Ruoli predefiniti di Azure per identità
Questo articolo elenca i ruoli predefiniti di Azure nella categoria Identità.
Collaboratore servizi di dominio
Può gestire Azure AD Domain Services e le configurazioni di rete correlate
| Azioni | Descrizione |
|---|---|
| Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
| Microsoft.Resources/deployments/read | Ottiene o elenca le distribuzioni. |
| Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
| Microsoft.Resources/deployments/delete | Elimina una distribuzione. |
| Microsoft.Resources/deployments/cancel/action | Annulla una distribuzione. |
| Microsoft.Resources/deployments/validate/action | Convalida una distribuzione. |
| Microsoft.Resources/deployments/whatIf/action | Stima le modifiche alla distribuzione dei modelli. |
| Microsoft.Resources/deployments/exportTemplate/action | Esportare un modello per una distribuzione |
| Microsoft.Resources/deployments/operations/read | Ottiene o elenca le operazioni di distribuzione. |
| Microsoft.Resources/deployments/operationstatuses/read | Ottiene o elenca gli stati dell'operazione di distribuzione. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
| Microsoft.Insights/AlertRules/Write | Crea o aggiorna un avviso della metrica (versione classica) |
| Microsoft.Insights/AlertRules/Delete | Elimina un avviso della metrica (versione classica) |
| Microsoft.Insights/AlertRules/Read | Legge un avviso della metrica (versione classica) |
| Microsoft.Insights/AlertRules/Activated/Action | Avviso della metrica attivato (versione classica) |
| Microsoft.Insights/AlertRules/Resolved/Action | Avviso della metrica risolto (versione classica) |
| Microsoft.Insights/AlertRules/Throttled/Action | Regola di avviso della metrica limitata (versione classica) |
| Microsoft.Insights/AlertRules/Incidents/Read | Legge un evento imprevisto di avviso della metrica (versione classica) |
| Microsoft.Insights/Logs/Read | Legge i dati da tutti i log |
| Microsoft.Insights/Metrics/Read | Esegue la lettura delle metriche |
| Microsoft.Insights/DiagnosticSettings/* | Crea, aggiorna o legge l'impostazione di diagnostica per Analysis Server |
| Microsoft.Insights/Diagnostic Impostazioni Categories/Read | Leggere le categorie di impostazioni di diagnostica |
| Microsoft.AAD/register/action | Registra un servizio di dominio |
| Microsoft.AAD/annulla la registrazione/azione | Annulla la registrazione di un servizio di dominio |
| Microsoft.AAD/domainServices/* | |
| Microsoft.Network/register/action | Registra la sottoscrizione. |
| Microsoft.Network/unregister/action | Annulla la registrazione della sottoscrizione. |
| Microsoft.Network/virtualNetworks/read | Ottiene la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/write | Crea una rete virtuale o ne aggiorna una esistente |
| Microsoft.Network/virtualNetworks/delete | Elimina una rete virtuale |
| Microsoft.Network/virtualNetworks/peer/action | Associa una rete virtuale a un'altra rete virtuale |
| Microsoft.Network/virtualNetworks/join/action | Aggiunge una rete virtuale. Senza avvisi. |
| Microsoft.Network/virtualNetworks/subnets/read | Ottiene una definizione di subnet della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subnet della rete virtuale o ne aggiorna una esistente |
| Microsoft.Network/virtualNetworks/subnets/delete | Elimina una subnet della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/join/action | Aggiunge una rete virtuale. Senza avvisi. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Ottiene una definizione di peering della rete virtuale |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Crea un peering della rete virtuale o ne aggiorna uno esistente |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Elimina un peering della rete virtuale |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnostic Impostazioni/read | Ottiene le impostazioni di diagnostica della rete virtuale |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | Ottiene la metrica disponibile per il PingMesh |
| Microsoft.Network/azureFirewalls/read | Ottiene Firewall di Azure |
| Microsoft.Network/ddosProtectionPlans/read | Ottiene un piano di Protezione DDoS |
| Microsoft.Network/ddosProtectionPlans/join/action | Aggiunge un piano di protezione DDoS. Senza avvisi. |
| Microsoft.Network/loadBalancers/read | Ottiene una definizione del servizio di bilanciamento del carico |
| Microsoft.Network/loadBalancers/delete | Elimina un servizio di bilanciamento del carico |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Aggiunge un pool di indirizzi di back-end del servizio di bilanciamento del carico. Senza avvisi. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Aggiunge una regola NAT in entrata del servizio di bilanciamento del carico. Senza avvisi. |
| Microsoft.Network/natGateways/join/action | Aggiunge un gateway NAT |
| Microsoft.Network/networkInterfaces/read | Ottiene una definizione dell’interfaccia di rete. |
| Microsoft.Network/networkInterfaces/write | Crea un'interfaccia di rete o ne aggiorna una esistente. |
| Microsoft.Network/networkInterfaces/delete | Elimina un'interfaccia di rete |
| Microsoft.Network/networkInterfaces/join/action | Aggiunge una macchina virtuale a un'interfaccia di rete. Senza avvisi. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Ottiene una definizione delle regole di sicurezza predefinita |
| Microsoft.Network/networkSecurityGroups/read | Ottiene una definizione del gruppo di sicurezza di rete |
| Microsoft.Network/networkSecurityGroups/write | Crea un gruppo di sicurezza di rete o ne aggiorna uno esistente |
| Microsoft.Network/networkSecurityGroups/delete | Elimina un gruppo di sicurezza di rete |
| Microsoft.Network/networkSecurityGroups/join/action | Aggiunge un gruppo di sicurezza di rete. Senza avvisi. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Ottiene una definizione delle regole di sicurezza |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Crea una regola di sicurezza o ne aggiorna una esistente |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | Elimina una regola di sicurezza |
| Microsoft.Network/routeTables/read | Ottiene una definizione della tabella di route |
| Microsoft.Network/routeTables/write | Crea una tabella di route o ne aggiorna una esistente |
| Microsoft.Network/routeTables/delete | Elimina una definizione della tabella di route |
| Microsoft.Network/routeTables/join/action | Unisce una tabella di route. Senza avvisi. |
| Microsoft.Network/routeTables/routes/read | Ottiene una definizione di route |
| Microsoft.Network/routeTables/routes/write | Crea una route o ne aggiorna una esistente |
| Microsoft.Network/routeTables/routes/delete | Elimina una definizione di route |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can manage Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
"name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Insights/DiagnosticSettings/*",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/register/action",
"Microsoft.AAD/unregister/action",
"Microsoft.AAD/domainServices/*",
"Microsoft.Network/register/action",
"Microsoft.Network/unregister/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/ddosProtectionPlans/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/routeTables/delete",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/routes/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lettore di Servizi di dominio
Può visualizzare Azure AD Domain Services e le configurazioni di rete correlate
| Azioni | Descrizione |
|---|---|
| Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
| Microsoft.Resources/deployments/read | Ottiene o elenca le distribuzioni. |
| Microsoft.Resources/deployments/operations/read | Ottiene o elenca le operazioni di distribuzione. |
| Microsoft.Resources/deployments/operationstatuses/read | Ottiene o elenca gli stati dell'operazione di distribuzione. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
| Microsoft.Insights/AlertRules/Read | Legge un avviso della metrica (versione classica) |
| Microsoft.Insights/AlertRules/Incidents/Read | Legge un evento imprevisto di avviso della metrica (versione classica) |
| Microsoft.Insights/Logs/Read | Legge i dati da tutti i log |
| Microsoft.Insights/Metrics/read | Esegue la lettura delle metriche |
| Microsoft.Insights/Diagnostic Impostazioni/read | Legge un'impostazione di diagnostica della risorsa |
| Microsoft.Insights/Diagnostic Impostazioni Categories/Read | Leggere le categorie di impostazioni di diagnostica |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.Network/virtualNetworks/read | Ottiene la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/read | Ottiene una definizione di subnet della rete virtuale |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Ottiene una definizione di peering della rete virtuale |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnostic Impostazioni/read | Ottiene le impostazioni di diagnostica della rete virtuale |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | Ottiene la metrica disponibile per il PingMesh |
| Microsoft.Network/azureFirewalls/read | Ottiene Firewall di Azure |
| Microsoft.Network/ddosProtectionPlans/read | Ottiene un piano di Protezione DDoS |
| Microsoft.Network/loadBalancers/read | Ottiene una definizione del servizio di bilanciamento del carico |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/natGateways/read | Ottiene una definizione di gateway NAT |
| Microsoft.Network/networkInterfaces/read | Ottiene una definizione dell’interfaccia di rete. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Ottiene una definizione delle regole di sicurezza predefinita |
| Microsoft.Network/networkSecurityGroups/read | Ottiene una definizione del gruppo di sicurezza di rete |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Ottiene una definizione delle regole di sicurezza |
| Microsoft.Network/routeTables/read | Ottiene una definizione della tabella di route |
| Microsoft.Network/routeTables/routes/read | Ottiene una definizione di route |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can view Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
"name": "361898ef-9ed1-48c2-849c-a832951106bb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Insights/DiagnosticSettings/read",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/natGateways/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Managed Identity Contributor (Collaboratore per identità gestita)
Crea, legge, aggiorna ed elimina l'identità assegnata all'utente
| Azioni | Descrizione |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Ottiene l'identità assegnata a un utente esistente |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Crea una nuova identità assegnata a un utente esistente o aggiorna i tag associati a un'identità assegnata a un utente esistente |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Elimina l'identità assegnata a un utente esistente |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Ottenere o elencare le credenziali dell'identità federata |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Aggiungere o aggiornare una credenziale di identità federata |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Eliminare una credenziale di identità federata |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | Revocato tutti i token esistenti in un'identità assegnata dall'utente |
| Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
| Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
| Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
| Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Managed Identity Operator (Operatore per identità gestita)
Legge e assegna l'identità assegnata all'utente
| Azioni | Descrizione |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action | |
| Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
| Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
| Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
| Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read and Assign User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
"name": "f1a07417-d97a-45cb-824c-7a7467783830",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}