Бөлісу құралы:


Разрешения Azure для удостоверений

В этой статье перечислены разрешения для поставщиков ресурсов Azure в категории удостоверений. Эти разрешения можно использовать в собственных пользовательских ролях Azure, чтобы обеспечить детальный контроль доступа к ресурсам в Azure. Строки разрешений имеют следующий формат: {Company}.{ProviderName}/{resourceType}/{action}

Microsoft.AAD

Присоединение виртуальных машин Azure к домену без контроллеров домена.

Служба Azure: доменные службы Microsoft Entra

Действие Description
Microsoft.AAD/register/action Действие регистрации подписки
Microsoft.AAD/unregister/action Отмена регистрации службы домена
Microsoft.AAD/register/action Регистрация службы домена
Microsoft.AAD/domainServices/read Чтение доменных служб
Microsoft.AAD/domainServices/write Запись службы домена
Microsoft.AAD/domainServices/delete Удаление службы домена
Microsoft.AAD/domainServices/oucontainer/read Чтение контейнеров подразделения
Microsoft.AAD/domainServices/oucontainer/write Запись в контейнер подразделения
Microsoft.AAD/domainServices/oucontainer/delete Удаление контейнера подразделения
Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read Получение конечных точек сети всех исходящих зависимостей
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read Возвращает параметры диагностики для службы домена.
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write Создает или обновляет параметры диагностики для ресурса службы домена.
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read Возвращает доступные журналы для службы домена.
Microsoft.AAD/domainServices/providers/Microsoft. Аналитика/metricDefinitions/read Возвращает метрики для доменной службы
Microsoft.AAD/locations/operationresults/read
Microsoft.AAD/Operations/read

microsoft.aadiam

Служба Azure: Azure Active Directory

Действие Description
microsoft.aadiam/azureADMetrics/read Чтение определения метрик Azure AD
microsoft.aadiam/azureADMetrics/write Создание и обновление определения метрик Azure AD
microsoft.aadiam/azureADMetrics/delete Удаление определения метрик Azure AD
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read Возвращает параметр диагностики для ресурса.
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write Создает или обновляет параметр диагностики для ресурса.
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read Возвращает доступные метрики для azureADMetrics.
microsoft.aadiam/diagnosticsettings/write Запись параметра диагностики.
microsoft.aadiam/diagnosticsettings/read Чтение параметра диагностики.
microsoft.aadiam/diagnosticsettings/delete Удаление параметра диагностики.
microsoft.aadiam/diagnosticsettingscategories/read Чтение категорий параметра диагностики.
microsoft.aadiam/metricDefinitions/read Чтение определений метрик на уровне клиента
microsoft.aadiam/metrics/read Чтение метрик на уровне клиента
microsoft.aadiam/privateLinkForAzureAD/read Чтение определения политики приватного канала
microsoft.aadiam/privateLinkForAzureAD/write Создание и обновление определения политики приватного канала
microsoft.aadiam/privateLinkForAzureAD/delete Удаление определения политики приватного канала
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action Утверждение PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read Чтение прокси-серверов приватного канала
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete Удаление прокси-серверов приватного канала
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action Проверка прокси-серверов приватного канала
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read Чтение PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write Создание и обновление PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete Удаление PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read Чтение PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write Создание и обновление PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete Удаление PrivateLinkResources
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read Возвращает параметр диагностики для ресурса.
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write Создает или обновляет параметр диагностики для ресурса.
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read Получение доступных журналов клиентов.

Microsoft.ADHybridHealthService

Надежный мониторинг локальной инфраструктуры удостоверений.

Служба Azure: идентификатор Microsoft Entra

Действие Description
Microsoft.ADHybridHealthService/configuration/action Обновляет конфигурацию клиента.
Microsoft.ADHybridHealthService/services/action Обновляет экземпляр службы в клиенте.
Microsoft.ADHybridHealthService/addsservices/action Создает лес для клиента.
Microsoft.ADHybridHealthService/register/action Регистрирует поставщик ресурсов службы работоспособности ADHybrid и позволяет создавать ресурсы службы работоспособности ADHybrid.
Microsoft.ADHybridHealthService/unregister/action Отменяет регистрацию подписки для поставщика ресурсов службы работоспособности ADHybrid.
Microsoft.ADHybridHealthService/addsservices/write Создает или обновляет экземпляр ADDomainService для клиента.
Microsoft.ADHybridHealthService/addsservices/servicemembers/action Добавляет экземпляр сервера в службу.
Microsoft.ADHybridHealthService/addsservices/read Получает сведения о службе для указанного имени службы.
Microsoft.ADHybridHealthService/addsservices/delete Удаляет службу и ее серверы, а также данные о работоспособности.
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read Получает все серверы для указанного имени службы.
Microsoft.ADHybridHealthService/addsservices/alerts/read Получает сведения об оповещениях для леса, например идентификатор оповещения, дата получения, последнее обнаружение, описание, последнее обновление, уровень и состояние оповещения, а также ссылки на устранение неполадок с оповещением и т. д.
Microsoft.ADHybridHealthService/addsservices/configuration/read Получает конфигурацию службы для леса. Например, имя леса, функциональный уровень, роль хозяина именования доменов FSMO, роль хозяина схемы FSMO и т. д.
Microsoft.ADHybridHealthService/addsservices/dimensions/read Получает сведения о доменах и сайтах для леса. Например, состояние работоспособности, активные оповещения, разрешенные оповещения, такие свойства, как функциональный уровень домена, лес, хозяин инфраструктуры, PDC, хозяин RID и т. д.
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read Получает параметр настройки пользователя для леса.
Например, значения MetricCounterName, такие как ldapsuccessfulbinds, ntlmauthentications, kerberosauthentications, addsinsightsagentprivatebytes, ldapsearches.
Параметры диаграммы пользовательского интерфейса и т. д.
Microsoft.ADHybridHealthService/addsservices/forestsummary/read Получает сводку для данного леса, например имя леса, количество доменов в лесу, количество сайтов, сведения о сайтах и т. д.
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read Получает список поддерживаемых метрик для данной службы.
Например, число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы ADSync.
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read Для данной службы этот API получает информацию о метриках.
Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации.
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read Этот API возвращает список всех подключенных служб ADDomainServices для клиента категории "Премиум".
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read Получает сведения о репликации всех серверов для указанного имени службы.
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read Получает число контроллеров домена и их ошибок репликации, если таковые имеются.
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read Получает полный список контроллеров домена и сведений о репликации для данного леса.
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete Удаляет сервер для данной службы и клиента.
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read Во время регистрации сервера ADDomainService этот API вызывается, чтобы получить учетные данные для подключения новых серверов.
Microsoft.ADHybridHealthService/configuration/write Создает конфигурацию клиента.
Microsoft.ADHybridHealthService/configuration/read Считывает конфигурацию клиента.
Microsoft.ADHybridHealthService/logs/read Получает журналы установки и регистрации агента для клиента.
Microsoft.ADHybridHealthService/logs/contents/read Получает содержимое журналов установки и регистрации агента, хранимых в большом двоичном объекте.
Microsoft.ADHybridHealthService/operations/read Возвращает список операций, поддерживаемых системой.
Microsoft.ADHybridHealthService/reports/availabledeployments/read Получает список доступных регионов, используемых командой DevOps для поддержки инцидентов клиентов.
Microsoft.ADHybridHealthService/reports/badpassword/read Получает список попыток неправильного ввода пароля для всех пользователей в службе федерации Active Directory.
Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read Получает универсальный код ресурса SAS большого двоичного объекта, содержащий состояние и конечный результат недавно поставленного в очередь задания отчета для определения частоты попыток неправильного ввода имени пользователя или пароля на каждый идентификатор пользователя по каждому IP-адресу в день для данного клиента.
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read Получает список клиентов, получивших согласие DevOps. Обычно используется для поддержки клиентов.
Microsoft.ADHybridHealthService/reports/isdevops/read Получение значения, указывающего, имеет ли клиент согласие DevOps.
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read Обновляет идентификатор пользователя (идентификатор объекта) выбранного клиента DevOps.
Microsoft.ADHybridHealthService/reports/selecteddeployment/read Возвращает выбранное развертывание для данного клиента.
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read Получает расположение хранилища клиента на основе идентификатора клиента.
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read Возвращает географическое расположение, из которого будет осуществляться доступ к данных.
Microsoft.ADHybridHealthService/services/write Создает экземпляр службы в клиенте.
Microsoft.ADHybridHealthService/services/read Считывает экземпляры службы в клиенте.
Microsoft.ADHybridHealthService/services/delete Удаляет экземпляр службы из клиента.
Microsoft.ADHybridHealthService/services/servicemembers/action Создает или обновляет экземпляр сервера в службе.
Microsoft.ADHybridHealthService/services/alerts/read Считывает оповещения для службы.
Microsoft.ADHybridHealthService/services/alerts/read Считывает оповещения для службы.
Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read На основе имени функции проверяет, имеется ли у службы все необходимое для использования этой функции.
Microsoft.ADHybridHealthService/services/exporterrors/read Возвращает ошибки экспорта для данной службы синхронизации.
Microsoft.ADHybridHealthService/services/exportstatus/read Возвращает состояние экспорта для данной службы.
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read Получает обратную связь об оповещениях для данной службы и сервера.
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read Считывает недопустимые IP-адреса, которые пытались получить доступ к службе.
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read Считывает пороговые значения оповещения для недопустимых IP-адресов.
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write Записывает пороговые значения оповещения для недопустимых IP-адресов.
Microsoft.ADHybridHealthService/services/metricmetadata/read Получает список поддерживаемых метрик для данной службы.
Например, число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы ADSync.
Microsoft.ADHybridHealthService/services/metrics/groups/read Для данной службы этот API получает информацию о метриках.
Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации.
Microsoft.ADHybridHealthService/services/metrics/groups/average/read Этот API получает среднее значение метрик для данной службы.
Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации.
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read Этот API получает агрегированное представление о метриках для данной службы.
Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации.
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write Добавляет или обновляет конфигурацию мониторинга для службы.
Microsoft.ADHybridHealthService/services/monitoringconfigurations/read Получает конфигурации мониторинга для данной службы.
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write Добавляет или обновляет конфигурации мониторинга для службы.
Microsoft.ADHybridHealthService/services/premiumcheck/read Этот API возвращает список всех подключенных служб для клиента категории "Премиум".
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action Создает отчет о рискованных IP-адресах и возвращает универсальный код ресурса (URI), указывающий на него.
Microsoft.ADHybridHealthService/services/reports/blobUris/read Возвращает URI всех отчетов о рискованных IP-адресах за последние 7 дней.
Microsoft.ADHybridHealthService/services/reports/details/read Возвращает отчет о первых 50 пользователях, вводивших неправильный пароль, за последние 7 дней.
Microsoft.ADHybridHealthService/services/servicemembers/read Считывает экземпляр сервера в службе.
Microsoft.ADHybridHealthService/services/servicemembers/delete Удаляет экземпляр службы из службы.
Microsoft.ADHybridHealthService/services/servicemembers/alerts/read Считывает оповещения для сервера.
Microsoft.ADHybridHealthService/services/servicemembers/credentials/read Во время регистрации сервера этот API вызывается, чтобы получить учетные данные для подключения новых серверов.
Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read Для данного сервера этот API возвращает список типов данных, которые передаются серверами, и самое позднее время каждой отправки.
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read Возвращает сведения об ошибке экспорта данных синхронизации для указанной службы синхронизации.
Microsoft.ADHybridHealthService/services/servicemembers/metrics/read Возвращает список соединителей и имена профилей выполнения для заданной службы и элемента службы.
Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read Для данной службы этот API получает информацию о метриках.
Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS.
Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain.
Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации.
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read Получает конфигурацию службы для данного клиента.
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read Получает состояние разрешенных функций для данного клиента.

Microsoft.AzureActiveDirectory

Синхронизируйте локальные каталоги и включите единый вход.

Служба Azure: Azure Active Directory B2C

Действие Description
Microsoft.AzureActiveDirectory/register/action Регистрация подписки в поставщике ресурсов Microsoft.AzureActiveDirectory.
Microsoft.AzureActiveDirectory/b2cDirectories/write Создание или обновление ресурса каталога B2C.
Microsoft.AzureActiveDirectory/b2cDirectories/read Просмотр ресурса каталога B2C.
Microsoft.AzureActiveDirectory/b2cDirectories/delete Удаление ресурса каталога B2C.
Microsoft.AzureActiveDirectory/b2ctenants/read Перечисляет все клиенты B2C, членом которых является пользователь.
Microsoft.AzureActiveDirectory/ciamDirectory/write Создание или обновление ресурса каталога CIAM
Microsoft.AzureActiveDirectory/ciamDirectory/read Просмотр ресурса каталога CIAM
Microsoft.AzureActiveDirectory/ciamDirectory/delete Удаление ресурса каталога CIAM
Microsoft.AzureActiveDirectory/guestUsages/write Создает или изменяет ресурс "Гостевое использование"
Microsoft.AzureActiveDirectory/guestUsages/read Просматривает ресурс "Гостевое использование"
Microsoft.AzureActiveDirectory/guestUsages/delete Удаляет ресурс "Гостевое использование"
Microsoft.AzureActiveDirectory/operations/read Чтение всех операций API, доступных для поставщика ресурсов Microsoft.AzureActiveDirectory.

Microsoft.ManagedIdentity

Автоматическое управляемое удостоверение в идентификаторе Microsoft Entra, которое проходит проверку подлинности в любой службе, поддерживающей Microsoft Entra

Служба Azure: управляемые удостоверения для ресурсов Azure

Действие Description
Microsoft.ManagedIdentity/register/action Регистрирует подписку для поставщика ресурсов управляемых удостоверений.
Microsoft.ManagedIdentity/identities/read Получение существующего системного удостоверения.
Microsoft.ManagedIdentity/operations/read Список операций, доступных в поставщике ресурсов Microsoft.ManagedIdentity
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Действие RBAC для назначения существующего пользовательского удостоверения для ресурса.
Microsoft.ManagedIdentity/userAssignedIdentities/delete Удаление существующего пользовательского удостоверения.
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action Перечисляет все связанные ресурсы для существующего назначаемого пользователем удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/read Получение существующего пользовательского удостоверения.
Microsoft.ManagedIdentity/userAssignedIdentities/write Создание существующего пользовательского удостоверения или обновление связанных с ним тегов.
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action Отзыв всех существующих маркеров на назначенном пользователем удостоверении
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Получение или перечисление учетных данных федеративного удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Добавление или обновление федеративных учетных данных удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Удаление учетных данных федеративного удостоверения

Следующие шаги