Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet d’attribuer aux membres de votre organisation uniquement les actions dont ils ont besoin pour remplir leur fonction.
Pour utiliser les fonctionnalités Azure Network Watcher, le compte avec lequel vous vous connectez doit être affecté aux rôles intégrés Propriétaire, Contributeur ou Contributeur réseau , ou affecté à un rôle personnalisé qui inclut les actions répertoriées pour la fonctionnalité Network Watcher que vous souhaitez utiliser.
Important
Le contributeur réseau n’inclut pas les actions suivantes :
- Actions Microsoft.Storage/* répertoriées dans la section Actions supplémentaires ou Journaux de flux.
- Actions Microsoft.Compute/* répertoriées dans la section Actions supplémentaires.
- Actions Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* ou Microsoft.Insights/dataCollectionEndpoints/* répertoriées dans la section Analyse du trafic.
Pour apprendre à vérifier les rôles attribués à un utilisateur pour un abonnement, consultez Répertorier les attributions de rôles Azure à l’aide du Portail Azure. Si vous ne voyez pas les attributions de rôles, contactez l’administrateur des abonnements respectifs.
Les sections suivantes répertorient les autorisations minimales requises pour utiliser Network Watcher et ses fonctionnalités. Pour obtenir la liste complète des autorisations Azure associées, consultez les autorisations Microsoft.Network, les autorisations Microsoft.Compute, les autorisations Microsoft.Storage, les autorisations Microsoft.Insights et les autorisations Microsoft.OperationalInsights.
Surveillant de Réseau
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/read | Obtenir un observateur réseau |
| Microsoft.Network/networkWatchers/write | Créer ou mettre à jour un observateur réseau |
| Microsoft.Network/networkWatchers/delete | Supprimer un observateur réseau |
Moniteur de connexion
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/start/action | Démarrer un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/stop/action | Arrêter un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Interroger un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/read | Obtenez un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/write | Créer un moniteur de connexion |
| Microsoft.Network/networkWatchers/connectionMonitors/supprimer | Supprimer un moniteur de connexion |
Journaux de flux
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Obtenir les détails du journal de flux |
| Microsoft.Network/networkWatchers/flowLogs/write | Crée un journal de flux |
| Microsoft.Network/networkWatchers/flowLogs/supprimer | Supprime un journal de flux |
| Microsoft.Network/networkWatchers/configureFlowLog/action | Configurer un journal de flux |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Interroger l’état d’un journal de flux |
| Microsoft.Network/networkSecurityGroups/write 1 | Crée un groupe de sécurité réseau ou met à jour un groupe de sécurité réseau existant. |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Récupérer les signatures d’accès partagé permettant l’accès sécurisé au compte de stockage et l’écriture dans le compte de stockage |
1 uniquement requis avec les journaux de flux NSG.
Analyse du trafic
Étant donné que l’analyse du trafic est activée dans le cadre de la ressource de journal de flux, les autorisations suivantes sont requises en plus de toutes les autorisations requises pour les journaux de flux :
| Action | Descriptif |
|---|---|
| Microsoft.Network/applicationGateways/read | Obtenir une passerelle applicative |
| Microsoft.Network/connections/read | Obtient une connexion de passerelle de réseau virtuel |
| Microsoft.Network/expressRouteCircuits/read | Obtenez un circuit ExpressRoute. |
| Microsoft.Network/loadBalancers/read | Obtenir une définition d’équilibreur de charge |
| Microsoft.Network/localNetworkGateways/read | Obtient LocalNetworkGateway |
| Microsoft.Network/networkInterfaces/read | Obtenir une définition d’interface réseau |
| Microsoft.Network/networkSecurityGroups/read | Obtenir une définition de groupe de sécurité réseau |
| Microsoft.Network/publicIPAddresses/read | Obtenir une définition d’adresse IP publique |
| Microsoft.Network/routeTables/read | Obtenir une définition de table de routage |
| Microsoft.Network/virtualNetworkGateways/read | Obtenez une passerelle de réseau virtuel |
| Microsoft.Network/virtualNetworks/read | Obtenir une définition de réseau virtuel |
| Microsoft.Compute/virtualMachines/read | Obtenir les propriétés d’une machine virtuelle |
| Microsoft.Compute/virtualMachineScaleSets/read | Obtient les propriétés d’un groupe de machines virtuelles identiques |
| Microsoft.OperationalInsights/workspaces/read | Obtenir un espace de travail existant |
| Microsoft.OperationalInsights/workspaces/sharedkeys/action | Récupérer les clés partagées de l’espace de travail |
| Microsoft.Insights/dataCollectionRules/read 1 | Lit une règle de collecte de données |
| Microsoft.Insights/règlesDeCollecteDeDonnées/écrire 1 | Crée ou met à jour une règle de collecte de données |
| Microsoft.Insights/dataCollectionRules/delete 1 | Supprime une règle de collecte de données |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Lit un point de terminaison de collecte de données |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Crée ou met à jour un point de terminaison de collecte de données |
| Microsoft.Insights/dataCollectionEndpoints/supprimer 1 | Supprime un point de terminaison de collecte de données |
1 Obligatoire sur l’abonnement de l’espace de travail Log Analytics lorsque l'on utilise Traffic Analytics avec les journaux de flux du réseau virtuel.
Attention
Traffic Analytics crée et gère des ressources de règle de collecte de données (DCR) et de point de terminaison de collecte de données (DCE) dans le même groupe de ressources que l’espace de travail Log Analytics, précédées du préfixe NWTA. Si vous effectuez une opération sur ces ressources, l’analytique du trafic peut ne pas fonctionner comme prévu.
Important
Les autorisations héritées du groupe de gestion ne sont actuellement pas prises en charge pour l'activation de Traffic Analytics.
Résoudre les problèmes de connexion
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action, Microsoft.Network/networkWatchers/connectivityCheck/read |
Vérifier la possibilité d’établir une connexion TCP directe d’une machine virtuelle à un point de terminaison donné |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Interroger les résultats d’un test de résolution de problèmes de connexion |
| Microsoft.Network/networkWatchers/troubleshoot/action | Exécuter un test de résolution de problèmes de connexion |
Capture de paquet
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action | Interroger l’état d’une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action | Arrêter la session de capture de paquets en cours d’exécution |
| Microsoft.Network/networkWatchers/packetCaptures/read | Obtenir une définition de capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/write | Créer une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/delete | Supprimer une capture de paquets |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Afficher l’état d’une capture de paquets |
Vérification du flux IP
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Retourne si le paquet est autorisé ou refusé vers ou depuis une destination particulière |
Prochain saut
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/nextHop/action, Microsoft.Network/networkWatchers/nextHop/read |
Pour une adresse IP cible et de destination spécifiée, retourne le type de tronçon suivant et l’adresse IP de tronçon suivant |
| Microsoft.Compute/virtualMachines/read | Obtenir les propriétés d’une machine virtuelle |
| Microsoft.Network/networkInterfaces/read | Obtenir une définition d’interface réseau |
Vue du groupe de sécurité réseau
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/securityGroupView/action | Afficher les règles de groupe de sécurité réseau configurées et effectives appliquées sur une machine virtuelle |
Topologie
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/topology/action, Microsoft.Network/networkWatchers/topology/read |
Obtenir une vue au niveau du réseau des ressources et leurs relations dans un groupe de ressources |
Rapport d’accessibilité
| Action | Descriptif |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/action | Obtenir le score de latence relatif pour les fournisseurs de services Internet d’un emplacement spécifié vers les régions Azure |
Actions supplémentaires
Certaines fonctionnalités de Network Watcher nécessitent les actions suivantes :
| Action | Descriptif |
|---|---|
| Microsoft.Authorization/*/Read | Extraire les attributions de rôle et les définitions de stratégie Azure |
| Microsoft.Resources/subscriptions/resourceGroups/Read | Énumérer tous les groupes de ressources dans un abonnement |
| Microsoft.Storage/storageAccounts/Read | Obtenir les propriétés du compte de stockage spécifié |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Récupérer les signatures d’accès partagé permettant l’accès sécurisé au compte de stockage et l’écriture dans le compte de stockage |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Se connecter à la machine virtuelle, effectuer une capture de paquets et la charger dans le compte de stockage |
| Microsoft.Compute/virtualMachines/extensions/Read, Microsoft.Compute/virtualMachines/extensions/Write |
Vérifier si l’extension Network Watcher est présente et l’installer si nécessaire |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Accéder aux ensembles de machines virtuelles, effectuer des captures de paquets et les télécharger dans le compte de stockage. |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Vérifier si l’extension Network Watcher est présente et l’installer si nécessaire |
| Microsoft.Insights/alertRules/* | Configurer des alertes métriques |
| Microsoft.Support/* | Créer et mettre à jour des tickets de support à partir de Network Watcher |