次の方法で共有


セキュリティのための Azure 組み込みロール

この記事では、セキュリティ カテゴリの Azure 組み込みロールの一覧を示します。

アプリ コンプライアンス オートメーション管理者

レポート オブジェクトおよび関連する他のリソース オブジェクトを作成、読み取り、ダウンロード、変更、および削除します。

詳細情報

アクション 説明
Microsoft.AppComplianceAutomation/*
Microsoft.Storage/storageAccounts/blobServices/write Blob service のプロパティの設定の結果を返します。
Microsoft.Storage/storageAccounts/fileservices/write ファイル サービスのプロパティを指定します
Microsoft.Storage/storageAccounts/listKeys/action 指定されたストレージ アカウントのアクセス キーを返します。
Microsoft.Storage/storageAccounts/write 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Blob service のユーザーの委任キーを返します
Microsoft.Storage/storageAccounts/read ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。
Microsoft.Storage/storageAccounts/blobServices/containers/read コンテナーの一覧を返します
Microsoft.Storage/storageAccounts/blobServices/containers/write BLOB コンテナーのプット結果を返します
Microsoft.Storage/storageAccounts/blobServices/read Blob service のプロパティまたは統計情報を返します。
Microsoft.PolicyInsights/policyStates/queryResults/action ポリシーの状態に関する情報のクエリを実行します。
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action 選択したスコープの新たなコンプライアンス評価をトリガーします。
Microsoft.Resources/resources/read フィルターに基づいてリソースの一覧を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Resources/subscriptions/resourceGroups/resources/read リソース グループのリソースを取得します。
Microsoft.Resources/subscriptions/resources/read サブスクリプションのリソースを取得します。
Microsoft.Resources/subscriptions/resourceGroups/delete リソース グループとそのすべてのリソースを削除します。
Microsoft.Resources/subscriptions/resourceGroups/write リソース グループを作成または更新します。
Microsoft.Resources/tags/read リソースのすべてのタグを取得します。
Microsoft.Resources/deployments/validate/action デプロイを検証します。
Microsoft.Security/automations/read スコープの自動化を取得します
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Security/automations/delete スコープの自動化を削除します
Microsoft.Security/automations/write スコープの自動化を作成または更新します
Microsoft.Security/register/action Azure Security Center にサブスクリプションを登録します。
Microsoft.Security/unregister/action Azure Security Center からサブスクリプションを登録解除します
*/read 機密データを除くあらゆる種類のリソースの読み取り
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, download, modify and delete reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

アプリ コンプライアンス オートメーション閲覧者

レポート オブジェクトおよび関連する他のリソース オブジェクトを読み取り、ダウンロードします。

詳細情報

アクション 説明
*/read 機密データを除くあらゆる種類のリソースの読み取り
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read, download the reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Attestation Contributor

構成証明プロバイダー インスタンスの読み取り、書き込み、または削除ができます

詳細情報

アクション 説明
Microsoft.Attestation/attestationProviders/attestation/read 構成証明サービスの状態を取得します。
Microsoft.Attestation/attestationProviders/attestation/write 構成証明サービスを追加します。
Microsoft.Attestation/attestationProviders/attestation/delete 構成証明サービスを削除します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Attestation Reader

構成証明プロバイダーのプロパティを読み取ることができます

詳細情報

アクション 説明
Microsoft.Attestation/attestationProviders/attestation/read 構成証明サービスの状態を取得します。
Microsoft.Attestation/attestationProviders/read 構成証明サービスの状態を取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Administrator

キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft.KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Certificate User

証明書の内容を表示します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
なし
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/certificates/read 指定された Key Vault 内の証明書を一覧表示するか、証明書に関する情報を取得します。
Microsoft.KeyVault/vaults/secrets/getSecret/action シークレットの値を取得します。
Microsoft.KeyVault/vaults/secrets/readMetadata/action シークレットの値ではなく、プロパティを一覧表示または表示します。
Microsoft.KeyVault/vaults/keys/read 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Certificates Officer

キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft.KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/certificatecas/*
Microsoft.KeyVault/vaults/certificates/*
Microsoft.KeyVault/vaults/certificatecontacts/write 証明書の連絡先を管理します
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Contributor

キー コンテナーを管理しますが、Azure RBAC でのロール割り当ては許可されず、シークレット、キー、証明書へのアクセスも許可されません。

詳細情報

重要

アクセス ポリシーの権限モデルを使用する場合、ContributorKey Vault Contributor、または、キー コンテナー管理プレーンの Microsoft.KeyVault/vaults/write 権限を含むその他のロールを持つユーザーは、Key Vault アクセス ポリシーを設定することで、自分自身にデータ プレーン アクセスを付与できます。 キー コンテナー、キー、シークレット、証明書への不正なアクセスと管理を防ぐには、アクセス ポリシーの権限モデルで、投稿者ロールのアクセスをキー コンテナーに制限することが不可欠です。 このリスクを軽減するために、ロールベースのアクセス制御 (RBAC) の権限モデルを使用することをお勧めします。これにより、権限管理を「所有者」ロールと「ユーザー アクセス管理者」ロールに制限し、セキュリティ オペレーションと管理業務を明確に分離できます。 詳細については、「Key Vault の RBAC ガイド」および「Azure RBAC とは」を参照してください。

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
Microsoft.KeyVault/locations/deletedVaults/purge/action 論理的に削除された Key Vault を消去します。
Microsoft.KeyVault/hsmPools/*
Microsoft.KeyVault/managedHsms/*
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Officer

キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft.KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/keys/*
Microsoft.KeyVault/vaults/keyrotationpolicies/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service Encryption User

キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
Microsoft.EventGrid/eventSubscriptions/write eventSubscription を作成または更新します。
Microsoft.EventGrid/eventSubscriptions/read eventSubscription を削除します。
Microsoft.EventGrid/eventSubscriptions/delete eventSubscription を削除します。
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/keys/read 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。
Microsoft.KeyVault/vaults/keys/wrap/action Key Vault キーで対称キーをラップします。 Key Vault キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。
Microsoft.KeyVault/vaults/keys/unwrap/action Key Vault キーで対称キーをラップ解除します。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service Release User

キーを解放します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
なし
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/keys/release/action 構成証明トークンから KEK の公開部分を使用してキーを解放します。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto User

キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
なし
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/keys/read 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。
Microsoft.KeyVault/vaults/keys/update/action 特定のキーに関連付けられている、指定された属性を更新します。
Microsoft.KeyVault/vaults/keys/backup/action キーのバックアップ ファイルを作成します。 このファイルは、同じサブスクリプションの Key Vault でキーを復元するために使用できます。 制限が適用される場合があります。
Microsoft.KeyVault/vaults/keys/encrypt/action キーでプレーンテキストを暗号化します。 キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。
Microsoft.KeyVault/vaults/keys/decrypt/action キーで暗号化テキストの暗号化を解除します。
Microsoft.KeyVault/vaults/keys/wrap/action Key Vault キーで対称キーをラップします。 Key Vault キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。
Microsoft.KeyVault/vaults/keys/unwrap/action Key Vault キーで対称キーをラップ解除します。
Microsoft.KeyVault/vaults/keys/sign/action キーでメッセージ ダイジェスト (ハッシュ) に署名します。
Microsoft.KeyVault/vaults/keys/verify/action キーでメッセージ ダイジェスト (ハッシュ) の署名を検証します。 キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault データ アクセス管理者

Key Vault 管理者、Key Vault 証明書オフィサー、Key Vault Crypto オフィサー、Key Vault Crypto サービス暗号化ユーザー、Key Vault Crypto ユーザー、Key Vault 閲覧者、Key Vault シークレット オフィサー、または Key Vault シークレット ユーザー ロールのロールを追加または削除して、Azure Key Vault へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。

アクション 説明
Microsoft.Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft.Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.KeyVault/vaults/*/read
NotActions
なし
DataActions
なし
NotDataActions
なし
Condition
((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) 以下のロールでロールの割り当てを追加または削除します:
Key Vault Administrator
Key Vault Certificates Officer
Key Vault Crypto Officer
Key Vault Crypto Service Encryption User
Key Vault Crypto User
Key Vault Reader
Key Vault Secrets Officer
Key Vault Secrets User
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Reader

キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft.KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/vaults/secrets/readMetadata/action シークレットの値ではなく、プロパティを一覧表示または表示します。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Secrets Officer

キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft.KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/secrets/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Secrets User

シークレット コンテンツを読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

アクション 説明
なし
NotActions
なし
DataActions
Microsoft.KeyVault/vaults/secrets/getSecret/action シークレットの値を取得します。
Microsoft.KeyVault/vaults/secrets/readMetadata/action シークレットの値ではなく、プロパティを一覧表示または表示します。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Managed HSM contributor

マネージド HSM プールを管理できます。ただし、それらへのアクセスは含まれません。

詳細情報

アクション 説明
Microsoft.KeyVault/managedHSMs/*
Microsoft.KeyVault/deletedManagedHsms/read 削除されたマネージド HSM のプロパティを表示します
Microsoft.KeyVault/locations/deletedManagedHsms/read 削除されたマネージド HSM のプロパティを表示します
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action 論理的に削除されたマネージド HSM を消去します
Microsoft.KeyVault/locations/managedHsmOperationResults/read 長時間実行された操作の結果を確認します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Automation 共同作成者

Microsoft Sentinel Automation 共同作成者

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Logic/workflows/triggers/read トリガーを読み取ります。
Microsoft.Logic/workflows/triggers/listCallbackUrl/action トリガーのコールバック URL を取得します。
Microsoft.Logic/workflows/runs/read ワークフロー実行を読み取ります。
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read Web Apps のホストランタイム ワークフロー トリガーを一覧表示します。
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Web Apps のホストランタイム ワークフロー トリガー URI を取得します。
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read Web Apps のホストランタイム ワークフローの実行を一覧表示します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel 共同作成者

Microsoft Sentinel 共同作成者

詳細情報

アクション 説明
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/analytics/query/action 新しいエンジンを使用して検索します。
Microsoft.OperationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft.OperationalInsights/workspaces/savedSearches/*
Microsoft.OperationsManagement/solutions/read 既存の OMS ソリューションを取得します
Microsoft.OperationalInsights/workspaces/query/read ワークスペース内のデータに対してクエリを実行します
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/*
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel プレイブック オペレーター

Microsoft Sentinel プレイブック オペレーター

詳細情報

アクション 説明
Microsoft.Logic/workflows/read ワークフローを読み取ります。
Microsoft.Logic/workflows/triggers/listCallbackUrl/action トリガーのコールバック URL を取得します。
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Web Apps のホストランタイム ワークフロー トリガー URI を取得します。
Microsoft.Web/sites/read Web アプリのプロパティを取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel 閲覧者

Microsoft Sentinel 閲覧者

詳細情報

アクション 説明
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action ユーザーの承認とライセンスを確認します
Microsoft.SecurityInsights/threatintelligence/indicators/query/action 脅威インテリジェンス インジケーターをクエリします
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action 脅威インテリジェンス インジケーターをクエリします
Microsoft.OperationalInsights/workspaces/analytics/query/action 新しいエンジンを使用して検索します。
Microsoft.OperationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft.OperationalInsights/workspaces/LinkedServices/read 指定されたワークスペースのリンクされたサービスを取得します。
Microsoft.OperationalInsights/workspaces/savedSearches/read 保存された検索クエリを取得します。
Microsoft.OperationsManagement/solutions/read 既存の OMS ソリューションを取得します
Microsoft.OperationalInsights/workspaces/query/read ワークスペース内のデータに対してクエリを実行します
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft.Insights/workbooks/read ブックを読み取ります
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Resources/templateSpecs/*/read テンプレート スペックとテンプレート スペック バージョンを取得または一覧表示します
Microsoft.Support/* サポート チケットの作成と更新
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel レスポンダー

Microsoft Sentinel レスポンダー

詳細情報

アクション 説明
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action ユーザーの承認とライセンスを確認します
Microsoft.SecurityInsights/automationRules/*
Microsoft.SecurityInsights/cases/*
Microsoft.SecurityInsights/incidents/*
Microsoft.SecurityInsights/entities/runPlaybook/action エンティティでプレイブックを実行する
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action 脅威インテリジェンス インジケーターにタグを追加します
Microsoft.SecurityInsights/threatintelligence/indicators/query/action 脅威インテリジェンス インジケーターをクエリします
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action 脅威インテリジェンスに一括でタグを付けます
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action 脅威インテリジェンス インジケーターにタグを追加します
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action 脅威インテリジェンス インジケーターのタグを置換します
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action 脅威インテリジェンス インジケーターをクエリします
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action 操作を元に戻します
Microsoft.OperationalInsights/workspaces/analytics/query/action 新しいエンジンを使用して検索します。
Microsoft.OperationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft.OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft.OperationalInsights/workspaces/savedSearches/read 保存された検索クエリを取得します。
Microsoft.OperationsManagement/solutions/read 既存の OMS ソリューションを取得します
Microsoft.OperationalInsights/workspaces/query/read ワークスペース内のデータに対してクエリを実行します
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/read ブックを読み取ります
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
Microsoft.SecurityInsights/cases/*/Delete
Microsoft.SecurityInsights/incidents/*/Delete
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

セキュリティ管理者

Microsoft Defender for Cloud のアクセス許可を表示および更新します。 セキュリティ閲覧者と同じアクセス許可があり、セキュリティ ポリシーの更新、アラートと推奨事項の無視も可能になります。

Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Authorization/policyAssignments/* ポリシーの割り当ての作成と管理
Microsoft.Authorization/policyDefinitions/* ポリシー定義の作成と管理
Microsoft.Authorization/policyExemptions/* ポリシー適用除外の作成と管理
Microsoft.Authorization/policySetDefinitions/* ポリシー セットの作成と管理
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
Microsoft.operationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Security/* セキュリティ コンポーネントおよびポリシーの作成と管理
Microsoft.IoTSecurity/*
Microsoft.IoTFirmwareDefense/*
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Security Assessment Contributor

評価を Microsoft Defender for Cloud にプッシュできます

アクション 説明
Microsoft.Security/assessments/write サブスクリプションで利用可能なセキュリティ評価を作成または更新します
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

セキュリティ マネージャー (レガシ)

これは、レガシ ロールです。 代わりに Security Admin を使用してください。

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.ClassicCompute/*/read 従来の仮想マシンの構成情報の読み取り
Microsoft.ClassicCompute/virtualMachines/*/write 従来の仮想マシンの構成の書き込み
Microsoft.ClassicNetwork/*/read 従来のネットワークに関する構成情報の読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.ResourceHealth/availabilityStatuses/read 指定されたスコープのすべてのリソースの利用状況を取得します。
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Security/* セキュリティ コンポーネントおよびポリシーの作成と管理
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Security Reader

Microsoft Defender for Cloud のアクセス許可を表示します。 推奨事項、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。

Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/read クラシック メトリック アラートを読み取ります
Microsoft.operationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft.Resources/deployments/*/read
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Security/*/read セキュリティ コンポーネントとポリシーの読み取り
Microsoft.IoTSecurity/*/read
Microsoft.Support/*/read
Microsoft.Security/iotDefenderSettings/packageDownloads/action ダウンロード可能な IoT Defender パッケージ情報を取得します
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action サブスクリプション クォータ データを含むマネージャー アクティブ化ファイルをダウンロードします
Microsoft.Security/iotSensors/downloadResetPassword/action IoT センサーのリセット パスワード ファイルをダウンロードします
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action ダウンロード可能な IoT Defender パッケージ情報を取得します
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action マネージャー アクティブ化ファイルをダウンロードします。
Microsoft.Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

次のステップ