次の方法で共有

セキュリティの組み込みロールをAzureする

この記事では、セキュリティ カテゴリのAzure組み込みロールの一覧を示します。

アプリ コンプライアンス オートメーション管理者

Microsoft 365のアプリ コンプライアンス自動化ツールの管理を許可します

Note

このロールには、コントロール プレーンの */read アクションが含まれます。 このロールが割り当てられているユーザーは、すべてのAzure リソースのコントロール プレーン情報を読み取ることができます。

詳細情報

Actions Description
Microsoft。AppComplianceAutomation/*
Microsoft。Storage/storageAccounts/blobServices/write Blob service のプロパティの設定の結果を返します。
Microsoft。Storage/storageAccounts/fileservices/write ファイル サービスのプロパティを指定します
Microsoft。Storage/storageAccounts/listKeys/action 指定されたストレージ アカウントのアクセス キーを返します。
Microsoft。Storage/storageAccounts/write 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。
Microsoft。Storage/storageAccounts/blobServices/generateUserDelegationKey/action Blob service のユーザーの委任キーを返します
Microsoft。Storage/storageAccounts/read ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。
Microsoft。Storage/storageAccounts/blobServices/containers/read コンテナーの一覧を返します
Microsoft。Storage/storageAccounts/blobServices/containers/write BLOB コンテナーのプット結果を返します
Microsoft。Storage/storageAccounts/blobServices/read Blob service のプロパティまたは統計情報を返します。
Microsoft。PolicyInsights/policyStates/queryResults/action ポリシーの状態に関する情報のクエリを実行します。
Microsoft。PolicyInsights/policyStates/triggerEvaluation/action 選択したスコープの新たなコンプライアンス評価をトリガーします。
Microsoft。Resources/resources/read フィルターに基づいてリソースの一覧を取得します。
Microsoft。Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Resources/subscriptions/resourceGroups/resources/read リソース グループのリソースを取得します。
Microsoft。Resources/subscriptions/resources/read サブスクリプションのリソースを取得します。
Microsoft。Resources/subscriptions/resourceGroups/delete リソース グループとそのすべてのリソースを削除します。
Microsoft。Resources/subscriptions/resourceGroups/write リソース グループを作成または更新します。
Microsoft。Resources/tags/read リソースのすべてのタグを取得します。
Microsoft。Resources/deployments/validate/action デプロイを検証します。
Microsoft。Security/automations/read スコープの自動化を取得します
Microsoft。Resources/deployments/write デプロイを作成または更新します。
Microsoft。Security/automations/delete スコープの自動化を削除します
Microsoft。Security/automations/write スコープの自動化を作成または更新します
Microsoft。Security/register/action Azure Security Centerのサブスクリプションを登録します
Microsoft。Security/unregister/action Azure Security Centerからサブスクリプションの登録を解除します
*/read すべてのAzure リソースのコントロール プレーン情報を読み取る。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows managing App Compliance Automation tool for Microsoft 365",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

アプリ コンプライアンス オートメーション閲覧者

Microsoft 365の App Compliance Automation ツールへの読み取り専用アクセスを許可します

Note

このロールには、コントロール プレーンの */read アクションが含まれます。 このロールが割り当てられているユーザーは、すべてのAzure リソースのコントロール プレーン情報を読み取ることができます。

詳細情報

Actions Description
*/read すべてのAzure リソースのコントロール プレーン情報を読み取る。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read-only access to App Compliance Automation tool for Microsoft 365",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

構成証明の共同作成者

構成証明プロバイダー インスタンスの読み取り、書き込み、または削除ができます

詳細情報

Actions Description
Microsoft。Attestation/attestationProviders/attestation/read 構成証明サービスの状態を取得します。
Microsoft。Attestation/attestationProviders/attestation/write 構成証明サービスを追加します。
Microsoft。Attestation/attestationProviders/attestation/delete 構成証明サービスを削除します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

認証リーダー

構成証明プロバイダーのプロパティを読み取ることができます

詳細情報

Actions Description
Microsoft。Attestation/attestationProviders/attestation/read 構成証明サービスの状態を取得します。
Microsoft。Attestation/attestationProviders/read 構成証明サービスの状態を取得します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault管理者

キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
Microsoft。KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft。KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft。KeyVault/locations/*/read
Microsoft。KeyVault/vaults/*/read
Microsoft。KeyVault/operations/read Microsoftで使用できる操作を一覧表示します。KeyVault リソース プロバイダー
NotActions
none
DataActions
Microsoft。KeyVault/vaults/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

証明書ユーザーのKey Vault

証明書のコンテンツを読み取れます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
none
NotActions
none
DataActions
Microsoft。KeyVault/vaults/certificates/read 指定された Key Vault 内の証明書を一覧表示するか、証明書に関する情報を取得します。
Microsoft。KeyVault/vaults/secrets/getSecret/action シークレットの値を取得します。
Microsoft。KeyVault/vaults/secrets/readMetadata/action シークレットの値ではなく、プロパティを一覧表示または表示します。
Microsoft。KeyVault/vaults/keys/read 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault 証明書責任者

キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
Microsoft。KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft。KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft。KeyVault/locations/*/read
Microsoft。KeyVault/vaults/*/read
Microsoft。KeyVault/operations/read Microsoftで使用できる操作を一覧表示します。KeyVault リソース プロバイダー
NotActions
none
DataActions
Microsoft。KeyVault/vaults/certificatecas/*
Microsoft。KeyVault/vaults/certificates/*
Microsoft。KeyVault/vaults/certificatecontacts/write 証明書の連絡先を管理します
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault共同作成者

キー コンテナーを管理しますが、Azure RBAC でロールを割り当てるのではなく、シークレット、キー、または証明書にアクセスすることはできません。

Warning

セキュリティを強化するために、Azure Key Vaultの管理時にアクセス ポリシーではなく、Role-Based Access Control (RBAC) アクセス許可モデル を使用します。 RBAC では、アクセス許可の管理が "所有者" ロールと "ユーザー アクセス管理者" ロールのみに制限され、セキュリティタスクと管理タスクが明確に分離されます。 詳細については、「 RBAC のAzure>」および「Key Vault RBAC ガイド」を参照してください。

アクセス ポリシーのアクセス許可モデルでは、ContributorKey Vault Contributor、または Microsoft.KeyVault/vaults/write アクセス許可を含むロールを持つユーザーは、Key Vault アクセス ポリシーを構成することで、自分自身にデータ プレーン アクセスを許可できます。 これにより、キー コンテナー、キー、シークレット、証明書に対する不正アクセスや管理が行われる可能性があります。 このリスクを軽減するには、アクセス ポリシー モデルを使用するときに、共同作成者ロールのアクセスをキー ボールトに制限します。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。KeyVault/*
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
NotActions
Microsoft。KeyVault/locations/deletedVaults/purge/action 論理的に削除された Key Vault を消去します。
Microsoft。KeyVault/hsmPools/*
Microsoft。KeyVault/managedHsms/*
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Officer

キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
Microsoft。KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft。KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft。KeyVault/locations/*/read
Microsoft。KeyVault/vaults/*/read
Microsoft。KeyVault/operations/read Microsoftで使用できる操作を一覧表示します。KeyVault リソース プロバイダー
NotActions
none
DataActions
Microsoft。KeyVault/vaults/keys/*
Microsoft。KeyVault/vaults/keyrotationpolicies/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service Encryption ユーザー

キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
Microsoft。EventGrid/eventSubscriptions/write eventSubscription を作成または更新します。
Microsoft。EventGrid/eventSubscriptions/read eventSubscription を削除します。
Microsoft。EventGrid/eventSubscriptions/delete eventSubscription を削除します。
NotActions
none
DataActions
Microsoft。KeyVault/vaults/keys/read 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。
Microsoft。KeyVault/vaults/keys/wrap/action 対称キーをKey Vaultキーでラップします。 Key Vault キーが非対称の場合、この操作は読み取りアクセス権を持つプリンシパルによって実行できることに注意してください。
Microsoft。KeyVault/vaults/keys/unwrap/action 対称キーをKey Vaultキーでラップ解除します。
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto Service リリース ユーザー

リリース キー。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
none
NotActions
none
DataActions
Microsoft。KeyVault/vaults/keys/release/action 構成証明トークンから KEK の公開部分を使用してキーを解放します。
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault Crypto ユーザー

キーを使用した暗号化操作を実行します。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
none
NotActions
none
DataActions
Microsoft。KeyVault/vaults/keys/read 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。
Microsoft。KeyVault/vaults/keys/update/action 特定のキーに関連付けられている、指定された属性を更新します。
Microsoft。KeyVault/vaults/keys/backup/action キーのバックアップ ファイルを作成します。 このファイルを使用して、同じサブスクリプションのKey Vault内のキーを復元できます。 制限が適用される場合があります。
Microsoft。KeyVault/vaults/keys/encrypt/action キーでプレーンテキストを暗号化します。 キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。
Microsoft。KeyVault/vaults/keys/decrypt/action キーで暗号化テキストの暗号化を解除します。
Microsoft。KeyVault/vaults/keys/wrap/action 対称キーをKey Vaultキーでラップします。 Key Vault キーが非対称の場合、この操作は読み取りアクセス権を持つプリンシパルによって実行できることに注意してください。
Microsoft。KeyVault/vaults/keys/unwrap/action 対称キーをKey Vaultキーでラップ解除します。
Microsoft。KeyVault/vaults/keys/sign/action キーでメッセージ ダイジェスト (ハッシュ) に署名します。
Microsoft。KeyVault/vaults/keys/verify/action キーでメッセージ ダイジェスト (ハッシュ) の署名を検証します。 キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault データ アクセス管理者

Key Vault管理者、Key Vault Certificates Officer、Key Vault Crypto Officer、Key Vault Crypto Service Encryption User、Key Vault Crypto User、Key Vault のロールの割り当てを追加または削除して、Azure Key Vaultへのアクセスを管理します。閲覧者、Key Vaultシークレット責任者、または Key Vault シークレット ユーザー ロール。 ロールの割り当てを制限する ABAC 条件が含まれています。

Actions Description
Microsoft。Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft。Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft。Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Support/* サポート チケットの作成と更新
Microsoft。KeyVault/vaults/*/read
NotActions
none
DataActions
none
NotDataActions
none
Condition
((!(ActionMatches{'Microsoft。Authorization/roleAssignments/write'})) OR (@Request[Microsoft。Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND (!(ActionMatches{'Microsoft。Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft。Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) 以下のロールでロールの割り当てを追加または削除します:
Key Vault管理者
Key Vault 証明書責任者
Key Vault Crypto Officer
Key Vault Crypto Service Encryption ユーザー
Key Vault Crypto ユーザー
Key Vault 閲覧者
Key Vault シークレット オフィサー
Key Vault シークレット ユーザー		 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault 閲覧者

キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
Microsoft。KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft。KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft。KeyVault/locations/*/read
Microsoft。KeyVault/vaults/*/read
Microsoft。KeyVault/operations/read Microsoftで使用できる操作を一覧表示します。KeyVault リソース プロバイダー
NotActions
none
DataActions
Microsoft。KeyVault/vaults/*/read
Microsoft。KeyVault/vaults/secrets/readMetadata/action シークレットの値ではなく、プロパティを一覧表示または表示します。
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault シークレット オフィサー

キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
Microsoft。KeyVault/checkNameAvailability/read Key Vault 名が有効であり、使用されていないことを確認します。
Microsoft。KeyVault/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
Microsoft。KeyVault/locations/*/read
Microsoft。KeyVault/vaults/*/read
Microsoft。KeyVault/operations/read Microsoftで使用できる操作を一覧表示します。KeyVault リソース プロバイダー
NotActions
none
DataActions
Microsoft。KeyVault/vaults/secrets/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Key Vault シークレット ユーザー

シークレット コンテンツを読み取ります。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。

詳細情報

Actions Description
none
NotActions
none
DataActions
Microsoft。KeyVault/vaults/secrets/getSecret/action シークレットの値を取得します。
Microsoft。KeyVault/vaults/secrets/readMetadata/action シークレットの値ではなく、プロパティを一覧表示または表示します。
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

ロック共同作成者

ロック操作を管理できます。

Actions Description
Microsoft。Authorization/locks/read 指定されたスコープのロックを取得します。
Microsoft。Authorization/locks/write 指定されたスコープのロックを追加します。
Microsoft。Authorization/locks/delete 指定されたスコープのロックを削除します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can Manage Locks Operations.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/28bf596f-4eb7-45ce-b5bc-6cf482fec137",
  "name": "28bf596f-4eb7-45ce-b5bc-6cf482fec137",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write",
        "Microsoft.Authorization/locks/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Locks Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Managed HSM 共同作成者

マネージド HSM プールを管理できます。ただし、それらへのアクセスは含まれません。

詳細情報

Actions Description
Microsoft。KeyVault/managedHSMs/*
Microsoft。KeyVault/deletedManagedHsms/read 削除されたマネージド HSM のプロパティを表示します
Microsoft。KeyVault/locations/deletedManagedHsms/read 削除されたマネージド HSM のプロパティを表示します
Microsoft。KeyVault/locations/deletedManagedHsms/purge/action 論理的に削除されたマネージド HSM を消去します
Microsoft。KeyVault/locations/managedHsmOperationResults/read 長時間実行された操作の結果を確認します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel Automation 共同作成者

Microsoft Sentinel Automation 共同作成者

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Logic/workflows/triggers/read トリガーを読み取ります。
Microsoft。Logic/workflows/triggers/listCallbackUrl/action トリガーのコールバック URL を取得します。
Microsoft。Logic/workflows/runs/read ワークフロー実行を読み取ります。
Microsoft。Web/sites/hostruntime/webhooks/api/workflows/triggers/read Hostruntime ワークフロー トリガー Web Apps一覧表示します。
Microsoft。Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Hostruntime ワークフロー トリガー URI Web Apps取得します。
Microsoft。Web/sites/hostruntime/webhooks/api/workflows/runs/read Hostruntime ワークフロー実行Web Apps一覧表示します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel共同作成者

Microsoft Sentinel共同作成者

詳細情報

Actions Description
Microsoft。SecurityInsights/*
Microsoft。OperationalInsights/workspaces/analytics/query/action 新しいエンジンを使用して検索します。
Microsoft。OperationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft。OperationalInsights/workspaces/savedSearches/*
Microsoft。OperationsManagement/solutions/read 既存の OMS ソリューションを取得します
Microsoft。OperationalInsights/workspaces/query/read ワークスペース内のデータに対してクエリを実行します
Microsoft。OperationalInsights/workspaces/query/*/read
Microsoft。OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft。OperationalInsights/querypacks/*/read
Microsoft。Insights/workbooks/*
Microsoft。Insights/myworkbooks/read
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
NotActions
Microsoft。SecurityInsights/ConfidentialWatchlists/*
Microsoft。OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel プレイブック オペレーター

Microsoft Sentinel プレイブック オペレーター

詳細情報

Actions Description
Microsoft。Logic/workflows/read ワークフローを読み取ります。
Microsoft。Logic/workflows/triggers/listCallbackUrl/action トリガーのコールバック URL を取得します。
Microsoft。Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Hostruntime ワークフロー トリガー URI Web Apps取得します。
Microsoft。Web/sites/read Web アプリのプロパティを取得します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel 閲覧者

Microsoft Sentinel 閲覧者

詳細情報

Actions Description
Microsoft。SecurityInsights/*/read
Microsoft。SecurityInsights/dataConnectorsCheckRequirements/action ユーザーの承認とライセンスを確認します
Microsoft。SecurityInsights/threatIntelligence/indicators/query/action 脅威インテリジェンス インジケーターをクエリします
Microsoft。SecurityInsights/threatIntelligence/queryIndicators/action 脅威インテリジェンス インジケーターをクエリします
Microsoft。OperationalInsights/workspaces/analytics/query/action 新しいエンジンを使用して検索します。
Microsoft。OperationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft。OperationalInsights/workspaces/LinkedServices/read 指定されたワークスペースのリンクされたサービスを取得します。
Microsoft。OperationalInsights/workspaces/savedSearches/read 保存された検索クエリを取得します。
Microsoft。OperationsManagement/solutions/read 既存の OMS ソリューションを取得します
Microsoft。OperationalInsights/workspaces/query/read ワークスペース内のデータに対してクエリを実行します
Microsoft。OperationalInsights/workspaces/query/*/read
Microsoft。OperationalInsights/querypacks/*/read
Microsoft。OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft。Insights/workbooks/read ブックを読み取ります
Microsoft。Insights/myworkbooks/read
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Resources/templateSpecs/*/read テンプレート スペックとテンプレート スペック バージョンを取得または一覧表示します
Microsoft。Support/* サポート チケットの作成と更新
NotActions
Microsoft。SecurityInsights/ConfidentialWatchlists/*
Microsoft。OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft Sentinel レスポンダー

Microsoft Sentinel レスポンダー

詳細情報

Actions Description
Microsoft。SecurityInsights/*/read
Microsoft。SecurityInsights/dataConnectorsCheckRequirements/action ユーザーの承認とライセンスを確認します
Microsoft。SecurityInsights/automationRules/*
Microsoft。SecurityInsights/cases/*
Microsoft。SecurityInsights/incidents/*
Microsoft。SecurityInsights/entities/runPlaybook/action エンティティでプレイブックを実行する
Microsoft。SecurityInsights/threatIntelligence/indicators/appendTags/action 脅威インテリジェンス インジケーターにタグを追加します
Microsoft。SecurityInsights/threatIntelligence/indicators/query/action 脅威インテリジェンス インジケーターをクエリします
Microsoft。SecurityInsights/threatIntelligence/bulkTag/action 脅威インテリジェンスに一括でタグを付けます
Microsoft。SecurityInsights/threatIntelligence/indicators/appendTags/action 脅威インテリジェンス インジケーターにタグを追加します
Microsoft。SecurityInsights/threatIntelligence/indicators/replaceTags/action 脅威インテリジェンス インジケーターのタグを置換します
Microsoft。SecurityInsights/threatIntelligence/queryIndicators/action 脅威インテリジェンス インジケーターをクエリします
Microsoft。SecurityInsights/businessApplicationAgents/systems/undoAction/action
Microsoft。OperationalInsights/workspaces/analytics/query/action 新しいエンジンを使用して検索します。
Microsoft。OperationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft。OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft。OperationalInsights/workspaces/savedSearches/read 保存された検索クエリを取得します。
Microsoft。OperationsManagement/solutions/read 既存の OMS ソリューションを取得します
Microsoft。OperationalInsights/workspaces/query/read ワークスペース内のデータに対してクエリを実行します
Microsoft。OperationalInsights/workspaces/query/*/read
Microsoft。OperationalInsights/workspaces/dataSources/read ワークスペースのデータソースを取得します。
Microsoft。OperationalInsights/querypacks/*/read
Microsoft。Insights/workbooks/read ブックを読み取ります
Microsoft。Insights/myworkbooks/read
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Support/* サポート チケットの作成と更新
NotActions
Microsoft。SecurityInsights/cases/*/Delete
Microsoft。SecurityInsights/incidents/*/Delete
Microsoft。SecurityInsights/ConfidentialWatchlists/*
Microsoft。OperationalInsights/workspaces/query/ConfidentialWatchlist/*
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

セキュリティ管理者

Microsoft Defender for Cloudのアクセス許可を表示および更新します。 セキュリティ閲覧者ロールと同じアクセス許可ですが、セキュリティ コネクタの作成、更新、削除、セキュリティ ポリシーの更新、アラートと推奨事項の無視を行うことができます。

Microsoft Defender for IoTについては、OT および Enterprise IoT 監視>Azure のユーザー ロールに関する<を参照してください。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Authorization/policyAssignments/* ポリシーの割り当ての作成と管理
Microsoft。Authorization/policyDefinitions/* ポリシー定義の作成と管理
Microsoft。Authorization/policyExemptions/* ポリシー適用除外の作成と管理
Microsoft。Authorization/policySetDefinitions/* ポリシー セットの作成と管理
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
Microsoft.operationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Security/* セキュリティ コンポーネントおよびポリシーの作成と管理
Microsoft。IoTSecurity/*
Microsoft。IoTFirmwareDefense/*
Microsoft。Support/* サポート チケットの作成と更新
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

セキュリティ評価共同作成者

評価をMicrosoft Defender for Cloudにプッシュできます

Actions Description
Microsoft。Security/assessments/write サブスクリプションで利用可能なセキュリティ評価を作成または更新します
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

セキュリティ マネージャー (レガシ)

これは、レガシ ロールです。 代わりに Security Admin を使用してください。

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。ClassicCompute/*/read 従来の仮想マシンの構成情報の読み取り
Microsoft。ClassicCompute/virtualMachines/*/write 従来の仮想マシンの構成の書き込み
Microsoft。ClassicNetwork/*/read 従来のネットワークに関する構成情報の読み取り
Microsoft。Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft。ResourceHealth/availabilityStatuses/read 指定されたスコープのすべてのリソースの利用状況を取得します。
Microsoft。Resources/deployments/* デプロイの作成と管理
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Security/* セキュリティ コンポーネントおよびポリシーの作成と管理
Microsoft。Support/* サポート チケットの作成と更新
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

セキュリティビューア

Microsoft Defender for Cloudのアクセス許可を表示します。 推奨事項、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。

Microsoft Defender for IoTについては、OT および Enterprise IoT 監視>Azure のユーザー ロールに関する<を参照してください。

詳細情報

Actions Description
Microsoft。Authorization/*/read ロールとロール割り当ての読み取り
Microsoft。Insights/alertRules/read クラシック メトリック アラートを読み取ります
Microsoft.operationalInsights/workspaces/*/read Log Analytics のデータの表示
Microsoft。Resources/deployments/*/read
Microsoft。Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft。Security/*/read セキュリティ コンポーネントとポリシーの読み取り
Microsoft。IoTSecurity/*/read
Microsoft。サポート/*/read
Microsoft。Security/iotDefenderSettings/packageDownloads/action ダウンロード可能な IoT Defender パッケージ情報を取得します
Microsoft。Security/iotDefenderSettings/downloadManagerActivation/action サブスクリプション クォータ データを含むマネージャー アクティブ化ファイルをダウンロードします
Microsoft。Security/iotSensors/downloadResetPassword/action IoT センサーのリセット パスワード ファイルをダウンロードします
Microsoft。IoTSecurity/defenderSettings/packageDownloads/action ダウンロード可能な IoT Defender パッケージ情報を取得します
Microsoft。IoTSecurity/defenderSettings/downloadManagerActivation/action マネージャー アクティブ化ファイルをダウンロードします。
Microsoft。Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

次のステップ

  • Last updated on