本文列出了“标识”类别中 Azure 资源提供程序的权限。 可以在自己的 Azure 自定义角色中使用这些权限,以针对 Azure 中的资源提供精细的访问控制。 权限字符串具有以下格式:{Company}.{ProviderName}/{resourceType}/{action}
将 Azure 虚拟机加入到没有域控制器的域。
Azure 服务:Microsoft Entra 域服务
| 操作 | 说明 |
|---|---|
| Microsoft.AAD/register/action | 订阅注册操作 |
| Microsoft.AAD/unregister/action | 取消注册域服务 |
| Microsoft.AAD/register/action | 注册域服务 |
| Microsoft.AAD/domainServices/read | 读取域服务 |
| Microsoft.AAD/domainServices/write | 写入域服务 |
| Microsoft.AAD/domainServices/delete | 删除域服务 |
| Microsoft.AAD/domainServices/oucontainer/read | 读取 OU 容器 |
| Microsoft.AAD/domainServices/oucontainer/write | 写入 OU 容器 |
| Microsoft.AAD/domainServices/oucontainer/delete | 删除 OU 容器 |
| Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read | 获取所有出站依赖项的网络终结点 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read | 获取域服务的诊断设置 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write | 创建或更新域服务资源的诊断设置 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read | 获取域服务的可用日志 |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read | 获取域服务的指标 |
| Microsoft.AAD/locations/operationresults/read | |
| Microsoft.AAD/Operations/read |
Azure 服务:Azure Active Directory
| 操作 | 说明 |
|---|---|
| microsoft.aadiam/azureADMetrics/read | 读取 Azure AD 指标定义 |
| microsoft.aadiam/azureADMetrics/write | 创建和更新 Azure AD 指标定义 |
| microsoft.aadiam/azureADMetrics/delete | 删除 Azure AD 指标定义 |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read | 获取资源的诊断设置 |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write | 创建或更新资源的诊断设置 |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read | 获取 azureADMetrics 的可用指标 |
| microsoft.aadiam/diagnosticsettings/write | 写入诊断设置 |
| microsoft.aadiam/diagnosticsettings/read | 读取诊断设置 |
| microsoft.aadiam/diagnosticsettings/delete | 删除诊断设置 |
| microsoft.aadiam/diagnosticsettingscategories/read | 读取诊断设置类别 |
| microsoft.aadiam/metricDefinitions/read | 读取租户级别的指标定义 |
| microsoft.aadiam/metrics/read | 读取租户级别的指标 |
| microsoft.aadiam/privateLinkForAzureAD/read | 读取专用链接策略定义 |
| microsoft.aadiam/privateLinkForAzureAD/write | 创建和更新专用链接策略定义 |
| microsoft.aadiam/privateLinkForAzureAD/delete | 删除专用链接策略定义 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action | 审批 PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read | 读取专用链接代理 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete | 删除专用链接代理 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action | 验证专用链接代理 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read | 读取专用终结点连接 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write | 创建和更新专用终结点连接 |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete | 删除专用终结点连接 |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read | 读取专用链接资源 |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write | 创建和更新专用链接资源 |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete | 删除专用链接资源 |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read | 获取资源的诊断设置 |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write | 创建或更新资源的诊断设置 |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read | 获取租户的可用日志 |
对本地标识基础结构的可靠监视功能。
Azure 服务:Microsoft Entra ID
| 操作 | 说明 |
|---|---|
| Microsoft.ADHybridHealthService/configuration/action | 更新租户配置。 |
| Microsoft.ADHybridHealthService/services/action | 更新租户中的服务实例。 |
| Microsoft.ADHybridHealthService/addsservices/action | 为租户创建一个新林。 |
| Microsoft.ADHybridHealthService/register/action | 注册 ADHybrid 运行状况服务资源提供程序并启用 ADHybrid 运行状况服务资源的创建。 |
| Microsoft.ADHybridHealthService/unregister/action | 取消注册 ADHybrid 运行状况服务资源提供程序的订阅。 |
| Microsoft.ADHybridHealthService/addsservices/write | 创建或更新租户的 ADDomainService 实例。 |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/action | 向服务添加服务器实例。 |
| Microsoft.ADHybridHealthService/addsservices/read | 获取指定服务名称的服务详细信息。 |
| Microsoft.ADHybridHealthService/addsservices/delete | 删除服务及其服务器和运行状况数据。 |
| Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read | 获取指定的服务名称的所有服务器。 |
| Microsoft.ADHybridHealthService/addsservices/alerts/read | 获取有关林的警报详细信息,例如警报 ID、警报引发日期、上次检测到的警报、警报说明、上次更新时间、警报级别、警报状态、警报故障排除链接,等等。 |
| Microsoft.ADHybridHealthService/addsservices/configuration/read | 获取林的服务配置。 示例 - 林名称、功能级别、域命名主机 FSMO 角色、架构主机 FSMO 角色,等等。 |
| Microsoft.ADHybridHealthService/addsservices/dimensions/read | 获取林的域和站点详细信息。 示例 - 运行状况、活动警报、已解决的警报、属性(如域功能级别、林、基础结构主机、PDC、RID 主机,等等)。 |
| Microsoft.ADHybridHealthService/addsservices/features/userpreference/read | 获取林的用户首选项设置。 示例 - MetricCounterName,例如 ldapsuccessfulbinds、ntlmauthentications、kerberosauthentications、addsinsightsagentprivatebytes、ldapsearches。 UI 图表的设置等等。 |
| Microsoft.ADHybridHealthService/addsservices/forestsummary/read | 获取给定林的林摘要,例如林名称、此林下的域数目、站点数目和站点详细信息,等等。 |
| Microsoft.ADHybridHealthService/addsservices/metricmetadata/read | 获取给定服务的受支持指标列表。 例如,ADFS 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomainService 的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 ADSync 服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/addsservices/metrics/groups/read | 对于给定的服务,此 API 获取指标信息。 例如,可以使用此 API 来获取与以下项相关的信息:ADFederation 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomain 服务的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 同步服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/addsservices/premiumcheck/read | 此 API 获取高级租户的所有已载入 ADDomainServices 的列表。 |
| Microsoft.ADHybridHealthService/addsservices/replicationdetails/read | 获取指定服务名称的所有服务器的复制详细信息。 |
| Microsoft.ADHybridHealthService/addsservices/replicationstatus/read | 获取域控制器的数目及其复制错误(如果有)。 |
| Microsoft.ADHybridHealthService/addsservices/replicationsummary/read | 获取给定林的完整域控制器列表以及复制详细信息。 |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/delete | 删除给定服务和租户的服务器。 |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read | 在 ADDomainService 的服务器注册期间,会调用此 API 来获取正在载入的新服务器的凭据。 |
| Microsoft.ADHybridHealthService/configuration/write | 创建租户配置。 |
| Microsoft.ADHybridHealthService/configuration/read | 读取租户配置。 |
| Microsoft.ADHybridHealthService/logs/read | 获取租户的代理安装和注册日志。 |
| Microsoft.ADHybridHealthService/logs/contents/read | 获取 blob 中存储的代理安装和注册日志的内容。 |
| Microsoft.ADHybridHealthService/operations/read | 获取系统支持的操作的列表。 |
| Microsoft.ADHybridHealthService/reports/availabledeployments/read | 获取 DevOps 为客户事件提供支持时使用的可用区域的列表。 |
| Microsoft.ADHybridHealthService/reports/badpassword/read | 获取 Active Directory 联合身份验证服务中的所有用户的错误密码尝试列表。 |
| Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read | 获取包含新排队的用于以下用途的报告作业的状态和最终结果的 Blob SAS URI:显示给定租户中每 UserId 每 IPAddress 的错误用户名/密码尝试频率。 |
| Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read | 获取 DevOps 已许可租户的列表。 通常用于客户支持。 |
| Microsoft.ADHybridHealthService/reports/isdevops/read | 获取一个值,该值指示租户是否为 DevOps 许可的租户。 |
| Microsoft.ADHybridHealthService/reports/selectdevopstenant/read | 更新所选 DevOps 租户的 userid(objectid)。 |
| Microsoft.ADHybridHealthService/reports/selecteddeployment/read | 获取给定租户的所选部署。 |
| Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read | 对于给定的租户 id,获取租户存储位置。 |
| Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read | 获取将从中访问数据的地理位置。 |
| Microsoft.ADHybridHealthService/services/write | 在租户中创建服务实例。 |
| Microsoft.ADHybridHealthService/services/read | 读取租户中的服务实例。 |
| Microsoft.ADHybridHealthService/services/delete | 删除租户中的服务实例。 |
| Microsoft.ADHybridHealthService/services/servicemembers/action | 在服务中创建或更新服务器实例。 |
| Microsoft.ADHybridHealthService/services/alerts/read | 读取服务的警报。 |
| Microsoft.ADHybridHealthService/services/alerts/read | 读取服务的警报。 |
| Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read | 对于给定的功能名称,验证某项服务是否具有使用该功能所需的所有项。 |
| Microsoft.ADHybridHealthService/services/exporterrors/read | 获取给定同步服务的导出错误。 |
| Microsoft.ADHybridHealthService/services/exportstatus/read | 获取给定服务的导出状态。 |
| Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read | 获取给定服务和服务器的警报反馈。 |
| Microsoft.ADHybridHealthService/services/ipAddressAggregates/read | 读取试图访问服务的错误 IP。 |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read | 读取错误 IP 的警报阈值。 |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write | 写入错误 IP 的警报阈值。 |
| Microsoft.ADHybridHealthService/services/metricmetadata/read | 获取给定服务的受支持指标列表。 例如,ADFS 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomainService 的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 ADSync 服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/services/metrics/groups/read | 对于给定的服务,此 API 获取指标信息。 例如,可以使用此 API 来获取与以下项相关的信息:ADFederation 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomain 服务的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 同步服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/services/metrics/groups/average/read | 对于给定的服务,此 API 获取给定服务的指标的平均值。 例如,可以使用此 API 来获取与以下项相关的信息:ADFederation 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomain 服务的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 同步服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/services/metrics/groups/sum/read | 对于给定的服务,此 API 获取给定服务的指标的聚合视图。 例如,可以使用此 API 来获取与以下项相关的信息:ADFederation 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomain 服务的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 同步服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/services/monitoringconfiguration/write | 添加或更新服务的监视配置。 |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/read | 获取给定服务的监视配置。 |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/write | 添加或更新服务的监视配置。 |
| Microsoft.ADHybridHealthService/services/premiumcheck/read | 此 API 获取高级租户的所有已载入服务的列表。 |
| Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action | 生成风险 IP 报告并返回指向它的 URI。 |
| Microsoft.ADHybridHealthService/services/reports/blobUris/read | 获取过去 7 天的所有风险 IP 报告 URI。 |
| Microsoft.ADHybridHealthService/services/reports/details/read | 获取包含过去 7 天内发生的密码不正确错误最多的前 50 位用户的报告 |
| Microsoft.ADHybridHealthService/services/servicemembers/read | 读取服务中的服务器实例。 |
| Microsoft.ADHybridHealthService/services/servicemembers/delete | 删除服务中的服务器实例。 |
| Microsoft.ADHybridHealthService/services/servicemembers/alerts/read | 读取服务器的警报。 |
| Microsoft.ADHybridHealthService/services/servicemembers/credentials/read | 在服务器注册期间,会调用此 API 来获取正在载入的新服务器的凭据。 |
| Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read | 对于给定的服务器,此 API 获取服务器正在上传的数据类型的列表,以及每次上传的最新时间。 |
| Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read | 获取给定同步服务的同步导出错误详细信息。 |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/read | 获取给定服务和服务成员的连接器与运行配置文件名称的列表。 |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read | 对于给定的服务,此 API 获取指标信息。 例如,可以使用此 API 来获取与以下项相关的信息:ADFederation 服务的 Extranet 帐户锁定数、失败的请求总数、未完成的令牌请求数(代理)、令牌请求数/秒。 ADDomain 服务的 NTLM 身份验证数/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程数、Kerberos 身份验证数/秒、ATQ 线程总数,等等。 同步服务的运行配置文件延迟、已建立的 TCP 连接数、Insights 代理专用字节数、到 Azure AD 的导出统计信息。 |
| Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read | 获取给定租户的服务配置。 |
| Microsoft.ADHybridHealthService/services/tenantwhitelisting/read | 获取给定租户的功能允许列表状态。 |
同步本地目录并启用单一登录。
Azure 服务:Azure Active Directory B2C
| 操作 | 说明 |
|---|---|
| Microsoft.AzureActiveDirectory/register/action | 注册 Microsoft.AzureActiveDirectory 资源提供程序的订阅 |
| Microsoft.AzureActiveDirectory/b2cDirectories/write | 创建或更新 B2C 目录资源 |
| Microsoft.AzureActiveDirectory/b2cDirectories/read | 查看 B2C 目录资源 |
| Microsoft.AzureActiveDirectory/b2cDirectories/delete | 删除 B2C 目录资源 |
| Microsoft.AzureActiveDirectory/b2ctenants/read | 列出用户所属的所有 B2C 租户 |
| Microsoft.AzureActiveDirectory/ciamDirectories/write | 创建或更新 CIAM 目录资源 |
| Microsoft.AzureActiveDirectory/ciamDirectories/read | 查看 CIAM 目录资源 |
| Microsoft.AzureActiveDirectory/ciamDirectories/delete | 删除 CIAM 目录资源 |
| Microsoft.AzureActiveDirectory/guestUsages/write | 创建或更新来宾使用情况资源 |
| Microsoft.AzureActiveDirectory/guestUsages/read | 查看来宾使用情况资源 |
| Microsoft.AzureActiveDirectory/guestUsages/delete | 删除来宾使用情况资源 |
| Microsoft.AzureActiveDirectory/operations/read | 读取适用于 Microsoft.AzureActiveDirectory 资源提供程序的所有 API 操作 |
Microsoft Entra ID 中的一个自动托管标识,用于向支持 Microsoft Entra 的任何服务进行身份验证
Azure 服务:Azure 资源的托管标识
| 操作 | 说明 |
|---|---|
| Microsoft.ManagedIdentity/register/action | 注册托管标识资源提供程序的订阅 |
| Microsoft.ManagedIdentity/identities/read | 获取现有的系统分配标识 |
| Microsoft.ManagedIdentity/operations/read | 列出适用于 Microsoft.ManagedIdentity 资源提供程序的操作 |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | RBAC 操作用于将现有用户分配标识分配给资源 |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | 删除现有用户分配标识 |
| Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action | 列出现有用户分配的标识的所有关联资源 |
| Microsoft.ManagedIdentity/userAssignedIdentities/read | 获取现有用户分配标识 |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | 创建新的用户分配标识或更新与现有用户分配标识关联的标记 |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | 撤消了用户分配标识上的所有现有令牌 |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | 获取或列出联合标识凭据 |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | 添加或更新联合标识凭据 |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | 删除联合标识凭据 |