Partager via


Rôles intégrés Azure pour Identity

Cet article répertorie les rôles intégrés Azure dans la catégorie Identité.

Contributeur aux services de domaine

Peut gérer Azure AD Domain Services et les configurations réseau associées

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Resources/deployments/read Obtient ou répertorie les déploiements.
Microsoft.Resources/deployments/write Crée ou met à jour un déploiement.
Microsoft.Resources/deployments/delete Supprime un déploiement.
Microsoft.Resources/deployments/cancel/action Annule un déploiement.
Microsoft.Resources/deployments/validate/action Valide un déploiement.
Microsoft.Resources/deployments/whatIf/action Prédit les changements des modèles de déploiement.
Microsoft.Resources/deployments/exportTemplate/action Exporte un modèle pour un déploiement
Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.
Microsoft.Resources/deployments/operationstatuses/read Obtient ou répertorie les états de l’opération de déploiement.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Insights/AlertRules/Write Créer ou mettre à jour une alerte de métrique classique
Microsoft.Insights/AlertRules/Delete Supprimer une alerte de métrique classique
Microsoft.Insights/AlertRules/Read Lire une alerte de métrique classique
Microsoft.Insights/AlertRules/Activated/Action Activer les alertes de métrique classique
Microsoft.Insights/AlertRules/Resolved/Action Résoudre une alerte de métrique classique
Microsoft.Insights/AlertRules/Throttled/Action Limiter une règle d'alerte de métrique classique
Microsoft.Insights/AlertRules/Incidents/Read Lire un incident d'alerte de métrique classique
Microsoft.Insights/Logs/Read Lire les données de tous vos journaux d’activité
Microsoft.Insights/Metrics/Read Lire des mesures
Microsoft.Insights/DiagnosticSettings/* Crée, met à jour ou lit le paramètre de diagnostic pour Analysis Server.
Microsoft.Insights/DiagnosticSettingsCategories/Read Lit les catégories de paramètres de diagnostic
Microsoft.AAD/register/action Inscrire le service de domaine
Microsoft.AAD/unregister/action Annule l’inscription du service de domaine
Microsoft.AAD/domainServices/*
Microsoft.Network/register/action Enregistrer l’abonnement.
Microsoft.Network/unregister/action Désenregistrer l’abonnement.
Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.
Microsoft.Network/virtualNetworks/write Crée un réseau virtuel ou met à jour un réseau virtuel existant.
Microsoft.Network/virtualNetworks/delete Supprime un réseau virtuel.
Microsoft.Network/virtualNetworks/peer/action Appaire un réseau virtuel avec un autre réseau virtuel.
Microsoft.Network/virtualNetworks/join/action Joint un réseau virtuel. Impossible à alerter.
Microsoft.Network/virtualNetworks/subnets/read Obtient une définition de sous-réseau de réseau virtuel.
Microsoft.Network/virtualNetworks/subnets/write Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant.
Microsoft.Network/virtualNetworks/subnets/delete Supprime un sous-réseau de réseau virtuel.
Microsoft.Network/virtualNetworks/subnets/join/action Joint un réseau virtuel. Impossible à alerter.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read Obtient une définition de peering de réseau virtuel.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write Crée un peering de réseau virtuel ou met à jour un peering de réseau virtuel existant.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete Supprime un peering de réseau virtuel.
Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read Obtient les paramètres de diagnostic du réseau virtuel
Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read Obtient les métriques disponibles pour PingMesh
Microsoft.Network/azureFirewalls/read Obtenir le Pare-feu Azure
Microsoft.Network/ddosProtectionPlans/read Obtient un plan de protection DDoS
Microsoft.Network/ddosProtectionPlans/join/action Joint un plan de protection DDoS. Impossible à alerter.
Microsoft.Network/loadBalancers/read Obtient une définition d’équilibrage de charge.
Microsoft.Network/loadBalancers/delete Supprime un équilibrage de charge.
Microsoft.Network/loadBalancers/*/read
Microsoft.Network/loadBalancers/backendAddressPools/join/action Joint un pool d’adresses principales d’équilibrage de charge. Impossible à alerter.
Microsoft.Network/loadBalancers/inboundNatRules/join/action Joint une règle nat de trafic entrant d’équilibrage de charge. Impossible à alerter.
Microsoft.Network/natGateways/join/action Joint une instance NAT Gateway
Microsoft.Network/networkInterfaces/read Obtient une définition d’interface réseau.
Microsoft.Network/networkInterfaces/write Crée une interface réseau ou met à jour une interface réseau existante.
Microsoft.Network/networkInterfaces/delete Supprime une interface réseau.
Microsoft.Network/networkInterfaces/join/action Joint une machine virtuelle à une interface réseau. Impossible à alerter.
Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read Obtient une définition de règle de sécurité par défaut.
Microsoft.Network/networkSecurityGroups/read Obtient une définition de groupe de sécurité réseau.
Microsoft.Network/networkSecurityGroups/write Crée un groupe de sécurité réseau ou met à jour un groupe de sécurité réseau existant.
Microsoft.Network/networkSecurityGroups/delete Supprime un groupe de sécurité réseau.
Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.
Microsoft.Network/networkSecurityGroups/securityRules/read Obtient une définition de règle de sécurité.
Microsoft.Network/networkSecurityGroups/securityRules/write Crée une règle de sécurité ou met à jour une règle de sécurité existante.
Microsoft.Network/networkSecurityGroups/securityRules/delete Supprime une règle de sécurité.
Microsoft.Network/routeTables/read Obtient une définition de table de routage.
Microsoft.Network/routeTables/write Crée une table de routage ou met à jour une table de routage existante
Microsoft.Network/routeTables/delete Supprime une définition de table de routage.
Microsoft.Network/routeTables/join/action Joint une table de routage. Impossible à alerter.
Microsoft.Network/routeTables/routes/read Obtient une définition de routage.
Microsoft.Network/routeTables/routes/write Crée un routage ou met à jour un routage existant.
Microsoft.Network/routeTables/routes/delete Supprime une définition de routage.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage Azure AD Domain Services and related network configurations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
  "name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/deployments/delete",
        "Microsoft.Resources/deployments/cancel/action",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Resources/deployments/whatIf/action",
        "Microsoft.Resources/deployments/exportTemplate/action",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/operationstatuses/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Insights/AlertRules/Write",
        "Microsoft.Insights/AlertRules/Delete",
        "Microsoft.Insights/AlertRules/Read",
        "Microsoft.Insights/AlertRules/Activated/Action",
        "Microsoft.Insights/AlertRules/Resolved/Action",
        "Microsoft.Insights/AlertRules/Throttled/Action",
        "Microsoft.Insights/AlertRules/Incidents/Read",
        "Microsoft.Insights/Logs/Read",
        "Microsoft.Insights/Metrics/Read",
        "Microsoft.Insights/DiagnosticSettings/*",
        "Microsoft.Insights/DiagnosticSettingsCategories/Read",
        "Microsoft.AAD/register/action",
        "Microsoft.AAD/unregister/action",
        "Microsoft.AAD/domainServices/*",
        "Microsoft.Network/register/action",
        "Microsoft.Network/unregister/action",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/write",
        "Microsoft.Network/virtualNetworks/delete",
        "Microsoft.Network/virtualNetworks/peer/action",
        "Microsoft.Network/virtualNetworks/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/write",
        "Microsoft.Network/virtualNetworks/subnets/delete",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Network/azureFirewalls/read",
        "Microsoft.Network/ddosProtectionPlans/read",
        "Microsoft.Network/ddosProtectionPlans/join/action",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/loadBalancers/delete",
        "Microsoft.Network/loadBalancers/*/read",
        "Microsoft.Network/loadBalancers/backendAddressPools/join/action",
        "Microsoft.Network/loadBalancers/inboundNatRules/join/action",
        "Microsoft.Network/natGateways/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/networkInterfaces/delete",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/write",
        "Microsoft.Network/networkSecurityGroups/delete",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/write",
        "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "Microsoft.Network/routeTables/read",
        "Microsoft.Network/routeTables/write",
        "Microsoft.Network/routeTables/delete",
        "Microsoft.Network/routeTables/join/action",
        "Microsoft.Network/routeTables/routes/read",
        "Microsoft.Network/routeTables/routes/write",
        "Microsoft.Network/routeTables/routes/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Domain Services Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Lecteur de services de domaine

Peut afficher Azure AD Domain Services et les configurations réseau associées

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Resources/deployments/read Obtient ou répertorie les déploiements.
Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.
Microsoft.Resources/deployments/operationstatuses/read Obtient ou répertorie les états de l’opération de déploiement.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Insights/AlertRules/Read Lire une alerte de métrique classique
Microsoft.Insights/AlertRules/Incidents/Read Lire un incident d'alerte de métrique classique
Microsoft.Insights/Logs/Read Lire les données de tous vos journaux d’activité
Microsoft.Insights/Metrics/read Lire des mesures
Microsoft.Insights/DiagnosticSettings/read Lire un paramètre de diagnostic de ressource
Microsoft.Insights/DiagnosticSettingsCategories/Read Lit les catégories de paramètres de diagnostic
Microsoft.AAD/domainServices/*/read
Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.
Microsoft.Network/virtualNetworks/subnets/read Obtient une définition de sous-réseau de réseau virtuel.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read Obtient une définition de peering de réseau virtuel.
Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read Obtient les paramètres de diagnostic du réseau virtuel
Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read Obtient les métriques disponibles pour PingMesh
Microsoft.Network/azureFirewalls/read Obtenir le Pare-feu Azure
Microsoft.Network/ddosProtectionPlans/read Obtient un plan de protection DDoS
Microsoft.Network/loadBalancers/read Obtient une définition d’équilibrage de charge.
Microsoft.Network/loadBalancers/*/read
Microsoft.Network/natGateways/read Obtient une définition de passerelle NAT
Microsoft.Network/networkInterfaces/read Obtient une définition d’interface réseau.
Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read Obtient une définition de règle de sécurité par défaut.
Microsoft.Network/networkSecurityGroups/read Obtient une définition de groupe de sécurité réseau.
Microsoft.Network/networkSecurityGroups/securityRules/read Obtient une définition de règle de sécurité.
Microsoft.Network/routeTables/read Obtient une définition de table de routage.
Microsoft.Network/routeTables/routes/read Obtient une définition de routage.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can view Azure AD Domain Services and related network configurations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
  "name": "361898ef-9ed1-48c2-849c-a832951106bb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/operationstatuses/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Insights/AlertRules/Read",
        "Microsoft.Insights/AlertRules/Incidents/Read",
        "Microsoft.Insights/Logs/Read",
        "Microsoft.Insights/Metrics/read",
        "Microsoft.Insights/DiagnosticSettings/read",
        "Microsoft.Insights/DiagnosticSettingsCategories/Read",
        "Microsoft.AAD/domainServices/*/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Network/azureFirewalls/read",
        "Microsoft.Network/ddosProtectionPlans/read",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/loadBalancers/*/read",
        "Microsoft.Network/natGateways/read",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/routeTables/read",
        "Microsoft.Network/routeTables/routes/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Domain Services Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur d’identités gérées

Peut créer, lire, mettre à jour et supprimer une identité attribuée à l’utilisateur.

En savoir plus

Actions Description
Microsoft.ManagedIdentity/userAssignedIdentities/read Obtient l’identité assignée d’un utilisateur existant
Microsoft.ManagedIdentity/userAssignedIdentities/write Crée une identité assignée d’utilisateur ou met à jour les balises associées à l’identité assignée d’un utilisateur existant
Microsoft.ManagedIdentity/userAssignedIdentities/delete Supprime l’identité assignée d’un utilisateur existant
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obtenir ou répertorier les informations d’identification de l’identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Ajouter ou mettre à jour des informations d’identification d’identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Suppression des informations d’identification d’une identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action Révoqué tous les jetons existants sur une identité affectée par l’utilisateur
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, Read, Update, and Delete User Assigned Identity",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
  "name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
  "permissions": [
    {
      "actions": [
        "Microsoft.ManagedIdentity/userAssignedIdentities/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/write",
        "Microsoft.ManagedIdentity/userAssignedIdentities/delete",
        "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
        "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
        "Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed Identity Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Opérateur d’identités managées

Peut lire et assigner une identité attribuée à l’utilisateur.

En savoir plus

Actions Description
Microsoft.ManagedIdentity/userAssignedIdentities/*/read
Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read and Assign User Assigned Identity",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
  "name": "f1a07417-d97a-45cb-824c-7a7467783830",
  "permissions": [
    {
      "actions": [
        "Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed Identity Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Étapes suivantes