circle-info
Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
search
Go to glueckkanja Website

Permisos

hashtag
Resumen

Esta página describe los permisos y el modelo de acceso para el Agente de Informes y Asignación GSA. El agente utiliza acceso de solo lectura a los datos de Entra Private Access y Entra ID a través del Microsoft Graph API y Complementos de Security Copilot. Está diseñado para recopilar y analizar métricas de estado de los conectores, informes de tráfico de red y datos de asignación de usuarios a destinos sin modificar ninguna configuración en su entorno.

hashtag
Cómo funciona

El agente se conecta de forma segura a su inquilino a través de los extremos de Microsoft Graph API para recopilar datos de configuración y telemetría relacionados con Acceso Seguro Global (Entra Private Access). Correlaciona el rendimiento del conector, la utilización de rangos IP y las asignaciones de acceso de usuarios para evaluar la eficiencia de la red e identificar brechas operativas o de seguridad.

Todas las interacciones siguen estos principios:

  • Acceso de solo lectura: El agente nunca modifica, crea ni elimina configuraciones.

  • Mínimos privilegios: Solo se solicitan los permisos mínimos necesarios para leer datos de red y del directorio.

  • Transparencia: Toda la recuperación de datos se realiza a través de extremos documentados de Microsoft Graph API y puede auditarse completamente en Microsoft Entra.

hashtag
Roles requeridos de Entra ID y Graph

Asignar los siguientes roles y permisos de API a la cuenta de administrador o identidad administrada que ejecute el agente:

Rol
Descripción

Lector de Acceso Seguro Global (vía NetworkAccess.Read.All)

Habilita visibilidad de solo lectura en grupos de conectores, directivas y configuraciones de Entra Private Access.

Lector de Seguridad

Proporciona acceso de solo lectura a información de seguridad y auditoría relacionada con las operaciones de red.

Lector del Directorio

Otorga visibilidad de información de usuarios, grupos y dispositivos para la correlación de asignaciones.

Lector de Informes

Permite al agente leer informes de uso y actividad de tráfico para análisis de tendencias.

Estos roles cumplen con el principio de mínimos privilegios y pueden limitarse a aplicaciones específicas o recursos de acceso a la red si es necesario.

hashtag
Transparencia en el acceso a los datos

La tabla a continuación describe los tipos de datos a los que accede el agente y su propósito:

Tipo de datos
Nivel de acceso
Propósito

Datos de conectores y directivas de Acceso Seguro Global

Solo lectura

Para analizar la configuración del conector, la redundancia y las métricas de estado.

Registros de tráfico y rendimiento de la red

Solo lectura

Para identificar anomalías, problemas de latencia e intentos de conexión fallidos.

Rangos IP y cobertura de puertos

Solo lectura

Para detectar rangos IP obsoletos, reglas de firewall faltantes y conflictos.

Datos de usuarios y grupos del directorio

Solo lectura

Para correlacionar las asignaciones de acceso de usuarios con destinos de red.

Informes de auditoría y uso

Solo lectura

Para rastrear cambios de configuración, tendencias de acceso y patrones de utilización.

Manejo de datos:

  • El agente no altera ni exporta datos del cliente fuera del límite de su inquilino.

  • Todo el acceso a datos se limita a los extremos de Microsoft Graph y los Complementos de Security Copilot.

  • Cada evento de acceso se registra en los registros de auditoría de Microsoft Entra para trazabilidad y garantía de cumplimiento.

hashtag
Configuración del agente

El agente incluye parámetros configurables para controlar el alcance, el periodo de retrospectiva y la profundidad de los informes:

Configuración
Opciones
Descripción

Alcance

conectores, tráfico, asignaciones, puertos

Define qué áreas de la red se incluyen en el análisis.

LookbackDays

30, 60, 90

Determina la ventana temporal para la evaluación del tráfico de red y la actividad de los conectores.

Modo

rápido, estándar, profundo

Especifica la profundidad del análisis y el nivel de detalle del informe.

rápido – Visión general de alto nivel del estado de los conectores y las asignaciones.

estándar – Análisis exhaustivo de datos de conectores, tráfico y usuario a destino. (recomendado)

profundo – Modo de diagnóstico completo con detección avanzada de anomalías y recomendaciones de optimización.

Asegúrese de que todos los permisos requeridos estén concedidos antes de ejecutar el agente para evitar informes incompletos.

hashtag
Consideraciones de seguridad y cumplimiento

  • Toda la comunicación entre el agente y Microsoft Graph está cifrada usando HTTPS y autenticada mediante servicios de identidad de Microsoft.

  • El agente opera dentro de los Zero Trust y principios de mínimos privilegios. El acceso puede revisarse, modificarse o revocarse en cualquier momento usando

  • el control de acceso basado en roles (RBAC) de Microsoft Entra o la gestión del consentimiento de aplicaciones. El agente no realiza ningún cambio de configuración, lo que garantiza total seguridad operativa durante las evaluaciones.

  • Próximos pasos

hashtag
Confirme que el administrador o la identidad administrada que ejecuta el agente tenga los roles requeridos y los permisos de Graph asignados.

  1. Valide el acceso a los conectores de Entra Private Access y a los informes de acceso a la red a través de Microsoft Graph.

  2. Revise la asignación de roles y las políticas de gobernanza de su organización antes de habilitar la generación de informes automatizada.

  3. Revise la asignación de roles y las políticas de gobernanza de su organización antes de habilitar la generación de informes automatizada.

AnteriorResumenSiguienteRegistro de cambios

Última actualización

¿Te fue útil?