Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beim globalen sicheren Zugriff wird die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet, um den Administratorzugriff effektiv zu verwalten. Microsoft Entra ID erfordert standardmäßig bestimmte Administratorrollen für den Zugriff auf globalen sicheren Zugriff.
In diesem Artikel werden die integrierten Microsoft Entra-Rollen beschrieben, die Sie für das Verwalten des globalen sicheren Zugriffs zuweisen können.
Wichtig
Es wird dringend empfohlen, die für die Verwaltung des Diensts erforderliche geringste Privilegierte Rolle zu verwenden. Weitere Informationen zu den geringsten Rechten finden Sie unter Am wenigsten privilegierte Rollen nach Aufgabe in Microsoft Entra ID. Weitere Informationen zum Ansatz mit den geringsten Rechten in Microsoft Entra ID Governance finden Sie unter Das Prinzip der geringsten Rechte mit Microsoft Entra ID Governance.
Sicherheitsadministrator
Eingeschränkter Zugriff: Diese Rolle gewährt Berechtigungen zum Ausführen bestimmter Aufgaben, z. B. das Konfigurieren von Remotenetzwerken, das Einrichten von Sicherheitsprofilen, das Verwalten von Weiterleitungsprofilen für Datenverkehr und das Anzeigen von Datenverkehrsprotokollen und Warnungen. Sicherheitsadministratoren können jedoch keinen privaten Zugriff konfigurieren.
Global Secure Access-Administrator
Eingeschränkter Zugriff: Diese Rolle gewährt Berechtigungen zum Ausführen bestimmter Aufgaben, z. B. das Konfigurieren von Remotenetzwerken, das Einrichten von Sicherheitsprofilen, das Verwalten von Weiterleitungsprofilen für Datenverkehr und das Anzeigen von Datenverkehrsprotokollen und Warnungen. Globale Administratoren für den sicheren Zugriff können jedoch keinen privaten Zugriff konfigurieren, Richtlinien für bedingten Zugriff erstellen oder verwalten oder Benutzer- und Gruppenzuweisungen verwalten.
Hinweis
Um zusätzliche Microsoft Entra-Aufgaben auszuführen, z. B. das Bearbeiten von Richtlinien für bedingten Zugriff, müssen Sie sowohl ein globaler Administrator für den sicheren Zugriff sein als auch mindestens eine andere Administratorrolle zugewiesen haben. Weitere Informationen finden Sie oben in der Tabelle der rollenbasierten Berechtigungen.
Administrator für bedingten Zugriff
Verwaltung des bedingten Zugriffs: Diese Rolle kann Richtlinien für bedingten Zugriff für den globalen sicheren Zugriff erstellen und verwalten, z. B. für alle konformen Netzwerkadressen und zum Verwenden von Sicherheitsprofilen für den globalen sicheren Zugriff.
Anwendungsadministrator
Konfiguration für den privaten Zugriff: Diese Rolle kann den privaten Zugriff konfigurieren, einschließlich Schnellzugriff, private Netzwerkconnectors, Anwendungssegmente und Unternehmensanwendungen.
Global Secure Access Log Reader
Schreibgeschützter Zugriff: Diese Rolle ist in erster Linie für Sicherheits- und Netzwerkmitarbeiter vorgesehen, die schreibgeschützte Einblicke in Verkehrsprotokolle und damit verbundene Erkenntnisse benötigen, um Netzwerkaktivitäten effektiv zu überwachen und zu analysieren, ohne Änderungen an der Umgebung vorzunehmen. Benutzer mit dieser Rolle können detaillierte Globale Protokolle für den sicheren Zugriff anzeigen, einschließlich Sitzungs-, Verbindungs- und Transaktionsdaten sowie Zugriff und Überprüfung von Warnungen und Berichten im Bereich "Globaler sicherer Zugriff" im Microsoft Entra Admin Center.
Sicherheitsleseberechtigter und globaler Leser
Schreibgeschützter Zugriff: Diese Rollen verfügen über vollständigen schreibgeschützten Zugriff auf alle Aspekte des globalen sicheren Zugriffs, mit Ausnahme von Datenverkehrsprotokollen. Sie ermöglicht nicht das Ändern von Einstellungen oder das Durchführen von Aktionen.
Rollenbasierte Berechtigungen
Die folgenden Microsoft Entra ID-Administratorrollen haben Zugriff auf den globalen sicheren Zugriff:
| Berechtigungen | Globaler Admin | Sicherheitsadministrator | Globaler Administrator für den sicheren Zugriff | CA-Administrator | Apps-Administrator | Globaler Leser | Sicherheitsleseberechtigter | Global Secure Access Log Reader |
|---|---|---|---|---|---|---|---|---|
| Konfigurieren des privaten Zugriffs (Schnellzugriff, private Netzwerkconnectors, Anwendungssegmente und Unternehmens-Apps) | ✅ | ✅ | ||||||
| Erstellen von und Interagieren mit Richtlinien für bedingten Zugriff | ✅ | ✅ | ✅ | |||||
| Verwalten von Datenverkehrsweiterleitungsprofilen | ✅ | ✅ | ✅ | |||||
| Benutzer- und Gruppenzuweisungen | ✅ | ✅ | ||||||
| Konfigurieren von Remotenetzwerken | ✅ | ✅ | ✅ | |||||
| Sicherheitsprofile | ✅ | ✅ | ✅ | |||||
| Anzeigen von Datenverkehrsprotokollen und Warnungen | ✅ | ✅ | ✅ | ✅ | ||||
| Alle anderen Protokolle und Dashboards anzeigen | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Konfigurieren von Einschränkungen für universelle Mandanten und Signalisieren des globalen sicheren Zugriffs für bedingten Zugriff | ✅ | ✅ | ✅ | |||||
| Schreibgeschützter Zugriff auf Produkteinstellungen | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |