标识的 Azure 权限

本文列出了标识类别中 Azure 资源提供程序的权限。 可以在自己的 Azure 自定义角色中使用这些权限,以针对 Azure 中的资源提供精细的访问控制。 权限字符串具有以下格式:{Company}.{ProviderName}/{resourceType}/{action}

Microsoft.AAD

将 Azure 虚拟机加入到没有域控制器的域。

Azure 服务: Microsoft Entra 域服务

行动 DESCRIPTION
Microsoft.AAD/register/action 订阅注册操作
Microsoft.AAD/unregister/action 注销域服务
Microsoft.AAD/register/action 注册域服务
Microsoft.AAD/domainServices/read 读取域服务
Microsoft.AAD/domainServices/write 写入域服务
Microsoft.AAD/domainServices/delete(删除) 删除域服务
Microsoft.AAD/domainServices/oucontainer/read 读取 Ou 容器
Microsoft.AAD/domainServices/oucontainer/write 写入 Ou 容器
Microsoft.AAD/domainServices/oucontainer/delete 删除 Ou 容器
Microsoft.AAD/domainServices/外发网络依赖端点/读取 获取所有出站依赖项的网络终结点
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read 获取域服务的诊断设置
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write 创建或更新域服务资源的诊断设置
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read 获取域服务的可用日志
Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read 获取域服务的指标
Microsoft.AAD/locations/operationresults/read
Microsoft.AAD/Operations/read

microsoft.aadiam

Azure 服务:Azure Active Directory

行动 DESCRIPTION
microsoft.aadiam/azureADMetrics/read 读取 Azure AD 指标定义
microsoft.aadiam/azureADMetrics/write 创建和更新 Azure AD 指标定义
microsoft.aadiam/azureADMetrics/delete 删除 Azure AD 指标定义
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read 获取资源的诊断设置
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write 创建或更新资源的诊断设置
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read 获取 azureADMetrics 的可用指标
microsoft.aadiam/diagnosticsettings/write 写入诊断设置
microsoft.aadiam/diagnosticsettings/read 读取诊断设置
microsoft.aadiam/diagnosticsettings/delete 删除诊断设置
microsoft.aadiam/diagnosticsettingscategories/read 读取诊断设置类别
microsoft.aadiam/metricDefinitions/read 读取 Tenant-Level 指标定义
microsoft.aadiam/metrics/read 读取 Tenant-Level 指标
microsoft.aadiam/privateLinkForAzureAD/read 读取专用链接策略定义
microsoft.aadiam/privateLinkForAzureAD/write 创建和更新专用链接策略定义
microsoft.aadiam/privateLinkForAzureAD/delete 删除专用链接策略定义
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action 批准 PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read 读取专用链接代理
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete 删除专用链接代理
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action 验证专用链接代理
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read 读取 PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write 创建和更新 PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete 删除 PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read 读取 PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write 创建和更新 PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete 删除 PrivateLinkResources
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read 获取资源的诊断设置
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write 创建或更新资源的诊断设置
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read 获取租户的可用日志

Microsoft.ADHybridHealthService

可靠监视本地标识基础结构。

Azure 服务: Microsoft Entra ID

行动 DESCRIPTION
Microsoft.ADHybridHealthService/configuration/action 更新租户配置。
Microsoft.ADHybridHealthService/services/action 更新租户中的服务实例。
Microsoft.ADHybridHealthService/addsservices/action 为租户创建新林。
Microsoft.ADHybridHealthService/register/action 注册 ADHybrid Health Service 资源提供程序,并启用 ADHybrid Health Service 资源的创建。
Microsoft.ADHybridHealthService/unregister/action 取消注册 ADHybrid 运行状况服务资源提供程序的订阅。
Microsoft.ADHybridHealthService/addsservices/write 为租户创建或更新 ADDomainService 实例。
Microsoft.ADHybridHealthService/addsservices/servicemembers/action 将服务器实例添加到服务。
Microsoft.ADHybridHealthService/addsservices/read 获取指定服务名称的服务详细信息。
Microsoft.ADHybridHealthService/addsservices/delete 删除服务及其服务器以及运行状况数据。
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read 获取指定服务名称的所有服务器。
Microsoft.ADHybridHealthService/addsservices/alerts/read 获取林的警报详细信息,例如 alertid、警报引发日期、上次检测到的警报、警报说明、上次更新时间、警报级别、警报状态、警报故障排除链接等。
Microsoft.ADHybridHealthService/addsservices/configuration/read 获取林的服务配置。 示例 - 林名称、功能级别、域命名主 FSMO 角色、架构主 FSMO 角色等。
Microsoft.ADHybridHealthService/addsservices/dimensions/read 获取林的域和站点详细信息。 示例 - 运行状况、活动警报、已解决的警报、域功能级别、林、基础结构主机、PDC、RID 主机等属性。
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read 获取林的用户首选项设置。
示例 - MetricCounterName,如 ldapsuccessfulbinds、ntlmauthentications、kerberosauthentications、addsinsightsagentprivatebytes、ldapsearches。
UI 图表等的设置。
Microsoft.ADHybridHealthService/addsservices/forestsummary/read 获取给定林的林摘要,例如林名称、此林下的域数、站点数和站点详细信息等。
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read 获取给定服务支持的指标列表。
例如 Extranet 帐户锁定、失败的请求总数、未完成的令牌请求(代理)、令牌请求数 /秒等 ADFS 服务。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomainService。
运行配置文件延迟、建立 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for ADSync 服务。
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read 给定服务后,此 API 将获取指标信息。
例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。
运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read 此 API 获取高级租户的所有已载入 ADDomainServices 的列表。
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read 获取指定服务名称的所有服务器的复制详细信息。
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read 获取域控制器的数量及其复制错误(如果有)。
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read 获取完整的域控制器列表以及给定林的复制详细信息。
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete 删除给定服务和租户的服务器。
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read 在 ADDomainService 的服务器注册过程中,将调用此 API 以获取用于载入新服务器的凭据。
Microsoft.ADHybridHealthService/configuration/write 创建租户配置。
Microsoft.ADHybridHealthService/configuration/read 读取租户配置。
Microsoft.ADHybridHealthService/logs/read 获取租户的代理安装和注册日志。
Microsoft.ADHybridHealthService/logs/contents/read 获取存储在 Blob 中的代理安装和注册日志的内容。
Microsoft.ADHybridHealthService/operations/read 获取系统支持的作列表。
Microsoft.ADHybridHealthService/reports/availabledeployments/read 获取 DevOps 用于支持客户事件的可用区域的列表。
Microsoft.ADHybridHealthService/reports/badpassword/read 获取 Active Directory 联合身份验证服务中所有用户的密码尝试错误列表。
Microsoft.ADHybridHealthService/报告/错误密码用户ID和IP频率/读取 获取 Blob SAS URI,其中包含新排队的报告作业的状态和最终结果,该作业针对给定租户的每个 UserId/IPAddress 的用户名/密码尝试频率不正确。
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read 获取 DevOps 许可租户的列表。 通常用于客户支持。
Microsoft.ADHybridHealthService/reports/isdevops/read 获取一个值,该值指示租户是否获得 DevOps 许可。
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read 更新所选开发运营租户的 userid(objectid)。
Microsoft.ADHybridHealthService/reports/selecteddeployment/read 获取给定租户的选定部署。
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read 给定租户 ID 可获取租户存储位置。
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read 获取将从中访问数据的地理位置。
Microsoft.ADHybridHealthService/services/write 在租户中创建服务实例。
Microsoft.ADHybridHealthService/services/read 读取租户中的服务实例。
Microsoft.ADHybridHealthService/services/delete 删除租户中的服务实例。
Microsoft.ADHybridHealthService/services/servicemembers/action 在服务中创建或更新服务器实例。
Microsoft.ADHybridHealthService/services/alerts/read (Microsoft 活动目录混合健康服务/服务/警报/读取) 读取服务的警报。
Microsoft.ADHybridHealthService/services/alerts/read 读取服务的警报。
Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read 给定功能名称可验证服务是否具有使用该功能所需的所有内容。
Microsoft.ADHybridHealthService/services/exporterrors/read 获取给定同步服务的导出错误。
Microsoft.ADHybridHealthService/services/exportstatus/read 获取给定服务的导出状态。
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read 获取给定服务和服务器的警报反馈。
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read 读取尝试访问服务的错误 IP。
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read 读取错误的 IP 的警报阈值。
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write 为错误的 IP 写入警报阈值。
Microsoft.ADHybridHealthService/services/metricmetadata/read 获取给定服务支持的指标列表。
例如 Extranet 帐户锁定、失败的请求总数、未完成的令牌请求(代理)、令牌请求数 /秒等 ADFS 服务。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomainService。
运行配置文件延迟、建立 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for ADSync 服务。
Microsoft.ADHybridHealthService/services/metrics/groups/read 给定服务后,此 API 将获取指标信息。
例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。
运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。
Microsoft.ADHybridHealthService/services/metrics/groups/average/read 给定服务后,此 API 获取给定服务的指标的平均值。
例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。
运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read 给定服务后,此 API 获取给定服务的指标的聚合视图。
例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。
运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write 添加或更新服务的监视配置。
Microsoft.ADHybridHealthService/services/monitoringconfigurations/read 获取给定服务的监视配置。
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write 添加或更新服务的监视配置。
Microsoft.ADHybridHealthService/services/premiumcheck/read 此 API 获取高级租户的所有已载入服务的列表。
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action 生成有风险的 IP 报告并返回指向它的 URI。
Microsoft.ADHybridHealthService/services/reports/blobUris/read 获取过去 7 天的所有有风险 IP 报告 URI。
Microsoft.ADHybridHealthService/services/reports/details/read 获取过去 7 天内出现密码错误的前 50 位用户的报告
Microsoft.ADHybridHealthService/services/servicemembers/read 读取服务中的服务器实例。
Microsoft.ADHybridHealthService/services/servicemembers/delete 删除服务中的服务器实例。
Microsoft.ADHybridHealthService/services/servicemembers/alerts/read 读取服务器的警报。
Microsoft.ADHybridHealthService/services/servicemembers/credentials/read 在服务器注册期间,调用此 API 以获取用于载入新服务器的凭据。
Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read 对于给定的服务器,此 API 获取服务器正在上传的数据类型列表,以及每个上传的最新时间。
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read 获取给定同步服务的同步导出错误详细信息。
Microsoft.ADHybridHealthService/services/servicemembers/metrics/read 获取给定服务和服务成员的连接器列表和运行配置文件名称。
Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read 给定服务后,此 API 将获取指标信息。
例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。
NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。
运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read 获取给定租户的服务配置。
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read 获取给定租户的功能允许列表状态。

Microsoft.AzureActiveDirectory

同步本地目录并启用单一登录。

Azure 服务: Azure Active Directory B2C

行动 DESCRIPTION
Microsoft.AzureActiveDirectory/register/action 注册 Microsoft.AzureActiveDirectory 资源提供程序的订阅
Microsoft.AzureActiveDirectory/b2cDirectories/write 创建或更新 B2C 目录资源
Microsoft.AzureActiveDirectory/b2cDirectories/read 查看 B2C 目录资源
Microsoft.AzureActiveDirectory/b2cDirectories/delete 删除 B2C 目录资源
Microsoft.AzureActiveDirectory/b2ctenants/read 列出用户所属的所有 B2C 租户
Microsoft.AzureActiveDirectory/ciamDirectories/write 创建或更新 CIAM 目录资源
Microsoft.AzureActiveDirectory/ciamDirectories/read 查看 CIAM 目录资源
Microsoft.AzureActiveDirectory/ciamDirectories/delete 删除 CIAM 目录资源
Microsoft.AzureActiveDirectory/guestUsages/write 创建或更新来宾使用情况资源
Microsoft.AzureActiveDirectory/guestUsages/read 查看来宾使用情况资源
Microsoft.AzureActiveDirectory/guestUsages/delete 删除来宾使用情况资源
Microsoft.AzureActiveDirectory/operations/read 读取可用于 Microsoft.AzureActiveDirectory 资源提供程序的所有 API作

Microsoft.ManagedIdentity

Microsoft Entra ID 中的自动托管标识,可向支持 Microsoft Entra 的任何服务进行身份验证

Azure 服务: Azure 资源的托管标识

行动 DESCRIPTION
Microsoft.ManagedIdentity/register/action 注册托管标识资源提供程序的订阅
Microsoft.ManagedIdentity/identities/read 获取现有的系统分配标识
Microsoft.ManagedIdentity/操作/读取 列出 Microsoft.ManagedIdentity 资源提供程序上可用的作
Microsoft.托管身份/用户分配的身份/分配/操作 RBAC 操作用于将现有用户分配标识分配给资源
Microsoft.ManagedIdentity/userAssignedIdentities/delete 删除现有用户分配的标识
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action 列出现有用户分配标识的所有关联资源
Microsoft.ManagedIdentity/userAssignedIdentities/read 获取现有用户分配标识
Microsoft.ManagedIdentity/userAssignedIdentities/write 创建新的用户分配标识或更新与现有用户分配标识关联的标记
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action 撤消了用户分配标识上的所有现有令牌
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read 获取或列出联合标识凭据
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write 添加或更新联合标识凭据
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete 删除联合标识凭据

后续步骤