本文列出了标识类别中 Azure 资源提供程序的权限。 可以在自己的 Azure 自定义角色中使用这些权限,以针对 Azure 中的资源提供精细的访问控制。 权限字符串具有以下格式:{Company}.{ProviderName}/{resourceType}/{action}
将 Azure 虚拟机加入到没有域控制器的域。
Azure 服务: Microsoft Entra 域服务
| 行动 | DESCRIPTION |
|---|---|
| Microsoft.AAD/register/action | 订阅注册操作 |
| Microsoft.AAD/unregister/action | 注销域服务 |
| Microsoft.AAD/register/action | 注册域服务 |
| Microsoft.AAD/domainServices/read | 读取域服务 |
| Microsoft.AAD/domainServices/write | 写入域服务 |
| Microsoft.AAD/domainServices/delete(删除) | 删除域服务 |
| Microsoft.AAD/domainServices/oucontainer/read | 读取 Ou 容器 |
| Microsoft.AAD/domainServices/oucontainer/write | 写入 Ou 容器 |
| Microsoft.AAD/domainServices/oucontainer/delete | 删除 Ou 容器 |
| Microsoft.AAD/domainServices/外发网络依赖端点/读取 | 获取所有出站依赖项的网络终结点 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read | 获取域服务的诊断设置 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write | 创建或更新域服务资源的诊断设置 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read | 获取域服务的可用日志 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read | 获取域服务的指标 |
| Microsoft.AAD/locations/operationresults/read | |
| Microsoft.AAD/Operations/read |
Azure 服务:Azure Active Directory
| 行动 | DESCRIPTION |
|---|---|
| microsoft.aadiam/azureADMetrics/read | 读取 Azure AD 指标定义 |
| microsoft.aadiam/azureADMetrics/write | 创建和更新 Azure AD 指标定义 |
| microsoft.aadiam/azureADMetrics/delete | 删除 Azure AD 指标定义 |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read | 获取资源的诊断设置 |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write | 创建或更新资源的诊断设置 |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read | 获取 azureADMetrics 的可用指标 |
| microsoft.aadiam/diagnosticsettings/write | 写入诊断设置 |
| microsoft.aadiam/diagnosticsettings/read | 读取诊断设置 |
| microsoft.aadiam/diagnosticsettings/delete | 删除诊断设置 |
| microsoft.aadiam/diagnosticsettingscategories/read | 读取诊断设置类别 |
| microsoft.aadiam/metricDefinitions/read | 读取 Tenant-Level 指标定义 |
| microsoft.aadiam/metrics/read | 读取 Tenant-Level 指标 |
| microsoft.aadiam/privateLinkForAzureAD/read | 读取专用链接策略定义 |
| microsoft.aadiam/privateLinkForAzureAD/write | 创建和更新专用链接策略定义 |
| microsoft.aadiam/privateLinkForAzureAD/delete | 删除专用链接策略定义 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action | 批准 PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read | 读取专用链接代理 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete | 删除专用链接代理 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action | 验证专用链接代理 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read | 读取 PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write | 创建和更新 PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete | 删除 PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read | 读取 PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write | 创建和更新 PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete | 删除 PrivateLinkResources |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read | 获取资源的诊断设置 |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write | 创建或更新资源的诊断设置 |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read | 获取租户的可用日志 |
可靠监视本地标识基础结构。
Azure 服务: Microsoft Entra ID
| 行动 | DESCRIPTION |
|---|---|
| Microsoft.ADHybridHealthService/configuration/action | 更新租户配置。 |
| Microsoft.ADHybridHealthService/services/action | 更新租户中的服务实例。 |
| Microsoft.ADHybridHealthService/addsservices/action | 为租户创建新林。 |
| Microsoft.ADHybridHealthService/register/action | 注册 ADHybrid Health Service 资源提供程序,并启用 ADHybrid Health Service 资源的创建。 |
| Microsoft.ADHybridHealthService/unregister/action | 取消注册 ADHybrid 运行状况服务资源提供程序的订阅。 |
| Microsoft.ADHybridHealthService/addsservices/write | 为租户创建或更新 ADDomainService 实例。 |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/action | 将服务器实例添加到服务。 |
| Microsoft.ADHybridHealthService/addsservices/read | 获取指定服务名称的服务详细信息。 |
| Microsoft.ADHybridHealthService/addsservices/delete | 删除服务及其服务器以及运行状况数据。 |
| Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read | 获取指定服务名称的所有服务器。 |
| Microsoft.ADHybridHealthService/addsservices/alerts/read | 获取林的警报详细信息,例如 alertid、警报引发日期、上次检测到的警报、警报说明、上次更新时间、警报级别、警报状态、警报故障排除链接等。 |
| Microsoft.ADHybridHealthService/addsservices/configuration/read | 获取林的服务配置。 示例 - 林名称、功能级别、域命名主 FSMO 角色、架构主 FSMO 角色等。 |
| Microsoft.ADHybridHealthService/addsservices/dimensions/read | 获取林的域和站点详细信息。 示例 - 运行状况、活动警报、已解决的警报、域功能级别、林、基础结构主机、PDC、RID 主机等属性。 |
| Microsoft.ADHybridHealthService/addsservices/features/userpreference/read | 获取林的用户首选项设置。 示例 - MetricCounterName,如 ldapsuccessfulbinds、ntlmauthentications、kerberosauthentications、addsinsightsagentprivatebytes、ldapsearches。 UI 图表等的设置。 |
| Microsoft.ADHybridHealthService/addsservices/forestsummary/read | 获取给定林的林摘要,例如林名称、此林下的域数、站点数和站点详细信息等。 |
| Microsoft.ADHybridHealthService/addsservices/metricmetadata/read | 获取给定服务支持的指标列表。 例如 Extranet 帐户锁定、失败的请求总数、未完成的令牌请求(代理)、令牌请求数 /秒等 ADFS 服务。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomainService。 运行配置文件延迟、建立 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for ADSync 服务。 |
| Microsoft.ADHybridHealthService/addsservices/metrics/groups/read | 给定服务后,此 API 将获取指标信息。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
| Microsoft.ADHybridHealthService/addsservices/premiumcheck/read | 此 API 获取高级租户的所有已载入 ADDomainServices 的列表。 |
| Microsoft.ADHybridHealthService/addsservices/replicationdetails/read | 获取指定服务名称的所有服务器的复制详细信息。 |
| Microsoft.ADHybridHealthService/addsservices/replicationstatus/read | 获取域控制器的数量及其复制错误(如果有)。 |
| Microsoft.ADHybridHealthService/addsservices/replicationsummary/read | 获取完整的域控制器列表以及给定林的复制详细信息。 |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/delete | 删除给定服务和租户的服务器。 |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read | 在 ADDomainService 的服务器注册过程中,将调用此 API 以获取用于载入新服务器的凭据。 |
| Microsoft.ADHybridHealthService/configuration/write | 创建租户配置。 |
| Microsoft.ADHybridHealthService/configuration/read | 读取租户配置。 |
| Microsoft.ADHybridHealthService/logs/read | 获取租户的代理安装和注册日志。 |
| Microsoft.ADHybridHealthService/logs/contents/read | 获取存储在 Blob 中的代理安装和注册日志的内容。 |
| Microsoft.ADHybridHealthService/operations/read | 获取系统支持的作列表。 |
| Microsoft.ADHybridHealthService/reports/availabledeployments/read | 获取 DevOps 用于支持客户事件的可用区域的列表。 |
| Microsoft.ADHybridHealthService/reports/badpassword/read | 获取 Active Directory 联合身份验证服务中所有用户的密码尝试错误列表。 |
| Microsoft.ADHybridHealthService/报告/错误密码用户ID和IP频率/读取 | 获取 Blob SAS URI,其中包含新排队的报告作业的状态和最终结果,该作业针对给定租户的每个 UserId/IPAddress 的用户名/密码尝试频率不正确。 |
| Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read | 获取 DevOps 许可租户的列表。 通常用于客户支持。 |
| Microsoft.ADHybridHealthService/reports/isdevops/read | 获取一个值,该值指示租户是否获得 DevOps 许可。 |
| Microsoft.ADHybridHealthService/reports/selectdevopstenant/read | 更新所选开发运营租户的 userid(objectid)。 |
| Microsoft.ADHybridHealthService/reports/selecteddeployment/read | 获取给定租户的选定部署。 |
| Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read | 给定租户 ID 可获取租户存储位置。 |
| Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read | 获取将从中访问数据的地理位置。 |
| Microsoft.ADHybridHealthService/services/write | 在租户中创建服务实例。 |
| Microsoft.ADHybridHealthService/services/read | 读取租户中的服务实例。 |
| Microsoft.ADHybridHealthService/services/delete | 删除租户中的服务实例。 |
| Microsoft.ADHybridHealthService/services/servicemembers/action | 在服务中创建或更新服务器实例。 |
| Microsoft.ADHybridHealthService/services/alerts/read (Microsoft 活动目录混合健康服务/服务/警报/读取) | 读取服务的警报。 |
| Microsoft.ADHybridHealthService/services/alerts/read | 读取服务的警报。 |
| Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read | 给定功能名称可验证服务是否具有使用该功能所需的所有内容。 |
| Microsoft.ADHybridHealthService/services/exporterrors/read | 获取给定同步服务的导出错误。 |
| Microsoft.ADHybridHealthService/services/exportstatus/read | 获取给定服务的导出状态。 |
| Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read | 获取给定服务和服务器的警报反馈。 |
| Microsoft.ADHybridHealthService/services/ipAddressAggregates/read | 读取尝试访问服务的错误 IP。 |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read | 读取错误的 IP 的警报阈值。 |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write | 为错误的 IP 写入警报阈值。 |
| Microsoft.ADHybridHealthService/services/metricmetadata/read | 获取给定服务支持的指标列表。 例如 Extranet 帐户锁定、失败的请求总数、未完成的令牌请求(代理)、令牌请求数 /秒等 ADFS 服务。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomainService。 运行配置文件延迟、建立 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for ADSync 服务。 |
| Microsoft.ADHybridHealthService/services/metrics/groups/read | 给定服务后,此 API 将获取指标信息。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
| Microsoft.ADHybridHealthService/services/metrics/groups/average/read | 给定服务后,此 API 获取给定服务的指标的平均值。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
| Microsoft.ADHybridHealthService/services/metrics/groups/sum/read | 给定服务后,此 API 获取给定服务的指标的聚合视图。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
| Microsoft.ADHybridHealthService/services/monitoringconfiguration/write | 添加或更新服务的监视配置。 |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/read | 获取给定服务的监视配置。 |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/write | 添加或更新服务的监视配置。 |
| Microsoft.ADHybridHealthService/services/premiumcheck/read | 此 API 获取高级租户的所有已载入服务的列表。 |
| Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action | 生成有风险的 IP 报告并返回指向它的 URI。 |
| Microsoft.ADHybridHealthService/services/reports/blobUris/read | 获取过去 7 天的所有有风险 IP 报告 URI。 |
| Microsoft.ADHybridHealthService/services/reports/details/read | 获取过去 7 天内出现密码错误的前 50 位用户的报告 |
| Microsoft.ADHybridHealthService/services/servicemembers/read | 读取服务中的服务器实例。 |
| Microsoft.ADHybridHealthService/services/servicemembers/delete | 删除服务中的服务器实例。 |
| Microsoft.ADHybridHealthService/services/servicemembers/alerts/read | 读取服务器的警报。 |
| Microsoft.ADHybridHealthService/services/servicemembers/credentials/read | 在服务器注册期间,调用此 API 以获取用于载入新服务器的凭据。 |
| Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read | 对于给定的服务器,此 API 获取服务器正在上传的数据类型列表,以及每个上传的最新时间。 |
| Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read | 获取给定同步服务的同步导出错误详细信息。 |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/read | 获取给定服务和服务成员的连接器列表和运行配置文件名称。 |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read | 给定服务后,此 API 将获取指标信息。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
| Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read | 获取给定租户的服务配置。 |
| Microsoft.ADHybridHealthService/services/tenantwhitelisting/read | 获取给定租户的功能允许列表状态。 |
同步本地目录并启用单一登录。
Azure 服务: Azure Active Directory B2C
| 行动 | DESCRIPTION |
|---|---|
| Microsoft.AzureActiveDirectory/register/action | 注册 Microsoft.AzureActiveDirectory 资源提供程序的订阅 |
| Microsoft.AzureActiveDirectory/b2cDirectories/write | 创建或更新 B2C 目录资源 |
| Microsoft.AzureActiveDirectory/b2cDirectories/read | 查看 B2C 目录资源 |
| Microsoft.AzureActiveDirectory/b2cDirectories/delete | 删除 B2C 目录资源 |
| Microsoft.AzureActiveDirectory/b2ctenants/read | 列出用户所属的所有 B2C 租户 |
| Microsoft.AzureActiveDirectory/ciamDirectories/write | 创建或更新 CIAM 目录资源 |
| Microsoft.AzureActiveDirectory/ciamDirectories/read | 查看 CIAM 目录资源 |
| Microsoft.AzureActiveDirectory/ciamDirectories/delete | 删除 CIAM 目录资源 |
| Microsoft.AzureActiveDirectory/guestUsages/write | 创建或更新来宾使用情况资源 |
| Microsoft.AzureActiveDirectory/guestUsages/read | 查看来宾使用情况资源 |
| Microsoft.AzureActiveDirectory/guestUsages/delete | 删除来宾使用情况资源 |
| Microsoft.AzureActiveDirectory/operations/read | 读取可用于 Microsoft.AzureActiveDirectory 资源提供程序的所有 API作 |
Microsoft Entra ID 中的自动托管标识,可向支持 Microsoft Entra 的任何服务进行身份验证
Azure 服务: Azure 资源的托管标识
| 行动 | DESCRIPTION |
|---|---|
| Microsoft.ManagedIdentity/register/action | 注册托管标识资源提供程序的订阅 |
| Microsoft.ManagedIdentity/identities/read | 获取现有的系统分配标识 |
| Microsoft.ManagedIdentity/操作/读取 | 列出 Microsoft.ManagedIdentity 资源提供程序上可用的作 |
| Microsoft.托管身份/用户分配的身份/分配/操作 | RBAC 操作用于将现有用户分配标识分配给资源 |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | 删除现有用户分配的标识 |
| Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action | 列出现有用户分配标识的所有关联资源 |
| Microsoft.ManagedIdentity/userAssignedIdentities/read | 获取现有用户分配标识 |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | 创建新的用户分配标识或更新与现有用户分配标识关联的标记 |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | 撤消了用户分配标识上的所有现有令牌 |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | 获取或列出联合标识凭据 |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | 添加或更新联合标识凭据 |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | 删除联合标识凭据 |