Rôles intégrés Azure pour Identity
Cet article répertorie les rôles intégrés Azure dans la catégorie Identité.
Contributeur aux services de domaine
Peut gérer Azure AD Domain Services et les configurations réseau associées
| Actions | Description |
|---|---|
| Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
| Microsoft.Resources/deployments/read | Obtient ou répertorie les déploiements. |
| Microsoft.Resources/deployments/write | Crée ou met à jour un déploiement. |
| Microsoft.Resources/deployments/delete | Supprime un déploiement. |
| Microsoft.Resources/deployments/cancel/action | Annule un déploiement. |
| Microsoft.Resources/deployments/validate/action | Valide un déploiement. |
| Microsoft.Resources/deployments/whatIf/action | Prédit les changements des modèles de déploiement. |
| Microsoft.Resources/deployments/exportTemplate/action | Exporte un modèle pour un déploiement |
| Microsoft.Resources/deployments/operations/read | Obtient ou répertorie les opérations de déploiement. |
| Microsoft.Resources/deployments/operationstatuses/read | Obtient ou répertorie les états de l’opération de déploiement. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
| Microsoft.Insights/AlertRules/Write | Créer ou mettre à jour une alerte de métrique classique |
| Microsoft.Insights/AlertRules/Delete | Supprimer une alerte de métrique classique |
| Microsoft.Insights/AlertRules/Read | Lire une alerte de métrique classique |
| Microsoft.Insights/AlertRules/Activated/Action | Activer les alertes de métrique classique |
| Microsoft.Insights/AlertRules/Resolved/Action | Résoudre une alerte de métrique classique |
| Microsoft.Insights/AlertRules/Throttled/Action | Limiter une règle d'alerte de métrique classique |
| Microsoft.Insights/AlertRules/Incidents/Read | Lire un incident d'alerte de métrique classique |
| Microsoft.Insights/Logs/Read | Lire les données de tous vos journaux d’activité |
| Microsoft.Insights/Metrics/Read | Lire des mesures |
| Microsoft.Insights/DiagnosticSettings/* | Crée, met à jour ou lit le paramètre de diagnostic pour Analysis Server. |
| Microsoft.Insights/DiagnosticSettingsCategories/Read | Lit les catégories de paramètres de diagnostic |
| Microsoft.AAD/register/action | Inscrire le service de domaine |
| Microsoft.AAD/unregister/action | Annule l’inscription du service de domaine |
| Microsoft.AAD/domainServices/* | |
| Microsoft.Network/register/action | Enregistrer l’abonnement. |
| Microsoft.Network/unregister/action | Désenregistrer l’abonnement. |
| Microsoft.Network/virtualNetworks/read | Obtenir la définition de réseau virtuel. |
| Microsoft.Network/virtualNetworks/write | Crée un réseau virtuel ou met à jour un réseau virtuel existant. |
| Microsoft.Network/virtualNetworks/delete | Supprime un réseau virtuel. |
| Microsoft.Network/virtualNetworks/peer/action | Appaire un réseau virtuel avec un autre réseau virtuel. |
| Microsoft.Network/virtualNetworks/join/action | Joint un réseau virtuel. Impossible à alerter. |
| Microsoft.Network/virtualNetworks/subnets/read | Obtient une définition de sous-réseau de réseau virtuel. |
| Microsoft.Network/virtualNetworks/subnets/write | Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant. |
| Microsoft.Network/virtualNetworks/subnets/delete | Supprime un sous-réseau de réseau virtuel. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Joint un réseau virtuel. Impossible à alerter. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Obtient une définition de peering de réseau virtuel. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Crée un peering de réseau virtuel ou met à jour un peering de réseau virtuel existant. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Supprime un peering de réseau virtuel. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read | Obtient les paramètres de diagnostic du réseau virtuel |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | Obtient les métriques disponibles pour PingMesh |
| Microsoft.Network/azureFirewalls/read | Obtenir le Pare-feu Azure |
| Microsoft.Network/ddosProtectionPlans/read | Obtient un plan de protection DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Joint un plan de protection DDoS. Impossible à alerter. |
| Microsoft.Network/loadBalancers/read | Obtient une définition d’équilibrage de charge. |
| Microsoft.Network/loadBalancers/delete | Supprime un équilibrage de charge. |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Joint un pool d’adresses principales d’équilibrage de charge. Impossible à alerter. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Joint une règle nat de trafic entrant d’équilibrage de charge. Impossible à alerter. |
| Microsoft.Network/natGateways/join/action | Joint une instance NAT Gateway |
| Microsoft.Network/networkInterfaces/read | Obtient une définition d’interface réseau. |
| Microsoft.Network/networkInterfaces/write | Crée une interface réseau ou met à jour une interface réseau existante. |
| Microsoft.Network/networkInterfaces/delete | Supprime une interface réseau. |
| Microsoft.Network/networkInterfaces/join/action | Joint une machine virtuelle à une interface réseau. Impossible à alerter. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Obtient une définition de règle de sécurité par défaut. |
| Microsoft.Network/networkSecurityGroups/read | Obtient une définition de groupe de sécurité réseau. |
| Microsoft.Network/networkSecurityGroups/write | Crée un groupe de sécurité réseau ou met à jour un groupe de sécurité réseau existant. |
| Microsoft.Network/networkSecurityGroups/delete | Supprime un groupe de sécurité réseau. |
| Microsoft.Network/networkSecurityGroups/join/action | Joint un groupe de sécurité réseau. Impossible à alerter. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Obtient une définition de règle de sécurité. |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Crée une règle de sécurité ou met à jour une règle de sécurité existante. |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | Supprime une règle de sécurité. |
| Microsoft.Network/routeTables/read | Obtient une définition de table de routage. |
| Microsoft.Network/routeTables/write | Crée une table de routage ou met à jour une table de routage existante |
| Microsoft.Network/routeTables/delete | Supprime une définition de table de routage. |
| Microsoft.Network/routeTables/join/action | Joint une table de routage. Impossible à alerter. |
| Microsoft.Network/routeTables/routes/read | Obtient une définition de routage. |
| Microsoft.Network/routeTables/routes/write | Crée un routage ou met à jour un routage existant. |
| Microsoft.Network/routeTables/routes/delete | Supprime une définition de routage. |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Can manage Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
"name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Insights/DiagnosticSettings/*",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/register/action",
"Microsoft.AAD/unregister/action",
"Microsoft.AAD/domainServices/*",
"Microsoft.Network/register/action",
"Microsoft.Network/unregister/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/ddosProtectionPlans/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/routeTables/delete",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/routes/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lecteur de services de domaine
Peut afficher Azure AD Domain Services et les configurations réseau associées
| Actions | Description |
|---|---|
| Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
| Microsoft.Resources/deployments/read | Obtient ou répertorie les déploiements. |
| Microsoft.Resources/deployments/operations/read | Obtient ou répertorie les opérations de déploiement. |
| Microsoft.Resources/deployments/operationstatuses/read | Obtient ou répertorie les états de l’opération de déploiement. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
| Microsoft.Insights/AlertRules/Read | Lire une alerte de métrique classique |
| Microsoft.Insights/AlertRules/Incidents/Read | Lire un incident d'alerte de métrique classique |
| Microsoft.Insights/Logs/Read | Lire les données de tous vos journaux d’activité |
| Microsoft.Insights/Metrics/read | Lire des mesures |
| Microsoft.Insights/DiagnosticSettings/read | Lire un paramètre de diagnostic de ressource |
| Microsoft.Insights/DiagnosticSettingsCategories/Read | Lit les catégories de paramètres de diagnostic |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.Network/virtualNetworks/read | Obtenir la définition de réseau virtuel. |
| Microsoft.Network/virtualNetworks/subnets/read | Obtient une définition de sous-réseau de réseau virtuel. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Obtient une définition de peering de réseau virtuel. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read | Obtient les paramètres de diagnostic du réseau virtuel |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | Obtient les métriques disponibles pour PingMesh |
| Microsoft.Network/azureFirewalls/read | Obtenir le Pare-feu Azure |
| Microsoft.Network/ddosProtectionPlans/read | Obtient un plan de protection DDoS |
| Microsoft.Network/loadBalancers/read | Obtient une définition d’équilibrage de charge. |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/natGateways/read | Obtient une définition de passerelle NAT |
| Microsoft.Network/networkInterfaces/read | Obtient une définition d’interface réseau. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Obtient une définition de règle de sécurité par défaut. |
| Microsoft.Network/networkSecurityGroups/read | Obtient une définition de groupe de sécurité réseau. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Obtient une définition de règle de sécurité. |
| Microsoft.Network/routeTables/read | Obtient une définition de table de routage. |
| Microsoft.Network/routeTables/routes/read | Obtient une définition de routage. |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Can view Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
"name": "361898ef-9ed1-48c2-849c-a832951106bb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Insights/DiagnosticSettings/read",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/natGateways/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur d’identités gérées
Peut créer, lire, mettre à jour et supprimer une identité attribuée à l’utilisateur.
| Actions | Description |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Obtient l’identité assignée d’un utilisateur existant |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Crée une identité assignée d’utilisateur ou met à jour les balises associées à l’identité assignée d’un utilisateur existant |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Supprime l’identité assignée d’un utilisateur existant |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Obtenir ou répertorier les informations d’identification de l’identité fédérée |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Ajouter ou mettre à jour des informations d’identification d’identité fédérée |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Suppression des informations d’identification d’une identité fédérée |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | Révoqué tous les jetons existants sur une identité affectée par l’utilisateur |
| Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
| Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
| Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
| Microsoft.Support/* | Créer et mettre à jour un ticket de support |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Opérateur d’identités managées
Peut lire et assigner une identité attribuée à l’utilisateur.
| Actions | Description |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action | |
| Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
| Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
| Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
| Microsoft.Support/* | Créer et mettre à jour un ticket de support |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Read and Assign User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
"name": "f1a07417-d97a-45cb-824c-7a7467783830",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}