。
安全性系統管理員
有限存取權:此角色會授與執行特定工作的權限,例如設定遠端網路、設定安全性設定檔、管理流量轉送設定檔,以及檢視流量記錄和警示。 不過,安全性系統管理員無法設定私人存取或啟用 Office 365 記錄。
全球安全存取系統管理員
有限存取權:此角色會授與執行特定工作的權限,例如設定遠端網路、設定安全性設定檔、管理流量轉送設定檔,以及檢視流量記錄和警示。 不過,全球安全存取系統管理員無法設定私人存取、建立或管理條件式存取原則、管理使用者和群組指派,或設定 Office 365 記錄。
注意
若要執行其他Microsoft Entra 工作,例如編輯條件式存取原則,您必須同時是全域安全存取管理員,並至少指派一個其他系統管理員角色給您。 請參閱上述角色型權限資料表。
條件式存取系統管理員
條件式存取管理:此角色可以建立和管理全球安全存取的條件式存取原則,例如管理所有相容的網路位置,以及使用全球安全存取安全性設定檔。
應用程式系統管理員
私人存取設定:此角色可以設定私人存取,包括快速存取、私人網路連接器、應用程式區段和企業應用程式。
安全性讀取者和全域讀取者
唯讀存取權:這些角色具有全球安全存取所有層面的完整唯讀存取權,但流量記錄除外。 它們無法變更任何設定或執行任何動作。
角色型權限
下列 Microsoft Entra ID 管理員角色可以存取全球安全存取:
| 權限 | 全域管理員 | 安全性系統管理員 | GSA 系統管理員 | CA 系統管理員 | 應用程式系統管理員 | 全域讀取者 | 安全性讀取者 |
|---|---|---|---|---|---|---|---|
| 設定私人存取 (快速存取、私人網路連接器、應用程式區段和企業應用程式) | ✅ | ✅ | |||||
| 建立條件式存取原則並與其互動 | ✅ | ✅ | ✅ | ||||
| 管理流量轉送設定檔 | ✅ | ✅ | ✅ | ||||
| 使用者與群組指派 | ✅ | ✅ | |||||
| 設定遠端網路 | ✅ | ✅ | ✅ | ||||
| 安全性設定檔 | ✅ | ✅ | ✅ | ||||
| 檢視流量記錄和警示 | ✅ | ✅ | ✅ | ||||
| 檢視所有其他記錄 | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 設定條件式存取的通用租用戶限制和全球安全存取訊號 | ✅ | ✅ | ✅ | ||||
| 設定 Office 365 記錄 | ✅ | ||||||
| 產品設定的唯讀存取權 | ✅ | ✅ | ✅ | ✅ | ✅ |
下一步
- 開始使用全球安全存取 (部分機器翻譯)
- 了解 Microsoft Entra 私人存取