概述
全局安全访问使用基于角色的访问控制 (RBAC) 有效地管理管理性访问权限。 默认情况下,Microsoft Entra ID 要求特定的管理员角色才能访问全局安全访问。
本文详细介绍了可为管理全局安全访问而分配的内置 Microsoft Entra 角色。
重要
强烈建议使用管理服务所需的最低特权角色。 有关最小特权的详细信息,请参阅 Microsoft Entra ID 中的任务按任务分配的最小特权角色。 有关 Microsoft Entra ID Governance 中的最小特权的详细信息,请参阅 Microsoft Entra ID Governance 的最低特权原则。
安全管理员
有限的访问权限:此角色授予权限来执行特定任务,如配置远程网络、设置安全配置文件、管理流量转发配置文件、查看流量日志和警报。 但是,安全管理员无法配置专用访问。
全局安全访问管理员
有限的访问权限:此角色授予权限来执行特定任务,如配置远程网络、设置安全配置文件、管理流量转发配置文件、查看流量日志和警报。 但是,全局安全访问管理员无法配置专用访问、创建或管理条件访问策略或管理用户和组分配。
注意
若要执行其他Microsoft Entra 任务(例如编辑条件访问策略),需要同时是全局安全访问管理员,并且至少分配了一个其他管理员角色。 请参阅上面列出了基于角色的权限的表。
条件访问管理员
条件访问管理:此角色可以创建和管理全局安全访问的条件访问策略(例如管理所有符合条件的网络位置),并利用全局安全访问安全配置文件。
应用程序管理员
专用访问配置:此角色可以配置专用访问,包括快速访问、专用网络连接器、应用程序段和企业应用程序。
全局安全访问日志读取器
只读访问:此角色主要用于需要对流量日志和相关见解进行只读可见性的安全和网络人员,从而有效地监视和分析网络活动,而无需更改环境。 具有此角色的用户可以查看详细的全局安全访问流量日志,包括会话、连接和事务数据,以及访问和查看 Microsoft Entra 管理中心的 Global Secure Access 区域中的警报和报告。
安全读取者和全局读取者
只读访问:这些角色对全局安全访问的各个方面(流量日志除外)具有完全只读访问权限。 他们无法更改任何设置或执行任何操作。
基于角色的权限
以下 Microsoft Entra ID 管理员角色有权访问全局安全访问:
| 权限 | 全局管理员 | 安全管理员 | 全局安全访问管理员 | CA 管理员 | 应用管理员 | 全局读取者 | 安全读取者 | 全局安全访问日志读取器 |
|---|---|---|---|---|---|---|---|---|
| 配置专用访问(快速访问、专用网络连接器、应用程序段、企业应用) | ✅ | ✅ | ||||||
| 创建条件访问策略并与其交互 | ✅ | ✅ | ✅ | |||||
| 管理流量转发配置文件 | ✅ | ✅ | ✅ | |||||
| 用户和组分配 | ✅ | ✅ | ||||||
| 配置远程网络 | ✅ | ✅ | ✅ | |||||
| 安全配置文件 | ✅ | ✅ | ✅ | |||||
| 查看流量日志和警报 | ✅ | ✅ | ✅ | ✅ | ||||
| 查看所有其他日志和仪表板 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 为条件访问配置通用租户限制和全局安全访问信令 | ✅ | ✅ | ✅ | |||||
| 对产品设置的只读访问权限 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |