次の方法で共有


Network Watcher 機能を使用するために必要な、Azure ロールベースのアクセス制御のアクセス許可

Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、割り当てられた職務を遂行するために必要な特定のアクションのみを組織内のメンバーに割り当てることができます。 Azure Network Watcher 機能を使用するには、Azure にログインするアカウントを、所有者共同作成者、またはネットワーク共同作業者の組み込みのロールに割り当てるか、Network Watcher 機能の各セクションの下に一覧表示されているアクションが割り当てられているカスタム ロールに割り当てる必要があります。 サブスクリプションのユーザーに割り当てられているロールを確認する方法については、azure portalを使用して Azure ロールの割り当てを一覧表示する を参照してください。 ロールの割り当てが表示されない場合は、それぞれのサブスクリプション管理者にお問い合わせください。Network Watcher の機能の詳細については、「Network Watcher とは」を参照してください。

重要

ネットワーク共同作成者 では、次のアクションは扱いません:

  • Microsoft.Storage/* リストされたアクション 追加のアクション または フロー ログ セクション。
  • Microsoft.Storage/* リストされたアクション 追加のアクション セクション。
  • Microsoft.OperationalInsights/workspaces/*、Microsoft.Insights/dataCollectionRules/* または Microsoft.Insights/dataCollectionEndpoints/* リストされたアクション Traffic Analytics セクション。

Network Watcher

アクション 説明
Microsoft.Network/networkWatchers/read Network Watcher を取得する
Microsoft.Network/networkWatchers/write Network Watcher を作成する
Microsoft.Network/networkWatchers/delete Network Watcher を削除する

接続モニター

アクション 説明
Microsoft.Network/networkWatchers/connectionMonitors/start/action 接続モニターを起動する
Microsoft.Network/networkWatchers/connectionMonitors/stop/action 接続モニターを停止する
Microsoft.Network/networkWatchers/connectionMonitors/query/action 接続モニターのクエリを実行する
Microsoft.Network/networkWatchers/connectionMonitors/read 接続モニターを取得する
Microsoft.Network/networkWatchers/connectionMonitors/write 接続モニターを作成する
Microsoft.Network/networkWatchers/connectionMonitors/delete 接続モニターを削除する

フロー ログ

アクション 説明
Microsoft.Network/networkWatchers/configureFlowLog/action フロー ログを構成する
Microsoft.Network/networkWatchers/queryFlowLogStatus/action フロー ログのクエリ状態
Microsoft.Network/networkSecurityGroups/write 1 ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します。
Microsoft.Storage/storageAccounts/listServiceSas/Action、
Microsoft.Storage/storageAccounts/listAccountSas/Action、
Microsoft.Storage/storageAccounts/listKeys/Action
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします

1 NSG フロー ログでのみ必要。

トラフィック分析

トラフィック分析はフロー ログ リソースの一部として有効にされるため、フロー ログに必要なすべてのアクセス許可に加えて、次のアクセス許可が必要です。

アクション 説明
Microsoft.Network/applicationGateways/read アプリケーション ゲートウェイを取得する
Microsoft.Network/connections/read VirtualNetworkGatewayConnection を取得します。
Microsoft.Network/loadBalancers/read ロード バランサーの定義を取得する
Microsoft.Network/localNetworkGateways/read LocalNetworkGateway を取得する
Microsoft.Network/networkInterfaces/read ネットワーク インターフェイス定義を取得する
Microsoft.Network/networkSecurityGroups/read ネットワーク セキュリティ グループの定義を取得する
Microsoft.Network/publicIPAddresses/read パブリック IP アドレス定義を取得する
Microsoft.Network/routeTables/read ルート テーブル定義を取得する
Microsoft.Network/virtualNetworkGateways/read VirtualNetworkGateway を取得する
Microsoft.Network/virtualNetworks/read 仮想ネットワーク定義を取得する
Microsoft.Network/expressRouteCircuits/read ExpressRouteCircuit を取得します。
Microsoft.OperationalInsights/workspaces/read 既存のワークスペースを取得します
Microsoft.OperationalInsights/workspaces/sharedkeys/action ワークスペースの共有キーを取得します
Microsoft.Insights/dataCollectionRules/read 1 データ収集ルールを読み取ります
Microsoft.Insights/dataCollectionRules/write 1 データ収集ルールを作成または更新します
Microsoft.Insights/dataCollectionRules/delete 1 データ収集ルールを削除します
Microsoft.Insights/dataCollectionEndpoints/read 1 データ収集エンドポイントを読み取ります
Microsoft.Insights/dataCollectionEndpoints/write 1 データ収集エンドポイントを作成または更新します
Microsoft.Insights/dataCollectionEndpoints/delete 1 データ収集エンドポイントを削除します

1 トラフィック分析を使用して仮想ネットワーク フロー ログを分析する場合にのみ必要です。 詳細については、「Azure Monitorでのデータ収集規則 Azure Monitorでのデータ収集エンドポイント 」を参照してください。

注意事項

データ収集規則とデータ収集エンドポイント リソースは、トラフィック分析によって作成および管理されます。 これらのリソースに対して何らかの操作を実行すると、トラフィック分析が期待どおりに機能しない可能性があります。

接続のトラブルシューティング

アクション 説明
Microsoft.Network/networkWatchers/connectivityCheck/action 接続のトラブルシューティング テストの開始
Microsoft.Network/networkWatchers/queryTroubleshootResult/action 接続のトラブルシューティング テストのクエリ結果
Microsoft.Network/networkWatchers/troubleshoot/action 接続のトラブルシューティング テストの実行

パケット キャプチャ

アクション 説明
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action パケット キャプチャの状態のクエリを実行する
Microsoft.Network/networkWatchers/packetCaptures/stop/action パケット キャプチャを停止する
Microsoft.Network/networkWatchers/packetCaptures/read パケット キャプチャを取得する
Microsoft.Network/networkWatchers/packetCaptures/write パケット キャプチャを作成する
Microsoft.Network/networkWatchers/packetCaptures/delete パケット キャプチャを削除する
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read パケット キャプチャの状態の表示する

IP フロー検証

アクション 説明
Microsoft.Network/networkWatchers/ipFlowVerify/action IP フローを確認する

次のホップ

アクション 説明
Microsoft.Network/networkWatchers/nextHop/action,
Microsoft.Network/networkWatchers/nextHop/read
指定されたターゲットと宛先 IP アドレスについて、次ホップの種類と次ホップの IP アドレスを返します
Microsoft.Compute/virtualMachines/read 仮想マシンのプロパティを取得する
Microsoft.Network/networkInterfaces/read ネットワーク インターフェイス定義を取得する

ネットワーク セキュリティ グループ ビュー

アクション 説明
Microsoft.Network/networkWatchers/securityGroupView/action セキュリティ グループを表示する

トポロジ

アクション 説明
Microsoft.Network/networkWatchers/topology/action トポロジを取得する
Microsoft.Network/networkWatchers/topology/read 同上

到達可能性レポート

アクション 説明
Microsoft.Network/networkWatchers/azureReachabilityReport/action Azure 到達可能性レポートを取得する

追加のアクション

Network Watcher 機能には、次のアクションも必要です。

アクション 説明
Microsoft.Authorization/*/Read Azure ロールの割り当てとポリシー定義をフェッチします
Microsoft.Resources/subscriptions/resourceGroups/Read サブスクリプションのすべてのリソース グループを列挙します
Microsoft.Storage/storageAccounts/Read 指定したストレージ アカウントのプロパティを取得します
Microsoft.Storage/storageAccounts/listServiceSas/Action、
Microsoft.Storage/storageAccounts/listAccountSas/Action、
Microsoft.Storage/storageAccounts/listKeys/Action
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) をフェッチします
Microsoft.Compute/virtualMachines/Read、
Microsoft.Compute/virtualMachines/Write
VM へのログイン、パケットの取得、そのストレージ アカウントへのアップロードを行います
Microsoft.Compute/virtualMachines/extensions/Read、
Microsoft.Compute/virtualMachines/extensions/Write
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います
Microsoft.Compute/virtualMachineScaleSets/Read、
Microsoft.Compute/virtualMachineScaleSets/Write
仮想マシンのスケール セットへのアクセス、パケット キャプチャ、およびそのストレージ アカウントへのアップロードを行います
Microsoft.Compute/virtualMachineScaleSets/extensions/Read、
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールを行います
Microsoft.Insights/alertRules/* メトリック アラートを設定する
Microsoft.Support/* Network Watcher からサポート チケットを作成および更新します