Ingebouwde Azure-rollen voor beveiliging
In dit artikel vindt u een overzicht van de ingebouwde Azure-rollen in de categorie Beveiliging.
Automation-beheerder voor app-naleving
Rapportenobjecten en gerelateerde resourceobjecten maken, lezen, downloaden, wijzigen en verwijderen.
| Acties | Beschrijving |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Retourneert het resultaat van de eigenschappen van de put-blobservice |
| Microsoft.Storage/storageAccounts/fileservices/write | Eigenschappen van bestandsservice plaatsen |
| Microsoft.Storage/storageAccounts/listKeys/action | Retourneert de toegangssleutels voor het opgegeven opslagaccount. |
| Microsoft.Storage/storageAccounts/write | Hiermee maakt u een opslagaccount met de opgegeven parameters of werkt u de eigenschappen of tags bij of voegt u een aangepast domein toe voor het opgegeven opslagaccount. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Retourneert een gebruikersdelegeringssleutel voor de blobservice |
| Microsoft.Storage/storageAccounts/read | Retourneert de lijst met opslagaccounts of haalt de eigenschappen voor het opgegeven opslagaccount op. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Retourneert een lijst met containers |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Retourneert het resultaat van put-blobcontainer |
| Microsoft.Storage/storageAccounts/blobServices/read | Retourneert eigenschappen of statistieken van de Blob-service |
| Microsoft.PolicyInsights/policyStates/queryResults/action | Query's uitvoeren op informatie over beleidsstatussen. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Hiermee wordt een nieuwe nalevingsevaluatie geactiveerd voor het geselecteerde bereik. |
| Microsoft.Resources/resources/lezen | Haal de lijst met resources op op basis van filters. |
| Microsoft.Resources/subscriptions/read | Hiermee haalt u de lijst met abonnementen op. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Hiermee haalt u de resources voor de resourcegroep op. |
| Microsoft.Resources/subscriptions/resources/read | Hiermee haalt u resources van een abonnement op. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Hiermee verwijdert u een resourcegroep en alle bijbehorende resources. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Hiermee maakt of werkt u een resourcegroep bij. |
| Microsoft.Resources/tags/lezen | Hiermee haalt u alle tags op een resource op. |
| Microsoft.Resources/deployments/validate/action | Hiermee valideert u een implementatie. |
| Microsoft.Security/automations/read | Haalt de automatiseringen voor het bereik op |
| Microsoft.Resources/deployments/write | Hiermee maakt of werkt u een implementatie bij. |
| Microsoft.Security/automations/delete | Hiermee verwijdert u de automatisering voor het bereik |
| Microsoft.Security/automations/write | Hiermee maakt of werkt u de automatisering voor het bereik bij |
| Microsoft.Security/register/action | Registreert het abonnement voor Azure Security Center |
| Microsoft.Security/registratie/actie ongedaan maken | De registratie van het abonnement bij Azure Security Center ongedaan maken |
| */read | Leesbronnen van alle typen, met uitzondering van geheimen. |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Automation-lezer voor app-naleving
Lees, download de rapportenobjecten en gerelateerde andere resourceobjecten.
| Acties | Beschrijving |
|---|---|
| */read | Leesbronnen van alle typen, met uitzondering van geheimen. |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Attestation-inzender
Kan het exemplaar van de Attestation-provider lezen of verwijderen
| Acties | Beschrijving |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Hiermee haalt u de status van de Attestation-service op. |
| Microsoft.Attestation/attestationProviders/attestation/write | Voegt de Attestation-service toe. |
| Microsoft.Attestation/attestationProviders/attestation/delete | Hiermee verwijdert u de Attestation-service. |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Attestation Reader
Kan de eigenschappen van de Attestation-provider lezen
| Acties | Beschrijving |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Hiermee haalt u de status van de Attestation-service op. |
| Microsoft.Attestation/attestationProviders/read | Hiermee haalt u de status van de Attestation-service op. |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-beheerder
Voer alle gegevensvlakbewerkingen uit op een sleutelkluis en alle objecten erin, inclusief certificaten, sleutels en geheimen. Kan key vault-resources niet beheren of roltoewijzingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| Microsoft.KeyVault/checkNameAvailability/read | Controleert of de naam van een sleutelkluis geldig is en niet in gebruik is |
| Microsoft.KeyVault/deletedVaults/read | De eigenschappen van voorlopig verwijderde sleutelkluizen weergeven |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Geeft een lijst weer van bewerkingen die beschikbaar zijn op de resourceprovider Microsoft.KeyVault |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-certificaatgebruiker
De inhoud van het certificaat lezen. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| geen | |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificates/read | Geef certificaten weer in een opgegeven sleutelkluis of haal informatie over een certificaat op. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Hiermee haalt u de waarde van een geheim op. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | De eigenschappen van een geheim weergeven of weergeven, maar niet de waarde ervan. |
| Microsoft.KeyVault/vaults/keys/read | Sleutels weergeven in de opgegeven kluis of eigenschappen en openbaar materiaal van een sleutel lezen. Voor asymmetrische sleutels maakt deze bewerking openbare sleutel beschikbaar en bevat deze mogelijkheid om algoritmen voor openbare sleutels uit te voeren, zoals het versleutelen en verifiëren van handtekeningen. Persoonlijke sleutels en symmetrische sleutels worden nooit weergegeven. |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Certificates Officer
Voer een actie uit op de certificaten van een sleutelkluis, behalve machtigingen voor beheer. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| Microsoft.KeyVault/checkNameAvailability/read | Controleert of de naam van een sleutelkluis geldig is en niet in gebruik is |
| Microsoft.KeyVault/deletedVaults/read | De eigenschappen van voorlopig verwijderde sleutelkluizen weergeven |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Geeft een lijst weer van bewerkingen die beschikbaar zijn op de resourceprovider Microsoft.KeyVault |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Certificaatcontactpersoon beheren |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-inzender
Sleutelkluizen beheren, maar u kunt geen rollen toewijzen in Azure RBAC en u hebt geen toegang tot geheimen, sleutels of certificaten.
Belangrijk
Wanneer u het machtigingsmodel voor toegangsbeleid gebruikt, kan een gebruiker met de Contributor, Key Vault Contributorof een andere rol die machtigingen voor het beheervlak van de sleutelkluis bevat Microsoft.KeyVault/vaults/write , zichzelf gegevensvlaktoegang verlenen door een Key Vault-toegangsbeleid in te stellen. Om onbevoegde toegang en beheer van uw sleutelkluizen, sleutels, geheimen en certificaten te voorkomen, is het essentieel om de roltoegang van inzenders tot sleutelkluizen onder het machtigingsmodel voor toegangsbeleid te beperken. Om dit risico te beperken, raden we u aan het RBAC-machtigingsmodel (Role-Based Access Control) te gebruiken, waardoor machtigingsbeheer wordt beperkt tot de rollen 'Eigenaar' en 'Beheerder voor gebruikerstoegang', waardoor een duidelijke scheiding tussen beveiligingsbewerkingen en administratieve taken mogelijk is. Zie de Key Vault RBAC-handleiding en wat is Azure RBAC? voor meer informatie.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Een voorlopig verwijderde sleutelkluis leegmaken |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Officer
Voer een actie uit op de sleutels van een sleutelkluis, behalve machtigingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| Microsoft.KeyVault/checkNameAvailability/read | Controleert of de naam van een sleutelkluis geldig is en niet in gebruik is |
| Microsoft.KeyVault/deletedVaults/read | De eigenschappen van voorlopig verwijderde sleutelkluizen weergeven |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Geeft een lijst weer van bewerkingen die beschikbaar zijn op de resourceprovider Microsoft.KeyVault |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Versleutelingsgebruiker voor Key Vault Crypto Service
Lees metagegevens van sleutels en voer wrap-/unwrap-bewerkingen uit. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Een eventSubscription maken of bijwerken |
| Microsoft.EventGrid/eventSubscriptions/read | Een eventSubscription lezen |
| Microsoft.EventGrid/eventSubscriptions/delete | Een eventSubscription verwijderen |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Sleutels weergeven in de opgegeven kluis of eigenschappen en openbaar materiaal van een sleutel lezen. Voor asymmetrische sleutels maakt deze bewerking openbare sleutel beschikbaar en bevat deze mogelijkheid om algoritmen voor openbare sleutels uit te voeren, zoals het versleutelen en verifiëren van handtekeningen. Persoonlijke sleutels en symmetrische sleutels worden nooit weergegeven. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Verpakt een symmetrische sleutel met een Key Vault-sleutel. Houd er rekening mee dat als de Sleutelkluissleutel asymmetrisch is, deze bewerking kan worden uitgevoerd door principals met leestoegang. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Pak een symmetrische sleutel uit met een Key Vault-sleutel. |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Service Release-gebruiker
Los sleutels vrij. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| geen | |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/release/action | Een sleutel vrijgeven met behulp van een openbaar deel van KEK van attestation-token. |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto-gebruiker
Cryptografische bewerkingen uitvoeren met behulp van sleutels. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| geen | |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Sleutels weergeven in de opgegeven kluis of eigenschappen en openbaar materiaal van een sleutel lezen. Voor asymmetrische sleutels maakt deze bewerking openbare sleutel beschikbaar en bevat deze mogelijkheid om algoritmen voor openbare sleutels uit te voeren, zoals het versleutelen en verifiëren van handtekeningen. Persoonlijke sleutels en symmetrische sleutels worden nooit weergegeven. |
| Microsoft.KeyVault/vaults/keys/update/action | Hiermee worden de opgegeven kenmerken bijgewerkt die zijn gekoppeld aan de opgegeven sleutel. |
| Microsoft.KeyVault/vaults/keys/backup/action | Hiermee maakt u het back-upbestand van een sleutel. Het bestand kan worden gebruikt om de sleutel in een Key Vault van hetzelfde abonnement te herstellen. Er kunnen beperkingen van toepassing zijn. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Versleutelt tekst zonder opmaak met een sleutel. Houd er rekening mee dat als de sleutel asymmetrisch is, deze bewerking kan worden uitgevoerd door principals met leestoegang. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Ontsleutelt coderingstekst met een sleutel. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Verpakt een symmetrische sleutel met een Key Vault-sleutel. Houd er rekening mee dat als de Sleutelkluissleutel asymmetrisch is, deze bewerking kan worden uitgevoerd door principals met leestoegang. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Pak een symmetrische sleutel uit met een Key Vault-sleutel. |
| Microsoft.KeyVault/vaults/keys/sign/action | Ondertekent een berichtsamenvating (hash) met een sleutel. |
| Microsoft.KeyVault/vaults/keys/verify/action | Controleert de handtekening van een berichtsamenvating (hash) met een sleutel. Houd er rekening mee dat als de sleutel asymmetrisch is, deze bewerking kan worden uitgevoerd door principals met leestoegang. |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Data Access Administrator
Toegang tot Azure Key Vault beheren door roltoewijzingen toe te voegen of te verwijderen voor de Key Vault-beheerder, Key Vault Certificates Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer of Key Vault Secrets User. Bevat een ABAC-voorwaarde om roltoewijzingen te beperken.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Maak een roltoewijzing op het opgegeven bereik. |
| Microsoft.Authorization/roleAssignments/delete | Een roltoewijzing verwijderen in het opgegeven bereik. |
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Resources/subscriptions/read | Hiermee haalt u de lijst met abonnementen op. |
| Microsoft.Management/managementGroups/read | Lijst met beheergroepen voor de geverifieerde gebruiker. |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen | |
| Condition | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Voeg roltoewijzingen toe of verwijder deze voor de volgende rollen: Key Vault-beheerder Key Vault Certificates Officer Key Vault Crypto Officer Versleutelingsgebruiker voor Key Vault Crypto Service Key Vault Crypto-gebruiker Key Vault-lezer Key Vault Secrets Officer Key Vault-geheimengebruiker |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-lezer
Lees metagegevens van sleutelkluizen en de bijbehorende certificaten, sleutels en geheimen. Kan gevoelige waarden, zoals geheime inhoud of sleutelmateriaal, niet lezen. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| Microsoft.KeyVault/checkNameAvailability/read | Controleert of de naam van een sleutelkluis geldig is en niet in gebruik is |
| Microsoft.KeyVault/deletedVaults/read | De eigenschappen van voorlopig verwijderde sleutelkluizen weergeven |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Geeft een lijst weer van bewerkingen die beschikbaar zijn op de resourceprovider Microsoft.KeyVault |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | De eigenschappen van een geheim weergeven of weergeven, maar niet de waarde ervan. |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Secrets Officer
Voer een actie uit voor de geheimen van een sleutelkluis, behalve machtigingen voor beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| Microsoft.KeyVault/checkNameAvailability/read | Controleert of de naam van een sleutelkluis geldig is en niet in gebruik is |
| Microsoft.KeyVault/deletedVaults/read | De eigenschappen van voorlopig verwijderde sleutelkluizen weergeven |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Geeft een lijst weer van bewerkingen die beschikbaar zijn op de resourceprovider Microsoft.KeyVault |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-geheimengebruiker
Geheime inhoud lezen. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure.
| Acties | Beschrijving |
|---|---|
| geen | |
| NotActions | |
| geen | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Hiermee haalt u de waarde van een geheim op. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | De eigenschappen van een geheim weergeven of weergeven, maar niet de waarde ervan. |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Inzender voor beheerde HSM
Hiermee kunt u beheerde HSM-pools beheren, maar geen toegang tot deze pools.
| Acties | Beschrijving |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | De eigenschappen van een verwijderde beheerde hsm weergeven |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | De eigenschappen van een verwijderde beheerde hsm weergeven |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Een voorlopig verwijderde beheerde hsm opschonen |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Het resultaat van een langdurige bewerking controleren |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Inzender voor Microsoft Sentinel Automation
Inzender voor Microsoft Sentinel Automation
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Logic/workflows/triggers/read | Leest de trigger. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Hiermee haalt u de callback-URL voor trigger op. |
| Microsoft.Logic/workflows/runs/read | Leest de werkstroomuitvoering. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Web Apps Hostruntime-werkstroomtriggers weergeven. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Get Web Apps Hostruntime Workflow Trigger Uri. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Web Apps Hostruntime-werkstroomuitvoeringen weergeven. |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel-inzender
Microsoft Sentinel-inzender
| Acties | Beschrijving |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Zoeken met behulp van een nieuwe engine. |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics-gegevens weergeven |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Bestaande OMS-oplossing ophalen |
| Microsoft.OperationalInsights/workspaces/query/read | Query's uitvoeren op de gegevens in de werkruimte |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Gegevensbron ophalen onder een werkruimte. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Playbook Operator
Microsoft Sentinel Playbook Operator
| Acties | Beschrijving |
|---|---|
| Microsoft.Logic/workflows/read | Leest de werkstroom. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Hiermee haalt u de callback-URL voor trigger op. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Get Web Apps Hostruntime Workflow Trigger Uri. |
| Microsoft.Web/sites/read | De eigenschappen van een web-app ophalen |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Reader
Microsoft Sentinel Reader
| Acties | Beschrijving |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Gebruikersautorisatie en -licentie controleren |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Indicatoren voor bedreigingsinformatie van query's |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Indicatoren voor bedreigingsinformatie van query's |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Zoeken met behulp van een nieuwe engine. |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics-gegevens weergeven |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Gekoppelde services ophalen onder een bepaalde werkruimte. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Hiermee haalt u een opgeslagen zoekquery op. |
| Microsoft.OperationsManagement/solutions/read | Bestaande OMS-oplossing ophalen |
| Microsoft.OperationalInsights/workspaces/query/read | Query's uitvoeren op de gegevens in de werkruimte |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Gegevensbron ophalen onder een werkruimte. |
| Microsoft.Insights/workbooks/read | Een werkmap lezen |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Resources/templateSpecs/*/read | Sjabloonspecificaties en sjabloonspecificaties ophalen of vermelden |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Responder
Microsoft Sentinel Responder
| Acties | Beschrijving |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Gebruikersautorisatie en -licentie controleren |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | Playbook uitvoeren op entiteit |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Tags toevoegen aan bedreigingsinformatieindicator |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Indicatoren voor bedreigingsinformatie van query's |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Bedreigingsinformatie voor bulktags |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Tags toevoegen aan bedreigingsinformatieindicator |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Tags van bedreigingsinformatie-indicator vervangen |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Indicatoren voor bedreigingsinformatie van query's |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Een actie ongedaan maken |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Zoeken met behulp van een nieuwe engine. |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics-gegevens weergeven |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Gegevensbron ophalen onder een werkruimte. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Hiermee haalt u een opgeslagen zoekquery op. |
| Microsoft.OperationsManagement/solutions/read | Bestaande OMS-oplossing ophalen |
| Microsoft.OperationalInsights/workspaces/query/read | Query's uitvoeren op de gegevens in de werkruimte |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Gegevensbron ophalen onder een werkruimte. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | Een werkmap lezen |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Beveiligingsbeheerder
Machtigingen voor Microsoft Defender voor Cloud weergeven en bijwerken. Dezelfde machtigingen als de rol Beveiligingslezer en kunnen ook het beveiligingsbeleid bijwerken en waarschuwingen en aanbevelingen negeren.
Zie Azure-gebruikersrollen voor OT- en Enterprise IoT-bewaking voor Microsoft Defender for IoT.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Authorization/policyAssignments/* | Beleidstoewijzingen maken en beheren |
| Microsoft.Authorization/policyDefinitions/* | Beleidsdefinities maken en beheren |
| Microsoft.Authorization/policyExemptions/* | Beleidsvrijstellingen maken en beheren |
| Microsoft.Authorization/policySetDefinitions/* | Beleidssets maken en beheren |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.Management/managementGroups/read | Lijst met beheergroepen voor de geverifieerde gebruiker. |
| Microsoft.operationalInsights/workspaces/*/read | Log Analytics-gegevens weergeven |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Security/* | Beveiligingsonderdelen en -beleid maken en beheren |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Inzender voor beveiligingsevaluatie
Hiermee kunt u evaluaties pushen naar Microsoft Defender voor Cloud
| Acties | Beschrijving |
|---|---|
| Microsoft.Security/assessments/write | Beveiligingsevaluaties voor uw abonnement maken of bijwerken |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Security Manager (verouderd)
Dit is een verouderde rol. Gebruik in plaats daarvan de beveiligingsbeheerder.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.ClassicCompute/*/read | Klassieke virtuele machines voor configuratie-informatie lezen |
| Microsoft.ClassicCompute/virtualMachines/*/write | Configuratie schrijven voor klassieke virtuele machines |
| Microsoft.ClassicNetwork/*/read | Configuratie-informatie over klassiek netwerk lezen |
| Microsoft.Insights/alertRules/* | Een klassieke metrische waarschuwing maken en beheren |
| Microsoft.ResourceHealth/availabilityStatuses/read | Hiermee haalt u de beschikbaarheidsstatussen voor alle resources in het opgegeven bereik op |
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Security/* | Beveiligingsonderdelen en -beleid maken en beheren |
| Microsoft.Support/* | Een ondersteuningsticket maken en bijwerken |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Beveiligingslezer
Machtigingen voor Microsoft Defender voor Cloud weergeven. Kan aanbevelingen, waarschuwingen, een beveiligingsbeleid en beveiligingsstatussen bekijken, maar kan geen wijzigingen aanbrengen.
Zie Azure-gebruikersrollen voor OT- en Enterprise IoT-bewaking voor Microsoft Defender for IoT.
| Acties | Beschrijving |
|---|---|
| Microsoft.Authorization/*/read | Rollen en roltoewijzingen lezen |
| Microsoft.Insights/alertRules/read | Een klassieke metrische waarschuwing lezen |
| Microsoft.operationalInsights/workspaces/*/read | Log Analytics-gegevens weergeven |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Hiermee haalt u resourcegroepen op of vermeldt u deze. |
| Microsoft.Security/*/read | Beveiligingsonderdelen en -beleid lezen |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | Downloadbare Informatie over IoT Defender-pakketten ophalen |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Activeringsbestand voor manager downloaden met abonnementsquotumgegevens |
| Microsoft.Security/iotSensors/downloadResetPassword/action | Downloads wachtwoordbestand opnieuw instellen voor IoT-sensoren |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Downloadbare Informatie over IoT Defender-pakketten ophalen |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Activeringsbestand voor manager downloaden |
| Microsoft.Management/managementGroups/read | Lijst met beheergroepen voor de geverifieerde gebruiker. |
| NotActions | |
| geen | |
| DataActions | |
| geen | |
| NotDataActions | |
| geen |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}