Network Watcher 機能を使用するために必要な、Azure ロールベースのアクセス制御のアクセス許可

Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、割り当てられた職務を遂行するために必要な特定のアクションのみを組織内のメンバーに割り当てることができます。 Network Watcher 機能を使用するには、Azure にログインするアカウントを、所有者共同作成者、またはネットワーク共同作業者の組み込みのロールに割り当てるか、Network Watcher 機能の各セクションの下に一覧表示されているアクションが割り当てられているカスタム ロールに割り当てる必要があります。 Network Watcher の機能の詳細については、「Network Watcher とは」を参照してください。

Network Watcher

アクション 説明
Microsoft.Network/networkWatchers/read Network Watcher を取得する
Microsoft.Network/networkWatchers/write Network Watcher を作成する
Microsoft.Network/networkWatchers/delete Network Watcher を削除する

NSG フロー ログ

アクション 説明
Microsoft.Network/networkWatchers/configureFlowLog/action フロー ログを構成する
Microsoft.Network/networkWatchers/queryFlowLogStatus/action フロー ログのクエリ状態

接続のトラブルシューティング

アクション 説明
Microsoft.Network/networkWatchers/connectivityCheck/action 接続のトラブルシューティング テストの開始
Microsoft.Network/networkWatchers/queryTroubleshootResult/action 接続のトラブルシューティング テストのクエリ結果
Microsoft.Network/networkWatchers/troubleshoot/action 接続のトラブルシューティング テストの実行

接続モニター

アクション 説明
Microsoft.Network/networkWatchers/connectionMonitors/start/action 接続モニターを起動する
Microsoft.Network/networkWatchers/connectionMonitors/stop/action 接続モニターを停止する
Microsoft.Network/networkWatchers/connectionMonitors/query/action 接続モニターのクエリを実行する
Microsoft.Network/networkWatchers/connectionMonitors/read 接続モニターを取得する
Microsoft.Network/networkWatchers/connectionMonitors/write 接続モニターを作成する
Microsoft.Network/networkWatchers/connectionMonitors/delete 接続モニターを削除する

パケット キャプチャ

アクション 説明
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action パケット キャプチャの状態のクエリを実行する
Microsoft.Network/networkWatchers/packetCaptures/stop/action パケット キャプチャを停止する
Microsoft.Network/networkWatchers/packetCaptures/read パケット キャプチャを取得する
Microsoft.Network/networkWatchers/packetCaptures/write パケット キャプチャを作成する
Microsoft.Network/networkWatchers/packetCaptures/delete パケット キャプチャを削除する

IP フロー検証

アクション 説明
Microsoft.Network/networkWatchers/ipFlowVerify/action IP フローを確認する

次のホップ

アクション 説明
Microsoft.Network/networkWatchers/nextHop/action VM から次ホップを取得する

ネットワーク セキュリティ グループ ビュー

アクション 説明
Microsoft.Network/networkWatchers/securityGroupView/action セキュリティ グループを表示する

トポロジ

アクション 説明
Microsoft.Network/networkWatchers/topology/action トポロジを取得する
Microsoft.Network/networkWatchers/topology/read 同上

到達可能性レポート

アクション 説明
Microsoft.Network/networkWatchers/azureReachabilityReport/action Azure 到達可能性レポートを取得する

追加のアクション

Network Watcher 機能には、次のアクションも必要です。

アクション 説明
Microsoft.Authorization/*/Read Azure ロールの割り当てとポリシー定義のフェッチに使用されます
Microsoft.Resources/subscriptions/resourceGroups/Read サブスクリプションのすべてのリソース グループの列挙に使用されます
Microsoft.Storage/storageAccounts/Read 指定したストレージ アカウントのプロパティの取得に使用されます
Microsoft.Storage/storageAccounts/listServiceSas/Action、
Microsoft.Storage/storageAccounts/listAccountSas/Action、
Microsoft.Storage/storageAccounts/listKeys/Action
ストレージ アカウントへのセキュリティで保護されたアクセスおよびストレージ アカウントへの書き込みを有効にした、Shared Access Signature (SAS) のフェッチに使用されます
Microsoft.Compute/virtualMachines/Read、
Microsoft.Compute/virtualMachines/Write
VM へのログイン、パケットの取得、そのストレージ アカウントへのアップロードに使用されます
Microsoft.Compute/virtualMachines/extensions/Read
Microsoft.Compute/virtualMachines/extensions/Write
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールに使用されます
Microsoft.Compute/virtualMachineScaleSets/Read、
Microsoft.Compute/virtualMachineScaleSets/Write
仮想マシンのスケール セットへのアクセス、パケットの取得、およびそのストレージ アカウントへのアップロードに使用されます
Microsoft.Compute/virtualMachineScaleSets/extensions/Read、
Microsoft.Compute/virtualMachineScaleSets/extensions/Write
Network Watcher 拡張機能が存在するかどうかの確認と必要に応じたインストールに使用されます
Microsoft.Insights/alertRules/* メトリック アラートの設定に使用されます
Microsoft.Support/* Network Watcher からのサポート チケットの作成および更新に使用されます