Permissões do Azure para Identidade
Este artigo lista as permissões para os provedores de recursos do Azure na categoria Identidade. Você pode usar essas permissões em suas próprias funções personalizadas do Azure para fornecer controle de acesso granular aos recursos no Azure. As cadeias de caracteres de permissão têm o seguinte formato: {Company}.{ProviderName}/{resourceType}/{action}
Microsoft.AAD
Junte máquinas virtuais do Azure a um domínio sem controladores de domínio.
Serviço do Azure: Serviços de Domínio Microsoft Entra
| Ação | Descrição |
|---|---|
| Microsoft.AAD/register/action | Ação de Registo de Subscrição |
| Microsoft.AAD/unregister/action | Cancelar o registro do Serviço de Domínio |
| Microsoft.AAD/register/action | Serviço de Registo de Domínio |
| Microsoft.AAD/domainServices/read | Ler Serviços de Domínio |
| Microsoft.AAD/domainServices/write | Serviço de Domínio de Escrita |
| Microsoft.AAD/domainServices/excluir | Excluir Serviço de Domínio |
| Microsoft.AAD/domainServices/oucontainer/read | Ler Ou Containers |
| Microsoft.AAD/domainServices/oucontainer/write | Escrever Ou Container |
| Microsoft.AAD/domainServices/oucontainer/delete | Excluir contêiner Ou |
| Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read | Obter os pontos de extremidade de rede de todas as dependências de saída |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read | Obtém a configuração de diagnóstico para o Serviço de Domínio |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write | Cria ou atualiza a configuração de diagnóstico para o recurso Serviço de Domínio |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read | Obtém os logs disponíveis para o Serviço de Domínio |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read | Obtém métricas para o Serviço de Domínio |
| Microsoft.AAD/locations/operationresults/read | |
| Microsoft.AAD/Operations/read |
Microsoft.aadiam
Serviço do Azure: Azure Ative Directory
| Ação | Descrição |
|---|---|
| microsoft.aadiam/azureADMetrics/read | Leia a definição de métricas do Azure AD |
| microsoft.aadiam/azureADMetrics/write | Criar e atualizar a definição de métricas do Azure AD |
| microsoft.aadiam/azureADMetrics/delete | Excluir definição de métricas do Azure AD |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read | Obtém a configuração de diagnóstico para o recurso |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write | Cria ou atualiza a configuração de diagnóstico para o recurso |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read | Obtém as métricas disponíveis para azureADMetrics |
| microsoft.aadiam/diagnosticsettings/gravação | Escrevendo uma configuração de diagnóstico |
| microsoft.aadiam/diagnosticsettings/ler | Lendo uma configuração de diagnóstico |
| microsoft.aadiam/diagnosticsettings/excluir | Excluindo uma configuração de diagnóstico |
| microsoft.aadiam/diagnosticsettingscategories/ler | Lendo categorias de uma configuração de diagnóstico |
| microsoft.aadiam/metricDefinitions/read | Lendo definições de métricas no nível do locatário |
| microsoft.aadiam/métricas/leitura | Lendo métricas no nível do locatário |
| microsoft.aadiam/privateLinkForAzureAD/read | Leia a definição da política de link privado |
| microsoft.aadiam/privateLinkForAzureAD/write | Criar e atualizar a definição da política de link privado |
| microsoft.aadiam/privateLinkForAzureAD/delete | Excluir definição de política de link privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action | Aprovar PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read | Ler Proxies de Link Privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete | Excluir proxies de link privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action | Validar proxies de link privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read | Leia PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write | Criar e atualizar PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete | Excluir PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read | Leia PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write | Criar e atualizar PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete | Excluir PrivateLinkResources |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read | Obtém a configuração de diagnóstico para o recurso |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write | Cria ou atualiza a configuração de diagnóstico para o recurso |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read | Obtém os logs disponíveis para locatários |
Microsoft.ADHybridHealthService
Monitoramento robusto de sua infraestrutura de identidade local.
Serviço do Azure: Microsoft Entra ID
| Ação | Descrição |
|---|---|
| Microsoft.ADHybridHealthService/configuration/action | Atualiza a configuração do locatário. |
| Microsoft.ADHybridHealthService/services/action | Atualiza uma instância de serviço no locatário. |
| Microsoft.ADHybridHealthService/addsservices/action | Crie uma nova floresta para o locatário. |
| Microsoft.ADHybridHealthService/register/action | Regista o ADHybrid Health Service Resource Provider e permite a criação do recurso ADHybrid Health Service. |
| Microsoft.ADHybridHealthService/unregister/action | Cancela o registro da assinatura do ADHybrid Health Service Resource Provider. |
| Microsoft.ADHybridHealthService/addsservices/write | Cria ou atualiza a instância ADDomainService para o locatário. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/action | Adicione uma instância do servidor ao serviço. |
| Microsoft.ADHybridHealthService/addsservices/read | Obtém detalhes de serviço para o nome de serviço especificado. |
| Microsoft.ADHybridHealthService/addsservices/delete | Exclui um Serviço e seus servidores juntamente com os dados de Saúde. |
| Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read | Obtém todos os servidores para o nome de serviço especificado. |
| Microsoft.ADHybridHealthService/addsservices/alerts/read | Obtém detalhes de alertas para a floresta, como alertid, data de alerta gerado, último alerta detetado, descrição do alerta, última atualização, nível de alerta, estado de alerta, links de solução de problemas de alerta, etc. |
| Microsoft.ADHybridHealthService/addsservices/configuration/read | Obtém a Configuração de Serviço para a floresta. Exemplo- Nome da Floresta, Nível Funcional, Função FSMO do Mestre de Nomeação de Domínio, Função FSMO do Mestre de Esquema, etc. |
| Microsoft.ADHybridHealthService/addsservices/dimensions/read | Obtém os detalhes de domínios e sites para a floresta. Exemplo: status de integridade, alertas ativos, alertas resolvidos, propriedades como Nível funcional de domínio, Floresta, Mestre de infraestrutura, PDC, mestre de RID etc. |
| Microsoft.ADHybridHealthService/addsservices/features/userpreference/read | Obtém a configuração de preferência do usuário para a floresta. Exemplo- MetricCounterName como ldapsuccessfulbinds, ntlmauthentications, kerberosauthentications, addsinsightsagentprivatebytes, ldapsearches. Configurações para os gráficos da interface do usuário, etc. |
| Microsoft.ADHybridHealthService/addsservices/forestsummary/read | Obtém o resumo da floresta para uma determinada floresta, como nome da floresta, número de domínios sob essa floresta, número de sites e detalhes de sites, etc. |
| Microsoft.ADHybridHealthService/addsservices/metricmetadata/read | Obtém a lista de métricas suportadas para um determinado serviço. Por exemplo, Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /s etc para o serviço ADFS. Autenticações NTLM/seg, LDAP Successful Binds/seg, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomainService. Execute Latência de Perfil, Conexões TCP Estabelecidas, Bytes Privados do Agente Insights, Exporte Estatísticas para o serviço Azure AD for ADSync. |
| Microsoft.ADHybridHealthService/addsservices/metrics/groups/read | Dado um serviço, essa API obtém as informações de métricas. Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation. Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service. Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service. |
| Microsoft.ADHybridHealthService/addsservices/premiumcheck/read | Esta API obtém a lista de todos os ADDomainServices integrados para um locatário premium. |
| Microsoft.ADHybridHealthService/addsservices/replicationdetails/read | Obtém detalhes de replicação para todos os servidores para o nome de serviço especificado. |
| Microsoft.ADHybridHealthService/addsservices/replicationstatus/read | Obtém o número de controladores de domínio e seus erros de replicação, se houver. |
| Microsoft.ADHybridHealthService/addsservices/replicationsummary/read | Obtém a lista completa do controlador de domínio, juntamente com os detalhes de replicação para a floresta fornecida. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/delete | Exclui um servidor para um determinado serviço e locatário. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read | Durante o registro do servidor ADDomainService, essa api é chamada para obter as credenciais para integrar novos servidores. |
| Microsoft.ADHybridHealthService/configuration/write | Cria uma configuração de locatário. |
| Microsoft.ADHybridHealthService/configuration/read | Lê a configuração do locatário. |
| Microsoft.ADHybridHealthService/logs/read | Obtém os logs de instalação e registro do agente para o locatário. |
| Microsoft.ADHybridHealthService/logs/contents/read | Obtém o conteúdo dos logs de instalação e registro do agente armazenados no blob. |
| Microsoft.ADHybridHealthService/operations/read | Obtém a lista de operações suportadas pelo sistema. |
| Microsoft.ADHybridHealthService/reports/availabledeployments/read | Obtém uma lista de regiões disponíveis, usadas pelo DevOps para dar suporte a incidentes de clientes. |
| Microsoft.ADHybridHealthService/reports/badpassword/read | Obtém a lista de tentativas de senha incorreta para todos os usuários no Serviço de Federação do Ative Directory. |
| Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read | Obtém o URI SAS do Blob contendo o status e o resultado eventual do trabalho de relatório recém-enfileirado para a frequência de tentativas de nome de usuário/senha incorreto por UserId por endereço IPAddress por dia para um determinado locatário. |
| Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read | Obtém a lista de locatários consentidos do DevOps. Normalmente usado para suporte ao cliente. |
| Microsoft.ADHybridHealthService/reports/isdevops/read | Obtém um valor que indica se o locatário é DevOps Consented ou não. |
| Microsoft.ADHybridHealthService/reports/selectdevopstenant/read | Atualiza userid(objectid) para o locatário de operações de desenvolvimento selecionado. |
| Microsoft.ADHybridHealthService/reports/selecteddeployment/read | Obtém a implantação selecionada para determinado locatário. |
| Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read | Dado um ID de locatário obtém o local de armazenamento do locatário. |
| Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read | Obtém a localização geográfica a partir da qual os dados serão acessados. |
| Microsoft.ADHybridHealthService/services/write | Cria uma instância de serviço no locatário. |
| Microsoft.ADHybridHealthService/services/read | Lê as instâncias de serviço no locatário. |
| Microsoft.ADHybridHealthService/services/excluir | Exclui uma instância de serviço no locatário. |
| Microsoft.ADHybridHealthService/services/servicemembers/action | Cria ou atualiza uma instância do servidor no serviço. |
| Microsoft.ADHybridHealthService/services/alerts/read | Lê os alertas de um serviço. |
| Microsoft.ADHybridHealthService/services/alerts/read | Lê os alertas de um serviço. |
| Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read | Dado um nome de recurso verifica se um serviço tem tudo o que é necessário para usar esse recurso. |
| Microsoft.ADHybridHealthService/services/exporterrors/read | Obtém os erros de exportação para um determinado serviço de sincronização. |
| Microsoft.ADHybridHealthService/services/exportstatus/read | Obtém o status de exportação de um determinado serviço. |
| Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read | Obtém feedback de alertas para um determinado serviço e servidor. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregates/read | Lê os IPs incorretos que tentaram acessar o serviço. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read | Lê limites de alarme para IPs incorretos. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write | Grava limites de alarme para IPs incorretos. |
| Microsoft.ADHybridHealthService/services/metricmetadata/read | Obtém a lista de métricas suportadas para um determinado serviço. Por exemplo, Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /s etc para o serviço ADFS. Autenticações NTLM/seg, LDAP Successful Binds/seg, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomainService. Execute Latência de Perfil, Conexões TCP Estabelecidas, Bytes Privados do Agente Insights, Exporte Estatísticas para o serviço Azure AD for ADSync. |
| Microsoft.ADHybridHealthService/services/metrics/groups/read | Dado um serviço, essa API obtém as informações de métricas. Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation. Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service. Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service. |
| Microsoft.ADHybridHealthService/services/metrics/groups/average/read | Dado um serviço, essa API obtém a média de métricas para um determinado serviço. Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation. Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service. Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service. |
| Microsoft.ADHybridHealthService/services/metrics/groups/sum/read | Dado um serviço, essa API obtém a exibição agregada de métricas para um determinado serviço. Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation. Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service. Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service. |
| Microsoft.ADHybridHealthService/services/monitoringconfiguration/write | Adicione ou atualize a configuração de monitoramento de um serviço. |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/read | Obtém as configurações de monitoramento para um determinado serviço. |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/write | Adicione ou atualize configurações de monitoramento para um serviço. |
| Microsoft.ADHybridHealthService/services/premiumcheck/read | Esta API obtém a lista de todos os serviços integrados para um locatário premium. |
| Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action | Gera relatório IP de risco e retorna um URI apontando para ele. |
| Microsoft.ADHybridHealthService/services/reports/blobUris/read | Obtém todos os URIs de relatório IP de risco dos últimos 7 dias. |
| Microsoft.ADHybridHealthService/services/reports/details/read | Obtém relatório dos 50 principais usuários com erros de senha incorreta dos últimos 7 dias |
| Microsoft.ADHybridHealthService/services/servicemembers/read | Lê a instância do servidor no serviço. |
| Microsoft.ADHybridHealthService/services/servicemembers/delete | Exclui uma instância do servidor no serviço. |
| Microsoft.ADHybridHealthService/services/servicemembers/alerts/read | Lê os alertas de um servidor. |
| Microsoft.ADHybridHealthService/services/servicemembers/credentials/read | Durante o registro do servidor, essa api é chamada para obter as credenciais para integrar novos servidores. |
| Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read | Para um determinado servidor, essa API obtém uma lista de tipos de dados que estão sendo carregados pelos servidores e a hora mais recente para cada carregamento. |
| Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read | Obtém os detalhes do Erro de Exportação de Sincronização para um determinado Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/read | Obtém a lista de conectores e nomes de perfil de execução para determinado serviço e membro do serviço. |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read | Dado um serviço, essa API obtém as informações de métricas. Por exemplo, esta API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token /seg etc para o serviço ADFederation. Autenticações NTLM/seg, LDAP Successful Binds/sec, LDAP Bind Time, LDAP Ative Threads, Kerberos Authentications/sec, ATQ Threads Total etc para ADDomain Service. Execute latência de perfil, conexões TCP estabelecidas, bytes privados do Insights Agent, exporte estatísticas para o Azure AD for Sync Service. |
| Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read | Obtém a configuração de serviço para um determinado locatário. |
| Microsoft.ADHybridHealthService/services/tenantwhitelisting/read | Obtém o status de permissão de listagem de recursos para um determinado locatário. |
Microsoft.AzureActiveDirectory
Sincronize diretórios locais e habilite o logon único.
Serviço do Azure: Azure Ative Directory B2C
| Ação | Descrição |
|---|---|
| Microsoft.AzureActiveDirectory/register/action | Registrar assinatura para o provedor de recursos Microsoft.AzureActiveDirectory |
| Microsoft.AzureActiveDirectory/b2cDirectories/write | Criar ou atualizar recurso de diretório B2C |
| Microsoft.AzureActiveDirectory/b2cDirectories/read | Ver recurso de diretório B2C |
| Microsoft.AzureActiveDirectory/b2cDirectories/delete | Excluir recurso de diretório B2C |
| Microsoft.AzureActiveDirectory/b2ctenants/read | Lista todos os locatários B2C em que o usuário é membro |
| Microsoft.AzureActiveDirectory/ciamDirectories/write | Criar ou atualizar o recurso do Diretório do CIAM |
| Microsoft.AzureActiveDirectory/ciamDirectories/read | Exibir recurso de diretório do CIAM |
| Microsoft.AzureActiveDirectory/ciamDirectories/delete | Excluir recurso do diretório CIAM |
| Microsoft.AzureActiveDirectory/guestUsages/write | Criar ou atualizar o recurso Usos de convidado |
| Microsoft.AzureActiveDirectory/guestUsages/read | Ver recurso Utilizações de Hóspedes |
| Microsoft.AzureActiveDirectory/guestUsages/delete | Excluir recurso Usos de convidado |
| Microsoft.AzureActiveDirectory/operations/read | Leia todas as operações de API disponíveis para o provedor de recursos Microsoft.AzureActiveDirectory |
Microsoft.ManagedIdentity
Uma identidade gerenciada automaticamente na ID do Microsoft Entra que se autentica em qualquer serviço que ofereça suporte ao Microsoft Entra
Serviço do Azure: identidades gerenciadas para recursos do Azure
| Ação | Descrição |
|---|---|
| Microsoft.ManagedIdentity/register/action | Registra a assinatura para o provedor de recursos de identidade gerenciada |
| Microsoft.ManagedIdentity/identities/read | Obtém uma identidade atribuída ao sistema existente |
| Microsoft.ManagedIdentity/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.ManagedIdentity |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | Ação RBAC para atribuir uma identidade atribuída ao usuário existente a um recurso |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Exclui uma identidade atribuída ao usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action | Lista todos os recursos associados para uma identidade atribuída ao usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Obtém uma identidade atribuída ao usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Cria uma nova identidade atribuída ao usuário ou atualiza as tags associadas a uma identidade atribuída ao usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | Revogados todos os tokens existentes em uma identidade atribuída ao usuário |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Obter ou listar credenciais de identidade federada |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Adicionar ou atualizar uma credencial de identidade federada |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Excluir uma credencial de identidade federada |