Partager via


Rôles intégrés Azure pour la sécurité

Cet article répertorie les rôles intégrés Azure dans la catégorie Sécurité.

Administrateur Automation de conformité des applications

Créez, lisez, téléchargez, modifiez et supprimez des objets de rapports et d’autres objets de ressources associés.

En savoir plus

Actions Description
Microsoft.AppComplianceAutomation/*
Microsoft.Storage/storageAccounts/blobServices/write Retourne le résultat des propriétés du service blob de placement
Microsoft.Storage/storageAccounts/fileservices/write Place des propriétés du service de fichiers
Microsoft.Storage/storageAccounts/listKeys/action Retourne les clés d’accès au compte de stockage spécifié.
Microsoft.Storage/storageAccounts/write Crée un compte de stockage avec les paramètres spécifiés ou met à jour les propriétés ou les balises, ou ajoute un domaine personnalisé pour le compte de stockage spécifié.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Retourne une clé de délégation d’utilisateur pour le service BLOB.
Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère les propriétés du compte de stockage spécifié.
Microsoft.Storage/storageAccounts/blobServices/containers/read Retourne la liste des conteneurs
Microsoft.Storage/storageAccounts/blobServices/containers/write Retourne le résultat du conteneur put blob
Microsoft.Storage/storageAccounts/blobServices/read Retourne les propriétés ou statistiques du service blob
Microsoft.PolicyInsights/policyStates/queryResults/action Demande des informations sur les états de stratégie.
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action Déclencher une nouvelle évaluation de conformité pour l'étendue sélectionnée
Microsoft.Resources/resources/read Obtenir la liste des ressources en fonction des filtres.
Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Resources/subscriptions/resourceGroups/resources/read Obtient les ressources du groupe de ressources.
Microsoft.Resources/subscriptions/resources/read Obtient les ressources d’un abonnement.
Microsoft.Resources/subscriptions/resourceGroups/delete Supprime un groupe de ressources, ainsi que toutes ses ressources.
Microsoft.Resources/subscriptions/resourceGroups/write Crée ou met à jour un groupe de ressources.
Microsoft.Resources/tags/read Obtient toutes les balises sur une ressource.
Microsoft.Resources/deployments/validate/action Valide un déploiement.
Microsoft.Security/automations/read Obtient les automatisations pour la portée
Microsoft.Resources/deployments/write Crée ou met à jour un déploiement.
Microsoft.Security/automations/delete Supprime l’automatisation pour la portée
Microsoft.Security/automations/write Crée ou met à jour l’automatisation pour la portée
Microsoft.Security/register/action Enregistre l’abonnement pour Azure Security Center
Microsoft.Security/unregister/action Annule l’inscription de l’abonnement dans Azure Security Center
*/read Lire les ressources de tous les types, à l’exception des secrets.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, download, modify and delete reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Lecteur Automation de conformité des applications

Lisez et téléchargez les objets de rapports et d’autres objets de ressources associés.

En savoir plus

Actions Description
*/read Lire les ressources de tous les types, à l’exception des secrets.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read, download the reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur d’attestation

Peut lire, écrire ou supprimer l’instance du fournisseur d’attestations

En savoir plus

Actions Description
Microsoft.Attestation/attestationProviders/attestation/read Obtient l’état du service d’attestation.
Microsoft.Attestation/attestationProviders/attestation/write Ajoute le service d’attestation.
Microsoft.Attestation/attestationProviders/attestation/delete Supprime le service d’attestation.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Lecteur d’attestation

Peut lire les propriétés du fournisseur d’attestations

En savoir plus

Actions Description
Microsoft.Attestation/attestationProviders/attestation/read Obtient l’état du service d’attestation.
Microsoft.Attestation/attestationProviders/read Obtient l’état du service d’attestation.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrateur Key Vault

Permet d’effectuer toutes les opération du plan de données sur un coffre de clés et tous les objets qu’il contient, notamment les certificats, les clés et les secrets. Ne peut pas gérer les ressources du coffre de clés ni gérer les attributions de rôles. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.KeyVault/checkNameAvailability/read Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé
Microsoft.KeyVault/deletedVaults/read Afficher les propriétés de coffres Key Vault supprimés de manière réversible
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/*
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Utilisateur de certificat Key Vault

Lisez le contenu du certificat. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
aucune
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/certificates/read Répertorie les certificats d'un coffre de clés spécifié, ou permet d'obtenir des informations sur un certificat.
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtient la valeur d’un secret.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Permet de répertorier ou d'affiche les propriétés d'un secret, mais pas sa valeur.
Microsoft.KeyVault/vaults/keys/read Répertorie les clés dans le coffre spécifié, ou lit les propriétés et le matériel public d'une clé. Pour les clés asymétriques, cette opération expose la clé publique et permet d'exécuter des algorithmes de clé publique, comme le chiffrement et la vérification de la signature. Les clés privées et les clés symétriques ne sont jamais exposées.
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Agent des certificats Key Vault

Permet d’effectuer une action sur les certificats d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.KeyVault/checkNameAvailability/read Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé
Microsoft.KeyVault/deletedVaults/read Afficher les propriétés de coffres Key Vault supprimés de manière réversible
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/certificatecas/*
Microsoft.KeyVault/vaults/certificates/*
Microsoft.KeyVault/vaults/certificatecontacts/write Gère le contact du certificat
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur Key Vault

Permet de gérer les coffres de clés, mais ne vous permet pas d’attribuer des rôles dans Azure RBAC ni d’accéder à des secrets, des clés ou des certificats.

En savoir plus

Important

Lors de l’utilisation du modèle d’autorisation de stratégie d’accès, un utilisateur disposant du rôle Contributor, Key Vault Contributor ou de tout autre rôle qui inclut des autorisations Microsoft.KeyVault/vaults/write pour le plan de gestion du coffre de clés peut s’attribuer à lui-même l’accès au plan de données en définissant une stratégie d’accès Key Vault. Pour empêcher l’accès et la gestion non autorisés de vos coffres de clés, de vos clés, de vos secrets et de vos certificats, il est essentiel de limiter l’accès du rôle Contributeur aux coffres de clés sous le modèle d’autorisation de stratégie d’accès. Pour atténuer ce risque, nous vous recommandons d’utiliser le modèle d’autorisation Contrôle d’accès en fonction du rôle (RBAC), qui limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui permet une séparation claire entre les opérations de sécurité et les tâches d’administration. Pour plus d’informations, consultez le Guide de RBAC pour Key Vault et Présentation d’Azure RBAC.

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
Microsoft.KeyVault/locations/deletedVaults/purge/action Vider un coffre Key Vault supprimé de manière réversible
Microsoft.KeyVault/hsmPools/*
Microsoft.KeyVault/managedHsms/*
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Agent de chiffrement Key Vault

Permet d’effectuer une action sur les clés d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.KeyVault/checkNameAvailability/read Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé
Microsoft.KeyVault/deletedVaults/read Afficher les propriétés de coffres Key Vault supprimés de manière réversible
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/keys/*
Microsoft.KeyVault/vaults/keyrotationpolicies/*
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Utilisateur du service de chiffrement de Key Vault

Permet de lire les métadonnées des clés et d’effectuer des opérations visant à envelopper/désenvelopper. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
Microsoft.EventGrid/eventSubscriptions/write Créer ou mettre à jour un abonnement à un événement
Microsoft.EventGrid/eventSubscriptions/read Lit un abonnement à un événement
Microsoft.EventGrid/eventSubscriptions/delete Supprimer un abonnement à un événement
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/keys/read Répertorie les clés dans le coffre spécifié, ou lit les propriétés et le matériel public d'une clé. Pour les clés asymétriques, cette opération expose la clé publique et permet d'exécuter des algorithmes de clé publique, comme le chiffrement et la vérification de la signature. Les clés privées et les clés symétriques ne sont jamais exposées.
Microsoft.KeyVault/vaults/keys/wrap/action Enveloppe une clé symétrique avec une clé Key Vault. Notez que si la clé Key Vault est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture.
Microsoft.KeyVault/vaults/keys/unwrap/action Désenveloppe une clé symétrique avec une clé Key Vault.
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Utilisateur de libération du service de chiffrement de Key Vault

Clés de mise en production. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
aucune
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/keys/release/action Libère une clé utilisant la partie publique d’une clé KEK du jeton d’attestation.
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Utilisateur de chiffrement Key Vault

Permet d’effectuer des opérations de chiffrement à l’aide de clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
aucune
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/keys/read Répertorie les clés dans le coffre spécifié, ou lit les propriétés et le matériel public d'une clé. Pour les clés asymétriques, cette opération expose la clé publique et permet d'exécuter des algorithmes de clé publique, comme le chiffrement et la vérification de la signature. Les clés privées et les clés symétriques ne sont jamais exposées.
Microsoft.KeyVault/vaults/keys/update/action Met à jour les attributs spécifiés associés à la clé donnée.
Microsoft.KeyVault/vaults/keys/backup/action Crée le fichier de sauvegarde d’une clé. Le fichier peut être utilisé pour restaurer la clé dans un coffre de clés Key Vault du même abonnement. Des restrictions peuvent s'appliquer.
Microsoft.KeyVault/vaults/keys/encrypt/action Chiffre le texte en clair avec une clé. Notez que si la clé est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture.
Microsoft.KeyVault/vaults/keys/decrypt/action Déchiffre le texte chiffré avec une clé.
Microsoft.KeyVault/vaults/keys/wrap/action Enveloppe une clé symétrique avec une clé Key Vault. Notez que si la clé Key Vault est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture.
Microsoft.KeyVault/vaults/keys/unwrap/action Désenveloppe une clé symétrique avec une clé Key Vault.
Microsoft.KeyVault/vaults/keys/sign/action Signe un condensé de message (hachage) avec une clé.
Microsoft.KeyVault/vaults/keys/verify/action Vérifie la signature d’un condensé de message (hachage) à l’aide d’une clé. Notez que si la clé est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture.
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrateur de l’accès aux données Key Vault

Gérez l’accès à Azure Key Vault en ajoutant ou en supprimant des attributions de rôle pour les rôles Administrateur Key Vault, Agent de certificats Key Vault, Agent de chiffrement Key Vault, Utilisateur de chiffrement du service de chiffrement Key Vault, Lecteur Key Vault, Agent des secrets Key Vault ou Utilisateur des secrets Key Vault. Comprend une condition ABAC pour limiter les attributions de rôle.

Actions Description
Microsoft.Authorization/roleAssignments/write Créez une affectation de rôle au niveau de la portée spécifiée.
Microsoft.Authorization/roleAssignments/delete Supprimez une affectation de rôle au niveau de la portée spécifiée.
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.
Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur authentifié.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.KeyVault/vaults/*/read
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
Condition
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) Ajoutez ou supprimez des attributions de rôles pour les rôles suivants :
Administrateur Key Vault
Agent des certificats Key Vault
Agent de chiffrement Key Vault
Utilisateur du service de chiffrement de Key Vault
Utilisateur de chiffrement Key Vault
Lecteur Key Vault
Agent des secrets Key Vault
Utilisateur des secrets Key Vault
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Lecteur Key Vault

Permet de lire les métadonnées de coffres de clés et de leurs certificats, clés et secrets. Ne peut pas lire les valeurs sensibles, telles que les contenus secrets ou les documents clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.KeyVault/checkNameAvailability/read Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé
Microsoft.KeyVault/deletedVaults/read Afficher les propriétés de coffres Key Vault supprimés de manière réversible
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/vaults/secrets/readMetadata/action Permet de répertorier ou d'affiche les propriétés d'un secret, mais pas sa valeur.
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Agent des secrets Key Vault

Permet d’effectuer une action sur les secrets d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.KeyVault/checkNameAvailability/read Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé
Microsoft.KeyVault/deletedVaults/read Afficher les propriétés de coffres Key Vault supprimés de manière réversible
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/secrets/*
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Utilisateur des secrets Key Vault

Permet de lire le contenu du secret. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».

En savoir plus

Actions Description
aucune
NotActions
aucune
DataActions
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtient la valeur d’un secret.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Permet de répertorier ou d'affiche les propriétés d'un secret, mais pas sa valeur.
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur HSM managé

Vous permet de gérer des pools HSM managés, mais pas d’y accéder.

En savoir plus

Actions Description
Microsoft.KeyVault/managedHSMs/*
Microsoft.KeyVault/deletedManagedHsms/read Afficher les propriétés d’un module HSM managé supprimé
Microsoft.KeyVault/locations/deletedManagedHsms/read Afficher les propriétés d’un module HSM managé supprimé
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action Purger un module HSM managé supprimé de manière réversible
Microsoft.KeyVault/locations/managedHsmOperationResults/read Vérifier le résultat d’une opération longue
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur Microsoft Sentinel Automation

Contributeur Microsoft Sentinel Automation

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Logic/workflows/triggers/read Lit le déclencheur.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Obtient l’URL de rappel pour le déclencheur.
Microsoft.Logic/workflows/runs/read Lit l’exécution d’un workflow.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read Répertorie les déclencheurs de flux de travail Hostruntime d’applications web.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Obtient l’URI des déclencheurs de flux de travail Hostruntime d’applications web.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read Répertorie les exécutions de flux de travail Hostruntime d’applications web.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur Microsoft Sentinel

Contributeur Microsoft Sentinel

En savoir plus

Actions Description
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/analytics/query/action Effectue les recherches à l’aide d’un nouveau moteur.
Microsoft.OperationalInsights/workspaces/*/read Afficher les données Log Analytics
Microsoft.OperationalInsights/workspaces/savedSearches/*
Microsoft.OperationsManagement/solutions/read Obtenir une solution OMS existante
Microsoft.OperationalInsights/workspaces/query/read Exécuter des requêtes sur les données dans l’espace de travail
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenir la source de données sous un espace de travail.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/*
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Opérateur de playbook Microsoft Sentinel

Opérateur de playbook Microsoft Sentinel

En savoir plus

Actions Description
Microsoft.Logic/workflows/read Lit le workflow.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Obtient l’URL de rappel pour le déclencheur.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Obtient l’URI des déclencheurs de flux de travail Hostruntime d’applications web.
Microsoft.Web/sites/read Récupère les propriétés d’une application web.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Lecteur Microsoft Sentinel

Lecteur Microsoft Sentinel

En savoir plus

Actions Description
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Vérifier l’autorisation et la licence de l’utilisateur
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Interroger les indicateurs Threat Intelligence
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Interroger les indicateurs Threat Intelligence
Microsoft.OperationalInsights/workspaces/analytics/query/action Effectue les recherches à l’aide d’un nouveau moteur.
Microsoft.OperationalInsights/workspaces/*/read Afficher les données Log Analytics
Microsoft.OperationalInsights/workspaces/LinkedServices/read Obtient les services liés sous un espace de travail spécifié.
Microsoft.OperationalInsights/workspaces/savedSearches/read Obtient une requête de recherche enregistrée.
Microsoft.OperationsManagement/solutions/read Obtenir une solution OMS existante
Microsoft.OperationalInsights/workspaces/query/read Exécuter des requêtes sur les données dans l’espace de travail
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenir la source de données sous un espace de travail.
Microsoft.Insights/workbooks/read Lire un classeur
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Resources/templateSpecs/*/read Obtenir ou répertorier les spécifications des modèles et les versions des spécifications de modèle
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Répondeur Microsoft Sentinel

Répondeur Microsoft Sentinel

En savoir plus

Actions Description
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Vérifier l’autorisation et la licence de l’utilisateur
Microsoft.SecurityInsights/automationRules/*
Microsoft.SecurityInsights/cases/*
Microsoft.SecurityInsights/incidents/*
Microsoft.SecurityInsights/entities/runPlaybook/action Exécuter le playbook sur l’entité
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Ajouter des étiquettes à un indicateur Threat Intelligence
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Interroger les indicateurs Threat Intelligence
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action Balises en masse du renseignement sur les menaces
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Ajouter des étiquettes à un indicateur Threat Intelligence
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action Remplace les étiquettes d’un indicateur Threat Intelligence
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Interroger les indicateurs Threat Intelligence
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action Annuler une action
Microsoft.OperationalInsights/workspaces/analytics/query/action Effectue les recherches à l’aide d’un nouveau moteur.
Microsoft.OperationalInsights/workspaces/*/read Afficher les données Log Analytics
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenir la source de données sous un espace de travail.
Microsoft.OperationalInsights/workspaces/savedSearches/read Obtient une requête de recherche enregistrée.
Microsoft.OperationsManagement/solutions/read Obtenir une solution OMS existante
Microsoft.OperationalInsights/workspaces/query/read Exécuter des requêtes sur les données dans l’espace de travail
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenir la source de données sous un espace de travail.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/read Lire un classeur
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
Microsoft.SecurityInsights/cases/*/Delete
Microsoft.SecurityInsights/incidents/*/Delete
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrateur de la sécurité

Affichez et mettez à jour les autorisations pour Microsoft Defender pour le cloud. Dispose des mêmes autorisations que le rôle Lecteur de sécurité et peut également modifier la stratégie de sécurité et ignorer les alertes et les recommandations.

Pour Microsoft Defender pour IoT, consultez Rôles d’utilisateur Azure pour la surveillance OT et IoT d’entreprise.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Authorization/policyAssignments/* Créer et gérer des attributions de stratégies
Microsoft.Authorization/policyDefinitions/* Créer et gérer des définitions de stratégies
Microsoft.Authorization/policyExemptions/* Créer et gérer des exemptions de stratégie
Microsoft.Authorization/policySetDefinitions/* Créer et gérer des ensembles de stratégies
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur authentifié.
Microsoft.operationalInsights/workspaces/*/read Afficher les données Log Analytics
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Security/* Créer et gérer des stratégies et des composants de sécurité
Microsoft.IoTSecurity/*
Microsoft.IoTFirmwareDefense/*
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur d'évaluation de la sécurité

Vous permet d’envoyer des évaluations à Microsoft Defender pour le cloud

Actions Description
Microsoft.Security/assessments/write Créer ou mettre à jour des évaluations de la sécurité de votre abonnement
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Gestionnaire de sécurité (hérité)

Il s’agit d’un rôle hérité. Utilisez plutôt l’administrateur de sécurité.

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.ClassicCompute/*/read Lire les informations de configuration relatives aux machines virtuelles classiques
Microsoft.ClassicCompute/virtualMachines/*/write Écrire la configuration des machines virtuelles classiques
Microsoft.ClassicNetwork/*/read Lire les informations de configuration relatives au réseau classique
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Security/* Créer et gérer des stratégies et des composants de sécurité
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Lecteur de sécurité

Voir les autorisations pour Microsoft Defender pour le cloud. Peut afficher les recommandations, les alertes, une stratégie de sécurité et les états de sécurité, mais ne peut pas apporter de modifications.

Pour Microsoft Defender pour IoT, consultez Rôles d’utilisateur Azure pour la surveillance OT et IoT d’entreprise.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/read Lire une alerte de métrique classique
Microsoft.operationalInsights/workspaces/*/read Afficher les données Log Analytics
Microsoft.Resources/deployments/*/read
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Security/*/read Lire des stratégies et des composants de sécurité
Microsoft.IoTSecurity/*/read
Microsoft.Support/*/read
Microsoft.Security/iotDefenderSettings/packageDownloads/action Obtient des informations sur les packages de Defender pour IoT téléchargeables
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action Télécharger le fichier d’activation du gestionnaire avec les données de quota d’abonnement
Microsoft.Security/iotSensors/downloadResetPassword/action Les téléchargements réinitialisent le fichier de mot de passe pour les capteurs IoT
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action Obtient des informations sur les packages de Defender pour IoT téléchargeables
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action Télécharger un fichier d’activation de gestionnaire
Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur authentifié.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Étapes suivantes