Как в Azure запретить пользователю создавать карту сетевого интерфейса, но не изменять ее?

Я хочу предоставить пользователю конкретный RBAC , чтобы он мог создавать сетевой адаптер, но не изменять его . На самом деле цель состоит в том, чтобы у него не было разрешения на изменение динамического IP-адреса на статический IP-адрес и изменение IP-адреса сетевого адаптера.

Я проверил , но похоже, что если он Microsoft.Network/networkInterfaces/writeразрешения он может создать сетевой интерфейс или обновить существующий сетевой интерфейс . Так что этот Rbac не так подробен, как мне хотелось бы. Я также пытался предоставить все разрешения, но неMicrosoft.Network/networkInterfaces/read. В этом случае сетевой адаптер можно создать, но я не вижу ни IP-адреса сетевого адаптера, ни ssh/rdp для виртуальной машины. Так что для меня это не решение.

Я проверил встроенные политики Azure, но ничего подходящего для моих нужд нет.

Есть идеи?