Partilhar via


Permissões do Azure para Identidade

Este artigo lista as permissões para os provedores de recursos do Azure na categoria Identidade. Você pode usar essas permissões em suas próprias funções personalizadas do Azure para fornecer controle de acesso granular aos recursos no Azure. As cadeias de caracteres de permissão têm o seguinte formato: {Company}.{ProviderName}/{resourceType}/{action}

Microsoft.AAD

Junte máquinas virtuais do Azure a um domínio sem controladores de domínio.

Serviço do Azure: Serviços de Domínio Microsoft Entra

Ação Descrição
Microsoft.AAD/register/action Ação de Registo de Subscrição
Microsoft.AAD/unregister/action Cancelar o registro do Serviço de Domínio
Microsoft.AAD/register/action Serviço de Registo de Domínio
Microsoft.AAD/domainServices/read Ler Serviços de Domínio
Microsoft.AAD/domainServices/write Serviço de Domínio de Escrita
Microsoft.AAD/domainServices/excluir Excluir Serviço de Domínio
Microsoft.AAD/domainServices/oucontainer/read Ler Ou Containers
Microsoft.AAD/domainServices/oucontainer/write Escrever Ou Container
Microsoft.AAD/domainServices/oucontainer/delete Excluir contêiner Ou
Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read Obter os pontos de extremidade de rede de todas as dependências de saída
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read Obtém a configuração de diagnóstico para o Serviço de Domínio
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write Cria ou atualiza a configuração de diagnóstico para o recurso Serviço de Domínio
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read Obtém os logs disponíveis para o Serviço de Domínio
Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read Obtém métricas para o Serviço de Domínio
Microsoft.AAD/locations/operationresults/read
Microsoft.AAD/Operations/read

Microsoft.aadiam

Serviço do Azure: Azure Ative Directory

Ação Descrição
microsoft.aadiam/azureADMetrics/read Leia a definição de métricas do Azure AD
microsoft.aadiam/azureADMetrics/write Criar e atualizar a definição de métricas do Azure AD
microsoft.aadiam/azureADMetrics/delete Excluir definição de métricas do Azure AD
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read Obtém a configuração de diagnóstico para o recurso
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write Cria ou atualiza a configuração de diagnóstico para o recurso
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read Obtém as métricas disponíveis para azureADMetrics
microsoft.aadiam/diagnosticsettings/gravação Escrevendo uma configuração de diagnóstico
microsoft.aadiam/diagnosticsettings/ler Lendo uma configuração de diagnóstico
microsoft.aadiam/diagnosticsettings/excluir Excluindo uma configuração de diagnóstico
microsoft.aadiam/diagnosticsettingscategories/ler Lendo categorias de uma configuração de diagnóstico
microsoft.aadiam/metricDefinitions/read Lendo definições de métricas no nível do locatário
microsoft.aadiam/métricas/leitura Lendo métricas no nível do locatário
microsoft.aadiam/privateLinkForAzureAD/read Leia a definição da política de link privado
microsoft.aadiam/privateLinkForAzureAD/write Criar e atualizar a definição da política de link privado
microsoft.aadiam/privateLinkForAzureAD/delete Excluir definição de política de link privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action Aprovar PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read Ler Proxies de Link Privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete Excluir proxies de link privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action Validar proxies de link privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read Leia PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write Criar e atualizar PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete Excluir PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read Leia PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write Criar e atualizar PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete Excluir PrivateLinkResources
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read Obtém a configuração de diagnóstico para o recurso
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write Cria ou atualiza a configuração de diagnóstico para o recurso
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read Obtém os logs disponíveis para locatários

Microsoft.ADHybridHealthService

Monitoramento robusto de sua infraestrutura de identidade local.

Serviço do Azure: Microsoft Entra ID

Ação Descrição
Microsoft.ADHybridHealthService/configuration/action Atualiza a configuração do locatário.
Microsoft.ADHybridHealthService/services/action Atualiza uma instância de serviço no locatário.
Microsoft.ADHybridHealthService/addsservices/action Crie uma nova floresta para o locatário.
Microsoft.ADHybridHealthService/register/action Regista o ADHybrid Health Service Resource Provider e permite a criação do recurso ADHybrid Health Service.
Microsoft.ADHybridHealthService/unregister/action Cancela o registro da assinatura do ADHybrid Health Service Resource Provider.
Microsoft.ADHybridHealthService/addsservices/write Cria ou atualiza a instância ADDomainService para o locatário.
Microsoft.ADHybridHealthService/addsservices/servicemembers/action Adicione uma instância do servidor ao serviço.
Microsoft.ADHybridHealthService/addsservices/read Obtém detalhes de serviço para o nome de serviço especificado.
Microsoft.ADHybridHealthService/addsservices/delete Exclui um Serviço e seus servidores juntamente com os dados de Saúde.
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read Obtém todos os servidores para o nome de serviço especificado.
Microsoft.ADHybridHealthService/addsservices/alerts/read Obtém detalhes de alertas para a floresta, como alertid, data de alerta gerado, último alerta detetado, descrição do alerta, última atualização, nível de alerta, estado de alerta, links de solução de problemas de alerta, etc.
Microsoft.ADHybridHealthService/addsservices/configuration/read Obtém a Configuração de Serviço para a floresta. Exemplo- Nome da Floresta, Nível Funcional, Função FSMO do Mestre de Nomeação de Domínio, Função FSMO do Mestre de Esquema, etc.
Microsoft.ADHybridHealthService/addsservices/dimensions/read Obtém os detalhes de domínios e sites para a floresta. Exemplo: status de integridade, alertas ativos, alertas resolvidos, propriedades como Nível funcional de domínio, Floresta, Mestre de infraestrutura, PDC, mestre de RID etc.
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read Obtém a configuração de preferência do usuário para a floresta.
Exemplo- MetricCounterName como ldapsuccessfulbinds, ntlmauthentications, kerberosauthentications, addsinsightsagentprivatebytes, ldapsearches.
Configurações para os gráficos da interface do usuário, etc.
Microsoft.ADHybridHealthService/addsservices/forestsummary/read Obtém o resumo da floresta para uma determinada floresta, como nome da floresta, número de domínios sob essa floresta, número de sites e detalhes de sites, etc.
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read Obtém a lista de métricas suportadas para um determinado serviço.
Por exemplo, Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /s etc para o serviço ADFS.
Autenticações NTLM/seg, LDAP Successful Binds/seg, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomainService.
Execute Latência de Perfil, Conexões TCP Estabelecidas, Bytes Privados do Agente Insights, Exporte Estatísticas para o serviço Azure AD for ADSync.
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read Dado um serviço, essa API obtém as informações de métricas.
Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation.
Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service.
Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service.
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read Esta API obtém a lista de todos os ADDomainServices integrados para um locatário premium.
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read Obtém detalhes de replicação para todos os servidores para o nome de serviço especificado.
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read Obtém o número de controladores de domínio e seus erros de replicação, se houver.
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read Obtém a lista completa do controlador de domínio, juntamente com os detalhes de replicação para a floresta fornecida.
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete Exclui um servidor para um determinado serviço e locatário.
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read Durante o registro do servidor ADDomainService, essa api é chamada para obter as credenciais para integrar novos servidores.
Microsoft.ADHybridHealthService/configuration/write Cria uma configuração de locatário.
Microsoft.ADHybridHealthService/configuration/read Lê a configuração do locatário.
Microsoft.ADHybridHealthService/logs/read Obtém os logs de instalação e registro do agente para o locatário.
Microsoft.ADHybridHealthService/logs/contents/read Obtém o conteúdo dos logs de instalação e registro do agente armazenados no blob.
Microsoft.ADHybridHealthService/operations/read Obtém a lista de operações suportadas pelo sistema.
Microsoft.ADHybridHealthService/reports/availabledeployments/read Obtém uma lista de regiões disponíveis, usadas pelo DevOps para dar suporte a incidentes de clientes.
Microsoft.ADHybridHealthService/reports/badpassword/read Obtém a lista de tentativas de senha incorreta para todos os usuários no Serviço de Federação do Ative Directory.
Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read Obtém o URI SAS do Blob contendo o status e o resultado eventual do trabalho de relatório recém-enfileirado para a frequência de tentativas de nome de usuário/senha incorreto por UserId por endereço IPAddress por dia para um determinado locatário.
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read Obtém a lista de locatários consentidos do DevOps. Normalmente usado para suporte ao cliente.
Microsoft.ADHybridHealthService/reports/isdevops/read Obtém um valor que indica se o locatário é DevOps Consented ou não.
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read Atualiza userid(objectid) para o locatário de operações de desenvolvimento selecionado.
Microsoft.ADHybridHealthService/reports/selecteddeployment/read Obtém a implantação selecionada para determinado locatário.
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read Dado um ID de locatário obtém o local de armazenamento do locatário.
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read Obtém a localização geográfica a partir da qual os dados serão acessados.
Microsoft.ADHybridHealthService/services/write Cria uma instância de serviço no locatário.
Microsoft.ADHybridHealthService/services/read Lê as instâncias de serviço no locatário.
Microsoft.ADHybridHealthService/services/excluir Exclui uma instância de serviço no locatário.
Microsoft.ADHybridHealthService/services/servicemembers/action Cria ou atualiza uma instância do servidor no serviço.
Microsoft.ADHybridHealthService/services/alerts/read Lê os alertas de um serviço.
Microsoft.ADHybridHealthService/services/alerts/read Lê os alertas de um serviço.
Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read Dado um nome de recurso verifica se um serviço tem tudo o que é necessário para usar esse recurso.
Microsoft.ADHybridHealthService/services/exporterrors/read Obtém os erros de exportação para um determinado serviço de sincronização.
Microsoft.ADHybridHealthService/services/exportstatus/read Obtém o status de exportação de um determinado serviço.
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read Obtém feedback de alertas para um determinado serviço e servidor.
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read Lê os IPs incorretos que tentaram acessar o serviço.
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read Lê limites de alarme para IPs incorretos.
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write Grava limites de alarme para IPs incorretos.
Microsoft.ADHybridHealthService/services/metricmetadata/read Obtém a lista de métricas suportadas para um determinado serviço.
Por exemplo, Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /s etc para o serviço ADFS.
Autenticações NTLM/seg, LDAP Successful Binds/seg, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomainService.
Execute Latência de Perfil, Conexões TCP Estabelecidas, Bytes Privados do Agente Insights, Exporte Estatísticas para o serviço Azure AD for ADSync.
Microsoft.ADHybridHealthService/services/metrics/groups/read Dado um serviço, essa API obtém as informações de métricas.
Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation.
Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service.
Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service.
Microsoft.ADHybridHealthService/services/metrics/groups/average/read Dado um serviço, essa API obtém a média de métricas para um determinado serviço.
Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation.
Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service.
Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service.
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read Dado um serviço, essa API obtém a exibição agregada de métricas para um determinado serviço.
Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation.
Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service.
Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service.
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write Adicione ou atualize a configuração de monitoramento de um serviço.
Microsoft.ADHybridHealthService/services/monitoringconfigurations/read Obtém as configurações de monitoramento para um determinado serviço.
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write Adicione ou atualize configurações de monitoramento para um serviço.
Microsoft.ADHybridHealthService/services/premiumcheck/read Esta API obtém a lista de todos os serviços integrados para um locatário premium.
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action Gera relatório IP de risco e retorna um URI apontando para ele.
Microsoft.ADHybridHealthService/services/reports/blobUris/read Obtém todos os URIs de relatório IP de risco dos últimos 7 dias.
Microsoft.ADHybridHealthService/services/reports/details/read Obtém relatório dos 50 principais usuários com erros de senha incorreta dos últimos 7 dias
Microsoft.ADHybridHealthService/services/servicemembers/read Lê a instância do servidor no serviço.
Microsoft.ADHybridHealthService/services/servicemembers/delete Exclui uma instância do servidor no serviço.
Microsoft.ADHybridHealthService/services/servicemembers/alerts/read Lê os alertas de um servidor.
Microsoft.ADHybridHealthService/services/servicemembers/credentials/read Durante o registro do servidor, essa api é chamada para obter as credenciais para integrar novos servidores.
Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read Para um determinado servidor, essa API obtém uma lista de tipos de dados que estão sendo carregados pelos servidores e a hora mais recente para cada carregamento.
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read Obtém os detalhes do Erro de Exportação de Sincronização para um determinado Serviço de Sincronização.
Microsoft.ADHybridHealthService/services/servicemembers/metrics/read Obtém a lista de conectores e nomes de perfil de execução para determinado serviço e membro do serviço.
Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read Dado um serviço, essa API obtém as informações de métricas.
Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation.
Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service.
Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service.
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read Obtém a configuração de serviço para um determinado locatário.
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read Obtém o status de permissão de listagem de recursos para um determinado locatário.

Microsoft.AzureActiveDirectory

Sincronize diretórios locais e habilite o logon único.

Serviço do Azure: Azure Ative Directory B2C

Ação Descrição
Microsoft.AzureActiveDirectory/register/action Registrar assinatura para o provedor de recursos Microsoft.AzureActiveDirectory
Microsoft.AzureActiveDirectory/b2cDirectories/write Criar ou atualizar recurso de diretório B2C
Microsoft.AzureActiveDirectory/b2cDirectories/read Ver recurso de diretório B2C
Microsoft.AzureActiveDirectory/b2cDirectories/delete Excluir recurso de diretório B2C
Microsoft.AzureActiveDirectory/b2ctenants/read Lista todos os locatários B2C em que o usuário é membro
Microsoft.AzureActiveDirectory/ciamDirectories/write Criar ou atualizar o recurso do Diretório do CIAM
Microsoft.AzureActiveDirectory/ciamDirectories/read Exibir recurso de diretório do CIAM
Microsoft.AzureActiveDirectory/ciamDirectories/delete Excluir recurso do diretório CIAM
Microsoft.AzureActiveDirectory/guestUsages/write Criar ou atualizar o recurso Usos de convidado
Microsoft.AzureActiveDirectory/guestUsages/read Ver recurso Utilizações de Hóspedes
Microsoft.AzureActiveDirectory/guestUsages/delete Excluir recurso Usos de convidado
Microsoft.AzureActiveDirectory/operations/read Leia todas as operações de API disponíveis para o provedor de recursos Microsoft.AzureActiveDirectory

Microsoft.ManagedIdentity

Uma identidade gerenciada automaticamente na ID do Microsoft Entra que se autentica em qualquer serviço que ofereça suporte ao Microsoft Entra

Serviço do Azure: identidades gerenciadas para recursos do Azure

Ação Descrição
Microsoft.ManagedIdentity/register/action Registra a assinatura para o provedor de recursos de identidade gerenciada
Microsoft.ManagedIdentity/identities/read Obtém uma identidade atribuída ao sistema existente
Microsoft.ManagedIdentity/operations/read Lista as operações disponíveis no provedor de recursos Microsoft.ManagedIdentity
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Ação RBAC para atribuir uma identidade atribuída ao usuário existente a um recurso
Microsoft.ManagedIdentity/userAssignedIdentities/delete Exclui uma identidade atribuída ao usuário existente
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action Lista todos os recursos associados para uma identidade atribuída ao usuário existente
Microsoft.ManagedIdentity/userAssignedIdentities/read Obtém uma identidade atribuída ao usuário existente
Microsoft.ManagedIdentity/userAssignedIdentities/write Cria uma nova identidade atribuída ao usuário ou atualiza as tags associadas a uma identidade atribuída ao usuário existente
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action Revogados todos os tokens existentes em uma identidade atribuída ao usuário
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obter ou listar credenciais de identidade federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Adicionar ou atualizar uma credencial de identidade federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Excluir uma credencial de identidade federada

Próximos passos