身分識別的 Azure 許可權

發行項
04/25/2024

本文列出身分識別類別中 Azure 資源提供者的許可權。您可以在自己的 Azure 自定義角色中使用這些許可權，為 Azure 中的資源提供細微的訪問控制。權限字串的格式如下： {Company}.{ProviderName}/{resourceType}/{action}

Microsoft.AAD

將 Azure 虛擬機加入沒有域控制器的網域。

Azure 服務： Microsoft Entra Domain Services

動作	描述
Microsoft.AAD/register/action	訂用帳戶註冊動作
Microsoft.AAD/unregister/action	取消註冊網域服務
Microsoft.AAD/register/action	註冊網域服務
Microsoft.AAD/domainServices/read	讀取網域服務
Microsoft.AAD/domainServices/write	寫入網域服務
Microsoft.AAD/domainServices/delete	刪除網域服務
Microsoft.AAD/domainServices/oucontainer/read	讀取 Ou 容器
Microsoft.AAD/domainServices/oucontainer/write	寫入 Ou 容器
Microsoft.AAD/domainServices/oucontainer/delete	刪除 Ou 容器
Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read	取得所有輸出相依性的網路端點
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnostic 設定/read	取得 Domain Service 的診斷設定
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnostic 設定/write	建立或更新 Domain Service 資源的診斷設定
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read	取得 Domain Service 的可用記錄
Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read	取得 Domain Service 的計量
Microsoft.AAD/locations/operationresults/read
Microsoft.AAD/Operations/read

microsoft.aadiam

Azure 服務：Azure Active Directory

動作	描述
microsoft.aadiam/azureADMetrics/read	讀取 Azure AD 計量定義
microsoft.aadiam/azureADMetrics/write	建立和更新 Azure AD 計量定義
microsoft.aadiam/azureADMetrics/delete	刪除 Azure AD 計量定義
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnostic 設定/read	取得資源的診斷設定
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnostic 設定/write	建立或更新資源的診斷設定
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read	取得 azureADMetrics 的可用計量
microsoft.aadiam/diagnosticsettings/write	撰寫診斷設定
microsoft.aadiam/diagnosticsettings/read	讀取診斷設定
microsoft.aadiam/diagnosticsettings/delete	刪除診斷設定
microsoft.aadiam/diagnosticsettingscategories/read	讀取診斷設定類別
microsoft.aadiam/metricDefinitions/read	讀取租用戶層級計量定義
microsoft.aadiam/metrics/read	讀取租用戶層級計量
microsoft.aadiam/privateLinkForAzureAD/read	讀取 Private Link 原則定義
microsoft.aadiam/privateLinkForAzureAD/write	建立及更新 Private Link 原則定義
microsoft.aadiam/privateLinkForAzureAD/delete	刪除 Private Link 原則定義
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionsApproval/action	核准 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionProxies/read	讀取 Private Link Proxy
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionProxies/delete	刪除 Private Link Proxy
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ionProxies/validate/action	驗證 Private Link Proxy
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ions/read	讀取 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ions/write	建立及更新 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateEndpoint 連線 ions/delete	刪除 PrivateEndpoint 連線 ions
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read	讀取 PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write	建立及更新 PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete	刪除 PrivateLinkResources
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnostic 設定/read	取得資源的診斷設定
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnostic 設定/write	建立或更新資源的診斷設定
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read	取得租使用者的可用記錄

Microsoft.ADHybridHealthService

對內部部署身分識別基礎結構進行強固的監視。

Azure 服務： Microsoft Entra ID

動作	描述
Microsoft.ADHybridHealthService/configuration/action	更新租用戶設定。
Microsoft.ADHybridHealthService/services/action	更新租使用者中的服務實例。
Microsoft.ADHybridHealthService/addsservices/action	建立租使用者的新樹系。
Microsoft.ADHybridHealthService/register/action	註冊 ADHybrid 健全狀況服務資源提供者，並啟用 ADHybrid 健全狀況服務資源的建立。
Microsoft.ADHybridHealthService/unregister/action	取消註冊 ADHybrid 健全狀況服務資源提供者的訂用帳戶。
Microsoft.ADHybridHealthService/addsservices/write	建立或更新租使用者的 ADDomainService 實例。
Microsoft.ADHybridHealthService/addsservices/servicemembers/action	將伺服器實例新增至服務。
Microsoft.ADHybridHealthService/addsservices/read	取得指定服務名稱的服務詳細數據。
Microsoft.ADHybridHealthService/addsservices/delete	刪除服務及其伺服器以及健康情況數據。
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read	取得指定服務名稱的所有伺服器。
Microsoft.ADHybridHealthService/addsservices/alerts/read	取得樹系的警示詳細數據，例如alertid、警示引發日期、上次偵測到的警示、警示描述、上次更新、警示層級、警示狀態、警示疑難解答連結等。
Microsoft.ADHybridHealthService/addsservices/configuration/read	取得樹系的服務組態。範例- 樹系名稱、功能等級、網域命名主要 FSMO 角色、架構主機 FSMO 角色等。
Microsoft.ADHybridHealthService/addsservices/dimensions/read	取得樹系的網域和網站詳細數據。範例- 健康狀態、作用中警示、已解決的警示、網域功能等級、樹系、基礎結構主機、PDC、RID 主機等屬性。
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read	取得樹系的用戶喜好設定。範例 - MetricCounterName，例如 ldapsuccessfulbinds、ntlmauthentications、kerberosauthentications、addsinsightsagentprivatebytes、ldapsearches。 UI 圖表等設定
Microsoft.ADHybridHealthService/addsservices/forestsummary/read	取得指定樹系的樹系摘要，例如樹系名稱、此樹系下的網域數目、網站數目和網站詳細數據等等。
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read	取得指定服務支援的計量清單。例如，ADFS 服務的外部網路帳戶鎖定、失敗的要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等 for ADDomainService。執行配置檔延遲、TCP 連線已建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD for AD for ADSync 服務。
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read	指定服務時，此 API 會取得計量資訊。例如，此 API 可用來取得 ADFederation 服務的相關信息：外部網路帳戶鎖定、失敗要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。執行配置檔延遲、TCP 連線建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read	此 API 會取得進階租使用者的所有上線 ADDomainServices 清單。
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read	取得指定服務名稱之所有伺服器的復寫詳細數據。
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read	取得域控制器的數目及其復寫錯誤，如果有的話。
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read	取得完整的域控制器清單，以及指定樹系的複寫詳細數據。
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete	刪除指定服務和租用戶的伺服器。
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read	在 ADDomainService 的伺服器註冊期間，會呼叫此 API 以取得新伺服器的認證。
Microsoft.ADHybridHealthService/configuration/write	建立租用戶組態。
Microsoft.ADHybridHealthService/configuration/read	讀取租用戶設定。
Microsoft.ADHybridHealthService/logs/read	取得租使用者的代理程式安裝和註冊記錄。
Microsoft.ADHybridHealthService/logs/contents/read	取得儲存在 Blob 中的代理程式安裝和註冊記錄的內容。
Microsoft.ADHybridHealthService/operations/read	取得系統支援的作業清單。
Microsoft.ADHybridHealthService/reports/availabledeployments/read	取得 DevOps 用來支援客戶事件之可用區域的清單。
Microsoft.ADHybridHealthService/reports/badpassword/read	取得 Active Directory 同盟服務中所有使用者的密碼嘗試錯誤清單。
Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read	取得 Blob SAS URI，其中包含新加入佇列之報告作業的狀態和最終結果，以針對指定的租使用者，依每個 UserId 每個 IPAddress 每天嘗試使用者名稱/密碼的頻率。
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read	取得 DevOps 同意的租用戶清單。通常用於客戶支援。
Microsoft.ADHybridHealthService/reports/isdevops/read	取得值，指出租使用者是否為 DevOps 同意。
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read	更新所選 dev ops 租使用者的 userid（objectid）。
Microsoft.ADHybridHealthService/reports/selecteddeployment/read	取得指定租用戶的選取部署。
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read	假設租用戶標識碼會取得租用戶記憶體位置。
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read	取得要從中存取數據的地理位置。
Microsoft.ADHybridHealthService/services/write	在租使用者中建立服務實例。
Microsoft.ADHybridHealthService/services/read	讀取租使用者中的服務實例。
Microsoft.ADHybridHealthService/services/delete	刪除租使用者中的服務實例。
Microsoft.ADHybridHealthService/services/servicemembers/action	在服務中建立或更新伺服器實例。
Microsoft.ADHybridHealthService/services/alerts/read	讀取服務的警示。
Microsoft.ADHybridHealthService/services/alerts/read	讀取服務的警示。
Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read	指定功能名稱會驗證服務是否具有使用該功能所需的所有專案。
Microsoft.ADHybridHealthService/services/exporterrors/read	取得指定同步服務的匯出錯誤。
Microsoft.ADHybridHealthService/services/exportstatus/read	取得指定服務的導出狀態。
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read	取得指定服務和伺服器的警示意見反應。
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read	讀取嘗試存取服務的不良IP。
Microsoft.ADHybridHealthService/services/ipAddressAggregate 設定/read	讀取錯誤的IP的警示閾值。
Microsoft.ADHybridHealthService/services/ipAddressAggregate 設定/write	寫入錯誤的IP的警示閾值。
Microsoft.ADHybridHealthService/services/metricmetadata/read	取得指定服務支援的計量清單。例如，ADFS 服務的外部網路帳戶鎖定、失敗的要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等 for ADDomainService。執行配置檔延遲、TCP 連線已建立、Insights 代理程式私用位元組、將統計數據匯出至 Azure AD for ADSync 服務。
Microsoft.ADHybridHealthService/services/metrics/groups/read	指定服務時，此 API 會取得計量資訊。例如，此 API 可用來取得 ADFederation 服務的相關信息：外部網路帳戶鎖定、失敗要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。執行配置檔延遲、TCP 連線已建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/metrics/groups/average/read	指定服務時，此 API 會取得指定服務的計量平均值。例如，此 API 可用來取得 ADFederation 服務的相關信息：外部網路帳戶鎖定、失敗要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。執行配置檔延遲、TCP 連線建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read	指定服務時，此 API 會取得指定服務的計量匯總檢視。例如，此 API 可用來取得 ADFederation 服務的相關信息：外部網路帳戶鎖定、失敗要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。執行配置檔延遲、TCP 連線建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write	新增或更新服務的監視組態。
Microsoft.ADHybridHealthService/services/monitoringconfigurations/read	取得指定服務的監視組態。
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write	新增或更新服務的監視組態。
Microsoft.ADHybridHealthService/services/premiumcheck/read	此 API 會取得進階租使用者的所有上線服務清單。
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action	產生具風險的IP報告，並傳回指向它的URI。
Microsoft.ADHybridHealthService/services/reports/blobUris/read	取得過去 7 天的所有具風險 IP 報告 URI。
Microsoft.ADHybridHealthService/services/reports/details/read	從過去 7 天取得前 50 位使用者有錯誤密碼錯誤的報表
Microsoft.ADHybridHealthService/services/servicemembers/read	讀取服務中的伺服器實例。
Microsoft.ADHybridHealthService/services/servicemembers/delete	刪除服務中的伺服器實例。
Microsoft.ADHybridHealthService/services/servicemembers/alerts/read	讀取伺服器的警示。
Microsoft.ADHybridHealthService/services/servicemembers/credentials/read	在伺服器註冊期間，系統會呼叫此 API 來取得新伺服器的上線認證。
Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read	對於指定的伺服器，此 API 會取得伺服器所上傳的數據類型清單，以及每個上傳的最新時間。
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read	取得指定同步服務的同步匯出錯誤詳細數據。
Microsoft.ADHybridHealthService/services/servicemembers/metrics/read	取得連接器清單，並執行指定服務和服務成員的配置檔名稱。
Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read	指定服務時，此 API 會取得計量資訊。例如，此 API 可用來取得 ADFederation 服務的相關信息：外部網路帳戶鎖定、失敗要求總計、未處理令牌要求（Proxy）、令牌要求 /秒等。 NTLM Authentications/sec、LDAP Successful Binds/sec、LDAP Bind Time、LDAP Active Threads、Kerberos Authentications/sec、ATQ Threads Total 等等 for ADDomain Service。執行配置檔延遲、TCP 連線已建立、深入解析代理程式私用位元組、將統計數據匯出至 Azure AD 以進行同步處理服務。
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read	取得指定租用戶的服務組態。
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read	取得指定租使用者的功能允許清單狀態。

Microsoft.AzureActiveDirectory

同步處理內部部署目錄並啟用單一登錄。

Azure 服務： Azure Active Directory B2C

動作	描述
Microsoft.AzureActiveDirectory/register/action	註冊 Microsoft.AzureActiveDirectory 資源提供者的訂用帳戶
Microsoft.AzureActiveDirectory/b2cDirectories/write	建立或更新 B2C 目錄資源
Microsoft.AzureActiveDirectory/b2cDirectories/read	檢視 B2C 目錄資源
Microsoft.AzureActiveDirectory/b2cDirectories/delete	刪除 B2C 目錄資源
Microsoft.AzureActiveDirectory/b2ctenants/read	列出用戶是成員的所有 B2C 租使用者
Microsoft.AzureActiveDirectory/ciamDirectories/write	建立或更新 CIAM 目錄資源
Microsoft.AzureActiveDirectory/ciamDirectories/read	檢視 CIAM 目錄資源
Microsoft.AzureActiveDirectory/ciamDirectories/delete	刪除 CIAM 目錄資源
Microsoft.AzureActiveDirectory/guestUsages/write	建立或更新來賓使用量資源
Microsoft.AzureActiveDirectory/guestUsages/read	檢視來賓使用量資源
Microsoft.AzureActiveDirectory/guestUsages/delete	刪除來賓使用量資源
Microsoft.AzureActiveDirectory/operations/read	讀取 Microsoft.AzureActiveDirectory 資源提供者可用的所有 API 作業

Microsoft.ManagedIdentity

Microsoft Entra 識別碼中的自動受控識別，可向支援 Microsoft Entra 的任何服務進行驗證

Azure 服務：適用於 Azure 資源的受控識別

動作	描述
Microsoft.ManagedIdentity/register/action	註冊受控識別資源提供者的訂用帳戶
Microsoft.ManagedIdentity/identities/read	取得現有的系統指派身分識別
Microsoft.ManagedIdentity/operations/read	列出 Microsoft.ManagedIdentity 資源提供者上可用的作業
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action	將現有使用者指派的身分識別指派給資源的 RBAC 動作
Microsoft.ManagedIdentity/userAssignedIdentities/delete	刪除現有的使用者指派身分識別
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action	列出現有使用者指派身分識別的所有相關聯資源
Microsoft.ManagedIdentity/userAssignedIdentities/read	取得現有的使用者指派身分識別
Microsoft.ManagedIdentity/userAssignedIdentities/write	建立新使用者指派的身分識別，或更新與現有使用者指派身分識別相關聯的標籤
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action	撤銷使用者指派身分識別上的所有現有令牌
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read	取得或列出同盟身分識別認證
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write	新增或更新同盟身分識別認證
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete	刪除同盟身分識別認證

下一步

Azure 資源提供者和類型 \(部分機器翻譯\)