Permissões do Azure para Identidade
Este artigo lista as permissões para os provedores de recursos do Azure na categoria Identidade. Você pode usar essas permissões em suas próprias funções personalizadas do Azure para fornecer controle de acesso granular aos recursos no Azure. As cadeias de caracteres de permissão têm o seguinte formato: {Company}.{ProviderName}/{resourceType}/{action}
Microsoft.AAD
Ingressar máquinas virtuais do Azure em um domínio sem controladores de domínio.
Serviço do Azure: Serviços de Domínio do Microsoft Entra
| Ação | Descrição |
|---|---|
| Microsoft.AAD/register/action | Ação de Registro de Assinatura |
| Microsoft.AAD/unregister/action | Cancelar registrar Serviço de Domínio |
| Microsoft.AAD/register/action | Registrar Serviço de Domínio |
| Microsoft.AAD/domainServices/read | Ler serviços de domínio |
| Microsoft.AAD/domainServices/write | Gravar Serviço de Domínio |
| Microsoft.AAD/domainServices/delete | Excluir Serviço de Domínio |
| Microsoft.AAD/domainServices/oucontainer/read | Ler contêineres de unidade organizacional |
| Microsoft.AAD/domainServices/oucontainer/write | Gravar contêiner de unidade organizacional |
| Microsoft.AAD/domainServices/oucontainer/delete | Excluir contêiner de unidade organizacional |
| Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read | Obter os pontos de extremidade de rede de todas as dependências de saída |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read | Obtém a configuração de diagnóstico do serviço de domínio |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write | Cria ou atualiza a configuração de diagnóstico do recurso do serviço de domínio |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read | Obtém os logs disponíveis para o serviço de domínio |
| Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read | Obtém as métricas do serviço de domínio |
| Microsoft.AAD/locations/operationresults/read | |
| Microsoft.AAD/Operations/read |
microsoft.aadiam
Serviço do Azure: Azure Active Directory
| Ação | Descrição |
|---|---|
| microsoft.aadiam/azureADMetrics/read | Ler a definição de métricas do Azure AD |
| microsoft.aadiam/azureADMetrics/write | Criar e atualizar a definição de métricas do Azure AD |
| microsoft.aadiam/azureADMetrics/delete | Excluir a definição de métricas do Azure AD |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read | Obter a configuração de diagnóstico para o recurso |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write | Criar ou atualizar a configuração de diagnóstico para o recurso |
| microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read | Obtém as métricas disponíveis para o AzureADMetrics |
| microsoft.aadiam/diagnosticsettings/write | Gravação de uma configuração de diagnóstico |
| microsoft.aadiam/diagnosticsettings/read | Leitura de uma configuração de diagnóstico |
| microsoft.aadiam/diagnosticsettings/delete | Exclusão de uma configuração de diagnóstico |
| microsoft.aadiam/diagnosticsettingscategories/read | Leitura de uma categoria de configuração de diagnóstico |
| microsoft.aadiam/metricDefinitions/read | Como ler definições de métricas no nível dos locatários |
| microsoft.aadiam/metrics/read | Como ler métricas no nível dos locatários |
| microsoft.aadiam/privateLinkForAzureAD/read | Ler definição de política de link privado |
| microsoft.aadiam/privateLinkForAzureAD/write | Criar e atualizar definição de política do Link Privado |
| microsoft.aadiam/privateLinkForAzureAD/delete | Excluir definição de política de Link Privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action | Aprovar PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read | Ler proxies de link privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete | Excluir proxies de Link Privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action | Validar proxies de link privado |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read | Ler PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write | Criar e atualizar PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete | Excluir PrivateEndpointConnections |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read | Ler PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write | Criar e atualizar PrivateLinkResources |
| microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete | Excluir PrivateLinkResources |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read | Obter a configuração de diagnóstico para o recurso |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write | Criar ou atualizar a configuração de diagnóstico para o recurso |
| microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read | Obter os logs disponíveis para locatários |
Microsoft.ADHybridHealthService
Monitoramento robusto de sua infraestrutura de identidade local.
Serviço do Azure: ID do Microsoft Entra
| Ação | Descrição |
|---|---|
| Microsoft.ADHybridHealthService/configuration/action | Atualizar a configuração do locatário. |
| Microsoft.ADHybridHealthService/services/action | Atualizar uma instância de serviço no locatário. |
| Microsoft.ADHybridHealthService/addsservices/action | Cria uma nova floresta para o locatário. |
| Microsoft.ADHybridHealthService/register/action | Registra o Provedor de Recursos do Serviço de Integridade ADHybrid e habilita a criação do recurso de Serviço de Integridade ADHybrid. |
| Microsoft.ADHybridHealthService/unregister/action | Cancela o registro da assinatura do Provedor de Recursos do Serviço de Integridade ADHybrid. |
| Microsoft.ADHybridHealthService/addsservices/write | Cria ou atualiza a instância de ADDomainService para o locatário. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/action | Adiciona uma instância de servidor ao serviço. |
| Microsoft.ADHybridHealthService/addsservices/read | Obtém os detalhes do serviço para o nome do serviço especificado. |
| Microsoft.ADHybridHealthService/addsservices/delete | Exclui um serviço e seu servidores junto com os dados de integridade. |
| Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read | Obtém todos os servidores para o nome do serviço especificado. |
| Microsoft.ADHybridHealthService/addsservices/alerts/read | Obtém detalhes de alertas da floresta como alertid, data da geração do alerta, último alerta detectado, descrição do alerta, última atualização, nível do alerta, estado do alerta, links de solução de problemas do alerta etc. |
| Microsoft.ADHybridHealthService/addsservices/configuration/read | Obtém a Configuração de Serviço da floresta. Exemplo - Nome da floresta, nível funcional, função FSMO principal de nomeação de domínio, função FSMO principal do esquema etc. |
| Microsoft.ADHybridHealthService/addsservices/dimensions/read | Obtém os detalhes de sites e domínios da floresta. Exemplo: status da integridade, alertas ativos, alertas resolvidos, propriedades como Nível Funcional do Domínio, Floresta, Mestre de Infraestrutura, Controlador de Domínio Primário, Mestre RID etc. |
| Microsoft.ADHybridHealthService/addsservices/features/userpreference/read | Obtém a configuração de preferência do usuário da floresta. Exemplo: MetricCounterName como ldapsuccessfulbinds, ntlmauthentications, kerberosauthentications, addsinsightsagentprivatebytes, ldapsearches. Configurações para Gráficos da Interface do Usuário etc. |
| Microsoft.ADHybridHealthService/addsservices/forestsummary/read | Obtém o resumo da floresta especificada, como o nome da floresta, o número de domínios sob essa floresta, o número de sites e detalhes do site etc. |
| Microsoft.ADHybridHealthService/addsservices/metricmetadata/read | Obtém a lista de métricas compatíveis para um determinado serviço. Por exemplo, Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFS. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para ADDomainService. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o serviço ADSync. |
| Microsoft.ADHybridHealthService/addsservices/metrics/groups/read | Dado um serviço, essa API obtém as informações de métricas. Por exemplo, essa API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFederation. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para o Serviço ADDomain. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/addsservices/premiumcheck/read | Essa API obtém a lista de todos os ADDomainServices incorporados para um locatário premium. |
| Microsoft.ADHybridHealthService/addsservices/replicationdetails/read | Obtém detalhes de replicação de todos os servidores para o nome do serviço especificado. |
| Microsoft.ADHybridHealthService/addsservices/replicationstatus/read | Obtém o número de controladores de domínio e seus erros de replicação, se houver. |
| Microsoft.ADHybridHealthService/addsservices/replicationsummary/read | Obtém a lista completa de controladores de domínio juntamente com detalhes de replicação da floresta especificada. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/delete | Exclui um servidor para um determinado serviço e locatário. |
| Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read | Durante o registro do servidor de ADDomainService, essa API é chamada para obter as credenciais para a integração de novos servidores. |
| Microsoft.ADHybridHealthService/configuration/write | Criar uma configuração de locatário. |
| Microsoft.ADHybridHealthService/configuration/read | Ler a configuração de locatário. |
| Microsoft.ADHybridHealthService/logs/read | Obtém os logs de registro e instalação do agente para o locatário. |
| Microsoft.ADHybridHealthService/logs/contents/read | Obtém o conteúdo da instalação do agente e os logs de registro armazenados no blob. |
| Microsoft.ADHybridHealthService/operations/read | Obtém a lista de operações compatíveis com o sistema. |
| Microsoft.ADHybridHealthService/reports/availabledeployments/read | Obtém a lista de regiões disponíveis, usada pelo DevOps para dar suporte a incidentes de cliente. |
| Microsoft.ADHybridHealthService/reports/badpassword/read | Obtém a lista de tentativas com senhas incorretas de todos os usuários no Serviço de Federação do Active Directory. |
| Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read | Obtém o URI de SAS do Blob que contém o status e o resultado eventual do trabalho de relatório recém-enfileirado para a frequência de Tentativas de Nome de Usuário/Senha incorretas por UserId por IPAddress por dia para um determinado locatário. |
| Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read | Obtém a lista de locatários permitidos do DevOps. Normalmente usado para suporte ao cliente. |
| Microsoft.ADHybridHealthService/reports/isdevops/read | Obtém um valor indicando se o inquilino é DevOps consentido ou não. |
| Microsoft.ADHybridHealthService/reports/selectdevopstenant/read | Atualiza o Userid(objectid) para o locatário do DevOps selecionado. |
| Microsoft.ADHybridHealthService/reports/selecteddeployment/read | Obtém a implantação selecionada para o locatário determinado. |
| Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read | Dada uma ID de locatário, obtém o local de armazenamento do locatário. |
| Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read | Obtém a localização geográfica da qual os dados serão acessados. |
| Microsoft.ADHybridHealthService/services/write | Criar uma instância de serviço no locatário. |
| Microsoft.ADHybridHealthService/services/read | Ler as instâncias de serviço no locatário. |
| Microsoft.ADHybridHealthService/services/delete | Excluir uma instância de serviço no locatário. |
| Microsoft.ADHybridHealthService/services/servicemembers/action | Cria ou atualiza uma instância de servidor no serviço. |
| Microsoft.ADHybridHealthService/services/alerts/read | Ler os alertas de um serviço. |
| Microsoft.ADHybridHealthService/services/alerts/read | Ler os alertas de um serviço. |
| Microsoft.ADHybridHealthService/services/checkservicefeatureavailibility/read | Dado um nome de recurso, verifica se um serviço tem tudo o que é necessário para usar tal recurso. |
| Microsoft.ADHybridHealthService/services/exporterrors/read | Obtém os erros de exportação para um determinado serviço de sincronização. |
| Microsoft.ADHybridHealthService/services/exportstatus/read | Obtém os status de exportação para um determinado serviço. |
| Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read | Obtém os comentários de alertas para um determinado serviço e servidor. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregates/read | Lê os IPs inválidos que tentaram acessar o serviço. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read | Lê os limites de alarme para IPs inválidos. |
| Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write | Grava os limites de alarme para IPs inválidos. |
| Microsoft.ADHybridHealthService/services/metricmetadata/read | Obtém a lista de métricas compatíveis para um determinado serviço. Por exemplo, Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFS. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para ADDomainService. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o serviço ADSync. |
| Microsoft.ADHybridHealthService/services/metrics/groups/read | Dado um serviço, essa API obtém as informações de métricas. Por exemplo, essa API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFederation. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para o Serviço ADDomain. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/services/metrics/groups/average/read | Dado um serviço, essa API obtém a média das métricas para um determinado serviço. Por exemplo, essa API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFederation. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para o Serviço ADDomain. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/services/metrics/groups/sum/read | Dado um serviço, essa API obtém a exibição agregada da métrica para um determinado serviço. Por exemplo, essa API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFederation. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para o Serviço ADDomain. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/services/monitoringconfiguration/write | Adiciona ou atualiza a configuração de monitoramento de um serviço. |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/read | Obtém as configurações de monitoramento de um determinado serviço. |
| Microsoft.ADHybridHealthService/services/monitoringconfigurations/write | Adiciona ou atualiza as configurações de monitoramento de um serviço. |
| Microsoft.ADHybridHealthService/services/premiumcheck/read | Essa API obtém a lista de todos os serviços incorporados para um locatário premium. |
| Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action | Gera um relatório de IP arriscado e retorna um URI apontando para ele. |
| Microsoft.ADHybridHealthService/services/reports/blobUris/read | Obtém todos os URIs de relatório IP arriscado nos últimos sete dias. |
| Microsoft.ADHybridHealthService/services/reports/details/read | Obtém o relatório dos primeiros 50 usuários com erros de senhas incorretas dos últimos sete dias |
| Microsoft.ADHybridHealthService/services/servicemembers/read | Lê a instância de servidor no serviço. |
| Microsoft.ADHybridHealthService/services/servicemembers/delete | Exclui uma instância de servidor no serviço. |
| Microsoft.ADHybridHealthService/services/servicemembers/alerts/read | Lê os alertas de um servidor. |
| Microsoft.ADHybridHealthService/services/servicemembers/credentials/read | Durante o registro do servidor, essa API é chamada para obter as credenciais para a integração de novos servidores. |
| Microsoft.ADHybridHealthService/services/servicemembers/datafreshness/read | Para um determinado servidor, essa API obtém uma lista dos tipos de dados que estão sendo carregados pelos servidores e a hora mais recente de cada upload. |
| Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read | Obtém os detalhes do Erro de Exportação de Sincronização para um determinado Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/read | Obtém a lista de conectores e executa nomes de perfil para o serviço e o membro de serviço fornecidos. |
| Microsoft.ADHybridHealthService/services/servicemembers/metrics/groups/read | Dado um serviço, essa API obtém as informações de métricas. Por exemplo, essa API pode ser usada para obter informações relacionadas a: Bloqueios de Conta de Extranet, Total de Solicitações com Falha, Solicitações de Token Pendentes (Proxy), Solicitações de Token/s etc. para o serviço ADFederation. Autenticações NTLM/s, Associações LDAP com Êxito/s, Tempo de Associação LDAP, Threads LDAP Ativos, Autenticações Kerberos/s, Total de Threads ATQ etc. para o Serviço ADDomain. Executar Latência do Perfil, Conexões TCP Estabelecidas, Bytes Particulares do Agente do Insights, Exportar Estatísticas para o Azure AD para o Serviço de Sincronização. |
| Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read | Obtém a configuração de serviço de um determinado locatário. |
| Microsoft.ADHybridHealthService/services/tenantwhitelisting/read | Obtém o status de allowlisting do recurso para um determinado locatário. |
Microsoft.AzureActiveDirectory
Sincronize diretórios locais e habilite o logon único.
Serviço do Azure: Azure Active Directory B2C
| Ação | Descrição |
|---|---|
| Microsoft.AzureActiveDirectory/register/action | Registrar a assinatura do provedor de recursos Microsoft.AzureActiveDirectory |
| Microsoft.AzureActiveDirectory/b2cDirectories/write | Criar ou atualizar o recurso Diretório B2C |
| Microsoft.AzureActiveDirectory/b2cDirectories/read | Exibir recurso do Active Directory B2C |
| Microsoft.AzureActiveDirectory/b2cDirectories/delete | Excluir recurso do Active Directory B2C |
| Microsoft.AzureActiveDirectory/b2ctenants/read | Lista todos os locatários B2C dos quais o usuário é membro |
| Microsoft.AzureActiveDirectory/ciamDirectories/write | Criar ou atualizar recursos do diretório de CIAM |
| Microsoft.AzureActiveDirectory/ciamDirectories/read | Exibir recurso do diretório de CIAM |
| Microsoft.AzureActiveDirectory/ciamDirectories/delete | Excluir recurso do diretório de CIAM |
| Microsoft.AzureActiveDirectory/guestUsages/write | Criar ou atualizar o recurso Usos de Convidado |
| Microsoft.AzureActiveDirectory/guestUsages/read | Exibir o recurso Usos de Convidado |
| Microsoft.AzureActiveDirectory/guestUsages/delete | Excluir o recurso Usos de Convidado |
| Microsoft.AzureActiveDirectory/operations/read | Ler todas as operações de API disponíveis para o provedor de recursos Microsoft.AzureActiveDirectory |
Microsoft.ManagedIdentity
Uma identidade gerenciada automaticamente na ID do Microsoft Entra que se autentica em qualquer serviço que ofereça suporte ao Microsoft Entra
Serviço do Azure: identidades gerenciadas para recursos do Azure
| Ação | Descrição |
|---|---|
| Microsoft.ManagedIdentity/register/action | Registra a assinatura no provedor de recursos para a identidade gerenciada |
| Microsoft.ManagedIdentity/identities/read | Obtém uma identidade atribuída do sistema |
| Microsoft.ManagedIdentity/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.ManagedIdentity |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | Ação RBAC para atribuir uma identidade atribuída ao usuário existente a um recurso |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Excluir uma identidade atribuída ao usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action | Lista todos os recursos associados para uma identidade existente atribuída pelo usuário |
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Obter uma identidade atribuída ao usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Criar uma nova identidade atribuída ao usuário ou atualizar as marcas associadas a uma identidade atribuída a um usuário existente |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | Revogados todos os tokens existentes em uma identidade atribuída pelo usuário |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Obter ou listar as credenciais de identidade federada |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Adicionar ou atualizar uma credencial de identidade federada |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Excluir uma credencial de identidade federada |