Freigeben über


Integrierte Azure-Rollen für Sicherheit

In diesem Artikel werden die integrierten Azure-Rollen in der Kategorie "Sicherheit" aufgeführt.

App-Complianceautomatisierungs-Admin

Ermöglicht das Erstellen, Lesen, Herunterladen, Ändern und Löschen von Berichtsobjekten und anderen relevanten Ressourcenobjekten.

Weitere Informationen

Aktionen Beschreibung
Microsoft.AppComplianceAutomation/*
Microsoft.Storage/storageAccounts/blobServices/write Hiermit wird das Ergebnis des Vorgangs zum Festlegen von Eigenschaften des Blob-Diensts zurückgegeben.
Microsoft.Storage/storageAccounts/fileservices/write Hiermit werden Dateidiensteigenschaften festgelegt.
Microsoft.Storage/storageAccounts/listKeys/action Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück.
Microsoft.Storage/storageAccounts/write Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Gibt einen Benutzerdelegierungsschlüssel für den Blobdienst zurück.
Microsoft.Storage/storageAccounts/read Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab.
Microsoft.Storage/storageAccounts/blobServices/containers/read Hiermit wird eine Liste von Containern zurückgegeben.
Microsoft.Storage/storageAccounts/blobServices/containers/write Gibt das Ergebnis des PUT-Vorgangs für den Blobcontainer zurück.
Microsoft.Storage/storageAccounts/blobServices/read Gibt Eigenschaften oder Statistiken des Blob-Diensts zurück.
Microsoft.PolicyInsights/policyStates/queryResults/action Fragt Informationen zu Richtlinienzuständen ab.
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action Hiermit wird eine neue Konformitätsauswertung für den ausgewählten Bereich ausgelöst.
Microsoft.Resources/resources/read Dient zum Abrufen einer gefilterten Ressourcenliste.
Microsoft.Resources/subscriptions/read Ruft die Abonnementliste ab.
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Resources/subscriptions/resourceGroups/resources/read Ruft die Ressourcen für die Ressourcengruppe ab.
Microsoft.Resources/subscriptions/resources/read Ruft die Ressourcen eines Abonnements ab.
Microsoft.Resources/subscriptions/resourceGroups/delete Löscht eine Ressourcengruppe und alle dazugehörigen Ressourcen.
Microsoft.Resources/subscriptions/resourceGroups/write Erstellt oder aktualisiert eine Ressourcengruppe.
Microsoft.Resources/tags/read Ruft alle Tags für eine Ressource ab
Microsoft.Resources/deployments/validate/action Überprüft eine Bereitstellung.
Microsoft.Security/automations/read Ruft die Automatisierungen für den Bereich ab.
Microsoft.Resources/deployments/write Erstellt oder aktualisiert eine Bereitstellung.
Microsoft.Security/automations/delete Löscht die Automatisierung für den Bereich.
Microsoft.Security/automations/write Erstellt oder aktualisiert die Automatisierung für den Bereich.
Microsoft.Security/register/action Registriert das Abonnement für das Azure Security Center.
Microsoft.Security/unregister/action Hebt die Registrierung des Abonnements für das Azure Security Center auf.
*/Lesen Lesen von Ressourcen aller Typen mit Ausnahme geheimer Schlüssel
NotActions
keine
DataActions
keine
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, download, modify and delete reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

App-Complianceautomatisierungs-Lesende

Ermöglicht das Lesen und Herunterladen von Berichtsobjekten und anderen relevanten Ressourcenobjekten.

Weitere Informationen

Aktionen Beschreibung
*/Lesen Lesen von Ressourcen aller Typen mit Ausnahme geheimer Schlüssel
NotActions
keine
DataActions
keine
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read, download the reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Attestation-Mitwirkender

Lesen, Schreiben oder Löschen der Nachweisanbieterinstanz

Weitere Informationen

Aktionen BESCHREIBUNG
Microsoft.Attestation/attestationProviders/attestation/read Ruft den Status des Nachweisdiensts ab.
Microsoft.Attestation/attestationProviders/attestation/write Fügt den Nachweisdienst hinzu.
Microsoft.Attestation/attestationProviders/attestation/delete Entfernt den Nachweisdienst.
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Attestation-Leser

Lesen der Eigenschaften des Nachweisanbieters

Weitere Informationen

Aktionen BESCHREIBUNG
Microsoft.Attestation/attestationProviders/attestation/read Ruft den Status des Nachweisdiensts ab.
Microsoft.Attestation/attestationProviders/read Ruft den Status des Nachweisdiensts ab.
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Administrator

Ausführen beliebiger Vorgänge auf Datenebene für einen Schlüsseltresor und alle darin enthaltenen Objekte (einschließlich Zertifikate, Schlüssel und Geheimnisse). Kann keine Key Vault-Ressourcen oder Rollenzuweisungen verwalten. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
Microsoft.KeyVault/checkNameAvailability/read Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft.KeyVault/deletedVaults/read Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf.
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Zertifikatbenutzer

Lesen von Zertifikatinhalten. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen BESCHREIBUNG
keine
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/certificates/read Listet Zertifikate in einem angegebenen Schlüsseltresor auf oder ruft Informationen zu einem Zertifikat ab.
Microsoft.KeyVault/vaults/secrets/getSecret/action Ruft den Wert eines Geheimnisses ab.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert.
Microsoft.KeyVault/vaults/keys/read Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt.
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Zertifikatbeauftragter

Ausführen beliebiger Aktionen für die Zertifikate eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
Microsoft.KeyVault/checkNameAvailability/read Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft.KeyVault/deletedVaults/read Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf.
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/certificatecas/*
Microsoft.KeyVault/vaults/certificates/*
Microsoft.KeyVault/vaults/certificatecontacts/write Verwaltet einen Zertifikatkontakt.
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Mitwirkender

Verwalten von Schlüsseltresoren, gestattet Ihnen jedoch nicht, Rollen in Azure RBAC zuzuweisen, und ermöglicht keinen Zugriff auf Geheimnisse, Schlüssel oder Zertifikate.

Weitere Informationen

Wichtig

Wenn Sie das Zugriffsrichtlinienberechtigungsmodell verwenden, können Benutzende mit den Rollen Contributor, Key Vault Contributor oder einer anderen Rolle, die Microsoft.KeyVault/vaults/write-Berechtigungen für die Key Vault-Verwaltungsebene enthält, selbst Datenebenenzugriff gewähren, indem eine Zugriffsrichtlinie für den Key Vault festgelegt wird. Um nicht autorisierten Zugriff und die Verwaltung Ihrer Schlüsseltresore, Schlüssel, geheimen Schlüssel und Zertifikate zu verhindern, ist es wichtig, den Zugriff der Teilnehmerrolle auf Schlüsseltresore im Rahmen des Zugriffsrichtlinienberechtigungsmodells einzuschränken. Um dieses Risiko zu minimieren, empfehlen wir, das Berechtigungsmodell „Rollenbasierte Zugriffssteuerung (RBAC)“ zu verwenden, das die Berechtigungsverwaltung auf die Rollen „Besitzende“ und „Benutzerzugriffsadmin“ einschränkt und eine klare Trennung zwischen Sicherheitsvorgängen und administrativen Aufgaben ermöglicht. Weitere Informationen finden Sie im Key Vault RBAC-Leitfaden und unter Was ist Azure RBAC.

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft.KeyVault/locations/deletedVaults/purge/action Dient zum endgültigen Löschen eines vorläufig gelöschten Schlüsseltresors.
Microsoft.KeyVault/hsmPools/*
Microsoft.KeyVault/managedHsms/*
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Kryptografiebeauftragter

Ausführen beliebiger Aktionen für die Schlüssel eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
Microsoft.KeyVault/checkNameAvailability/read Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft.KeyVault/deletedVaults/read Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf.
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/keys/*
Microsoft.KeyVault/vaults/keyrotationpolicies/*
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service Encryption-Benutzer

Lesen von Metadaten von Schlüsseln und Ausführen von Vorgängen zum Packen/Entpacken. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen Beschreibung
Microsoft.EventGrid/eventSubscriptions/write Erstellt oder aktualisiert eventSubscription.
Microsoft.EventGrid/eventSubscriptions/read Liest eventSubscription.
Microsoft.EventGrid/eventSubscriptions/delete Löscht eventSubscription.
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/keys/read Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt.
Microsoft.KeyVault/vaults/keys/wrap/action Umschließt einen symmetrischen Schlüssel mit einem Key Vault-Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Key Vault-Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden.
Microsoft.KeyVault/vaults/keys/unwrap/action Hebt die Umschließung eines symmetrischen Schlüssels mit einem Key Vault-Schlüssel auf.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service Release User

Veröffentlichen von Schlüsseln. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen BESCHREIBUNG
keine
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/keys/release/action Gibt einen Schlüssel mit dem öffentlichen Teil des KEK aus dem Nachweistoken frei.
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Kryptografiebenutzer

Ausführen kryptografischer Vorgänge mithilfe von Schlüsseln. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen BESCHREIBUNG
keine
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/keys/read Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt.
Microsoft.KeyVault/vaults/keys/update/action Aktualisiert die angegebenen Attribute, die dem jeweiligen Schlüssel zugeordnet sind.
Microsoft.KeyVault/vaults/keys/backup/action Erstellt die Sicherungsdatei eines Schlüssels. Die Datei kann verwendet werden, um den Schlüssel in einem Key Vault desselben Abonnements wiederherzustellen. Es können Einschränkungen gelten.
Microsoft.KeyVault/vaults/keys/encrypt/action Verschlüsselt Klartext mit einem Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden.
Microsoft.KeyVault/vaults/keys/decrypt/action Entschlüsselt Chiffretext mit einem Schlüssel.
Microsoft.KeyVault/vaults/keys/wrap/action Umschließt einen symmetrischen Schlüssel mit einem Key Vault-Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Key Vault-Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden.
Microsoft.KeyVault/vaults/keys/unwrap/action Hebt die Umschließung eines symmetrischen Schlüssels mit einem Key Vault-Schlüssel auf.
Microsoft.KeyVault/vaults/keys/sign/action Signiert einen Nachrichtenhash (Hash) mit einem Schlüssel.
Microsoft.KeyVault/vaults/keys/verify/action Überprüft die Signatur eines Nachrichtenhashs (Hash) mit einem Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Datenzugriffsadministrator*in

Verwalten Sie den Zugriff auf Azure Key Vault, indem Sie Rollenzuweisungen für den Key Vault-Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Secrets Reader, Key Vault Secrets Officer oder Key Vault Secrets User-Rollen hinzufügen oder entfernen. Enthält eine ABAC-Bedingung, um Rollenzuweisungen einzuschränken.

Aktionen Beschreibung
Microsoft.Authorization/roleAssignments/write Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich.
Microsoft.Authorization/roleAssignments/delete Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich.
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Resources/subscriptions/read Ruft die Abonnementliste ab.
Microsoft.Management/managementGroups/read Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf.
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
Microsoft.KeyVault/vaults/*/read
NotActions
keine
DataActions
keine
NotDataActions
none
Condition
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) Hinzufügen oder Entfernen von Rollenzuweisungen für die folgenden Rollen:
Key Vault-Administrator
Key Vault-Zertifikatbeauftragter
Key Vault-Kryptografiebeauftragter
Key Vault Crypto Service Encryption-Benutzer
Key Vault-Kryptografiebenutzer
Key Vault-Leser
Key Vault-Geheimnisbeauftragter
Key Vault-Geheimnisbenutzer
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Leser

Lesen von Metadaten von Schlüsseltresoren und deren Zertifikaten, Schlüsseln und Geheimnissen. Sensible Werte, z. B. der Inhalt von Geheimnissen oder Schlüsselmaterial, können nicht gelesen werden. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
Microsoft.KeyVault/checkNameAvailability/read Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft.KeyVault/deletedVaults/read Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf.
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert.
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Geheimnisbeauftragter

Ausführen beliebiger Aktionen für die Geheimnisse eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
Microsoft.KeyVault/checkNameAvailability/read Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft.KeyVault/deletedVaults/read Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf.
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/secrets/*
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault-Geheimnisbenutzer

Lesen der Inhalte von Geheimnissen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.

Weitere Informationen

Aktionen BESCHREIBUNG
keine
NotActions
keine
DataActions
Microsoft.KeyVault/vaults/secrets/getSecret/action Ruft den Wert eines Geheimnisses ab.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert.
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Mitwirkender für verwaltete HSMs

Ermöglicht Ihnen das Verwalten von verwalteten HSM-Pools, aber nicht den Zugriff auf diese.

Weitere Informationen

Aktionen BESCHREIBUNG
Microsoft.KeyVault/managedHSMs/*
Microsoft.KeyVault/deletedManagedHsms/read Zeigt die Eigenschaften eines gelöschten verwalteten HSM an.
Microsoft.KeyVault/locations/deletedManagedHsms/read Zeigt die Eigenschaften eines gelöschten verwalteten HSM an.
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action Löscht vorläufig gelöschte verwaltete HSMs endgültig.
Microsoft.KeyVault/locations/managedHsmOperationResults/read Dient zum Überprüfen des Ergebnisses eines Vorgangs mit langer Ausführungszeit.
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Automation-Mitarbeiter

Microsoft Sentinel Automation-Mitarbeiter

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Logic/workflows/triggers/read Liest den Trigger.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Ruft die Rückruf-URL für Trigger ab.
Microsoft.Logic/workflows/runs/read Liest die Workflowausführung.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read Auflisten von Hostruntime-Workflowtriggern für Web-Apps
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Abrufen des Hostruntime-Workflowtrigger-URI für Web-Apps
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read Auflisten von Hostruntime-Workflowausführungen für Web-Apps
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel-Mitwirkender

Microsoft Sentinel-Mitwirkender

Weitere Informationen

Aktionen Beschreibung
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/analytics/query/action Führt eine Suche mit der neuen Engine aus.
Microsoft.OperationalInsights/workspaces/*/read Anzeigen von Log Analytics-Daten
Microsoft.OperationalInsights/workspaces/savedSearches/*
Microsoft.OperationsManagement/solutions/read Abrufen vorhandener OMS-Lösung
Microsoft.OperationalInsights/workspaces/query/read Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich.
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Datenquelle unter einem Arbeitsbereich abrufen.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/*
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
keine
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel-Playbookoperator

Microsoft Sentinel-Playbookoperator

Weitere Informationen

Aktionen Beschreibung
Microsoft.Logic/workflows/read Liest den Workflow.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Ruft die Rückruf-URL für Trigger ab.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Abrufen des Hostruntime-Workflowtrigger-URI für Web-Apps
Microsoft.Web/sites/read Dient zum Abrufen der Eigenschaften einer Web-App.
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Reader

Microsoft Sentinel-Leser

Weitere Informationen

Aktionen BESCHREIBUNG
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Überprüft Benutzerautorisierung und -lizenz.
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Abfragen von Threat Intelligence-Indikatoren
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Abfragen von Threat Intelligence-Indikatoren
Microsoft.OperationalInsights/workspaces/analytics/query/action Führt eine Suche mit der neuen Engine aus.
Microsoft.OperationalInsights/workspaces/*/read Anzeigen von Log Analytics-Daten
Microsoft.OperationalInsights/workspaces/LinkedServices/read Ruft verknüpfte Dienste im angegebenen Arbeitsbereich ab.
Microsoft.OperationalInsights/workspaces/savedSearches/read Ruft eine gespeicherte Suchabfrage ab.
Microsoft.OperationsManagement/solutions/read Abrufen vorhandener OMS-Lösung
Microsoft.OperationalInsights/workspaces/query/read Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich.
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Datenquelle unter einem Arbeitsbereich abrufen.
Microsoft.Insights/workbooks/read Lesen einer Arbeitsmappe
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Resources/templateSpecs/*/read Abrufen oder Auflisten von Vorlagenspezifikationen und Vorlagenspezifikationsversionen
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel-Antwortberechtigter

Microsoft Sentinel Responder

Weitere Informationen

Aktionen BESCHREIBUNG
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Überprüft Benutzerautorisierung und -lizenz.
Microsoft.SecurityInsights/automationRules/*
Microsoft.SecurityInsights/cases/*
Microsoft.SecurityInsights/incidents/*
Microsoft.SecurityInsights/entities/runPlaybook/action Playbook für Entität ausführen
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Anfügen von Tags an Threat Intelligence-Indikator
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Abfragen von Threat Intelligence-Indikatoren
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action Kennzeichnet Informationen zu Bedrohungen in einem Massenvorgang.
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Anfügen von Tags an Threat Intelligence-Indikator
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action Ersetzen von Tags eines Threat Intelligence-Indikators
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Abfragen von Threat Intelligence-Indikatoren
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action Rückgängigmachen einer Aktion
Microsoft.OperationalInsights/workspaces/analytics/query/action Führt eine Suche mit der neuen Engine aus.
Microsoft.OperationalInsights/workspaces/*/read Anzeigen von Log Analytics-Daten
Microsoft.OperationalInsights/workspaces/dataSources/read Datenquelle unter einem Arbeitsbereich abrufen.
Microsoft.OperationalInsights/workspaces/savedSearches/read Ruft eine gespeicherte Suchabfrage ab.
Microsoft.OperationsManagement/solutions/read Abrufen vorhandener OMS-Lösung
Microsoft.OperationalInsights/workspaces/query/read Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich.
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Datenquelle unter einem Arbeitsbereich abrufen.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/read Lesen einer Arbeitsmappe
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft.SecurityInsights/cases/*/Delete
Microsoft.SecurityInsights/incidents/*/Delete
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sicherheitsadministrator

Anzeigen und Aktualisieren von Berechtigungen für Microsoft Defender für Cloud. Gleiche Rechte wie der Sicherheitsleseberechtigte und kann darüber hinaus die Sicherheitsrichtlinie aktualisieren sowie Warnungen und Empfehlungen verwerfen.

Informationen zu Microsoft Defender for IoT finden Sie unter Azure-Benutzerrollen für OT- und Enterprise IoT-Überwachung.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Authorization/policyAssignments/* Erstellen und Verwalten von Richtlinienzuweisungen
Microsoft.Authorization/policyDefinitions/* Erstellen und Verwalten von Richtliniendefinitionen
Microsoft.Authorization/policyExemptions/* Erstellen und Verwalten von Richtlinienausnahmen
Microsoft.Authorization/policySetDefinitions/* Erstellen und Verwalten von Richtliniensätzen
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.Management/managementGroups/read Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf.
Microsoft.operationalInsights/workspaces/*/read Anzeigen von Log Analytics-Daten
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Security/* Erstellen und Verwalten von Sicherheitskomponenten und -richtlinien
Microsoft.IoTSecurity/*
Microsoft.IoTFirmwareDefense/*
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Mitwirkender für Sicherheitsbewertungen

Ermöglicht Ihnen das Pushen von Bewertungen an Microsoft Defender für Cloud

Aktionen BESCHREIBUNG
Microsoft.Security/assessments/write Erstellen oder Aktualisieren von Sicherheitsbewertungen für Ihr Abonnement
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sicherheits-Manager (Legacy)

Dies ist eine Legacyrolle. Verwenden Sie stattdessen „Sicherheitsadministrator“.

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.ClassicCompute/*/read Lesen von Konfigurationsinformationen zu klassischen virtuellen Computern
Microsoft.ClassicCompute/virtualMachines/*/write Schreiben der Konfiguration für klassische virtuelle Computer
Microsoft.ClassicNetwork/*/read Lesen von Konfigurationsinformationen zu klassischem Netzwerk
Microsoft.Insights/alertRules/* Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft.ResourceHealth/availabilityStatuses/read Ruft den Verfügbarkeitsstatus für alle Ressourcen im angegebenen Bereich ab.
Microsoft.Resources/deployments/* Erstellen und Verwalten einer Bereitstellung
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Security/* Erstellen und Verwalten von Sicherheitskomponenten und -richtlinien
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sicherheitsleseberechtigter

Anzeigen von Berechtigungen für Microsoft Defender für Cloud. Kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.

Informationen zu Microsoft Defender for IoT finden Sie unter Azure-Benutzerrollen für OT- und Enterprise IoT-Überwachung.

Weitere Informationen

Aktionen Beschreibung
Microsoft.Authorization/*/read Lesen von Rollen und Rollenzuweisungen
Microsoft.Insights/alertRules/read Liest eine klassische Metrikwarnung.
Microsoft.operationalInsights/workspaces/*/read Anzeigen von Log Analytics-Daten
Microsoft.Resources/deployments/*/read
Microsoft.Resources/subscriptions/resourceGroups/read Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft.Security/*/read Lesen von Sicherheitskomponenten und -richtlinien
Microsoft.IoTSecurity/*/read
Microsoft.Support/*/read
Microsoft.Security/iotDefenderSettings/packageDownloads/action Ruft Informationen zu herunterladbaren IoT Defender-Paketen ab.
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action Lädt die Manager-Aktivierungsdatei mit Daten zum Abonnementkontingent herunter.
Microsoft.Security/iotSensors/downloadResetPassword/action Lädt die Dateien zum Zurücksetzen des Kennworts für IoT-Sensoren herunter.
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action Ruft Informationen zu herunterladbaren IoT Defender-Paketen ab.
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action Lädt die Manager-Aktivierungsdatei herunter.
Microsoft.Management/managementGroups/read Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf.
NotActions
keine
DataActions
keine
NotDataActions
keine
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Nächste Schritte