Rôles intégrés d’Accès global sécurisé Microsoft
L’accès sécurisé global utilise le contrôle d’accès en fonction du rôle (RBAC) pour gérer efficacement l’accès administratif. Par défaut, Microsoft Entra ID nécessite des rôles d’administrateur spécifiques pour accéder à Global Secure Access.
Cet article détaille les rôles Microsoft Entra intégrés que vous pouvez attribuer pour la gestion de l’accès sécurisé global.
Administrateur général
Accès total : ce rôle accorde aux administrateurs toutes les autorisations dans l’Accès global sécurisé. Ils peuvent gérer les stratégies, configurer les paramètres et afficher les journaux, notamment les scénarios de l’accès conditionnel, les configurations pour l’accès privé, les opérations d’écriture sur les segments d’application et la gestion des affectations d’utilisateurs pour les profils de trafic.
Important
Pour des raisons de sécurité, il est fortement recommandé d’utiliser l’approche des privilèges minimum. Le rôle Administrateur général est nécessaire uniquement pour configurer la journalisation Office 365 comme indiqué dans la table. Pour tous les autres scénarios, utilisez le rôle le moins privilégié pour administrer le service. Pour en savoir plus sur le rôle le moins privilégié, consultez Rôles les moins privilégiés par tâche dans Microsoft Entra ID. Pour en savoir plus sur les privilèges minimum dans la gouvernance Microsoft Entra ID, consultez Principe du moindre privilège avec la gouvernance Microsoft Entra ID.
Administrateur de sécurité
Accès limité : ce rôle accorde des autorisations pour effectuer des tâches spécifiques, telles que la configuration des réseaux distants, la configuration des profils de sécurité, la gestion des profils de transfert de trafic et l’affichage des journaux de trafic et des alertes. Toutefois, les administrateurs de la sécurité ne peuvent pas configurer ou activer l’accès privé ni la journalisation Office 365.
Administrateur d’accès global sécurisé
Accès limité : ce rôle accorde des autorisations pour effectuer des tâches spécifiques, telles que la configuration des réseaux distants, la configuration des profils de sécurité, la gestion des profils de transfert de trafic et l’affichage des journaux de trafic et des alertes. Toutefois, les administrateurs ne peuvent pas configurer l’accès privé, créer ou gérer des stratégies d’accès conditionnel, gérer les affectations d’utilisateurs et de groupes ou configurer la journalisation Office 365.
Remarque
Pour effectuer d’autres tâches Microsoft Entra, telles que la modification des stratégies d’accès conditionnel, vous devez à la fois être administrateur GSA et avoir au moins un autre rôle d’administrateur qui vous est affecté. Consultez le tableau des autorisations en fonction du rôle ci-dessus.
Administrateur de l’accès conditionnel
Gestion de l’accès conditionnel : ce rôle permet de créer et gérer des stratégies d’accès conditionnel pour l’Accès global sécurisé, telles que la gestion de tous les emplacements réseau conformes, et l’utilisation des profils de sécurité d’Accès global sécurisé.
Administrateur d’application
Configuration de l’accès privé : ce rôle permet de configurer l’accès privé, notamment l’accès rapide, les connecteurs de réseau privé, les segments d’application et les applications d’entreprise.
Lecteur Sécurité et lecteur général
Accès en lecture seule : ces rôles disposent d’un accès en lecture seule total à tous les aspects de l’Accès global sécurisé, à l’exception des journaux de trafic. Ils ne permettent pas de modifier des paramètres ou d’effectuer des actions.
Autorisations basées sur les rôles
Les rôles d’administrateur Microsoft Entra ID suivants ont accès à l’Accès global sécurisé :
| autorisations | Administrateur général | Administrateur de la sécurité | Administrateur GSA | Administrateur CA | Administrateur Apps | Lecteur général | Lecteur de sécurité |
|---|---|---|---|---|---|---|---|
| Configurer l’accès privé (accès rapide, connecteurs de réseau privé, segments d’application et applications d’entreprise) | ✅ | ✅ | |||||
| Créer des stratégies d’accès conditionnel et interagir avec elles | ✅ | ✅ | ✅ | ||||
| Gérer les profils de transfert de trafic | ✅ | ✅ | ✅ | ||||
| Affectations des utilisateurs et des groupes | ✅ | ✅ | |||||
| Configurer les réseaux à distance | ✅ | ✅ | ✅ | ||||
| Profils de sécurité | ✅ | ✅ | ✅ | ||||
| Afficher les journaux du trafic et les alertes | ✅ | ✅ | ✅ | ||||
| Afficher tous les autres journaux | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| Configurer les restrictions de locataire universel et la signalisation de l’Accès global sécurisé pour l’accès conditionnel | ✅ | ✅ | ✅ | ||||
| Configurer la journalisation Office 365 | ✅ | ||||||
| Accès en lecture seule aux paramètres des produits | ✅ | ✅ | ✅ | ✅ | ✅ |