# Berechtigungen ### Übersicht Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den **GSA Reporting & Assignment Agent**.\ Der Agent verwendet **schreibgeschützten Zugriff** für Entra Private Access- und Entra ID-Daten über den **Microsoft Graph API** und **Security Copilot Plugins**.\ Es ist dafür ausgelegt, Konnektivitätsmetriken der Connectoren, Netzwerkverkehrsberichte und Zuordnungsdaten von Benutzern zu Zielen zu erfassen und zu analysieren **ohne Änderungen an Konfigurationen vorzunehmen** in Ihrer Umgebung. *** ### So funktioniert es Der Agent verbindet sich sicher über Microsoft Graph API-Endpunkte mit Ihrem Tenant, um Konfigurations- und Telemetriedaten zu sammeln, die sich auf **Global Secure Access (Entra Private Access)**.\ Er korreliert die Leistung der Connectoren, die Auslastung der IP-Bereiche und Benutzerzugriffszuordnungen, um die Netzwerkeffizienz zu bewerten und operative oder sicherheitsrelevante Lücken zu identifizieren. Alle Interaktionen folgen diesen Grundsätzen: * **Schreibgeschützter Zugriff:** Der Agent nimmt niemals Änderungen an Konfigurationen vor, erstellt keine Konfigurationen und löscht keine Konfigurationen. * **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimal erforderlichen Berechtigungen angefordert, um Netzwerk- und Verzeichnisdaten zu lesen. * **Transparenz:** Alle Datenabrufe erfolgen über dokumentierte Microsoft Graph API-Endpunkte und können in Microsoft Entra vollständig überprüft werden. *** ### Erforderliche Entra ID- und Graph-Rollen Weisen Sie dem Administratorkonto oder der verwalteten Identität, auf der der Agent ausgeführt wird, die folgenden Rollen und API-Berechtigungen zu: | Rolle | Beschreibung | | --------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------- | | **Global Secure Access Reader** *(über NetworkAccess.Read.All)* | Ermöglicht schreibgeschützte Sichtbarkeit in Connector-Gruppen, Richtlinien und Konfigurationen von Entra Private Access. | | **Security Reader** | Bietet schreibgeschützten Zugriff auf Sicherheits- und Prüfungsinformationen im Zusammenhang mit Netzwerkoperationen. | | **Directory Reader** | Gewährt Einblick in Benutzer-, Gruppen- und Geräteinformationen für die Zuordnungskorrelation. | | **Berichtsleser** | Ermöglicht es dem Agenten, Nutzungs- und Verkehrsaktivitätsberichte zur Trendanalyse zu lesen. | Diese Rollen entsprechen dem **Prinzip der geringsten Berechtigung** und können bei Bedarf auf bestimmte Anwendungen oder Network-Access-Ressourcen beschränkt werden. *** ### Transparenz beim Datenzugriff Die folgende Tabelle beschreibt die vom Agenten abgerufenen Datentypen und deren Zweck: | Datentyp | Zugriffslevel | Zweck | | --------------------------------------------------------- | ---------------- | --------------------------------------------------------------------------------------------- | | Daten zu Global Secure Access-Connectoren und Richtlinien | Schreibgeschützt | Zur Analyse von Connector-Konfiguration, Redundanz und Integritätsmetriken. | | Netzwerkverkehrs- und Leistungsprotokolle | Schreibgeschützt | Zur Identifizierung von Anomalien, Latenzproblemen und fehlgeschlagenen Verbindungsversuchen. | | IP-Bereiche und Portabdeckung | Schreibgeschützt | Zum Erkennen veralteter IP-Bereiche, fehlender Firewall-Regeln und Konflikte. | | Verzeichnisdaten von Benutzern und Gruppen | Schreibgeschützt | Zur Korrelation von Benutzerzugriffszuordnungen mit Netzwerkzielen. | | Prüf- und Nutzungsberichte | Schreibgeschützt | Zum Nachverfolgen von Konfigurationsänderungen, Zugriffstrends und Nutzungsmustern. | **Datenverarbeitung:** * Der Agent verändert oder exportiert Kundendaten nicht außerhalb der Grenzen Ihres Tenants. * Der gesamte Datenzugriff ist auf Microsoft Graph- und Security Copilot Plugin-Endpunkte beschränkt. * Jedes Zugriffsereignis wird in **Microsoft Entra-Auditprotokollen** für Nachvollziehbarkeit und Compliance-Sicherheit protokolliert. *** ### Agenteneinstellungen Der Agent enthält konfigurierbare Parameter zur Steuerung von Umfang, Rückblickzeitraum und Berichtsdetails: | Einstellung | Optionen | Beschreibung | | ---------------- | -------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------- | | **Scope** | `Connectoren`, `Verkehr`, `Zuweisungen`, `Ports` | Legt fest, welche Netzwerkbereiche in die Analyse einbezogen werden. | | **LookbackDays** | 30, 60, 90 | Bestimmt das Zeitfenster für die Bewertung von Netzwerkverkehr und Connector-Aktivitäten. | | **Modus** | `schnell`, `standard`, `tief` | Legt die Analysetiefe und den Detaillierungsgrad der Berichterstattung fest. | | | • **schnell** – Überblick über Integrität und Zuordnungen der Connectoren auf hoher Ebene. | | | | • **standard** – Umfassende Analyse von Connector-, Verkehrs- und Benutzer-zu-Ziel-Daten. *(empfohlen)* | | | | • **tief** – Vollständiger Diagnosemodus mit erweiterter Anomalieerkennung und Optimierungsempfehlungen. | | Stellen Sie sicher, dass alle erforderlichen Berechtigungen erteilt wurden, bevor Sie den Agenten ausführen, um unvollständige Berichte zu vermeiden. *** ### Sicherheits- und Compliance-Überlegungen * Die gesamte Kommunikation zwischen dem Agenten und Microsoft Graph wird mit **HTTPS** verschlüsselt und über **Microsoft-Identitätsdiensten**. * authentifiziert. Der Agent arbeitet innerhalb des **Zero-Trust** und **Prinzip der minimalen Rechtevergabe** . * Der Zugriff kann jederzeit überprüft, geändert oder widerrufen werden, indem **Microsoft Entra-Rollenbasierte Zugriffssteuerung (RBAC)** oder die Einwilligungsverwaltung für Anwendungen verwendet wird. * Der Agent nimmt keine Konfigurationsänderungen vor und gewährleistet damit während der Bewertungen vollständige Betriebssicherheit. *** ### Nächste Schritte 1. Bestätigen Sie, dass dem Administrator oder der verwalteten Identität, auf der der Agent ausgeführt wird, die erforderlichen Rollen und Graph-Berechtigungen zugewiesen sind. 2. Validieren Sie den Zugriff auf Entra Private Access-Connectoren und Netzwerkzugriffsberichte über Microsoft Graph. 3. Überprüfen Sie die Rollenzuweisungs- und Governance-Richtlinien Ihrer Organisation, bevor Sie die automatisierte Berichterstellung aktivieren. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/de/agents/gsa-reporting-and-assignment-agent/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.