Erforderliche Berechtigungen der rollenbasierten Zugriffssteuerung von Azure zum Verwenden von Network Watcher-Funktionen

Durch Azure RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) können Sie Mitgliedern Ihrer Organisation nur bestimmte Aktionen zuweisen, die sie benötigen, um die ihnen übertragenen Aufgaben durchzuführen. Um Azure Network Watcher-Funktionen verwenden zu können, muss das Konto, mit dem Sie sich bei Azure anmelden, den internen Rollen Besitzer, Mitwirkender oder Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen werden, die den Aktionen für die einzelnen Network Watcher-Funktionen in den folgenden Abschnitten zugeordnet sind. Informationen zum Überprüfen von Rollen, die einem Benutzer für ein Abonnement zugewiesen sind, finden Sie unter Auflisten von Azure-Rollenzuweisungen mithilfe des Azure-Portals. Wenn die Rollenzuweisungen nicht angezeigt werden, wenden Sie sich an den jeweiligen Abonnementadministrator. Weitere Informationen zu Network Watcher-Funktionen finden Sie unter Was ist Azure Network Watcher?

Wichtig

Netzwerkmitwirkender Deckt keine der folgenden Aktionen ab:

Network Watcher

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/read Network Watcher abrufen
Microsoft.Network/networkWatchers/write Network Watcher erstellen oder aktualisieren
Microsoft.Network/networkWatchers/delete Network Watcher löschen

Verbindungsmonitor

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/connectionMonitors/start/action Verbindungsmonitor starten
Microsoft.Network/networkWatchers/connectionMonitors/stop/action Verbindungsmonitor anhalten
Microsoft.Network/networkWatchers/connectionMonitors/query/action Verbindungsmonitor abfragen
Microsoft.Network/networkWatchers/connectionMonitors/read Verbindungsmonitor abrufen
Microsoft.Network/networkWatchers/connectionMonitors/write Erstellen eines Verbindungsmonitors
Microsoft.Network/networkWatchers/connectionMonitors/delete Verbindungsmonitor löschen

Flowprotokolle

Aktion BESCHREIBUNG
Microsoft.Network/networkWatchers/configureFlowLog/action Ein Datenflussprotokoll konfigurieren
Microsoft.Network/networkWatchers/queryFlowLogStatus/action Status für ein Datenflussprotokoll abfragen
Microsoft.Network/networkSecurityGroups/write 1 Erstellt eine Netzwerksicherheitsgruppe oder aktualisiert eine vorhandene Netzwerksicherheitsgruppe.
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
Rufen Sie gemeinsame Zugriffssignaturen (SAS) ab, die einen sicheren Zugriff auf das Speicherkonto ermöglichen, und schreiben Sie in das Speicherkonto

1 Nur für NSG-Datenflussprotokolle erforderlich.

Traffic Analytics

Da die Datenverkehrsanalyse als Teil der Datenflussprotokoll-Ressource aktiviert ist, sind zusätzlich zu allen erforderlichen Berechtigungen für Datenflussprotokolle die folgenden Berechtigungen erforderlich:

Aktion Beschreibung
Microsoft.Network/applicationGateways/read Abrufen eines Anwendungsgateways
Microsoft.Network/connections/read Ruft VirtualNetworkGatewayConnection ab.
Microsoft.Network/loadBalancers/read Abrufen einer Lastenausgleichsdefinition
Microsoft.Network/localNetworkGateways/read LocalNetworkGateway abrufen
Microsoft.Network/networkInterfaces/read Abrufen einer Netzwerkschnittstellendefinition
Microsoft.Network/networkSecurityGroups/read Abrufen einer Netzwerksicherheitsgruppen-Definition
Microsoft.Network/publicIPAddresses/read Abrufen einer Definition für eine öffentliche IP-Adresse
Microsoft.Network/routeTables/read Abrufen einer Routingtabellendefinition
Microsoft.Network/virtualNetworkGateways/read VirtualNetworkGateway abrufen
Microsoft.Network/virtualNetworks/read Abrufen der Definition des virtuellen Netzwerks
Microsoft.Network/expressRouteCircuits/read Dient zum Abrufen eines ExpressRouteCircuit-Elements.
Microsoft.OperationalInsights/workspaces/read Ruft einen vorhandenen Arbeitsbereich ab.
Microsoft.OperationalInsights/workspaces/sharedkeys/action Ruft die gemeinsam verwendeten Schlüssel für den Arbeitsbereich ab.
Microsoft.Insights/dataCollectionRules/read 1 Liest eine Datensammlungsregel.
Microsoft.Insights/dataCollectionRules/write 1 Erstellt oder aktualisiert eine Datensammlungsregel.
Microsoft.Insights/dataCollectionRules/delete 1 Löscht eine Datensammlungsregel.
Microsoft.Insights/dataCollectionEndpoints/read 1 Liest einen Datensammlungsendpunkt.
Microsoft.Insights/dataCollectionEndpoints/write 1 Erstellt oder aktualisiert einen Datensammlungsendpunkt.
Microsoft.Insights/dataCollectionEndpoints/delete 1 Löscht einen Datensammlungsendpunkt.

1 Nur erforderlich, wenn die Datenverkehrsanalyse zum Analysieren von VNet-Datenflussprotokollen verwendet wird. Weitere Informationen finden Sie unter Datensammlungsregeln in Azure Monitor –und Datensammlungsendpunkte in Azure Monitor.

Achtung

Datensammlungsregel und Endpunktressourcen für die Datensammlung werden durch Traffic Analytics erstellt und verwaltet. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Traffic Analytics möglicherweise nicht wie erwartet.

Problembehandlung für Verbindungen

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/connectivityCheck/action Initiieren eines Tests zur Problembehandlung für Verbindungen
Microsoft.Network/networkWatchers/queryTroubleshootResult/action Ergebnisse von einem Test zur Problembehandlung für Verbindungen abfragen
Microsoft.Network/networkWatchers/troubleshoot/action Einen Test zur Problembehandlung für Verbindungen ausführen

Paketerfassung

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action Status einer Paketerfassung abfragen
Microsoft.Network/networkWatchers/packetCaptures/stop/action Beenden einer Paketerfassung
Microsoft.Network/networkWatchers/packetCaptures/read Abrufen einer Paketerfassung
Microsoft.Network/networkWatchers/packetCaptures/write Eine Paketerfassung erstellen
Microsoft.Network/networkWatchers/packetCaptures/delete Löschen einer Paketerfassung
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read Anzeigen des Status einer Paketerfassung

IP-Datenflussüberprüfung

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/ipFlowVerify/action Einen IP-Fluss überprüfen

Nächster Hop

Action Beschreibung
Microsoft.Network/networkWatchers/nextHop/action,
Microsoft.Network/networkWatchers/nextHop/read
Gibt für ein angegebenes Ziel und eine Ziel-IP-Adresse die Art des nächsten Hops und die IP-Adresse des nächsten Hops zurück
Microsoft.Compute/virtualMachines/read Dient zum Abrufen der Eigenschaften eines virtuellen Computers.
Microsoft.Network/networkInterfaces/read Abrufen einer Netzwerkschnittstellendefinition

Netzwerksicherheitsgruppen-Ansicht

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/securityGroupView/action Sicherheitsgruppen anzeigen

Topologie

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/topology/action Topologie abrufen
Microsoft.Network/networkWatchers/topology/read Wie oben

Erreichbarkeitsbericht

Action BESCHREIBUNG
Microsoft.Network/networkWatchers/azureReachabilityReport/action Einen Azure-Erreichbarkeitsbericht abrufen

Zusätzliche Aktionen

Network Watcher-Funktionen erfordern folgende Aktionen:

Aktion(en) BESCHREIBUNG
Microsoft.Authorization/*/Read Rufen Sie Azure-Rollenzuweisungen und Richtliniendefinitionen ab
Microsoft.Resources/subscriptions/resourceGroups/Read Zählen Sie alle Ressourcengruppen in einem Abonnement auf
Microsoft.Storage/storageAccounts/Read Rufen Sie die Eigenschaften für das angegebene Speicherkonto ab
Microsoft.Storage/storageAccounts/listServiceSas/Action,
Microsoft.Storage/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action
Rufen Sie gemeinsame Zugriffssignaturen (SAS) ab, die einen sicheren Zugriff auf das Speicherkonto ermöglichen, und schreiben Sie in das Speicherkonto
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write
Melden Sie sich bei der VM an, führen Sie eine Paketerfassung durch und laden Sie sie in Ihr Speicherkonto hoch
Microsoft.Compute/virtualMachines/extensions/Read,
Microsoft.Compute/virtualMachines/extensions/Write
Prüfen Sie, ob die Network Watcher-Erweiterung vorhanden ist, und installieren Sie sie gegebenenfalls
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write
Greifen Sie auf die VM-Skalierungsgruppen zu, führen Sie Paketerfassung durch und laden Sie sie auf ein Speicherkonto hoch
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Prüfen Sie, ob die Network Watcher-Erweiterung vorhanden ist, und installieren Sie sie gegebenenfalls
Microsoft.Insights/alertRules/* Einrichten von Metrikwarnungen
Microsoft.Support/* Erstellen und aktualisieren Sie Support-Tickets von Network Watcher aus