全球安全存取使用角色型存取控制 (RBAC) 有效地管理系統管理存取權。 根據預設,Microsoft Entra ID 需要特定的系統管理員角色,以存取全球安全存取。
本文詳述您可以指派用於管理全球安全存取的內建 Microsoft Entra 角色。
重要
強烈建議使用管理服務所需的最低特殊許可權角色。 若要深入瞭解最低許可權,請參閱 Microsoft Entra ID 中依工作最低許可權角色。 若要深入了解 Microsoft Entra ID 控管中的最低權限,請參閱使用 Microsoft Entra ID 控管的最低權限原則 (部分機器翻譯)。
安全性系統管理員
有限存取權:此角色會授與執行特定工作的權限,例如設定遠端網路、設定安全性設定檔、管理流量轉送設定檔,以及檢視流量記錄和警示。 不過,安全性系統管理員無法設定 Private Access。
全球安全存取系統管理員
有限存取權:此角色會授與執行特定工作的權限,例如設定遠端網路、設定安全性設定檔、管理流量轉送設定檔,以及檢視流量記錄和警示。 不過,全域安全存取系統管理員無法設定 Private Access、建立或管理條件式存取原則,或管理使用者和群組指派。
注意
若要執行其他Microsoft Entra 工作,例如編輯條件式存取原則,您必須同時是全域安全存取管理員,並至少指派一個其他系統管理員角色給您。 請參閱上述角色型權限資料表。
條件式存取系統管理員
條件式存取管理:此角色可以建立和管理全球安全存取的條件式存取原則,例如管理所有相容的網路位置,以及使用全球安全存取安全性設定檔。
應用程式系統管理員
私人存取設定:此角色可以設定私人存取,包括快速存取、私人網路連接器、應用程式區段和企業應用程式。
全域安全存取記錄讀取器
唯讀存取:此角色主要適用於需要流量記錄和相關見解的只讀可見度的安全性和網路人員,以有效監視和分析網路活動,而無法變更環境。 具有此角色的使用者可以檢視詳細的全域安全存取流量記錄,包括會話、連線和交易數據,以及在 Microsoft Entra 系統管理中心的全域安全存取區域中存取和檢閱警示和報告。
安全性讀取者和全域讀取者
唯讀存取:除了流量記錄以外,這些角色具有全域安全存取所有層面的完整只讀存取權。 它們無法變更任何設定或執行任何動作。
角色型權限
下列 Microsoft Entra ID 管理員角色可以存取全球安全存取:
| 權限 | 全域管理員 | 安全性系統管理員 | 全域安全存取管理員 | CA 系統管理員 | 應用程式系統管理員 | 全域讀取者 | 安全性讀取者 | 全域安全存取記錄讀取器 |
|---|---|---|---|---|---|---|---|---|
| 設定私人存取 (快速存取、私人網路連接器、應用程式區段和企業應用程式) | ✅ | ✅ | ||||||
| 建立條件式存取原則並與其互動 | ✅ | ✅ | ✅ | |||||
| 管理流量轉送設定檔 | ✅ | ✅ | ✅ | |||||
| 使用者與群組指派 | ✅ | ✅ | ||||||
| 設定遠端網路 | ✅ | ✅ | ✅ | |||||
| 安全性設定檔 | ✅ | ✅ | ✅ | |||||
| 檢視流量記錄和警示 | ✅ | ✅ | ✅ | ✅ | ||||
| 檢視所有其他記錄和儀錶板 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 設定條件式存取的通用租用戶限制和全球安全存取訊號 | ✅ | ✅ | ✅ | |||||
| 產品設定的唯讀存取權 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
下一步
- 開始使用全球安全存取 (部分機器翻譯)
- 了解 Microsoft Entra 私人存取