Microsoft 全球安全存取內建角色
全域安全存取 (GSA) 使用 Role-Based 存取控制 (RBAC) 有效地管理系統管理存取權。 根據預設,Microsoft Entra ID 需要特定的系統管理員角色,以存取全球安全存取。
本文詳述您可以指派用於管理全球安全存取的內建 Microsoft Entra 角色。
全域系統管理員
完整存取:此角色會授與系統管理員全球安全存取內的完整權限。 他們可以管理原則、進行設定和檢視記錄;包括條件式存取案例、私人存取的設定、應用程式區段的寫入作業,以及流量設定檔的使用者指派管理。
重要
基於安全性原因,強烈建議使用最低權限方法。 只有全域管理員角色才能設定數據表中所述的擴充Microsoft 365 記錄。 針對所有其他案例,請使用管理服務所需的最低特殊許可權角色。 若要深入瞭解最低許可權,請參閱 Microsoft Entra ID 中依工作最低許可權角色。 若要深入了解 Microsoft Entra ID 控管中的最低權限,請參閱使用 Microsoft Entra ID 控管的最低權限原則 (部分機器翻譯)。
安全性系統管理員
有限存取權:此角色會授與執行特定工作的權限,例如設定遠端網路、設定安全性設定檔、管理流量轉送設定檔,以及檢視流量記錄和警示。 不過,安全性系統管理員無法設定 Private Access 或啟用擴充Microsoft 365 記錄。
全球安全存取系統管理員
有限存取權:此角色會授與執行特定工作的權限,例如設定遠端網路、設定安全性設定檔、管理流量轉送設定檔,以及檢視流量記錄和警示。 不過,全域安全存取系統管理員無法設定 Private Access、建立或管理條件式存取原則、管理使用者和群組指派,或設定擴充Microsoft 365 記錄。
注意
若要執行其他Microsoft Entra 工作,例如編輯條件式存取原則,您必須同時是全域安全存取管理員,並至少指派一個其他系統管理員角色給您。 請參閱上述角色型權限資料表。
條件式存取系統管理員
條件式存取管理:此角色可以建立和管理全球安全存取的條件式存取原則,例如管理所有相容的網路位置,以及使用全球安全存取安全性設定檔。
應用程式系統管理員
私人存取設定:此角色可以設定私人存取,包括快速存取、私人網路連接器、應用程式區段和企業應用程式。
全域安全存取記錄讀取器
唯讀存取:此角色主要適用於需要流量記錄和相關見解的只讀可見度的安全性和網路人員,以有效監視和分析網路活動,而無法變更環境。 具有此角色的使用者可以檢視詳細的 GSA 流量記錄,包括會話、連線和事務數據,以及存取和檢閱 GSA 入口網站中的警示和報告。
安全性讀取者和全域讀取者
唯讀存取:除了流量記錄以外,這些角色具有全域安全存取所有層面的完整只讀存取權。 它們無法變更任何設定或執行任何動作。
角色型權限
下列 Microsoft Entra ID 管理員角色可以存取全球安全存取:
| 權限 | 全域管理員 | 安全性系統管理員 | GSA 系統管理員 | CA 系統管理員 | 應用程式系統管理員 | 全域讀取者 | 安全性讀取者 | GSA 記錄讀取器 |
|---|---|---|---|---|---|---|---|---|
| 設定私人存取 (快速存取、私人網路連接器、應用程式區段和企業應用程式) | ✅ | ✅ | ||||||
| 建立條件式存取原則並與其互動 | ✅ | ✅ | ✅ | |||||
| 管理流量轉送設定檔 | ✅ | ✅ | ✅ | |||||
| 使用者與群組指派 | ✅ | ✅ | ||||||
| 設定遠端網路 | ✅ | ✅ | ✅ | |||||
| 安全性設定檔 | ✅ | ✅ | ✅ | |||||
| 檢視流量記錄和警示 | ✅ | ✅ | ✅ | ✅ | ||||
| 檢視所有其他記錄和儀錶板 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 設定條件式存取的通用租用戶限制和全球安全存取訊號 | ✅ | ✅ | ✅ | |||||
| 設定擴充Microsoft 365 記錄 | ✅ | |||||||
| 產品設定的唯讀存取權 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
下一步
- 開始使用全球安全存取 (部分機器翻譯)
- 了解 Microsoft Entra 私人存取