Compartilhar via


Funções internas do Azure para Segurança

Este artigo lista as funções internas do Azure na categoria Segurança.

Administrador de Automação de Conformidade de Aplicativos

Permite criar, ler, baixar, modificar e excluir relatórios e outros objetos de recursos relacionados.

Saiba mais

Ações Descrição
Microsoft.AppComplianceAutomation/*
Microsoft.Storage/storageAccounts/blobServices/write Retornar o resultado da inserção de propriedades do serviço blob
Microsoft.Storage/storageAccounts/fileservices/write Colocar as propriedades do serviço de arquivo
Microsoft.Storage/storageAccounts/listKeys/action Retornar as chaves de acesso da conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/write Criar uma conta de armazenamento com os parâmetros especificados, atualizar as propriedades ou marcas ou adicionar um domínio personalizado à conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Retorna uma chave de delegação de usuário para o serviço Blob
Microsoft.Storage/storageAccounts/read Retornar a lista de contas de armazenamento ou obter as propriedades da conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/blobServices/containers/read Retorna a lista de contêineres
Microsoft.Storage/storageAccounts/blobServices/containers/write Retorna o resultado do contêiner de put blob
Microsoft.Storage/storageAccounts/blobServices/read Retornar propriedades ou estatísticas do serviço blob
Microsoft.PolicyInsights/policyStates/queryResults/action Consulta informações sobre estados de política.
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action Dispara uma nova avaliação de conformidade para o escopo selecionado.
Microsoft.Resources/resources/read Obter a lista de recursos com base em filtros.
Microsoft.Resources/subscriptions/read Obter a lista de assinaturas.
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Resources/subscriptions/resourceGroups/resources/read Obter os recursos do grupo de recursos.
Microsoft.Resources/subscriptions/resources/read Obter os recursos de uma assinatura.
Microsoft.Resources/subscriptions/resourceGroups/delete Excluir um grupo de recursos e todos os seus recursos.
Microsoft.Resources/subscriptions/resourceGroups/write Criar ou atualizar um grupo de recursos.
Microsoft.Resources/tags/read Obtém todas as marcas em um recurso.
Microsoft.Resources/deployments/validate/action Validar uma implantação.
Microsoft.Security/automations/read Obtém as automações para o escopo
Microsoft.Resources/deployments/write Criar ou atualizar uma implantação.
Microsoft.Security/automações/excluir Exclui a automação para o escopo
Microsoft.Security/automations/write Cria ou atualiza a automação para o escopo
Microsoft.Security/register/action Registrar a assinatura da Central de Segurança do Azure
Microsoft.Security/unregister/action Cancelar a assinatura da Central de Segurança do Azure
*/leitura Ler recursos de todos os tipos, exceto segredos.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, download, modify and delete reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Leitor de Automação de Conformidade de Aplicativos

Permite ler e baixar relatórios e outros objetos de recursos relacionados.

Saiba mais

Ações Descrição
*/leitura Ler recursos de todos os tipos, exceto segredos.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read, download the reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Colaborador do Atestado

Pode ler, gravar ou excluir a instância do provedor de atestado.

Saiba mais

Ações Descrição
Microsoft.Attestation/attestationProviders/attestation/read Obtém o status do serviço de atestado.
Microsoft.Attestation/attestationProviders/attestation/write Adiciona serviço de atestado.
Microsoft.Attestation/attestationProviders/attestation/delete Remove o serviço de atestado.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Leitor do Atestado

Pode ler as propriedades do provedor de atestado.

Saiba mais

Ações Descrição
Microsoft.Attestation/attestationProviders/attestation/read Obtém o status do serviço de atestado.
Microsoft.Attestation/attestationProviders/read Obtém o status do serviço de atestado.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrador do Key Vault

Executa todas as operações do plano de dados em um cofre de chaves e em todos os objetos nele, incluindo certificados, chaves e segredos. Não pode gerenciar os recursos do Key Vault nem gerenciar atribuições de função. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
Microsoft.KeyVault/checkNameAvailability/read Verificar se um nome de chave do cofre é válido e não está em uso
Microsoft.KeyVault/deletedVaults/read Exibir as propriedades de cofres de chaves com exclusão reversível
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault
NotActions
none
DataActions
Microsoft.KeyVault/vaults/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Usuário de certificado do Key Vault

Permite ler conteúdos de certificados. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
none
NotActions
none
DataActions
Microsoft.KeyVault/cofres/certificados/leitura Liste certificados em um cofre de chaves especificado ou obtenha informações sobre um certificado.
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtém o valor de um segredo.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listar ou exibir as propriedades de um segredo, mas não o seu valor.
Microsoft.KeyVault/vaults/keys/read Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Responsável pelos certificados do Key Vault

Execute qualquer ação nos certificados de um Key Vault, exceto gerenciar permissões. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
Microsoft.KeyVault/checkNameAvailability/read Verificar se um nome de chave do cofre é válido e não está em uso
Microsoft.KeyVault/deletedVaults/read Exibir as propriedades de cofres de chaves com exclusão reversível
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault
NotActions
none
DataActions
Microsoft.KeyVault/vaults/certificatecas/*
Microsoft.KeyVault/vaults/certificates/*
Microsoft.KeyVault/vaults/certificatecontacts/write Gerenciar o Contato do Certificado
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Colaborador do Key Vault

Gerencie os cofres de chaves; no entanto, você não pode atribuir funções no Azure RBAC e acessar segredos, chaves ou certificados.

Saiba mais

Importante

Ao usar o modelo de permissão da Política de Acesso, um usuário com a função Contributor, Key Vault Contributor ou qualquer outra função que inclua permissões Microsoft.KeyVault/vaults/write para o plano de gerenciamento do cofre de chaves pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso do Key Vault. Para impedir o acesso e o gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função Colaborador a cofres de chaves no modelo de permissão da Política de Acesso. Para atenuar esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções “Proprietário” e “Administrador de Acesso do Usuário”, permitindo uma separação clara entre operações de segurança e funções administrativas. Confira o Guia para RBAC do Key Vault e O que é o RBAC do Azure? para obter mais informações.

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
NotActions
Microsoft.KeyVault/locations/deletedVaults/purge/action Limpar um cofre de chaves com exclusão reversível
Microsoft.KeyVault/hsmPools/*
Microsoft.KeyVault/managedHsms/*
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Responsável pela criptografia do Key Vault

Executa qualquer ação nas chaves de um Key Vault, exceto gerenciar permissões. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
Microsoft.KeyVault/checkNameAvailability/read Verificar se um nome de chave do cofre é válido e não está em uso
Microsoft.KeyVault/deletedVaults/read Exibir as propriedades de cofres de chaves com exclusão reversível
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault
NotActions
none
DataActions
Microsoft.KeyVault/vaults/keys/*
Microsoft.KeyVault/vaults/keyrotationpolicies/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Usuário de criptografia do serviço de criptografia do Key Vault

Lê metadados de chaves e executa operações de quebra de linha/cancelamento de quebra de linha. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
Microsoft.EventGrid/eventSubscriptions/write Criar ou atualizar um eventSubscription
Microsoft.EventGrid/eventSubscriptions/read Ler um eventSubscription
Microsoft.EventGrid/eventSubscriptions/delete Excluir uma eventSubscription
NotActions
none
DataActions
Microsoft.KeyVault/vaults/keys/read Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas.
Microsoft.KeyVault/vaults/keys/wrap/action Encapsula uma chave simétrica com uma chave do Key Vault. Observe que, se a chave do Key Vault for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura.
Microsoft.KeyVault/vaults/keys/unwrap/action Desencapsula uma chave simétrica com uma chave do Key Vault.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Usuário da versão do Serviço Key Vault Crypto

Autoriza a liberação de chaves. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
none
NotActions
none
DataActions
Microsoft.KeyVault/cofres/chaves/liberação/ação Libera uma chave usando a parte pública de KEK do token de atestado.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Usuário de criptografia do Key Vault

Executa operações criptográficas com chaves. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
none
NotActions
none
DataActions
Microsoft.KeyVault/vaults/keys/read Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas.
Microsoft.KeyVault/vaults/keys/update/action Atualiza os atributos especificados associados à chave determinada.
Microsoft.KeyVault/vaults/keys/backup/action Cria o arquivo de backup de uma chave. O arquivo pode ser usado para restaurar a chave em um cofre de chaves da mesma assinatura. Pode haver restrições.
Microsoft.KeyVault/vaults/keys/encrypt/action Criptografa texto sem formatação com uma chave. Observe que, se a chave for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura.
Microsoft.KeyVault/vaults/keys/decrypt/action Descriptografa o texto cifrado com uma chave.
Microsoft.KeyVault/vaults/keys/wrap/action Encapsula uma chave simétrica com uma chave do Key Vault. Observe que, se a chave do Key Vault for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura.
Microsoft.KeyVault/vaults/keys/unwrap/action Desencapsula uma chave simétrica com uma chave do Key Vault.
Microsoft.KeyVault/vaults/keys/sign/action Assina um resumo da mensagem (hash) com uma chave.
Microsoft.KeyVault/vaults/keys/verify/action Verifica a assinatura de um resumo de mensagem (hash) com uma chave. Observe que, se a chave for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrador de Acesso a Dados do Key Vault

Gerencie o acesso ao Azure Key Vault ao adicionar ou remover atribuições de função para o Administrador do Key Vault, o Diretor de Certificados do Key Vault, o Usuário de Criptografia do Serviço Criptográfico do Key Vault, o Usuário de Criptografia do Key Vault, o Leitor do Key Vault, o Key Vault Secrets Officer ou as funções de usuário de segredos do Key Vault. Inclui uma condição ABAC para restringir atribuições de função.

Ações Descrição
Microsoft.Authorization/roleAssignments/write Criar uma atribuição de função no escopo especificado.
Microsoft.Authorization/roleAssignments/delete Exclua uma atribuição de função no escopo especificado.
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Resources/subscriptions/read Obter a lista de assinaturas.
Microsoft.Management/managementGroups/read Listar grupos de gerenciamento para o usuário autenticado.
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Support/* Criar e atualizar um tíquete de suporte
Microsoft.KeyVault/vaults/*/read
NotActions
none
DataActions
none
NotDataActions
none
Condição
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OU (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:[Microsoft.Authorization/roleAssignments:RoleDefinitionId] GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65b f6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) E ((! ( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) Adicione ou remova atribuições de função para as seguintes funções:
Administrador do Key Vault
Responsável pelos Certificados do Key Vault
Responsável pela Criptografia do Key Vault
Usuário do serviço de criptografia do Key Vault
Usuário de Criptografia do Key Vault
Leitor do Key Vault
Responsável pelos Segredos do Key Vault
Usuário de Segredos do Key Vault
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Leitor do Key Vault

Lê metadados de Key Vaults de seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
Microsoft.KeyVault/checkNameAvailability/read Verificar se um nome de chave do cofre é válido e não está em uso
Microsoft.KeyVault/deletedVaults/read Exibir as propriedades de cofres de chaves com exclusão reversível
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault
NotActions
none
DataActions
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listar ou exibir as propriedades de um segredo, mas não o seu valor.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Responsável pelos segredos do Key Vault

Executa qualquer ação nos segredos de um Key Vault, exceto gerenciar permissões. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
Microsoft.KeyVault/checkNameAvailability/read Verificar se um nome de chave do cofre é válido e não está em uso
Microsoft.KeyVault/deletedVaults/read Exibir as propriedades de cofres de chaves com exclusão reversível
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault
NotActions
none
DataActions
Microsoft.KeyVault/vaults/secrets/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Usuário de segredos do Key Vault

Lê conteúdo secreto. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.

Saiba mais

Ações Descrição
none
NotActions
none
DataActions
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtém o valor de um segredo.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listar ou exibir as propriedades de um segredo, mas não o seu valor.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Colaborador do HSM Gerenciado

Permite gerenciar os pools do HSM gerenciado, mas não o acesso a eles.

Saiba mais

Ações Descrição
Microsoft.KeyVault/managedHSMs/*
Microsoft.KeyVault/deletedManagedHsms/read Exibir as propriedades de um HSM gerenciado excluído
Microsoft.KeyVault/locations/deletedManagedHsms/read Exibir as propriedades de um HSM gerenciado excluído
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action Limpar um HSM gerenciado excluído de modo reversível
Microsoft.KeyVault/locations/managedHsmOperationResults/read Verificar o resultado de uma operação de longo prazo
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Colaborador de automação do Microsoft Sentinel

Colaborador de automação do Microsoft Sentinel

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Logic/workflows/triggers/read Ler o gatilho.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Obter a URL de retorno de chamada do gatilho.
Microsoft.Logic/workflows/runs/read Ler a execução do fluxo de trabalho.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read Lista os gatilhos de fluxo de trabalho de Hostruntime de aplicativos Web.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Obtém o URI dos gatilhos de fluxo de trabalho de Hostruntime de aplicativos Web.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read Lista as execuções de fluxo de trabalho de Hostruntime de aplicativos Web.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Colaborador do Microsoft Sentinel

Colaborador do Microsoft Sentinel

Saiba mais

Ações Descrição
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/analytics/query/action Pesquisar usando o novo mecanismo.
Microsoft.OperationalInsights/workspaces/*/read Exibir dados da análise de logs
Microsoft.OperationalInsights/workspaces/savedSearches/*
Microsoft.OperationsManagement/solutions/read Obtenha a solução de OMS existente
Microsoft.OperationalInsights/workspaces/query/read Executar consultas dos dados no workspace
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenha a fonte de dados em um workspace.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/*
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Operador de Guia Estratégico do Microsoft Sentinel

Operador de Guia Estratégico do Microsoft Sentinel

Saiba mais

Ações Descrição
Microsoft.Logic/workflows/read Ler o fluxo de trabalho.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Obter a URL de retorno de chamada do gatilho.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Obtém o URI dos gatilhos de fluxo de trabalho de Hostruntime de aplicativos Web.
Microsoft.Web/sites/read Obter as propriedades de um aplicativo Web
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Leitor do Microsoft Sentinel

Leitor do Microsoft Sentinel

Saiba mais

Ações Descrição
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Verificar a autorização e a licença do usuário
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Consultar indicadores de inteligência contra ameaças
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Consultar indicadores de inteligência contra ameaças
Microsoft.OperationalInsights/workspaces/analytics/query/action Pesquisar usando o novo mecanismo.
Microsoft.OperationalInsights/workspaces/*/read Exibir dados da análise de logs
Microsoft.OperationalInsights/workspaces/LinkedServices/read Obter serviços vinculados em um determinado workspace.
Microsoft.OperationalInsights/workspaces/savedSearches/read Obtém uma consulta de pesquisa salva.
Microsoft.OperationsManagement/solutions/read Obtenha a solução de OMS existente
Microsoft.OperationalInsights/workspaces/query/read Executar consultas dos dados no workspace
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenha a fonte de dados em um workspace.
Microsoft.Insights/workbooks/read Ler uma pasta de trabalho
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Resources/templateSpecs/*/read Obter ou listar especificações de modelo e versões de especificação de modelo
Microsoft.Support/* Criar e atualizar um tíquete de suporte
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Respondente do Microsoft Sentinel

Respondente do Microsoft Sentinel

Saiba mais

Ações Descrição
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Verificar a autorização e a licença do usuário
Microsoft.SecurityInsights/automationRules/*
Microsoft.SecurityInsights/cases/*
Microsoft.SecurityInsights/incidents/*
Microsoft.SecurityInsights/entities/runPlaybook/action Executar playbook na entidade
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Acrescentar marcas ao indicador de inteligência contra ameaças
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Consultar indicadores de inteligência contra ameaças
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action Inteligência contra ameaças com marcas em massa
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Acrescentar marcas ao indicador de inteligência contra ameaças
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action Substituir marcas do indicador de inteligência contra ameaças
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Consultar indicadores de inteligência contra ameaças
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action Desfaz uma ação
Microsoft.OperationalInsights/workspaces/analytics/query/action Pesquisar usando o novo mecanismo.
Microsoft.OperationalInsights/workspaces/*/read Exibir dados da análise de logs
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenha a fonte de dados em um workspace.
Microsoft.OperationalInsights/workspaces/savedSearches/read Obtém uma consulta de pesquisa salva.
Microsoft.OperationsManagement/solutions/read Obtenha a solução de OMS existente
Microsoft.OperationalInsights/workspaces/query/read Executar consultas dos dados no workspace
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Obtenha a fonte de dados em um workspace.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/read Ler uma pasta de trabalho
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Support/* Criar e atualizar um tíquete de suporte
NotActions
Microsoft.SecurityInsights/cases/*/Delete
Microsoft.SecurityInsights/incidents/*/Delete
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrador de Segurança

Exibir e atualizar permissões para o Microsoft Defender para Nuvem. Mesmas permissões que a função de leitor de segurança e também podem atualizar a política de segurança e ignorar alertas e recomendações.

Para o Microsoft Defender para IoT, confira Funções de usuário do Azure para monitoramento de OT e Enterprise IoT.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Authorization/policyAssignments/* Criar e gerenciar atribuições de política
Microsoft.Authorization/policyDefinitions/* Criar e gerenciar definições de política
Microsoft.Authorization/policyExemptions/* Criar e gerenciar exceções da política
Microsoft.Authorization/policySetDefinitions/* Criar e gerenciar conjuntos de política
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.Management/managementGroups/read Listar grupos de gerenciamento para o usuário autenticado.
Microsoft.operationalInsights/workspaces/*/read Exibir dados da análise de logs
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Security/* Criar e gerenciar políticas e componentes de segurança
Microsoft.IoTSecurity/*
Microsoft.IoTFirmwareDefense/*
Microsoft.Support/* Criar e atualizar um tíquete de suporte
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Colaborador de Avaliação de Segurança

Permite enviar avaliações por push para o Microsoft Defender para Nuvem

Ações Descrição
Microsoft.Security/assessments/write Criar ou atualizar avaliações de segurança em sua assinatura
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Gerenciador de Segurança (Herdado)

Esta é uma função herdada. Em vez disso, use o Administrador de Segurança.

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.ClassicCompute/*/read Ler informações de configuração de máquinas virtuais clássicas
Microsoft.ClassicCompute/virtualMachines/*/write Escrever configurações para máquinas virtuais clássicas
Microsoft.ClassicNetwork/*/read Ler informações de configuração sobre a rede clássica
Microsoft.Insights/alertRules/* Criar e gerenciar um alerta de métrica clássico
Microsoft.ResourceHealth/availabilityStatuses/read Obter os status de disponibilidade para todos os recursos no escopo especificado
Microsoft.Resources/deployments/* Criar e gerenciar uma implantação
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Security/* Criar e gerenciar políticas e componentes de segurança
Microsoft.Support/* Criar e atualizar um tíquete de suporte
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Leitor de segurança

Veja as permissões para o Microsoft Defender para Nuvem. Pode exibir recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.

Para o Microsoft Defender para IoT, confira Funções de usuário do Azure para monitoramento de OT e Enterprise IoT.

Saiba mais

Ações Descrição
Microsoft.Authorization/*/read Ler funções e atribuições de função
Microsoft.Insights/alertRules/read Ler alerta de métrica clássico
Microsoft.operationalInsights/workspaces/*/read Exibir dados da análise de logs
Microsoft.Resources/deployments/*/read
Microsoft.Resources/subscriptions/resourceGroups/read Obter ou listar de grupos de recursos.
Microsoft.Security/*/read Ler componentes de segurança e políticas
Microsoft.IoTSecurity/*/read
Microsoft.Support/*/read
Microsoft.Security/iotDefenderSettings/packageDownloads/action Obtém informações para download de pacotes do IoT Defender
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action Baixar o arquivo de ativação do gerenciador contendo dados de cota de assinatura
Microsoft.Security/iotSensors/downloadResetPassword/action Baixa redefinição do arquivo de senha para sensores de IoT
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action Obtém informações para download de pacotes do IoT Defender
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action Baixar um arquivo de ativação do gerenciador
Microsoft.Management/managementGroups/read Listar grupos de gerenciamento para o usuário autenticado.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Próximas etapas