circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Go to glueckkanja Website

Berechtigungen

hashtag
Überblick

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den GSA Reporting & Assignment Agent. Der Agent verwendet Nur-Lese-Zugriff auf Entra Private Access- und Entra ID-Daten über die Microsoft Graph API und Security Copilot Plugins. Er ist darauf ausgelegt, Connector-Health-Metriken, Netzwerkverkehrsberichte und Benutzer-zu-Ziel-Zuweisungsdaten zu sammeln und zu analysieren ohne Konfigurationen in Ihrer Umgebung zu verändern .

hashtag
Funktionsweise

Der Agent verbindet sich sicher mit Ihrem Mandanten über Microsoft Graph API-Endpunkte, um Konfigurations- und Telemetriedaten im Zusammenhang mit Global Secure Access (Entra Private Access). Er korreliert Connector-Leistung, IP-Bereichsauslastung und Benutzerzugriffszuweisungen, um die Netzwerk-effizienz zu bewerten und Betriebs- oder Sicherheitslücken zu identifizieren.

Alle Interaktionen folgen diesen Grundsätzen:

  • Nur-Lese-Zugriff: Der Agent ändert, erstellt oder löscht niemals Konfigurationen.

  • Prinzip der geringsten Rechte: Es werden nur die minimal erforderlichen Berechtigungen zum Lesen von Netzwerk- und Verzeichnisdaten angefordert.

  • Transparenz: Alle Datenabfragen erfolgen über dokumentierte Microsoft Graph API-Endpunkte und können vollständig in Microsoft Entra geprüft werden.

hashtag
Erforderliche Entra ID- und Graph-Rollen

Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agent ausführt, die folgenden Rollen und API-Berechtigungen zu:

Rolle
Beschreibung

Global Secure Access Reader (über NetworkAccess.Read.All)

Ermöglicht read-only Einsicht in Entra Private Access Connector-Gruppen, Richtlinien und Konfigurationen.

Security Reader

Bietet read-only Zugriff auf Sicherheits- und Prüfungsinformationen im Zusammenhang mit Netzwerkoperationen.

Directory Reader

Gewährt Einblick in Benutzer-, Gruppen- und Geräteinformationen zur Zuordnungs-Korrelation.

Reports Reader

Erlaubt dem Agenten das Lesen von Nutzungs- und Verkehrsaktivitätsberichten für Trendanalysen.

Diese Rollen entsprechen dem Prinzip der geringsten Rechte und können bei Bedarf auf bestimmte Anwendungen oder Network-Access-Ressourcen eingegrenzt werden.

hashtag
Transparenz beim Datenzugriff

Die nachstehende Tabelle beschreibt die vom Agenten abgerufenen Datentypen und deren Zweck:

Datentyp
Zugriffsebene
Zweck

Global Secure Access Connector- und Richtliniendaten

Nur-Lese

Zur Analyse von Connector-Konfiguration, Redundanz und Health-Metriken.

Netzwerkverkehrs- und Leistungsprotokolle

Nur-Lese

Zur Identifizierung von Anomalien, Latenzproblemen und fehlgeschlagenen Verbindungsversuchen.

IP-Bereiche und Port-Abdeckung

Nur-Lese

Zur Erkennung veralteter IP-Bereiche, fehlender Firewall-Regeln und Konflikte.

Benutzer- und Gruppendaten im Verzeichnis

Nur-Lese

Zur Korrelation von Benutzerzugriffszuweisungen mit Netzwerkzielen.

Audit- und Nutzungsberichte

Nur-Lese

Um Konfigurationsänderungen, Zugriffstrends und Auslastungsmuster nachzuverfolgen.

Datenverarbeitung:

  • Der Agent ändert oder exportiert keine Kundendaten außerhalb der Grenzen Ihres Mandanten.

  • Der gesamte Datenzugriff ist auf Microsoft Graph- und Security Copilot Plugin-Endpunkte beschränkt.

  • Jeder Zugriffsereignis wird protokolliert in Microsoft Entra-Prüfprotokollen zur Nachvollziehbarkeit und Einhaltung von Vorschriften.

hashtag
Agent-Einstellungen

Der Agent enthält konfigurierbare Parameter zur Steuerung von Umfang, Rückblickszeitraum und Berichtstiefe:

Einstellung
Optionen
Beschreibung

Umfang

Connectoren, Verkehr, Zuweisungen, Ports

Definiert, welche Netzwerkbereiche in die Analyse einbezogen werden.

LookbackDays

30, 60, 90

Bestimmt das Zeitfenster für die Auswertung von Netzwerkverkehr und Connector-Aktivität.

Modus

schnell, standard, tief

Gibt die Analyse-Tiefe und den Detaillierungsgrad der Berichte an.

schnell – Überblick auf hoher Ebene über Connector-Gesundheit und Zuweisungen.

standard – Umfassende Analyse von Connector-, Verkehrs- und Benutzer-zu-Ziel-Daten. (empfohlen)

tief – Voller Diagnosemodus mit erweiteter Anomalieerkennung und Optimierungsempfehlungen.

Stellen Sie sicher, dass alle erforderlichen Berechtigungen erteilt sind, bevor Sie den Agent ausführen, um unvollständige Berichte zu vermeiden.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation zwischen dem Agenten und Microsoft Graph ist verschlüsselt mittels HTTPS und authentifiziert über Microsoft-Identitätsdienste.

  • Der Agent arbeitet innerhalb der Zero Trust und Prinzipien geringster Rechte .

  • Der Zugriff kann jederzeit über Microsoft Entra rollenbasierte Zugriffskontrolle (RBAC) oder die Verwaltung der Anwendungszustimmung überprüft, geändert oder widerrufen werden.

  • Der Agent vornimmt keine Konfigurationsänderungen, was volle Betriebssicherheit während der Bewertungen gewährleistet.

hashtag
Nächste Schritte

  1. Bestätigen Sie, dass das Administratorkonto oder die verwaltete Identität, die den Agent ausführt, die erforderlichen Rollen und Graph-Berechtigungen zugewiesen hat.

  2. Validieren Sie den Zugriff auf Entra Private Access-Connectoren und Network-Access-Berichte über Microsoft Graph.

  3. Überprüfen Sie die Rollenvergabe- und Governance-Richtlinien Ihrer Organisation, bevor Sie die automatisierte Berichterstattung aktivieren.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?