本文列出了标识类别中 Azure 资源提供程序的权限。 可以在自己的 Azure 自定义角色中使用这些权限,以针对 Azure 中的资源提供精细的访问控制。 权限字符串具有以下格式:{Company}.{ProviderName}/{resourceType}/{action}
Microsoft.AAD
将 Azure 虚拟机加入到没有域控制器的域。
Azure 服务: Microsoft Entra 域服务
| 行动 | DESCRIPTION |
|---|---|
Microsoft.AAD/register/action |
订阅注册操作 |
Microsoft.AAD/unregister/action |
注销域服务 |
Microsoft.AAD/register/action |
注册域服务 |
Microsoft.AAD/domainServices/read |
读取域服务 |
Microsoft.AAD/domainServices/write |
写入域服务 |
Microsoft.AAD/domainServices/delete |
删除域服务 |
Microsoft.AAD/domainServices/oucontainer/read |
读取 Ou 容器 |
Microsoft.AAD/domainServices/oucontainer/write |
写入 Ou 容器 |
Microsoft.AAD/domainServices/oucontainer/delete |
删除 Ou 容器 |
Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read |
获取所有出站依赖项的网络终结点 |
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read |
获取域服务的诊断设置 |
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write |
创建或更新域服务资源的诊断设置 |
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read |
获取域服务的可用日志 |
Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read |
获取域服务的指标 |
Microsoft.AAD/locations/operationresults/read |
|
Microsoft.AAD/Operations/read |
microsoft.aadiam
Azure 服务:Azure Active Directory
| 行动 | DESCRIPTION |
|---|---|
microsoft.aadiam/azureADMetrics/read |
读取 Azure AD 指标定义 |
microsoft.aadiam/azureADMetrics/write |
创建和更新 Azure AD 指标定义 |
microsoft.aadiam/azureADMetrics/delete |
删除 Azure AD 指标定义 |
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read |
获取资源的诊断设置 |
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write |
创建或更新资源的诊断设置 |
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read |
获取 azureADMetrics 的可用指标 |
microsoft.aadiam/diagnosticsettings/write |
写入诊断设置 |
microsoft.aadiam/diagnosticsettings/read |
读取诊断设置 |
microsoft.aadiam/diagnosticsettings/delete |
删除诊断设置 |
microsoft.aadiam/diagnosticsettingscategories/read |
读取诊断设置类别 |
microsoft.aadiam/metricDefinitions/read |
读取 Tenant-Level 指标定义 |
microsoft.aadiam/metrics/read |
读取 Tenant-Level 指标 |
microsoft.aadiam/privateLinkForAzureAD/read |
读取专用链接策略定义 |
microsoft.aadiam/privateLinkForAzureAD/write |
创建和更新专用链接策略定义 |
microsoft.aadiam/privateLinkForAzureAD/delete |
删除专用链接策略定义 |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action |
批准 PrivateEndpointConnections |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read |
读取专用链接代理 |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete |
删除专用链接代理 |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action |
验证专用链接代理 |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read |
读取 PrivateEndpointConnections |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write |
创建和更新 PrivateEndpointConnections |
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete |
删除 PrivateEndpointConnections |
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read |
读取 PrivateLinkResources |
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write |
创建和更新 PrivateLinkResources |
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete |
删除 PrivateLinkResources |
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read |
获取资源的诊断设置 |
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write |
创建或更新资源的诊断设置 |
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read |
获取租户的可用日志 |
Microsoft.ADHybridHealthService
可靠监视本地标识基础结构。
Azure 服务: Microsoft Entra ID
| 行动 | DESCRIPTION |
|---|---|
Microsoft.ADHybridHealthService/configuration/action |
更新租户配置。 |
Microsoft.ADHybridHealthService/services/action |
更新租户中的服务实例。 |
Microsoft.ADHybridHealthService/addsservices/action |
为租户创建新林。 |
Microsoft.ADHybridHealthService/register/action |
注册 ADHybrid Health Service 资源提供程序,并启用 ADHybrid Health Service 资源的创建。 |
Microsoft.ADHybridHealthService/unregister/action |
取消注册 ADHybrid 运行状况服务资源提供程序的订阅。 |
Microsoft.ADHybridHealthService/addsservices/write |
为租户创建或更新 ADDomainService 实例。 |
Microsoft.ADHybridHealthService/addsservices/servicemembers/action |
将服务器实例添加到服务。 |
Microsoft.ADHybridHealthService/addsservices/read |
获取指定服务名称的服务详细信息。 |
Microsoft.ADHybridHealthService/addsservices/delete |
删除服务及其服务器以及运行状况数据。 |
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read |
获取指定服务名称的所有服务器。 |
Microsoft.ADHybridHealthService/addsservices/alerts/read |
获取林的警报详细信息,例如 alertid、警报引发日期、上次检测到的警报、警报说明、上次更新时间、警报级别、警报状态、警报故障排除链接等。 |
Microsoft.ADHybridHealthService/addsservices/configuration/read |
获取林的服务配置。 示例 - 林名称、功能级别、域命名主 FSMO 角色、架构主 FSMO 角色等。 |
Microsoft.ADHybridHealthService/addsservices/dimensions/read |
获取林的域和站点详细信息。 示例 - 运行状况、活动警报、已解决的警报、域功能级别、林、基础结构主机、PDC、RID 主机等属性。 |
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read |
获取林的用户首选项设置。 示例 - MetricCounterName,如 ldapsuccessfulbinds、ntlmauthentications、kerberosauthentications、addsinsightsagentprivatebytes、ldapsearches。 UI 图表等的设置。 |
Microsoft.ADHybridHealthService/addsservices/forestsummary/read |
获取给定林的林摘要,例如林名称、此林下的域数、站点数和站点详细信息等。 |
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read |
获取给定服务支持的指标列表。 例如 Extranet 帐户锁定、失败的请求总数、未完成的令牌请求(代理)、令牌请求数 /秒等 ADFS 服务。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomainService。 运行配置文件延迟、建立 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for ADSync 服务。 |
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read |
给定服务后,此 API 将获取指标信息。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read |
此 API 获取高级租户的所有已载入 ADDomainServices 的列表。 |
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read |
获取指定服务名称的所有服务器的复制详细信息。 |
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read |
获取域控制器的数量及其复制错误(如果有)。 |
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read |
获取完整的域控制器列表以及给定林的复制详细信息。 |
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete |
删除给定服务和租户的服务器。 |
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read |
在 ADDomainService 的服务器注册过程中,将调用此 API 以获取用于载入新服务器的凭据。 |
Microsoft.ADHybridHealthService/configuration/write |
创建租户配置。 |
Microsoft.ADHybridHealthService/configuration/read |
读取租户配置。 |
Microsoft.ADHybridHealthService/logs/read |
获取租户的代理安装和注册日志。 |
Microsoft.ADHybridHealthService/logs/contents/read |
获取存储在 Blob 中的代理安装和注册日志的内容。 |
Microsoft.ADHybridHealthService/operations/read |
获取系统支持的作列表。 |
Microsoft.ADHybridHealthService/reports/availabledeployments/read |
获取 DevOps 用于支持客户事件的可用区域的列表。 |
Microsoft.ADHybridHealthService/reports/badpassword/read |
获取 Active Directory 联合身份验证服务中所有用户的密码尝试错误列表。 |
Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read |
获取 Blob SAS URI,其中包含新排队的报告作业的状态和最终结果,该作业针对给定租户的每个 UserId/IPAddress 的用户名/密码尝试频率不正确。 |
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read |
获取 DevOps 许可租户的列表。 通常用于客户支持。 |
Microsoft.ADHybridHealthService/reports/isdevops/read |
获取一个值,该值指示租户是否获得 DevOps 许可。 |
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read |
更新所选开发运营租户的 userid(objectid)。 |
Microsoft.ADHybridHealthService/reports/selecteddeployment/read |
获取给定租户的选定部署。 |
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read |
给定租户 ID 可获取租户存储位置。 |
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read |
获取将从中访问数据的地理位置。 |
Microsoft.ADHybridHealthService/services/write |
在租户中创建服务实例。 |
Microsoft.ADHybridHealthService/services/read |
读取租户中的服务实例。 |
Microsoft.ADHybridHealthService/services/delete |
删除租户中的服务实例。 |
Microsoft.ADHybridHealthService/services/servicemembers/action |
在服务中创建或更新服务器实例。 |
Microsoft.ADHybridHealthService/services/alerts/read |
读取服务的警报。 |
Microsoft.ADHybridHealthService/services/alerts/read |
读取服务的警报。 |
Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read |
给定功能名称可验证服务是否具有使用该功能所需的所有内容。 |
Microsoft.ADHybridHealthService/services/exporterrors/read |
获取给定同步服务的导出错误。 |
Microsoft.ADHybridHealthService/services/exportstatus/read |
获取给定服务的导出状态。 |
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read |
获取给定服务和服务器的警报反馈。 |
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read |
读取尝试访问服务的错误 IP。 |
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read |
读取错误的 IP 的警报阈值。 |
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write |
为错误的 IP 写入警报阈值。 |
Microsoft.ADHybridHealthService/services/metricmetadata/read |
获取给定服务支持的指标列表。 例如 Extranet 帐户锁定、失败的请求总数、未完成的令牌请求(代理)、令牌请求数 /秒等 ADFS 服务。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomainService。 运行配置文件延迟、建立 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for ADSync 服务。 |
Microsoft.ADHybridHealthService/services/metrics/groups/read |
给定服务后,此 API 将获取指标信息。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
Microsoft.ADHybridHealthService/services/metrics/groups/average/read |
给定服务后,此 API 获取给定服务的指标的平均值。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read |
给定服务后,此 API 获取给定服务的指标的聚合视图。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write |
添加或更新服务的监视配置。 |
Microsoft.ADHybridHealthService/services/monitoringconfigurations/read |
获取给定服务的监视配置。 |
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write |
添加或更新服务的监视配置。 |
Microsoft.ADHybridHealthService/services/premiumcheck/read |
此 API 获取高级租户的所有已载入服务的列表。 |
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action |
生成有风险的 IP 报告并返回指向它的 URI。 |
Microsoft.ADHybridHealthService/services/reports/blobUris/read |
获取过去 7 天的所有有风险 IP 报告 URI。 |
Microsoft.ADHybridHealthService/services/reports/details/read |
获取过去 7 天内出现密码错误的前 50 位用户的报告 |
Microsoft.ADHybridHealthService/services/servicemembers/read |
读取服务中的服务器实例。 |
Microsoft.ADHybridHealthService/services/servicemembers/delete |
删除服务中的服务器实例。 |
Microsoft.ADHybridHealthService/services/servicemembers/alerts/read |
读取服务器的警报。 |
Microsoft.ADHybridHealthService/services/servicemembers/credentials/read |
在服务器注册期间,调用此 API 以获取用于载入新服务器的凭据。 |
Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read |
对于给定的服务器,此 API 获取服务器正在上传的数据类型列表,以及每个上传的最新时间。 |
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read |
获取给定同步服务的同步导出错误详细信息。 |
Microsoft.ADHybridHealthService/services/servicemembers/metrics/read |
获取给定服务和服务成员的连接器列表和运行配置文件名称。 |
Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read |
给定服务后,此 API 将获取指标信息。 例如,此 API 可用于获取与 ADFederation 服务相关的信息:Extranet 帐户锁定、失败请求总数、未完成的令牌请求(代理)、令牌请求数/秒等。 NTLM 身份验证/秒、LDAP 成功绑定数/秒、LDAP 绑定时间、LDAP 活动线程、Kerberos 身份验证/秒、ATQ 线程总数等 ADDomain 服务。 运行配置文件延迟、建立的 TCP 连接、Insights 代理专用字节数、将统计信息导出到 Azure AD for Sync Service。 |
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read |
获取给定租户的服务配置。 |
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read |
获取给定租户的功能允许列表状态。 |
Microsoft.AzureActiveDirectory
同步本地目录并启用单一登录。
Azure 服务: Azure Active Directory B2C
| 行动 | DESCRIPTION |
|---|---|
Microsoft.AzureActiveDirectory/register/action |
注册 Microsoft.AzureActiveDirectory 资源提供程序的订阅 |
Microsoft.AzureActiveDirectory/associatedBillingAccounts/write |
创建或更新关联的计费帐户资源 |
Microsoft.AzureActiveDirectory/associatedBillingAccounts/read |
查看关联的计费帐户资源 |
Microsoft.AzureActiveDirectory/associatedBillingAccounts/delete |
删除关联的计费帐户资源 |
Microsoft.AzureActiveDirectory/b2cDirectories/write |
创建或更新 B2C 目录资源 |
Microsoft.AzureActiveDirectory/b2cDirectories/read |
查看 B2C 目录资源 |
Microsoft.AzureActiveDirectory/b2cDirectories/delete |
删除 B2C 目录资源 |
Microsoft.AzureActiveDirectory/b2ctenants/read |
列出用户所属的所有 B2C 租户 |
Microsoft.AzureActiveDirectory/ciamDirectories/write |
创建或更新 CIAM 目录资源 |
Microsoft.AzureActiveDirectory/ciamDirectories/read |
查看 CIAM 目录资源 |
Microsoft.AzureActiveDirectory/ciamDirectories/delete |
删除 CIAM 目录资源 |
Microsoft.AzureActiveDirectory/directories/write |
创建或更新目录资源 |
Microsoft.AzureActiveDirectory/directories/read |
查看目录资源 |
Microsoft.AzureActiveDirectory/directories/delete |
删除目录资源 |
Microsoft.AzureActiveDirectory/guestUsages/write |
创建或更新来宾使用情况资源 |
Microsoft.AzureActiveDirectory/guestUsages/read |
查看来宾使用情况资源 |
Microsoft.AzureActiveDirectory/guestUsages/delete |
删除来宾使用情况资源 |
Microsoft.AzureActiveDirectory/operations/read |
读取可用于 Microsoft.AzureActiveDirectory 资源提供程序的所有 API作 |
Microsoft.ManagedIdentity
Microsoft Entra ID 中的自动托管标识,可向支持 Microsoft Entra 的任何服务进行身份验证
Azure 服务: Azure 资源的托管标识
| 行动 | DESCRIPTION |
|---|---|
Microsoft.ManagedIdentity/register/action |
注册托管标识资源提供程序的订阅 |
Microsoft.ManagedIdentity/identities/read |
获取现有的系统分配标识 |
Microsoft.ManagedIdentity/operations/read |
列出 Microsoft.ManagedIdentity 资源提供程序上可用的作 |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
RBAC 操作用于将现有用户分配标识分配给资源 |
Microsoft.ManagedIdentity/userAssignedIdentities/delete |
删除现有用户分配的标识 |
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action |
列出现有用户分配标识的所有关联资源 |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
获取现有用户分配标识 |
Microsoft.ManagedIdentity/userAssignedIdentities/write |
创建新的用户分配标识或更新与现有用户分配标识关联的标记 |
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action |
撤消了用户分配标识上的所有现有令牌 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
获取或列出联合标识凭据 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
添加或更新联合标识凭据 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
删除联合标识凭据 |