Azure integrierten Rollen für Sicherheit

In diesem Artikel werden die Azure integrierten Rollen in der Kategorie "Sicherheit" aufgeführt.

Automatisierung der App-Compliance – Administration

Ermöglicht das Verwalten des App Compliance Automation-Tools für Microsoft 365

Note

Diese Rolle umfasst die Aktion */read für die Steuerungsebene. Benutzer, denen diese Rolle zugewiesen ist, können Control-Ebene Informationen zu allen Azure Ressourcen lesen.

Weitere Informationen

Actions	Description
Microsoft. AppComplianceAutomation/*
Microsoft. Storage/storageAccounts/blobServices/write	Hiermit wird das Ergebnis des Vorgangs zum Festlegen von Eigenschaften des Blob-Diensts zurückgegeben.
Microsoft. Storage/storageAccounts/fileservices/write	Hiermit werden Dateidiensteigenschaften festgelegt.
Microsoft. Storage/storageAccounts/listKeys/action	Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück.
Microsoft. Storage/storageAccounts/write	Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu.
Microsoft. Storage/storageAccounts/blobServices/generateUserDelegationKey/action	Gibt einen Benutzerdelegierungsschlüssel für den Blobdienst zurück.
Microsoft. Storage/storageAccounts/read	Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab.
Microsoft. Storage/storageAccounts/blobServices/containers/read	Hiermit wird eine Liste von Containern zurückgegeben.
Microsoft. Storage/storageAccounts/blobServices/containers/write	Gibt das Ergebnis des PUT-Vorgangs für den Blobcontainer zurück.
Microsoft. Storage/storageAccounts/blobServices/read	Gibt Eigenschaften oder Statistiken des Blob-Diensts zurück.
Microsoft. PolicyInsights/policyStates/queryResults/action	Fragt Informationen zu Richtlinienzuständen ab.
Microsoft. PolicyInsights/policyStates/triggerEvaluation/action	Hiermit wird eine neue Konformitätsauswertung für den ausgewählten Bereich ausgelöst.
Microsoft. Ressourcen/resources/read	Dient zum Abrufen einer gefilterten Ressourcenliste.
Microsoft. Ressourcen/subscriptions/read	Ruft die Abonnementliste ab.
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Resources/subscriptions/resourceGroups/resources/read	Ruft die Ressourcen für die Ressourcengruppe ab.
Microsoft. Ressourcen/subscriptions/resources/read	Ruft die Ressourcen eines Abonnements ab.
Microsoft. Ressourcen/subscriptions/resourceGroups/delete	Löscht eine Ressourcengruppe und alle dazugehörigen Ressourcen.
Microsoft. Ressourcen/subscriptions/resourceGroups/write	Erstellt oder aktualisiert eine Ressourcengruppe.
Microsoft. Ressourcen/tags/read	Ruft alle Tags für eine Ressource ab
Microsoft. Ressourcen/deployments/validate/action	Überprüft eine Bereitstellung
Microsoft. Sicherheit/automations/read	Ruft die Automatisierungen für den Bereich ab.
Microsoft. Ressourcen/deployments/write	Erstellt oder aktualisiert eine Bereitstellung.
Microsoft. Sicherheit/automations/delete	Löscht die Automatisierung für den Bereich.
Microsoft. Security/automations/write	Erstellt oder aktualisiert die Automatisierung für den Bereich.
Microsoft. Sicherheit/register/action	Registriert das Abonnement für Azure Security Center
Microsoft. Security/unregister/action	Hebt die Registrierung des Abonnements von Azure Security Center auf.
*/read	Informationen zur Steuerebene für alle Azure Ressourcen lesen.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows managing App Compliance Automation tool for Microsoft 365",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Automatisierung der App-Compliance – Leser

Ermöglicht schreibgeschützten Zugriff auf das App-Complianceautomatisierungstool für Microsoft 365

Note

Diese Rolle umfasst die Aktion */read für die Steuerungsebene. Benutzer, denen diese Rolle zugewiesen ist, können Control-Ebene Informationen zu allen Azure Ressourcen lesen.

Weitere Informationen

Actions	Description
*/read	Informationen zur Steuerebene für alle Azure Ressourcen lesen.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read-only access to App Compliance Automation tool for Microsoft 365",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Mitwirkender am Nachweis

Lesen, Schreiben oder Löschen der Nachweisanbieterinstanz

Weitere Informationen

Actions	Description
Microsoft. Attestation/attestationProviders/attestation/read	Ruft den Status des Nachweisdiensts ab
Microsoft. Attestation/attestationProviders/attestation/write	Fügt den Nachweisdienst hinzu
Microsoft. Attestation/attestationProviders/attestation/delete	Entfernt den Nachweisdienst
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Nachweisleser

Lesen der Eigenschaften des Nachweisanbieters

Weitere Informationen

Actions	Description
Microsoft. Attestation/attestationProviders/attestation/read	Ruft den Status des Nachweisdiensts ab
Microsoft. Attestation/attestationProviders/read	Ruft den Status des Nachweisdiensts ab
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Administrator

Ausführen beliebiger Vorgänge auf Datenebene für einen Schlüsseltresor und alle darin enthaltenen Objekte (einschließlich Zertifikate, Schlüssel und Geheimnisse). Kann keine Key Vault-Ressourcen oder Rollenzuweisungen verwalten. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
Microsoft. KeyVault/checkNameAvailability/read	Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft. KeyVault/deletedVaults/read	Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft. KeyVault/locations/*/read
Microsoft. KeyVault/vaults/*/read
Microsoft. KeyVault/operations/read	Listet Vorgänge auf, die für Microsoft verfügbar sind. KeyVault-Ressourcenanbieter
NotActions
none
DataActions
Microsoft. KeyVault/vaults/*
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Zertifikatbenutzer

Zertifikatinhalte lesen Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
none
NotActions
none
DataActions
Microsoft. KeyVault/vaults/certificates/read	Listet Zertifikate in einem angegebenen Schlüsseltresor auf oder ruft Informationen zu einem Zertifikat ab.
Microsoft. KeyVault/vaults/secrets/getSecret/action	Ruft den Wert eines Geheimnisses ab.
Microsoft. KeyVault/vaults/secrets/readMetadata/action	Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert.
Microsoft. KeyVault/vaults/keys/read	Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Certificate Officer

Ausführen beliebiger Aktionen für die Zertifikate eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
Microsoft. KeyVault/checkNameAvailability/read	Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft. KeyVault/deletedVaults/read	Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft. KeyVault/locations/*/read
Microsoft. KeyVault/vaults/*/read
Microsoft. KeyVault/operations/read	Listet Vorgänge auf, die für Microsoft verfügbar sind. KeyVault-Ressourcenanbieter
NotActions
none
DataActions
Microsoft. KeyVault/vaults/certificatecas/*
Microsoft. KeyVault/vaults/certificates/*
Microsoft. KeyVault/vaults/certificatecontacts/write	Verwaltet einen Zertifikatkontakt.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Mitwirkender

Verwalten Von Schlüsseltresorn, aber nicht zulassen, dass Sie Rollen in Azure RBAC zuweisen und nicht auf geheime Schlüssel, Schlüssel oder Zertifikate zugreifen können.

Warning

Verwenden Sie für eine verbesserte Sicherheit das Berechtigungsmodell Role-Based Access Control (RBAC) anstelle von Zugriffsrichtlinien beim Verwalten von Azure Key Vault. RBAC schränkt die Berechtigungsverwaltung nur auf die Rollen "Besitzer" und "Benutzerzugriffsadministrator" ein, wodurch eine klare Trennung zwischen Sicherheits- und Verwaltungsaufgaben sichergestellt wird. Weitere Informationen finden Sie unter What is Azure RBAC? and the Key Vault RBAC Guide.

Mit dem Zugriffsrichtlinienberechtigungsmodell können Benutzer mit dem Contributor, Key Vault Contributor oder einer beliebigen Rolle, die Microsoft.KeyVault/vaults/write-Berechtigungen enthält, den Zugriff auf die Datenebene gewähren, indem sie eine Key Vault Zugriffsrichtlinie konfigurieren. Dies kann zu nicht autorisiertem Zugriff und zur Verwaltung Ihrer Schlüsseltresor, Schlüssel, geheimen Schlüssel und Zertifikate führen. Um dieses Risiko zu verringern, beschränken Sie den Zugriff der Rolle „Mitwirkende“ auf Schlüsseltresore, wenn Sie das Zugriffsrichtlinienmodell verwenden.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. KeyVault/*
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft. KeyVault/locations/deletedVaults/purge/action	Dient zum endgültigen Löschen eines vorläufig gelöschten Schlüsseltresors.
Microsoft. KeyVault/hsmPools/*
Microsoft. KeyVault/managedHsms/*
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Officer

Ausführen beliebiger Aktionen für die Schlüssel eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
Microsoft. KeyVault/checkNameAvailability/read	Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft. KeyVault/deletedVaults/read	Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft. KeyVault/locations/*/read
Microsoft. KeyVault/vaults/*/read
Microsoft. KeyVault/operations/read	Listet Vorgänge auf, die für Microsoft verfügbar sind. KeyVault-Ressourcenanbieter
NotActions
none
DataActions
Microsoft. KeyVault/vaults/keys/*
Microsoft. KeyVault/vaults/keyrotationpolicies/*
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Kryptodienst-Verschlüsselungsbenutzer

Lesen von Metadaten von Schlüsseln und Ausführen von Vorgängen zum Packen/Entpacken. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
Microsoft. EventGrid/eventSubscriptions/write	Erstellt oder aktualisiert eventSubscription.
Microsoft. EventGrid/eventSubscriptions/read	Liest eventSubscription.
Microsoft. EventGrid/eventSubscriptions/delete	Löscht eventSubscription.
NotActions
none
DataActions
Microsoft. KeyVault/vaults/keys/read	Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt.
Microsoft. KeyVault/vaults/keys/wrap/action	Umschließt einen symmetrischen Schlüssel mit einem Key Vault Schlüssel. Beachten Sie, dass bei asymmetrischer Key Vault Schlüssel dieser Vorgang von Prinzipale mit Lesezugriff ausgeführt werden kann.
Microsoft. KeyVault/vaults/keys/unwrap/action	Entschlüsselt einen symmetrischen Schlüssel mit einem Key Vault Schlüssel.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service Release User

Tasten loslassen. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
none
NotActions
none
DataActions
Microsoft. KeyVault/vaults/keys/release/action	Gibt einen Schlüssel mit dem öffentlichen Teil des KEK aus dem Nachweistoken frei.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto User

Ausführen kryptografischer Vorgänge mithilfe von Schlüsseln. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
none
NotActions
none
DataActions
Microsoft. KeyVault/vaults/keys/read	Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt.
Microsoft. KeyVault/vaults/keys/update/action	Aktualisiert die angegebenen Attribute, die dem jeweiligen Schlüssel zugeordnet sind.
Microsoft. KeyVault/vaults/keys/backup/action	Erstellt die Sicherungsdatei eines Schlüssels. Die Datei kann verwendet werden, um den Schlüssel in einem Key Vault desselben Abonnements wiederherzustellen. Es können Einschränkungen gelten.
Microsoft. KeyVault/vaults/keys/encrypt/action	Verschlüsselt Klartext mit einem Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden.
Microsoft. KeyVault/vaults/keys/decrypt/action	Entschlüsselt Chiffretext mit einem Schlüssel.
Microsoft. KeyVault/vaults/keys/wrap/action	Umschließt einen symmetrischen Schlüssel mit einem Key Vault Schlüssel. Beachten Sie, dass bei asymmetrischer Key Vault Schlüssel dieser Vorgang von Prinzipale mit Lesezugriff ausgeführt werden kann.
Microsoft. KeyVault/vaults/keys/unwrap/action	Entschlüsselt einen symmetrischen Schlüssel mit einem Key Vault Schlüssel.
Microsoft. KeyVault/vaults/keys/sign/action	Signiert einen Nachrichtenhash (Hash) mit einem Schlüssel.
Microsoft. KeyVault/vaults/keys/verify/action	Überprüft die Signatur eines Nachrichtenhashs (Hash) mit einem Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Datenzugriffsadministrator

Verwalten des Zugriffs auf Azure Key Vault durch Hinzufügen oder Entfernen von Rollenzuweisungen für den Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Leser,Key Vault Secrets Officer oder Key Vault Rollen für geheime Schlüssel. Enthält eine ABAC-Bedingung, um Rollenzuweisungen einzuschränken.

Actions	Description
Microsoft. Autorisierung/roleAssignments/write	Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich.
Microsoft. Autorisierung/roleAssignments/delete	Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich.
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Ressourcen/subscriptions/read	Ruft die Abonnementliste ab.
Microsoft. Management/managementGroups/read	Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf.
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
Microsoft. KeyVault/vaults/*/read
NotActions
none
DataActions
none
NotDataActions
none
Condition
((! (ActionMatches{'Microsoft. Authorization/roleAssignments/write'}) OR (@Request[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND (!( ActionMatches{'Microsoft. Authorization/roleAssignments/delete'}) OR (@Resource[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))	Hinzufügen oder Entfernen von Rollenzuweisungen für die folgenden Rollen: Key Vault Administrator Key Vault Certificate Officer Key Vault Crypto Officer Key Vault Kryptodienst-Verschlüsselungsbenutzer Key Vault Crypto User Key Vault Reader Key Vault Secrets Officer Key Vault Geheimer Benutzer

{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Reader

Lesen von Metadaten von Schlüsseltresoren und deren Zertifikaten, Schlüsseln und Geheimnissen. Sensible Werte, z. B. der Inhalt von Geheimnissen oder Schlüsselmaterial, können nicht gelesen werden. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
Microsoft. KeyVault/checkNameAvailability/read	Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft. KeyVault/deletedVaults/read	Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft. KeyVault/locations/*/read
Microsoft. KeyVault/vaults/*/read
Microsoft. KeyVault/operations/read	Listet Vorgänge auf, die für Microsoft verfügbar sind. KeyVault-Ressourcenanbieter
NotActions
none
DataActions
Microsoft. KeyVault/vaults/*/read
Microsoft. KeyVault/vaults/secrets/readMetadata/action	Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Secrets Officer

Ausführen beliebiger Aktionen für die Geheimnisse eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
Microsoft. KeyVault/checkNameAvailability/read	Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird.
Microsoft. KeyVault/deletedVaults/read	Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore.
Microsoft. KeyVault/locations/*/read
Microsoft. KeyVault/vaults/*/read
Microsoft. KeyVault/operations/read	Listet Vorgänge auf, die für Microsoft verfügbar sind. KeyVault-Ressourcenanbieter
NotActions
none
DataActions
Microsoft. KeyVault/vaults/secrets/*
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Geheimer Benutzer

Lesen der Inhalte von Geheimnissen. Funktioniert nur für Schlüsseltresor, die das Berechtigungsmodell "Azure rollenbasierte Zugriffssteuerung" verwenden.

Weitere Informationen

Actions	Description
none
NotActions
none
DataActions
Microsoft. KeyVault/vaults/secrets/getSecret/action	Ruft den Wert eines Geheimnisses ab.
Microsoft. KeyVault/vaults/secrets/readMetadata/action	Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert.
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sperrt Mitwirkende

Kann Sperrvorgänge verwalten.

Actions	Description
Microsoft. Autorisierung/locks/read	Ruft Sperren im angegebenen Bereich ab.
Microsoft. Autorisierung/locks/write	Dient zum Hinzufügen von Sperren im angegebenen Bereich.
Microsoft. Autorisierung/sperren/löschen	Dient zum Löschen von Sperren im angegebenen Bereich.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Can Manage Locks Operations.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/28bf596f-4eb7-45ce-b5bc-6cf482fec137",
  "name": "28bf596f-4eb7-45ce-b5bc-6cf482fec137",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write",
        "Microsoft.Authorization/locks/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Locks Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Mitwirkender für verwaltete HSMs

Ermöglicht Ihnen das Verwalten von verwalteten HSM-Pools, aber nicht den Zugriff auf diese.

Weitere Informationen

Actions	Description
Microsoft. KeyVault/managedHSMs/*
Microsoft. KeyVault/deletedManagedHsms/read	Zeigt die Eigenschaften eines gelöschten verwalteten HSM an.
Microsoft. KeyVault/locations/deletedManagedHsms/read	Zeigt die Eigenschaften eines gelöschten verwalteten HSM an.
Microsoft. KeyVault/locations/deletedManagedHsms/purge/action	Löscht vorläufig gelöschte verwaltete HSMs endgültig.
Microsoft. KeyVault/locations/managedHsmOperationResults/read	Dient zum Überprüfen des Ergebnisses eines Vorgangs mit langer Ausführungszeit.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Automatisierungsmitwirkender

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Logic/workflows/triggers/read	Liest den Trigger.
Microsoft. Logic/workflows/triggers/listCallbackUrl/action	Ruft die Rückruf-URL für Trigger ab.
Microsoft. Logic/workflows/runs/read	Liest die Workflowausführung.
Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/read	Auflisten Web-Apps Hostruntime-Workflowtrigger.
Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action	Rufen Sie Web-Apps Hostruntime-Workflowtrigger-URI ab.
Microsoft. Web/sites/hostruntime/webhooks/api/workflows/runs/read	Auflisten Web-Apps Hostruntime-Workflow wird ausgeführt.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Mitwirkender

Weitere Informationen

Actions	Description
Microsoft. SecurityInsights/*
Microsoft. OperationalInsights/workspaces/analytics/query/action	Führt eine Suche mit der neuen Engine aus.
Microsoft. OperationalInsights/workspaces/*/read	Anzeigen von Log Analytics-Daten
Microsoft. OperationalInsights/workspaces/savedSearches/*
Microsoft. OperationsManagement/solutions/read	Vorhandene OMS-Lösung abrufen
Microsoft. OperationalInsights/workspaces/query/read	Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich.
Microsoft. OperationalInsights/workspaces/query/*/read
Microsoft. OperationalInsights/workspaces/dataSources/read	Datenquelle unter einem Arbeitsbereich abrufen
Microsoft. OperationalInsights/querypacks/*/read
Microsoft. Insights/workbooks/*
Microsoft. Insights/myworkbooks/read
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft. SecurityInsights/ConfidentialWatchlists/*
Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Playbook-Operator

Weitere Informationen

Actions	Description
Microsoft. Logic/workflows/read	Liest den Workflow.
Microsoft. Logic/workflows/triggers/listCallbackUrl/action	Ruft die Rückruf-URL für Trigger ab.
Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action	Rufen Sie Web-Apps Hostruntime-Workflowtrigger-URI ab.
Microsoft. Web/sites/read	Dient zum Abrufen der Eigenschaften einer Web-App.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Reader

Weitere Informationen

Actions	Description
Microsoft. SecurityInsights/*/read
Microsoft. SecurityInsights/dataConnectorsCheckRequirements/action	Überprüft Benutzerautorisierung und -lizenz.
Microsoft. SecurityInsights/threatIntelligence/indicators/query/action	Abfragen von Threat Intelligence-Indikatoren
Microsoft. SecurityInsights/threatIntelligence/queryIndicators/action	Abfragen von Threat Intelligence-Indikatoren
Microsoft. OperationalInsights/workspaces/analytics/query/action	Führt eine Suche mit der neuen Engine aus.
Microsoft. OperationalInsights/workspaces/*/read	Anzeigen von Log Analytics-Daten
Microsoft. OperationalInsights/workspaces/LinkedServices/read	Ruft verknüpfte Dienste im angegebenen Arbeitsbereich ab.
Microsoft. OperationalInsights/workspaces/savedSearches/read	Ruft eine gespeicherte Suchabfrage ab
Microsoft. OperationsManagement/solutions/read	Vorhandene OMS-Lösung abrufen
Microsoft. OperationalInsights/workspaces/query/read	Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich.
Microsoft. OperationalInsights/workspaces/query/*/read
Microsoft. OperationalInsights/querypacks/*/read
Microsoft. OperationalInsights/workspaces/dataSources/read	Datenquelle unter einem Arbeitsbereich abrufen
Microsoft. Insights/workbooks/read	Lesen einer Arbeitsmappe
Microsoft. Insights/myworkbooks/read
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Resources/templateSpecs/*/read	Abrufen oder Auflisten von Vorlagenspezifikationen und Vorlagenspezifikationsversionen
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft. SecurityInsights/ConfidentialWatchlists/*
Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Responder

Weitere Informationen

Actions	Description
Microsoft. SecurityInsights/*/read
Microsoft. SecurityInsights/dataConnectorsCheckRequirements/action	Überprüft Benutzerautorisierung und -lizenz.
Microsoft. SecurityInsights/automationRules/*
Microsoft. SecurityInsights/cases/*
Microsoft. SecurityInsights/incidents/*
Microsoft. SecurityInsights/entities/runPlaybook/action	Playbook für Entität ausführen
Microsoft. SecurityInsights/threatIntelligence/indicators/appendTags/action	Anfügen von Tags an Threat Intelligence-Indikator
Microsoft. SecurityInsights/threatIntelligence/indicators/query/action	Abfragen von Threat Intelligence-Indikatoren
Microsoft. SecurityInsights/threatIntelligence/bulkTag/action	Kennzeichnet Informationen zu Bedrohungen in einem Massenvorgang.
Microsoft. SecurityInsights/threatIntelligence/indicators/appendTags/action	Anfügen von Tags an Threat Intelligence-Indikator
Microsoft. SecurityInsights/threatIntelligence/indicators/replaceTags/action	Ersetzen von Tags eines Threat Intelligence-Indikators
Microsoft. SecurityInsights/threatIntelligence/queryIndicators/action	Abfragen von Threat Intelligence-Indikatoren
Microsoft. SecurityInsights/businessApplicationAgents/systems/undoAction/action
Microsoft. OperationalInsights/workspaces/analytics/query/action	Führt eine Suche mit der neuen Engine aus.
Microsoft. OperationalInsights/workspaces/*/read	Anzeigen von Log Analytics-Daten
Microsoft. OperationalInsights/workspaces/dataSources/read	Datenquelle unter einem Arbeitsbereich abrufen
Microsoft. OperationalInsights/workspaces/savedSearches/read	Ruft eine gespeicherte Suchabfrage ab
Microsoft. OperationsManagement/solutions/read	Vorhandene OMS-Lösung abrufen
Microsoft. OperationalInsights/workspaces/query/read	Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich.
Microsoft. OperationalInsights/workspaces/query/*/read
Microsoft. OperationalInsights/workspaces/dataSources/read	Datenquelle unter einem Arbeitsbereich abrufen
Microsoft. OperationalInsights/querypacks/*/read
Microsoft. Insights/workbooks/read	Lesen einer Arbeitsmappe
Microsoft. Insights/myworkbooks/read
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
NotActions
Microsoft. SecurityInsights/cases/*/Delete
Microsoft. SecurityInsights/incidents/*/Delete
Microsoft. SecurityInsights/ConfidentialWatchlists/*
Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sicherheitsadministrator

Anzeigen und Aktualisieren von Berechtigungen für Microsoft Defender for Cloud. Dieselben Berechtigungen wie die Rolle "Sicherheitsleser", aber kann Sicherheitskonnektoren erstellen, aktualisieren und löschen, die Sicherheitsrichtlinie aktualisieren und Warnungen und Empfehlungen verwerfen.

Informationen zu Microsoft Defender for IoT finden Sie unter Azure Benutzerrollen für die OT- und Enterprise IoT-Überwachung.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Autorisierung/policyAssignments/*	Erstellen und Verwalten von Richtlinienzuweisungen
Microsoft. Authorization/policyDefinitions/*	Erstellen und Verwalten von Richtliniendefinitionen
Microsoft. Autorisierung/policyExemptions/*	Erstellen und Verwalten von Richtlinienausnahmen
Microsoft. Authorization/policySetDefinitions/*	Erstellen und Verwalten von Richtliniensätzen
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. Management/managementGroups/read	Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf.
Microsoft.operationalInsights/workspaces/*/read	Anzeigen von Log Analytics-Daten
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Sicherheit/*	Erstellen und Verwalten von Sicherheitskomponenten und -richtlinien
Microsoft. IoTSecurity/*
Microsoft. IoTFirmwareDefense/*
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Mitwirkender für Sicherheitsbewertungen

Hiermit können Sie Bewertungen an Microsoft Defender for Cloud

Actions	Description
Microsoft. Sicherheit/assessments/write	Erstellen oder Aktualisieren von Sicherheitsbewertungen für Ihr Abonnement
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sicherheits-Manager (Legacy)

Dies ist eine Legacyrolle. Verwenden Sie stattdessen „Sicherheitsadministrator“.

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. ClassicCompute/*/read	Lesen von Konfigurationsinformationen zu klassischen virtuellen Computern
Microsoft. ClassicCompute/virtualMachines/*/write	Schreiben der Konfiguration für klassische virtuelle Computer
Microsoft. ClassicNetwork/*/read	Lesen von Konfigurationsinformationen zu klassischem Netzwerk
Microsoft. Insights/alertRules/*	Erstellen und Verwalten einer klassischen Metrikwarnung
Microsoft. ResourceHealth/availabilityStatuses/read	Ruft den Verfügbarkeitsstatus für alle Ressourcen im angegebenen Bereich ab.
Microsoft. Ressourcen/deployments/*	Erstellen und Verwalten einer Bereitstellung
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Sicherheit/*	Erstellen und Verwalten von Sicherheitskomponenten und -richtlinien
Microsoft. Support/*	Erstellen und Aktualisieren eines Supporttickets
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Sicherheitsleser

Anzeigen von Berechtigungen für Microsoft Defender for Cloud. Kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.

Informationen zu Microsoft Defender for IoT finden Sie unter Azure Benutzerrollen für die OT- und Enterprise IoT-Überwachung.

Weitere Informationen

Actions	Description
Microsoft. Autorisierung/*/read	Lesen von Rollen und Rollenzuweisungen
Microsoft. Insights/alertRules/read	Liest eine klassische Metrikwarnung.
Microsoft.operationalInsights/workspaces/*/read	Anzeigen von Log Analytics-Daten
Microsoft. Ressourcen/deployments/*/read
Microsoft. Ressourcen/subscriptions/resourceGroups/read	Ruft Ressourcengruppen ab oder listet sie auf.
Microsoft. Sicherheit/*/read	Lesen von Sicherheitskomponenten und -richtlinien
Microsoft. IoTSecurity/*/read
Microsoft. Support/*/read
Microsoft. Security/iotDefenderSettings/packageDownloads/action	Ruft herunterladbare IoT-Defender Paketinformationen ab.
Microsoft. Security/iotDefenderSettings/downloadManagerActivation/action	Lädt die Manager-Aktivierungsdatei mit Daten zum Abonnementkontingent herunter.
Microsoft. Security/iotSensors/downloadResetPassword/action	Lädt die Dateien zum Zurücksetzen des Kennworts für IoT-Sensoren herunter.
Microsoft. IoTSecurity/defenderSettings/packageDownloads/action	Ruft herunterladbare IoT-Defender Paketinformationen ab.
Microsoft. IoTSecurity/defenderSettings/downloadManagerActivation/action	Lädt die Manager-Aktivierungsdatei herunter.
Microsoft. Management/managementGroups/read	Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf.
NotActions
none
DataActions
none
NotDataActions
none

{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Nächste Schritte

Assignieren Azure Rollen mithilfe des Azure Portals

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-09

Freigeben über

Azure integrierten Rollen für Sicherheit

Automatisierung der App-Compliance – Administration

Automatisierung der App-Compliance – Leser

Mitwirkender am Nachweis

Nachweisleser

Key Vault Administrator

Key Vault Zertifikatbenutzer

Key Vault Certificate Officer

Key Vault Mitwirkender

Key Vault Crypto Officer

Key Vault Kryptodienst-Verschlüsselungsbenutzer

Key Vault Crypto Service Release User

Key Vault Crypto User

Key Vault Datenzugriffsadministrator

Key Vault Reader

Key Vault Secrets Officer

Key Vault Geheimer Benutzer

Sperrt Mitwirkende

Mitwirkender für verwaltete HSMs

Microsoft Sentinel Automatisierungsmitwirkender

Microsoft Sentinel Mitwirkender

Microsoft Sentinel Playbook-Operator

Microsoft Sentinel Reader

Microsoft Sentinel Responder

Sicherheitsadministrator

Mitwirkender für Sicherheitsbewertungen

Sicherheits-Manager (Legacy)

Sicherheitsleser

Nächste Schritte

Feedback

Zusätzliche Ressourcen