共用方式為


身分識別的 Azure 許可權

本文列出身分識別類別中 Azure 資源提供者的許可權。 您可以在自己的 Azure 自定義角色 中使用這些許可權,為 Azure 中的資源提供細微的訪問控制。 權限字串的格式如下: {Company}.{ProviderName}/{resourceType}/{action}

Microsoft.AAD

將 Azure 虛擬機加入沒有域控制器的網域。

Azure 服務: Microsoft Entra Domain Services

動作 描述
Microsoft.AAD/register/action 訂用帳戶註冊動作
Microsoft.AAD/unregister/action 取消註冊網域服務
Microsoft.AAD/register/action 註冊網域服務
Microsoft.AAD/domainServices/read 讀取網域服務
Microsoft.AAD/domainServices/write 寫入網域服務
Microsoft.AAD/domainServices/delete 刪除網域服務
Microsoft.AAD/domainServices/oucontainer/read 讀取 Ou 容器
Microsoft.AAD/domainServices/oucontainer/write 寫入 Ou 容器
Microsoft.AAD/domainServices/oucontainer/delete 刪除 Ou 容器
Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read 取得所有輸出相依性的網路端點
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnostic 設定/read 取得 Domain Service 的診斷設定
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnostic 設定/write 建立或更新 Domain Service 資源的診斷設定
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read 取得 Domain Service 的可用記錄
Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read 取得 Domain Service 的計量
Microsoft.AAD/locations/operationresults/read
Microsoft.AAD/Operations/read

microsoft.aadiam

Azure 服務:Azure Active Directory

動作 描述
microsoft.aadiam/azureADMetrics/read 讀取 Azure AD 計量定義
microsoft.aadiam/azureADMetrics/write 建立和更新 Azure AD 計量定義
microsoft.aadiam/azureADMetrics/delete 刪除 Azure AD 計量定義
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnostic 設定/read 取得資源的診斷設定
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnostic 設定/write 建立或更新資源的診斷設定
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read 取得 azureADMetrics 的可用計量
microsoft.aadiam/diagnosticsettings/write 撰寫診斷設定
microsoft.aadiam/diagnosticsettings/read 讀取診斷設定
microsoft.aadiam/diagnosticsettings/delete 刪除診斷設定
microsoft.aadiam/diagnosticsettingscategories/read 讀取診斷設定類別
microsoft.aadiam/metricDefinitions/read 讀取租用戶層級計量定義
microsoft.aadiam/metrics/read 讀取租用戶層級計量
microsoft.aadiam/privateLinkForAzureAD/read 讀取 Private Link 原則定義
microsoft.aadiam/privateLinkForAzureAD/write 建立及更新 Private Link 原則定義
microsoft.aadiam/privateLinkForAzureAD/delete 刪除 Private Link 原則定義
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionsApproval/action 核准 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionProxies/read 讀取 Private Link Proxy
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionProxies/delete 刪除 Private Link Proxy
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionProxies/validate/action 驗證 Private Link Proxy
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ions/read 讀取 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ions/write 建立及更新 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ions/delete 刪除 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read 讀取 PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write 建立及更新 PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete 刪除 PrivateLinkResources
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnostic 設定/read 取得資源的診斷設定
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnostic 設定/write 建立或更新資源的診斷設定
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read 取得租使用者的可用記錄

Microsoft.ADHybridHealthService

對內部部署身分識別基礎結構進行強固的監視。

Azure 服務: Microsoft Entra ID

動作 描述
Microsoft.ADHybridHealthService/configuration/action 更新 租用戶設定。
Microsoft.ADHybridHealthService/services/action 更新 租使用者中的服務實例。
Microsoft.ADHybridHealthService/addsservices/action 建立租使用者的新樹系。
Microsoft.ADHybridHealthService/register/action 註冊 ADHybrid 健全狀況服務 資源提供者,並啟用 ADHybrid 健全狀況服務 資源的建立。
Microsoft.ADHybridHealthService/unregister/action 取消註冊 ADHybrid 健全狀況服務 資源提供者的訂用帳戶。
Microsoft.ADHybridHealthService/addsservices/write 建立或 更新 租使用者的 ADDomainService 實例。
Microsoft.ADHybridHealthService/addsservices/servicemembers/action 將伺服器實例新增至服務。
Microsoft.ADHybridHealthService/addsservices/read 取得指定服務名稱的服務詳細數據。
Microsoft.ADHybridHealthService/addsservices/delete 刪除服務及其伺服器以及健康情況數據。
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read 取得指定服務名稱的所有伺服器。
Microsoft.ADHybridHealthService/addsservices/alerts/read 取得樹系的警示詳細數據,例如alertid、警示引發日期、上次偵測到的警示、警示描述、上次更新、警示層級、警示狀態、警示疑難解答連結等。
Microsoft.ADHybridHealthService/addsservices/configuration/read 取得樹系的服務組態。 範例- 樹系名稱、功能等級、網域命名主要 FSMO 角色、架構主機 FSMO 角色等。
Microsoft.ADHybridHealthService/addsservices/dimensions/read 取得樹系的網域和網站詳細數據。 範例- 健康狀態、作用中警示、已解決的警示、網域功能等級、樹系、基礎結構主機、PDC、RID 主機等屬性。
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read 取得樹系的用戶喜好設定。
範例 - MetricCounterName,例如 ldapsuccessfulbinds、ntlmauthentications、kerberosauthentications、addsinsightsagentprivatebytes、ldapsearches。
UI 圖表等 設定
Microsoft.ADHybridHealthService/addsservices/forestsummary/read 取得指定樹系的樹系摘要,例如樹系名稱、此樹系下的網域數目、網站數目和網站詳細數據等等。
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read 取得指定服務支援的計量清單。
例如,ADFS 服務的外部網路帳戶鎖定、失敗的要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等 for ADDomainService。
執行配置檔延遲、TCP 連線 已建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD for AD for ADSync 服務。
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read 指定服務時,此 API 會取得計量資訊。
例如,此 API 可用來取得 ADFederation 服務的相關信息:外部網路帳戶鎖定、失敗要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。
執行配置檔延遲、TCP 連線 建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read 此 API 會取得進階租使用者的所有上線 ADDomainServices 清單。
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read 取得指定服務名稱之所有伺服器的復寫詳細數據。
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read 取得域控制器的數目及其復寫錯誤,如果有的話。
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read 取得完整的域控制器清單,以及指定樹系的複寫詳細數據。
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete 刪除指定服務和租用戶的伺服器。
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read 在 ADDomainService 的伺服器註冊期間,會呼叫此 API 以取得新伺服器的認證。
Microsoft.ADHybridHealthService/configuration/write 建立租用戶組態。
Microsoft.ADHybridHealthService/configuration/read 讀取租用戶設定。
Microsoft.ADHybridHealthService/logs/read 取得租使用者的代理程式安裝和註冊記錄。
Microsoft.ADHybridHealthService/logs/contents/read 取得儲存在 Blob 中的代理程式安裝和註冊記錄的內容。
Microsoft.ADHybridHealthService/operations/read 取得系統支援的作業清單。
Microsoft.ADHybridHealthService/reports/availabledeployments/read 取得 DevOps 用來支援客戶事件之可用區域的清單。
Microsoft.ADHybridHealthService/reports/badpassword/read 取得 Active Directory 同盟服務中所有使用者的密碼嘗試錯誤清單。
Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read 取得 Blob SAS URI,其中包含新加入佇列之報告作業的狀態和最終結果,以針對指定的租使用者,依每個 UserId 每個 IPAddress 每天嘗試使用者名稱/密碼的頻率。
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read 取得 DevOps 同意的租用戶清單。 通常用於客戶支援。
Microsoft.ADHybridHealthService/reports/isdevops/read 取得值,指出租使用者是否為 DevOps 同意。
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read 更新 所選 dev ops 租使用者的 userid(objectid) 。
Microsoft.ADHybridHealthService/reports/selecteddeployment/read 取得指定租用戶的選取部署。
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read 假設租用戶標識碼會取得租用戶記憶體位置。
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read 取得要從中存取數據的地理位置。
Microsoft.ADHybridHealthService/services/write 在租使用者中建立服務實例。
Microsoft.ADHybridHealthService/services/read 讀取租使用者中的服務實例。
Microsoft.ADHybridHealthService/services/delete 刪除租使用者中的服務實例。
Microsoft.ADHybridHealthService/services/servicemembers/action 在服務中建立或更新伺服器實例。
Microsoft.ADHybridHealthService/services/alerts/read 讀取服務的警示。
Microsoft.ADHybridHealthService/services/alerts/read 讀取服務的警示。
Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read 指定功能名稱會驗證服務是否具有使用該功能所需的所有專案。
Microsoft.ADHybridHealthService/services/exporterrors/read 取得指定同步服務的匯出錯誤。
Microsoft.ADHybridHealthService/services/exportstatus/read 取得指定服務的導出狀態。
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read 取得指定服務和伺服器的警示意見反應。
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read 讀取嘗試存取服務的不良IP。
Microsoft.ADHybridHealthService/services/ipAddressAggregate 設定/read 讀取錯誤的IP的警示閾值。
Microsoft.ADHybridHealthService/services/ipAddressAggregate 設定/write 寫入錯誤的IP的警示閾值。
Microsoft.ADHybridHealthService/services/metricmetadata/read 取得指定服務支援的計量清單。
例如,ADFS 服務的外部網路帳戶鎖定、失敗的要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等 for ADDomainService。
執行配置檔延遲、TCP 連線 已建立、Insights 代理程式私用位元組、將統計數據匯出至 Azure AD for ADSync 服務。
Microsoft.ADHybridHealthService/services/metrics/groups/read 指定服務時,此 API 會取得計量資訊。
例如,此 API 可用來取得 ADFederation 服務的相關信息:外部網路帳戶鎖定、失敗要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。
執行配置檔延遲、TCP 連線 已建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/metrics/groups/average/read 指定服務時,此 API 會取得指定服務的計量平均值。
例如,此 API 可用來取得 ADFederation 服務的相關信息:外部網路帳戶鎖定、失敗要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。
執行配置檔延遲、TCP 連線 建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read 指定服務時,此 API 會取得指定服務的計量匯總檢視。
例如,此 API 可用來取得 ADFederation 服務的相關信息:外部網路帳戶鎖定、失敗要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。
執行配置檔延遲、TCP 連線 建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write 新增或更新服務的監視組態。
Microsoft.ADHybridHealthService/services/monitoringconfigurations/read 取得指定服務的監視組態。
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write 新增或更新服務的監視組態。
Microsoft.ADHybridHealthService/services/premiumcheck/read 此 API 會取得進階租使用者的所有上線服務清單。
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action 產生具風險的IP報告,並傳回指向它的URI。
Microsoft.ADHybridHealthService/services/reports/blobUris/read 取得過去 7 天的所有具風險 IP 報告 URI。
Microsoft.ADHybridHealthService/services/reports/details/read 從過去 7 天取得前 50 位使用者有錯誤密碼錯誤的報表
Microsoft.ADHybridHealthService/services/servicemembers/read 讀取服務中的伺服器實例。
Microsoft.ADHybridHealthService/services/servicemembers/delete 刪除服務中的伺服器實例。
Microsoft.ADHybridHealthService/services/servicemembers/alerts/read 讀取伺服器的警示。
Microsoft.ADHybridHealthService/services/servicemembers/credentials/read 在伺服器註冊期間,系統會呼叫此 API 來取得新伺服器的上線認證。
Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read 對於指定的伺服器,此 API 會取得伺服器所上傳的數據類型清單,以及每個上傳的最新時間。
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read 取得指定同步服務的同步匯出錯誤詳細數據。
Microsoft.ADHybridHealthService/services/servicemembers/metrics/read 取得連接器清單,並執行指定服務和服務成員的配置檔名稱。
Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read 指定服務時,此 API 會取得計量資訊。
例如,此 API 可用來取得 ADFederation 服務的相關信息:外部網路帳戶鎖定、失敗要求總計、未處理令牌要求 (Proxy)、令牌要求 /秒等。
NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。
執行配置檔延遲、TCP 連線 已建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read 取得指定租用戶的服務組態。
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read 取得指定租使用者的功能允許清單狀態。

Microsoft.AzureActiveDirectory

同步處理內部部署目錄並啟用單一登錄。

Azure 服務: Azure Active Directory B2C

動作 描述
Microsoft.AzureActiveDirectory/register/action 註冊 Microsoft.AzureActiveDirectory 資源提供者的訂用帳戶
Microsoft.AzureActiveDirectory/b2cDirectories/write 建立或更新 B2C 目錄資源
Microsoft.AzureActiveDirectory/b2cDirectories/read 檢視 B2C 目錄資源
Microsoft.AzureActiveDirectory/b2cDirectories/delete 刪除 B2C 目錄資源
Microsoft.AzureActiveDirectory/b2ctenants/read 列出用戶是成員的所有 B2C 租使用者
Microsoft.AzureActiveDirectory/ciamDirectories/write 建立或更新 CIAM 目錄資源
Microsoft.AzureActiveDirectory/ciamDirectories/read 檢視 CIAM 目錄資源
Microsoft.AzureActiveDirectory/ciamDirectories/delete 刪除 CIAM 目錄資源
Microsoft.AzureActiveDirectory/guestUsages/write 建立或更新來賓使用量資源
Microsoft.AzureActiveDirectory/guestUsages/read 檢視來賓使用量資源
Microsoft.AzureActiveDirectory/guestUsages/delete 刪除來賓使用量資源
Microsoft.AzureActiveDirectory/operations/read 讀取 Microsoft.AzureActiveDirectory 資源提供者可用的所有 API 作業

Microsoft.ManagedIdentity

Microsoft Entra 識別碼中的自動受控識別,可向支援 Microsoft Entra 的任何服務進行驗證

Azure 服務: 適用於 Azure 資源的受控識別

動作 描述
Microsoft.ManagedIdentity/register/action 註冊受控識別資源提供者的訂用帳戶
Microsoft.ManagedIdentity/identities/read 取得現有的系統指派身分識別
Microsoft.ManagedIdentity/operations/read 列出 Microsoft.ManagedIdentity 資源提供者上可用的作業
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action 將現有使用者指派的身分識別指派給資源的 RBAC 動作
Microsoft.ManagedIdentity/userAssignedIdentities/delete 刪除現有的使用者指派身分識別
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action 列出現有使用者指派身分識別的所有相關聯資源
Microsoft.ManagedIdentity/userAssignedIdentities/read 取得現有的使用者指派身分識別
Microsoft.ManagedIdentity/userAssignedIdentities/write 建立新使用者指派的身分識別,或更新與現有使用者指派身分識別相關聯的標籤
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action 撤銷使用者指派身分識別上的所有現有令牌
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read 取得或列出同盟身分識別認證
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write 新增或更新同盟身分識別認證
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete 刪除同盟身分識別認證

下一步