Разрешения Azure для удостоверений
В этой статье перечислены разрешения для поставщиков ресурсов Azure в категории удостоверений. Эти разрешения можно использовать в собственных пользовательских ролях Azure, чтобы обеспечить детальный контроль доступа к ресурсам в Azure. Строки разрешений имеют следующий формат: {Company}.{ProviderName}/{resourceType}/{action}
Microsoft.AAD
Присоединение виртуальных машин Azure к домену без контроллеров домена.
Служба Azure: доменные службы Microsoft Entra
| Действие | Description |
|---|---|
| Microsoft.AAD/register/action | Действие регистрации подписки |
| Microsoft.AAD/unregister/action | Отмена регистрации службы домена |
| Microsoft.AAD/register/action | Регистрация службы домена |
| Microsoft.AAD/domainServices/read | Чтение доменных служб |
| Microsoft.AAD/domainServices/write | Запись службы домена |
| Microsoft.AAD/domainServices/delete | Удаление службы домена |
| Microsoft.AAD/domainServices/oucontainer/read | Чтение контейнеров подразделения |
| Microsoft.AAD/domainServices/oucontainer/write | Запись в контейнер подразделения |
| Microsoft.AAD/domainServices/oucontainer/delete | Удаление контейнера подразделения |
| Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read | Получение конечных точек сети всех исходящих зависимостей |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметры диагностики для службы домена. |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметры диагностики для ресурса службы домена. |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read | Возвращает доступные журналы для службы домена. |
| Microsoft.AAD/domainServices/providers/Microsoft. Аналитика/metricDefinitions/read | Возвращает метрики для доменной службы |
| Microsoft.AAD/locations/operationresults/read | |
| Microsoft.AAD/Operations/read |
microsoft.aadiam
Служба Azure: Azure Active Directory
| Действие | Description |
|---|---|
| microsoft.aadiam/azureADMetrics/read | Чтение определения метрик Azure AD |
| microsoft.aadiam/azureADMetrics/write | Создание и обновление определения метрик Azure AD |
| microsoft.aadiam/azureADMetrics/delete | Удаление определения метрик Azure AD |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read | Возвращает доступные метрики для azureADMetrics. |
| microsoft.aadiam/diagnosticsettings/write | Запись параметра диагностики. |
| microsoft.aadiam/diagnosticsettings/read | Чтение параметра диагностики. |
| microsoft.aadiam/diagnosticsettings/delete | Удаление параметра диагностики. |
| microsoft.aadiam/diagnosticsettingscategories/read | Чтение категорий параметра диагностики. |
| microsoft.aadiam/metricDefinitions/read | Чтение определений метрик на уровне клиента |
| microsoft.aadiam/metrics/read | Чтение метрик на уровне клиента |
| microsoft.aadiam/privateLinkForAzureAD/read | Чтение определения политики приватного канала |
| microsoft.aadiam/privateLinkForAzureAD/write | Создание и обновление определения политики приватного канала |
| microsoft.aadiam/privateLinkForAzureAD/delete | Удаление определения политики приватного канала |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action | Утверждение PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read | Чтение прокси-серверов приватного канала |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete | Удаление прокси-серверов приватного канала |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action | Проверка прокси-серверов приватного канала |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read | Чтение PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write | Создание и обновление PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete | Удаление PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read | Чтение PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write | Создание и обновление PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete | Удаление PrivateLinkResources |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read | Получение доступных журналов клиентов. |
Microsoft.ADHybridHealthService
Надежный мониторинг локальной инфраструктуры удостоверений.
Служба Azure: идентификатор Microsoft Entra
| Действие | Description |
|---|---|
| Microsoft.ADHybridHealthService/configuration/action | Обновляет конфигурацию клиента. |
| Microsoft.ADHybridHealthService/services/action | Обновляет экземпляр службы в клиенте. |
| Microsoft.ADHybridHealthService/addsservices/action | Создает лес для клиента. |
| Microsoft.ADHybridHealthService/register/action | Регистрирует поставщик ресурсов службы работоспособности ADHybrid и позволяет создавать ресурсы службы работоспособности ADHybrid. |
| Microsoft.ADHybridHealthService/unregister/action | Отменяет регистрацию подписки для поставщика ресурсов службы работоспособности ADHybrid. |
| Microsoft.ADHybridHealthService/addsservices/write | Создает или обновляет экземпляр ADDomainService для клиента. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/action | Добавляет экземпляр сервера в службу. |
| Microsoft.ADHybridHealthService/addsservices/read | Получает сведения о службе для указанного имени службы. |
| Microsoft.ADHybridHealthService/addsservices/delete | Удаляет службу и ее серверы, а также данные о работоспособности. |
| Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read | Получает все серверы для указанного имени службы. |
| Microsoft.ADHybridHealthService/addsservices/alerts/read | Получает сведения об оповещениях для леса, например идентификатор оповещения, дата получения, последнее обнаружение, описание, последнее обновление, уровень и состояние оповещения, а также ссылки на устранение неполадок с оповещением и т. д. |
| Microsoft.ADHybridHealthService/addsservices/configuration/read | Получает конфигурацию службы для леса. Например, имя леса, функциональный уровень, роль хозяина именования доменов FSMO, роль хозяина схемы FSMO и т. д. |
| Microsoft.ADHybridHealthService/addsservices/dimensions/read | Получает сведения о доменах и сайтах для леса. Например, состояние работоспособности, активные оповещения, разрешенные оповещения, такие свойства, как функциональный уровень домена, лес, хозяин инфраструктуры, PDC, хозяин RID и т. д. |
| Microsoft.ADHybridHealthService/addsservices/features/userpreference/read | Получает параметр настройки пользователя для леса. Например, значения MetricCounterName, такие как ldapsuccessfulbinds, ntlmauthentications, kerberosauthentications, addsinsightsagentprivatebytes, ldapsearches. Параметры диаграммы пользовательского интерфейса и т. д. |
| Microsoft.ADHybridHealthService/addsservices/forestsummary/read | Получает сводку для данного леса, например имя леса, количество доменов в лесу, количество сайтов, сведения о сайтах и т. д. |
| Microsoft.ADHybridHealthService/addsservices/metricmetadata/read | Получает список поддерживаемых метрик для данной службы. Например, число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы ADSync. |
| Microsoft.ADHybridHealthService/addsservices/metrics/groups/read | Для данной службы этот API получает информацию о метриках. Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации. |
| Microsoft.ADHybridHealthService/addsservices/premiumcheck/read | Этот API возвращает список всех подключенных служб ADDomainServices для клиента категории "Премиум". |
| Microsoft.ADHybridHealthService/addsservices/replicationdetails/read | Получает сведения о репликации всех серверов для указанного имени службы. |
| Microsoft.ADHybridHealthService/addsservices/replicationstatus/read | Получает число контроллеров домена и их ошибок репликации, если таковые имеются. |
| Microsoft.ADHybridHealthService/addsservices/replicationsummary/read | Получает полный список контроллеров домена и сведений о репликации для данного леса. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/delete | Удаляет сервер для данной службы и клиента. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read | Во время регистрации сервера ADDomainService этот API вызывается, чтобы получить учетные данные для подключения новых серверов. |
| Microsoft.ADHybridHealthService/configuration/write | Создает конфигурацию клиента. |
| Microsoft.ADHybridHealthService/configuration/read | Считывает конфигурацию клиента. |
| Microsoft.ADHybridHealthService/logs/read | Получает журналы установки и регистрации агента для клиента. |
| Microsoft.ADHybridHealthService/logs/contents/read | Получает содержимое журналов установки и регистрации агента, хранимых в большом двоичном объекте. |
| Microsoft.ADHybridHealthService/operations/read | Возвращает список операций, поддерживаемых системой. |
| Microsoft.ADHybridHealthService/reports/availabledeployments/read | Получает список доступных регионов, используемых командой DevOps для поддержки инцидентов клиентов. |
| Microsoft.ADHybridHealthService/reports/badpassword/read | Получает список попыток неправильного ввода пароля для всех пользователей в службе федерации Active Directory. |
| Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read | Получает универсальный код ресурса SAS большого двоичного объекта, содержащий состояние и конечный результат недавно поставленного в очередь задания отчета для определения частоты попыток неправильного ввода имени пользователя или пароля на каждый идентификатор пользователя по каждому IP-адресу в день для данного клиента. |
| Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read | Получает список клиентов, получивших согласие DevOps. Обычно используется для поддержки клиентов. |
| Microsoft.ADHybridHealthService/reports/isdevops/read | Получение значения, указывающего, имеет ли клиент согласие DevOps. |
| Microsoft.ADHybridHealthService/reports/selectdevopstenant/read | Обновляет идентификатор пользователя (идентификатор объекта) выбранного клиента DevOps. |
| Microsoft.ADHybridHealthService/reports/selecteddeployment/read | Возвращает выбранное развертывание для данного клиента. |
| Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read | Получает расположение хранилища клиента на основе идентификатора клиента. |
| Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read | Возвращает географическое расположение, из которого будет осуществляться доступ к данных. |
| Microsoft.ADHybridHealthService/services/write | Создает экземпляр службы в клиенте. |
| Microsoft.ADHybridHealthService/services/read | Считывает экземпляры службы в клиенте. |
| Microsoft.ADHybridHealthService/services/delete | Удаляет экземпляр службы из клиента. |
| Microsoft.ADHybridHealthService/services/servicemembers/action | Создает или обновляет экземпляр сервера в службе. |
| Microsoft.ADHybridHealthService/services/alerts/read | Считывает оповещения для службы. |
| Microsoft.ADHybridHealthService/services/alerts/read | Считывает оповещения для службы. |
| Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read | На основе имени функции проверяет, имеется ли у службы все необходимое для использования этой функции. |
| Microsoft.ADHybridHealthService/services/exporterrors/read | Возвращает ошибки экспорта для данной службы синхронизации. |
| Microsoft.ADHybridHealthService/services/exportstatus/read | Возвращает состояние экспорта для данной службы. |
| Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read | Получает обратную связь об оповещениях для данной службы и сервера. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregates/read | Считывает недопустимые IP-адреса, которые пытались получить доступ к службе. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read | Считывает пороговые значения оповещения для недопустимых IP-адресов. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write | Записывает пороговые значения оповещения для недопустимых IP-адресов. |
| Microsoft.ADHybridHealthService/services/metricmetadata/read | Получает список поддерживаемых метрик для данной службы. Например, число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы ADSync. |
| Microsoft.ADHybridHealthService/services/metrics/groups/read | Для данной службы этот API получает информацию о метриках. Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации. |
| Microsoft.ADHybridHealthService/services/metrics/groups/average/read | Этот API получает среднее значение метрик для данной службы. Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации. |
| Microsoft.ADHybridHealthService/services/metrics/groups/sum/read | Этот API получает агрегированное представление о метриках для данной службы. Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации. |
| Microsoft.ADHybridHealthService/services/monitoringconfiguration/write | Добавляет или обновляет конфигурацию мониторинга для службы. |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/read | Получает конфигурации мониторинга для данной службы. |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/write | Добавляет или обновляет конфигурации мониторинга для службы. |
| Microsoft.ADHybridHealthService/services/premiumcheck/read | Этот API возвращает список всех подключенных служб для клиента категории "Премиум". |
| Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action | Создает отчет о рискованных IP-адресах и возвращает универсальный код ресурса (URI), указывающий на него. |
| Microsoft.ADHybridHealthService/services/reports/blobUris/read | Возвращает URI всех отчетов о рискованных IP-адресах за последние 7 дней. |
| Microsoft.ADHybridHealthService/services/reports/details/read | Возвращает отчет о первых 50 пользователях, вводивших неправильный пароль, за последние 7 дней. |
| Microsoft.ADHybridHealthService/services/servicemembers/read | Считывает экземпляр сервера в службе. |
| Microsoft.ADHybridHealthService/services/servicemembers/delete | Удаляет экземпляр службы из службы. |
| Microsoft.ADHybridHealthService/services/servicemembers/alerts/read | Считывает оповещения для сервера. |
| Microsoft.ADHybridHealthService/services/servicemembers/credentials/read | Во время регистрации сервера этот API вызывается, чтобы получить учетные данные для подключения новых серверов. |
| Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read | Для данного сервера этот API возвращает список типов данных, которые передаются серверами, и самое позднее время каждой отправки. |
| Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read | Возвращает сведения об ошибке экспорта данных синхронизации для указанной службы синхронизации. |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/read | Возвращает список соединителей и имена профилей выполнения для заданной службы и элемента службы. |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read | Для данной службы этот API получает информацию о метриках. Например, этот API можно использовать для получения следующей информации: число блокировок учетных записей из экстрасети, общее число невыполненных запросов, число невыполненных запросов маркера (прокси), число запросов токенов/с и т. д. для службы ADFS. Количество проверок подлинности NTLM/с, число успешных привязок LDAP/с, время привязки LDAP, количество активных потоков LDAP, число проверок подлинности Kerberos/с, общее количество потоков ATQ и т. д. для службы ADDomain. Задержка запуска профиля, установленные TCP-подключения, частные байты агента получения информации, статистика по экспорту в Azure AD для службы синхронизации. |
| Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read | Получает конфигурацию службы для данного клиента. |
| Microsoft.ADHybridHealthService/services/tenantwhitelisting/read | Получает состояние разрешенных функций для данного клиента. |
Microsoft.AzureActiveDirectory
Синхронизируйте локальные каталоги и включите единый вход.
Служба Azure: Azure Active Directory B2C
| Действие | Description |
|---|---|
| Microsoft.AzureActiveDirectory/register/action | Регистрация подписки в поставщике ресурсов Microsoft.AzureActiveDirectory. |
| Microsoft.AzureActiveDirectory/b2cDirectories/write | Создание или обновление ресурса каталога B2C. |
| Microsoft.AzureActiveDirectory/b2cDirectories/read | Просмотр ресурса каталога B2C. |
| Microsoft.AzureActiveDirectory/b2cDirectories/delete | Удаление ресурса каталога B2C. |
| Microsoft.AzureActiveDirectory/b2ctenants/read | Перечисляет все клиенты B2C, членом которых является пользователь. |
| Microsoft.AzureActiveDirectory/ciamDirectory/write | Создание или обновление ресурса каталога CIAM |
| Microsoft.AzureActiveDirectory/ciamDirectory/read | Просмотр ресурса каталога CIAM |
| Microsoft.AzureActiveDirectory/ciamDirectory/delete | Удаление ресурса каталога CIAM |
| Microsoft.AzureActiveDirectory/guestUsages/write | Создает или изменяет ресурс "Гостевое использование" |
| Microsoft.AzureActiveDirectory/guestUsages/read | Просматривает ресурс "Гостевое использование" |
| Microsoft.AzureActiveDirectory/guestUsages/delete | Удаляет ресурс "Гостевое использование" |
| Microsoft.AzureActiveDirectory/operations/read | Чтение всех операций API, доступных для поставщика ресурсов Microsoft.AzureActiveDirectory. |
Microsoft.ManagedIdentity
Автоматическое управляемое удостоверение в идентификаторе Microsoft Entra, которое проходит проверку подлинности в любой службе, поддерживающей Microsoft Entra
Служба Azure: управляемые удостоверения для ресурсов Azure
| Действие | Description |
|---|---|
| Microsoft.ManagedIdentity/register/action | Регистрирует подписку для поставщика ресурсов управляемых удостоверений. |
| Microsoft.ManagedIdentity/identities/read | Получение существующего системного удостоверения. |
| Microsoft.ManagedIdentity/operations/read | Список операций, доступных в поставщике ресурсов Microsoft.ManagedIdentity |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | Действие RBAC для назначения существующего пользовательского удостоверения для ресурса. |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Удаление существующего пользовательского удостоверения. |
| Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action | Перечисляет все связанные ресурсы для существующего назначаемого пользователем удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Получение существующего пользовательского удостоверения. |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Создание существующего пользовательского удостоверения или обновление связанных с ним тегов. |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | Отзыв всех существующих маркеров на назначенном пользователем удостоверении |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Получение или перечисление учетных данных федеративного удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Добавление или обновление федеративных учетных данных удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Удаление учетных данных федеративного удостоверения |