Compartir a través de


Permisos de Azure para Identity

En este artículo se enumeran los permisos para los proveedores de recursos de Azure en la categoría Identidad. Puede usar estos permisos en sus propios roles personalizados de Azure para proporcionar un control de acceso pormenorizado a los recursos de Azure. Las cadenas de permisos tienen el formato siguiente: {Company}.{ProviderName}/{resourceType}/{action}

Microsoft.AAD

Unir máquinas virtuales de Azure a un dominio sin controladores de dominio.

Servicio de Azure: Microsoft Entra Domain Services

Acción Descripción
Microsoft.AAD/register/action Acción de registro de suscripción
Microsoft.AAD/anular registro/acción Anular el registro del servicio de dominio
Microsoft.AAD/register/action Servicio de registro de dominios
Microsoft.AAD/domainServices/read Leer servicios de dominio
Microsoft.AAD/domainServices/write Servicio de dominio de escritura
Microsoft.AAD/domainServices/delete Elimina el servicio de dominio.
Microsoft.AAD/domainServices/oucontainer/read Leer Ou Containers
Microsoft.AAD/domainServices/oucontainer/write Write Ou Container
Microsoft.AAD/domainServices/oucontainer/delete Delete Ou Container
Microsoft.AAD/domainServices/OutboundNetworkDependenciesEndpoints/read Obtención de los puntos de conexión de red de todas las dependencias de salida
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/read Obtiene la configuración de diagnóstico para el servicio de dominio
Microsoft.AAD/domainServices/providers/Microsoft.Insights/diagnosticSettings/write Crea o actualiza la configuración de diagnóstico para el recurso de servicio de dominio
Microsoft.AAD/domainServices/providers/Microsoft.Insights/logDefinitions/read Obtiene los registros disponibles para el servicio de dominio
Microsoft.AAD/domainServices/providers/Microsoft.Insights/metricDefinitions/read Obtiene métricas para el servicio de dominio
Microsoft.AAD/locations/operationresults/read
Microsoft.AAD/Operations/read

microsoft.aadiam

Servicio de Azure: Azure Active Directory

Acción Descripción
microsoft.aadiam/azureADMetrics/read Leer la definición de métricas de Azure AD
microsoft.aadiam/azureADMetrics/write Creación y actualización de la definición de métricas de Azure AD
microsoft.aadiam/azureADMetrics/delete Eliminación de la definición de métricas de Azure AD
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/read Obtiene la configuración de diagnóstico del recurso
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/diagnosticSettings/write Crea o actualiza la configuración de diagnóstico del recurso
microsoft.aadiam/azureADMetrics/providers/Microsoft.Insights/metricDefinitions/read Obtiene las métricas disponibles para azureADMetrics
microsoft.aadiam/diagnosticsettings/write Escribir en una configuración de diagnóstico.
microsoft.aadiam/diagnosticsettings/read Leer una configuración de diagnóstico.
microsoft.aadiam/diagnosticsettings/delete Eliminar una configuración de diagnóstico.
microsoft.aadiam/diagnosticsettingscategories/read Leer las categorías de la configuración de diagnóstico.
microsoft.aadiam/metricDefinitions/read Lectura Tenant-Level definiciones de métricas
microsoft.aadiam/métricas/lectura Lectura Tenant-Level métricas
microsoft.aadiam/privateLinkForAzureAD/read Leer la definición de directiva de vínculo privado
microsoft.aadiam/privateLinkForAzureAD/write Crear y actualizar la definición de directiva de vínculo privado
microsoft.aadiam/privateLinkForAzureAD/delete Eliminar definición de directiva de vínculo privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionsApproval/action Aprobación de PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/read Leer proxies de enlaces privados
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/delete Eliminar proxies de enlace privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnectionProxies/validate/action Validar proxies de enlace privado
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/read Leer PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/write Creación y actualización de PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateEndpointConnections/delete Eliminación de PrivateEndpointConnections
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/read Leer PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/write Creación y actualización de PrivateLinkResources
microsoft.aadiam/privateLinkForAzureAD/privateLinkResources/delete Eliminar PrivateLinkResources
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/read Obtiene la configuración de diagnóstico del recurso
microsoft.aadiam/tenants/providers/Microsoft.Insights/diagnosticSettings/write Crea o actualiza la configuración de diagnóstico del recurso
microsoft.aadiam/tenants/providers/Microsoft.Insights/logDefinitions/read Obtiene los registros disponibles para los inquilinos

Microsoft.ADHybridHealthService

Supervisión sólida de la infraestructura de identidad local.

Servicio de Azure: Microsoft Entra ID

Acción Descripción
Microsoft.ADHybridHealthService/configuración/acción Actualiza la configuración del inquilino.
Microsoft.ADHybridHealthService/servicios/acción Actualiza una instancia de servicio en el inquilino.
Microsoft.ADHybridHealthService/addsservices/action Cree un nuevo bosque para el inquilino.
Microsoft.ADHybridHealthService/registro/acción Registra el proveedor de recursos de servicios de salud ADHybrid y habilita la creación de recursos de servicio de salud ADHybrid.
Microsoft.ADHybridHealthService/anular registro/acción Anula el registro de la suscripción para el proveedor de recursos de servicios de salud ADHybrid.
Microsoft.ADHybridHealthService/addsservices/write Crea o actualiza la instancia de ADDomainService para el inquilino.
Microsoft.ADHybridHealthService/addsservices/servicemembers/action Agregue una instancia de servidor al servicio.
Microsoft.ADHybridHealthService/addsservices/read Obtiene los detalles del servicio para el nombre de servicio especificado.
Microsoft.ADHybridHealthService/addsservices/delete Elimina un servicio y sus servidores junto con los datos de estado.
Microsoft.ADHybridHealthService/addsservices/addomainservicemembers/read Obtiene todos los servidores para el nombre de servicio especificado.
Microsoft.ADHybridHealthService/addsservices/alerts/read Obtiene detalles de alertas para el bosque como alertid, fecha de emisión de alerta, alerta detectada por última vez, descripción de la alerta, última actualización, nivel de alerta, estado de alerta, enlaces de solución de problemas de alerta, etc.
Microsoft.ADHybridHealthService/addsservices/configuración/lectura Obtiene la configuración del servicio para el bosque. Ejemplo: nombre del bosque, nivel funcional, rol FSMO maestro de nomenclatura de dominio, rol FSMO maestro de esquema, etc.
Microsoft.ADHybridHealthService/addsservices/dimensions/read Obtiene los detalles de los dominios y sitios del bosque. Ejemplo: estado de salud, alertas activas, alertas resueltas, propiedades como Nivel funcional de dominio, Bosque, Maestro de infraestructura, PDC, Maestro de RID, etc.
Microsoft.ADHybridHealthService/addsservices/features/userpreference/read Obtiene la configuración de preferencias del usuario para el bosque.
Ejemplo: MetricCounterName como ldapsuccessfulbinds, ntlmauthentications, kerberosauthentications, addsinsightsagentprivatebytes, ldapsearches.
Configuración de la interfaz de usuario, gráficos, etc.
Microsoft.ADHybridHealthService/addsservices/forestsummary/read Obtiene un resumen del bosque para el bosque dado, como el nombre del bosque, el número de dominios en este bosque, el número de sitios y los detalles de los sitios, etc.
Microsoft.ADHybridHealthService/addsservices/metricmetadata/read Obtiene la lista de métricas admitidas para un servicio determinado.
Por ejemplo, bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFS.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para ADDomainService.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados del agente de Insights, exportar estadísticas a Azure AD para el servicio ADSync.
Microsoft.ADHybridHealthService/addsservices/metrics/groups/read Dado un servicio, esta API obtiene la información de las métricas.
Por ejemplo, esta API se puede utilizar para obtener información relacionada con: bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFederation.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para el servicio ADDomain.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados de Insights Agent, exportar estadísticas a Azure AD para el servicio de sincronización.
Microsoft.ADHybridHealthService/addsservices/premiumcheck/read Esta API obtiene la lista de todos los ADDomainServices incorporados para un inquilino premium.
Microsoft.ADHybridHealthService/addsservices/replicationdetails/read Obtiene los detalles de replicación de todos los servidores para el nombre de servicio especificado.
Microsoft.ADHybridHealthService/addsservices/replicationstatus/read Obtiene el número de controladores de dominio y sus errores de replicación, si los hay.
Microsoft.ADHybridHealthService/addsservices/replicationsummary/read Obtiene la lista completa de controladores de dominio junto con los detalles de replicación del bosque especificado.
Microsoft.ADHybridHealthService/addsservices/servicemembers/delete Elimina un servidor para un servicio y un inquilino determinados.
Microsoft.ADHybridHealthService/addsservices/servicemembers/credentials/read Durante el registro del servidor de ADDomainService, se llama a esta API para obtener las credenciales para la incorporación de nuevos servidores.
Microsoft.ADHybridHealthService/configuración/escritura Crea una configuración de inquilino.
Microsoft.ADHybridHealthService/configuración/lectura Lee la configuración del inquilino.
Microsoft.ADHybridHealthService/registros/lectura Obtiene los registros de instalación y registro del agente para el inquilino.
Microsoft.ADHybridHealthService/registros/contenido/lectura Obtiene el contenido de los registros de instalación y registro del agente almacenados en blob.
Microsoft.ADHybridHealthService/operations/read Obtiene una lista de operaciones admitidas por el sistema.
Microsoft.ADHybridHealthService/informes/implementaciones disponibles/lectura Obtiene una lista de las regiones disponibles, utilizadas por DevOps para respaldar los incidentes de los clientes.
Microsoft.ADHybridHealthService/informes/badpassword/lectura Obtiene la lista de intentos de contraseña incorrecta para todos los usuarios del Servicio de federación de Active Directory.
Microsoft.ADHybridHealthService/reports/badpassworduseridipfrequency/read Obtiene el URI de SAS de blob que contiene el estado y el resultado final del trabajo de informe recién puesto en cola para la frecuencia de intentos de nombre de usuario o contraseña incorrectos por ID de usuario por IPAddress por día para un inquilino determinado.
Microsoft.ADHybridHealthService/reports/consentedtodevopstenants/read Obtiene la lista de inquilinos con consentimiento de DevOps. Por lo general, se utiliza para la atención al cliente.
Microsoft.ADHybridHealthService/reports/isdevops/read Obtiene un valor que indica si el inquilino está consentido por DevOps o no.
Microsoft.ADHybridHealthService/reports/selectdevopstenant/read Actualiza userid(objectid) para el inquilino de operaciones de desarrollo seleccionado.
Microsoft.ADHybridHealthService/informes/implementación seleccionada/lectura Obtiene la implementación seleccionada para el inquilino determinado.
Microsoft.ADHybridHealthService/reports/tenantassigneddeployment/read Dado un identificador de inquilino, se obtiene la ubicación de almacenamiento del inquilino.
Microsoft.ADHybridHealthService/reports/updateselecteddeployment/read Obtiene la ubicación geográfica desde la que se accederá a los datos.
Microsoft.ADHybridHealthService/services/write Crea una instancia de servicio en el inquilino.
Microsoft.ADHybridHealthService/services/read Lee las instancias de servicio en el inquilino.
Microsoft.ADHybridHealthService/services/delete Elimina una instancia de servicio en el inquilino.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/acción Crea o actualiza una instancia de servidor en el servicio.
Microsoft.ADHybridHealthService/servicios/alertas/lectura Lee las alertas de un servicio.
Microsoft.ADHybridHealthService/servicios/alertas/lectura Lee las alertas de un servicio.
Microsoft.ADHybridHealthService/services/checkservicefeatureavailability/read Dado un nombre de característica, se verifica si un servicio tiene todo lo necesario para usar esa característica.
Microsoft.ADHybridHealthService/servicios/exporterrores/lectura Obtiene los errores de exportación de un servicio de sincronización determinado.
Microsoft.ADHybridHealthService/services/exportstatus/read Obtiene el estado de exportación de un servicio determinado.
Microsoft.ADHybridHealthService/services/feedbacktype/feedback/read Obtiene comentarios de alertas para un servicio y servidor determinados.
Microsoft.ADHybridHealthService/services/ipAddressAggregates/read Lee las direcciones IP incorrectas que intentaron acceder al servicio.
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/read Lee los umbrales de alarma para direcciones IP incorrectas.
Microsoft.ADHybridHealthService/services/ipAddressAggregateSettings/write Escribe umbrales de alarma para direcciones IP incorrectas.
Microsoft.ADHybridHealthService/services/metricmetadata/read Obtiene la lista de métricas admitidas para un servicio determinado.
Por ejemplo, bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFS.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para ADDomainService.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados del agente de Insights, exportar estadísticas a Azure AD para el servicio ADSync.
Microsoft.ADHybridHealthService/services/metrics/groups/read Dado un servicio, esta API obtiene la información de las métricas.
Por ejemplo, esta API se puede utilizar para obtener información relacionada con: bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFederation.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para el servicio ADDomain.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados de Insights Agent, exportar estadísticas a Azure AD para el servicio de sincronización.
Microsoft.ADHybridHealthService/servicios/métricas/grupos/promedio/lectura Dado un servicio, esta API obtiene el promedio de las métricas para un servicio determinado.
Por ejemplo, esta API se puede utilizar para obtener información relacionada con: bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFederation.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para el servicio ADDomain.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados de Insights Agent, exportar estadísticas a Azure AD para el servicio de sincronización.
Microsoft.ADHybridHealthService/services/metrics/groups/sum/read Dado un servicio, esta API obtiene la vista agregada de las métricas de un servicio determinado.
Por ejemplo, esta API se puede utilizar para obtener información relacionada con: bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFederation.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para el servicio ADDomain.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados de Insights Agent, exportar estadísticas a Azure AD para el servicio de sincronización.
Microsoft.ADHybridHealthService/services/monitoringconfiguration/write Agregar o actualizar la configuración de supervisión de un servicio.
Microsoft.ADHybridHealthService/servicios/monitoreoconfiguraciones/lectura Obtiene las configuraciones de supervisión para un servicio determinado.
Microsoft.ADHybridHealthService/services/monitoringconfigurations/write Agregar o actualizar configuraciones de supervisión para un servicio.
Microsoft.ADHybridHealthService/services/premiumcheck/read Esta API obtiene la lista de todos los servicios incorporados para un inquilino premium.
Microsoft.ADHybridHealthService/services/reports/generateBlobUri/action Genera un informe de IP de riesgo y devuelve un URI que apunta a él.
Microsoft.ADHybridHealthService/services/reports/blobUris/read Obtiene todos los URI de informes de IP de riesgo de los últimos 7 días.
Microsoft.ADHybridHealthService/servicios/informes/detalles/lectura Obtiene un informe de los 50 usuarios principales con errores de contraseña incorrecta de los últimos 7 días
Microsoft.ADHybridHealthService/servicios/miembros del servicio/lectura Lee la instancia de servidor en el servicio.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/eliminar Elimina una instancia de servidor en el servicio.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/alertas/lectura Lee las alertas de un servidor.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/credenciales/lectura Durante el registro del servidor, se llama a esta API para obtener las credenciales para la incorporación de nuevos servidores.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/actualización de datos/lectura Para un servidor determinado, esta API obtiene una lista de los tipos de datos que están cargando los servidores y la última hora de cada carga.
Microsoft.ADHybridHealthService/services/servicemembers/exportstatus/read Obtiene los detalles del error de exportación de sincronización para un servicio de sincronización determinado.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/métricas/lectura Obtiene la lista de conectores y nombres de perfil de ejecución para el servicio y el miembro de servicio especificados.
Microsoft.ADHybridHealthService/servicios/miembros del servicio/métricas/grupos/lectura Dado un servicio, esta API obtiene la información de las métricas.
Por ejemplo, esta API se puede utilizar para obtener información relacionada con: bloqueos de cuentas de extranet, total de solicitudes fallidas, solicitudes de token pendientes (proxy), solicitudes de token por segundo, etc. para el servicio ADFederation.
Autenticaciones NTLM/s, enlaces correctos LDAP/s, tiempo de enlace LDAP, subprocesos activos LDAP, autenticaciones Kerberos/s, subprocesos ATQ totales, etc. para el servicio ADDomain.
Ejecutar latencia de perfil, conexiones TCP establecidas, bytes privados de Insights Agent, exportar estadísticas a Azure AD para el servicio de sincronización.
Microsoft.ADHybridHealthService/services/servicemembers/serviceconfiguration/read Obtiene la configuración del servicio para un inquilino determinado.
Microsoft.ADHybridHealthService/services/tenantwhitelisting/read Obtiene el estado de la lista de características permitidas para un inquilino determinado.

Microsoft.AzureActiveDirectory

Sincronice directorios locales y habilite el inicio de sesión único.

Servicio de Azure: Azure Active Directory B2C

Acción Descripción
Microsoft.AzureActiveDirectory/registro/acción Registro de la suscripción para el proveedor de recursos Microsoft.AzureActiveDirectory
Microsoft.AzureActiveDirectory/b2cDirectorios/escritura Creación o actualización de un recurso de directorio B2C
Microsoft.AzureActiveDirectory/b2cDirectorios/lectura Ver recurso de directorio B2C
Microsoft.AzureActiveDirectory/b2cDirectorios/eliminar Eliminar recurso de directorio B2C
Microsoft.AzureActiveDirectory/b2ctenants/read Enumera todos los inquilinos B2C de los que el usuario es miembro
Microsoft.AzureActiveDirectory/ciamDirectories/write Crear o actualizar el recurso del Directorio CIAM
Microsoft.AzureActiveDirectory/ciamDirectories/read Ver recurso del Directorio CIAM
Microsoft.AzureActiveDirectory/ciamDirectories/delete Eliminar el recurso del directorio CIAM
Microsoft.AzureActiveDirectory/guestUsages/write Crear o actualizar el recurso de usos de invitado
Microsoft.AzureActiveDirectory/guestUsages/read Ver el recurso de usos de los invitados
Microsoft.AzureActiveDirectory/guestUsages/delete Elimina el recurso de utilizaciones de invitado
Microsoft.AzureActiveDirectory/operaciones/lectura Leer todas las operaciones de API disponibles para el proveedor de recursos Microsoft.AzureActiveDirectory

Microsoft.ManagedIdentity

Una identidad administrada automáticamente en el identificador de Microsoft Entra que se autentica en cualquier servicio que admita Microsoft Entra

Servicio de Azure: identidades administradas para recursos de Azure

Acción Descripción
Microsoft.ManagedIdentity/register/action Registra la suscripción para el proveedor de recursos de identidad administrados
Microsoft.ManagedIdentity/identities/read Obtiene una identidad asignada al sistema existente
Microsoft.ManagedIdentity/operations/read Enumera las operaciones disponibles en el proveedor de recursos Microsoft.ManagedIdentity
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Acción de RBAC para asignar a un usuario existente una identidad asignada a un recurso.
Microsoft.ManagedIdentity/userAssignedIdentities/delete Elimina una identidad de usuario asignada existente.
Microsoft.ManagedIdentity/userAssignedIdentities/listAssociatedResources/action Enumera todos los recursos asociados a una identidad asignada por el usuario existente
Microsoft.ManagedIdentity/userAssignedIdentities/read Obtiene la identidad asignada a un usuario existente.
Microsoft.ManagedIdentity/userAssignedIdentities/write Crea una nueva identidad asignada por el usuario o actualiza las etiquetas asociadas a una identidad asignada por el usuario existente.
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action Revocó todos los tokens existentes en una identidad asignada por el usuario
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obtiene o enumera las credenciales de identidad federada.
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Crea o actualiza una credencial de identidad federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Eliminación de una credencial de identidad federada

Pasos siguientes