circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Ctrlk
Go to glueckkanja Website

Berechtigungen

hashtag
Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den GSA Reporting & Assignment Agent. Der Agent verwendet schreibgeschützten Zugriff für Entra Private Access- und Entra ID-Daten über den Microsoft Graph API und Security Copilot Plugins. Es ist dafür ausgelegt, Konnektivitätsmetriken der Connectoren, Netzwerkverkehrsberichte und Zuordnungsdaten von Benutzern zu Zielen zu erfassen und zu analysieren ohne Änderungen an Konfigurationen vorzunehmen in Ihrer Umgebung.

hashtag
So funktioniert es

Der Agent verbindet sich sicher über Microsoft Graph API-Endpunkte mit Ihrem Tenant, um Konfigurations- und Telemetriedaten zu sammeln, die sich auf Global Secure Access (Entra Private Access). Er korreliert die Leistung der Connectoren, die Auslastung der IP-Bereiche und Benutzerzugriffszuordnungen, um die Netzwerkeffizienz zu bewerten und operative oder sicherheitsrelevante Lücken zu identifizieren.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent nimmt niemals Änderungen an Konfigurationen vor, erstellt keine Konfigurationen und löscht keine Konfigurationen.

  • Prinzip der minimalen Rechtevergabe: Es werden nur die minimal erforderlichen Berechtigungen angefordert, um Netzwerk- und Verzeichnisdaten zu lesen.

  • Transparenz: Alle Datenabrufe erfolgen über dokumentierte Microsoft Graph API-Endpunkte und können in Microsoft Entra vollständig überprüft werden.

hashtag
Erforderliche Entra ID- und Graph-Rollen

Weisen Sie dem Administratorkonto oder der verwalteten Identität, auf der der Agent ausgeführt wird, die folgenden Rollen und API-Berechtigungen zu:

Rolle
Beschreibung

Global Secure Access Reader (über NetworkAccess.Read.All)

Ermöglicht schreibgeschützte Sichtbarkeit in Connector-Gruppen, Richtlinien und Konfigurationen von Entra Private Access.

Security Reader

Bietet schreibgeschützten Zugriff auf Sicherheits- und Prüfungsinformationen im Zusammenhang mit Netzwerkoperationen.

Directory Reader

Gewährt Einblick in Benutzer-, Gruppen- und Geräteinformationen für die Zuordnungskorrelation.

Berichtsleser

Ermöglicht es dem Agenten, Nutzungs- und Verkehrsaktivitätsberichte zur Trendanalyse zu lesen.

Diese Rollen entsprechen dem Prinzip der geringsten Berechtigung und können bei Bedarf auf bestimmte Anwendungen oder Network-Access-Ressourcen beschränkt werden.

hashtag
Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt die vom Agenten abgerufenen Datentypen und deren Zweck:

Datentyp
Zugriffslevel
Zweck

Daten zu Global Secure Access-Connectoren und Richtlinien

Schreibgeschützt

Zur Analyse von Connector-Konfiguration, Redundanz und Integritätsmetriken.

Netzwerkverkehrs- und Leistungsprotokolle

Schreibgeschützt

Zur Identifizierung von Anomalien, Latenzproblemen und fehlgeschlagenen Verbindungsversuchen.

IP-Bereiche und Portabdeckung

Schreibgeschützt

Zum Erkennen veralteter IP-Bereiche, fehlender Firewall-Regeln und Konflikte.

Verzeichnisdaten von Benutzern und Gruppen

Schreibgeschützt

Zur Korrelation von Benutzerzugriffszuordnungen mit Netzwerkzielen.

Prüf- und Nutzungsberichte

Schreibgeschützt

Zum Nachverfolgen von Konfigurationsänderungen, Zugriffstrends und Nutzungsmustern.

Datenverarbeitung:

  • Der Agent verändert oder exportiert Kundendaten nicht außerhalb der Grenzen Ihres Tenants.

  • Der gesamte Datenzugriff ist auf Microsoft Graph- und Security Copilot Plugin-Endpunkte beschränkt.

  • Jedes Zugriffsereignis wird in Microsoft Entra-Auditprotokollen für Nachvollziehbarkeit und Compliance-Sicherheit protokolliert.

hashtag
Agenteneinstellungen

Der Agent enthält konfigurierbare Parameter zur Steuerung von Umfang, Rückblickzeitraum und Berichtsdetails:

Einstellung
Optionen
Beschreibung

Scope

Connectoren, Verkehr, Zuweisungen, Ports

Legt fest, welche Netzwerkbereiche in die Analyse einbezogen werden.

LookbackDays

30, 60, 90

Bestimmt das Zeitfenster für die Bewertung von Netzwerkverkehr und Connector-Aktivitäten.

Modus

schnell, standard, tief

Legt die Analysetiefe und den Detaillierungsgrad der Berichterstattung fest.

schnell – Überblick über Integrität und Zuordnungen der Connectoren auf hoher Ebene.

standard – Umfassende Analyse von Connector-, Verkehrs- und Benutzer-zu-Ziel-Daten. (empfohlen)

tief – Vollständiger Diagnosemodus mit erweiterter Anomalieerkennung und Optimierungsempfehlungen.

Stellen Sie sicher, dass alle erforderlichen Berechtigungen erteilt wurden, bevor Sie den Agenten ausführen, um unvollständige Berichte zu vermeiden.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation zwischen dem Agenten und Microsoft Graph wird mit HTTPS verschlüsselt und über Microsoft-Identitätsdiensten.

  • authentifiziert. Der Agent arbeitet innerhalb des Zero-Trust und Prinzip der minimalen Rechtevergabe .

  • Der Zugriff kann jederzeit überprüft, geändert oder widerrufen werden, indem Microsoft Entra-Rollenbasierte Zugriffssteuerung (RBAC) oder die Einwilligungsverwaltung für Anwendungen verwendet wird.

  • Der Agent nimmt keine Konfigurationsänderungen vor und gewährleistet damit während der Bewertungen vollständige Betriebssicherheit.

hashtag
Nächste Schritte

  1. Bestätigen Sie, dass dem Administrator oder der verwalteten Identität, auf der der Agent ausgeführt wird, die erforderlichen Rollen und Graph-Berechtigungen zugewiesen sind.

  2. Validieren Sie den Zugriff auf Entra Private Access-Connectoren und Netzwerkzugriffsberichte über Microsoft Graph.

  3. Überprüfen Sie die Rollenzuweisungs- und Governance-Richtlinien Ihrer Organisation, bevor Sie die automatisierte Berichterstellung aktivieren.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?