# Permisos ### Descripción general Esta página describe los permisos y el modelo de acceso para el **Agente de informes y asignaciones de GSA**.\ El agente usa **acceso de solo lectura** a los datos de Entra Private Access y Entra ID a través de **Microsoft Graph API** y **Security Copilot Plugins**.\ Está diseñado para recopilar y analizar métricas de estado de los conectores, informes de tráfico de red y datos de asignación de usuario a destino **sin modificar ninguna configuración** en tu entorno. *** ### Cómo funciona El agente se conecta de forma segura a tu tenant a través de los puntos de conexión de la API de Microsoft Graph para recopilar datos de configuración y telemetría relacionados con **Global Secure Access (Entra Private Access)**.\ Correlaciona el rendimiento de los conectores, la utilización del rango de IP y las asignaciones de acceso de los usuarios para evaluar la eficiencia de la red e identificar brechas operativas o de seguridad. Todas las interacciones siguen estos principios: * **Acceso de solo lectura:** El agente nunca modifica, crea ni elimina configuraciones. * **Privilegio mínimo:** Solo se solicitan los permisos mínimos necesarios para leer datos de red y de directorio. * **Transparencia:** Toda la recuperación de datos se realiza a través de puntos de conexión documentados de la API de Microsoft Graph y se puede auditar completamente en Microsoft Entra. *** ### Roles requeridos de Entra ID y Graph Asigna los siguientes roles y permisos de API a la cuenta de administrador o identidad administrada que ejecuta el agente: | Rol | Descripción | | ------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------ | | **Global Secure Access Reader** *(mediante NetworkAccess.Read.All)* | Permite una visibilidad de solo lectura de los grupos, directivas y configuraciones de los conectores de Entra Private Access. | | **Lector de seguridad** | Proporciona acceso de solo lectura a la información de seguridad y auditoría relacionada con las operaciones de red. | | **Directory Reader** | Concede visibilidad a la información de usuario, grupo y dispositivo para la correlación de asignaciones. | | **Lector de informes** | Permite al agente leer informes de uso y actividad de tráfico para el análisis de tendencias. | Estos roles cumplen con **principio de privilegio mínimo** y pueden delimitarse a aplicaciones específicas o recursos de acceso a la red si es necesario. *** ### Transparencia en el acceso a los datos La siguiente tabla describe los tipos de datos a los que accede el agente y su propósito: | Tipo de datos | Nivel de acceso | Propósito | | -------------------------------------------------------- | --------------- | ------------------------------------------------------------------------------------------ | | datos de conectores y directivas de Global Secure Access | Solo lectura | Para analizar la configuración, la redundancia y las métricas de estado de los conectores. | | registros de tráfico y rendimiento de red | Solo lectura | Para identificar anomalías, problemas de latencia e intentos de conexión fallidos. | | rangos de IP y cobertura de puertos | Solo lectura | Para detectar rangos de IP obsoletos, reglas de firewall faltantes y conflictos. | | datos de directorio de usuarios y grupos | Solo lectura | Para correlacionar las asignaciones de acceso de los usuarios con los destinos de red. | | informes de auditoría y uso | Solo lectura | Para rastrear cambios de configuración, tendencias de acceso y patrones de utilización. | **Manejo de datos:** * El agente no altera ni exporta datos del cliente fuera del límite de tu tenant. * Todo el acceso a los datos se limita a Microsoft Graph y a los puntos de conexión del complemento de Security Copilot. * Cada evento de acceso se registra en **registros de auditoría de Microsoft Entra** para garantizar la trazabilidad y el cumplimiento. *** ### Configuración del agente El agente incluye parámetros configurables para controlar el alcance, el período de revisión y el nivel de detalle de los informes: | Configuración | Opciones | Descripción | | ---------------- | -------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------- | | **Scope** | `conectores`, `tráfico`, `asignaciones`, `puertos` | Define qué áreas de red se incluyen en el análisis. | | **LookbackDays** | 30, 60, 90 | Determina la ventana temporal para la evaluación del tráfico de red y la actividad de los conectores. | | **Modo** | `rápido`, `estándar`, `profundo` | Especifica la profundidad del análisis y el nivel de detalle del informe. | | | • **rápido** – Vista general de alto nivel del estado y las asignaciones de los conectores. | | | | • **estándar** – Análisis exhaustivo de los datos de conectores, tráfico y usuario a destino. *(recomendado)* | | | | • **profundo** – Modo de diagnóstico completo con detección avanzada de anomalías y recomendaciones de optimización. | | Asegúrate de que todos los permisos necesarios se hayan concedido antes de ejecutar el agente para evitar informes incompletos. *** ### Consideraciones de seguridad y cumplimiento * Toda la comunicación entre el agente y Microsoft Graph se cifra mediante **HTTPS** y se autentica a través de **servicios de identidad de Microsoft**. * El agente opera dentro de **principios de diseño de** y **privilegio mínimo** . * El acceso se puede revisar, modificar o revocar en cualquier momento mediante **RBAC de Microsoft Entra basado en roles** o la administración del consentimiento de la aplicación. * El agente no realiza ningún cambio de configuración, lo que garantiza una seguridad operativa total durante las evaluaciones. *** ### Próximos pasos 1. Confirma que la cuenta de administrador o la identidad administrada que ejecuta el agente tenga asignados los roles y permisos de Graph requeridos. 2. Valida el acceso a los conectores de Entra Private Access y a los informes de acceso a la red a través de Microsoft Graph. 3. Revisa las políticas de asignación de roles y gobernanza de tu organización antes de habilitar los informes automatizados. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/es/agents/gsa-reporting-and-assignment-agent/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.