Azure 組み込みロール
Azure ロールベースのアクセス制御 (Azure RBAC) には、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることのできる Azure 組み込みロールがいくつかあります。 ロールの割り当ては、Azure リソースへのアクセスを制御する方法です。 組み込みロールが組織の特定のニーズを満たさない場合は、独自の Azure カスタム ロールを作成することができます。 ロールの割り当て方法については、「Azure ロールを割り当てる手順」を参照してください。
この記事では、Azure 組み込みロールを一覧で示します。 Microsoft Entra ID の管理者ロールをお探しの場合は、「microsoft Entra 組み込みロールを参照してください。
次の表に、各組み込みロールの簡単な説明を示します。 ロール名をクリックすると、各ロールの Actions
、NotActions
、DataActions
、NotDataActions
の一覧が表示されます。 これらのアクションの意味と、コントロールおよびデータ プレーンへの適用方法については、「Azure ロールの定義について」を参照してください。
特権付き
組み込みのロール | 説明 | ID |
---|---|---|
Contributor | すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
所有者 | Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
予約管理者 | テナント内のすべての予約を表示して管理できます | a8889054-8d42-49c9-bc1c-52486c10e7cd |
ロール ベースのアクセスの制御の管理者 | Azure RBACを使用してロールを割り当てることにより、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policy などの他の方法を使用してアクセスを管理することはできません。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
User Access Administrator | Azure リソースに対するユーザー アクセスを管理します。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
全般
組み込みのロール | 説明 | ID |
---|---|---|
Reader | すべてのリソースを表示しますが、変更を加えることはできません。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Compute
組み込みのロール | 説明 | ID |
---|---|---|
Azure Arc VMware VM 共同作成者 | Arc VMware VM 共同作成者には、すべての VM アクションを実行するアクセス許可があります。 | b748a06d-6150-4f8a-aaa9-ce3940cd96cb |
Classic Virtual Machine Contributor | 従来の仮想マシンを管理できますが、アクセスすることはできません。また、接続先の仮想ネットワークやストレージ アカウントにもアクセスできません。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
Compute Gallery Artifacts Publisher | これは、ギャラリー成果物を発行するためのロールです。 | 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab |
コンピューティング ギャラリーイメージリーダー | これは、ギャラリー イメージを読み取るためのロールです。 | cf7c76d2-98a3-4358-a134-615aa78bf44d |
コンピューティング ギャラリー共有管理者 | このロールを使用すると、ユーザーはギャラリーを別のサブスクリプション/テナントと共有したり、一般ユーザーと共有したりできます。 | 1ef6a3be-d0ac-425d-8c01-acb62866290b |
マネージド ディスクのデータ演算子 | SAS URI と Azure AD 認証を使用して、空のマネージド ディスクにデータをアップロードしたり、マネージド ディスク (実行中の VM に接続されていない) やスナップショットのデータの読み取りまたはエクスポートを行ったりするためのアクセス許可を提供します。 | 959f8984-c045-4866-89c7-12bf9737be2e |
Desktop Virtualization Application Group Contributor | デスクトップ仮想化アプリケーション グループの共同作成者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
Desktop Virtualization Application Group Reader | デスクトップ仮想化アプリケーション グループの閲覧者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
デスクトップ仮想化共同作成者 | デスクトップ仮想化の共同作成者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
Desktop Virtualization Host Pool Contributor | デスクトップ仮想化ホスト プールの共同作成者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
Desktop Virtualization Host Pool Reader | デスクトップ仮想化ホスト プールの閲覧者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
Desktop Virtualization Power On 共同作成者 | 仮想マシンを起動するためのアクセス許可を Azure Virtual Desktop リソース プロバイダーに提供します。 | 489581de-a3bd-480d-9518-53dea7416b33 |
デスクトップ仮想化電源オン/オフ共同作成者 | 仮想マシンを起動および停止するためのアクセス許可を Azure Virtual Desktop リソース プロバイダーに提供します。 | 40c5ff49-9181-41f8-ae61-143b0e78555e |
デスクトップ仮想化閲覧者 | デスクトップ仮想化の閲覧者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
Desktop Virtualization Session Host Operator | デスクトップ仮想化セッション ホストのオペレーター。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
デスクトップ仮想化ユーザー | ユーザーにアプリケーション グループ内のアプリケーションを使用することを許可します。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
Desktop Virtualization User Session Operator | デスクトップ仮想化のユーザー セッションのオペレーター。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
デスクトップ仮想化仮想マシン共同作成者 | このロールはプレビュー段階にあり、変更される可能性があります。 仮想マシンを作成、削除、更新、開始、および停止するためのアクセス許可を Azure Virtual Desktop リソース プロバイダーに提供します。 | a959dbd1-f747-45e3-8ba6-dd80f235f97c |
Desktop Virtualization Workspace Contributor | デスクトップ仮想化ワークスペースの共同作成者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
Desktop Virtualization Workspace Reader | デスクトップ仮想化ワークスペースの閲覧者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
Disk Backup Reader | ディスク バックアップを実行するためにコンテナーをバックアップするアクセス許可を提供します。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
ディスク プール オペレーター | ディスク プールに追加されたディスクを管理するためのアクセス許可を、StoragePool リソース プロバイダーに付与します。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
Disk Restore Operator | ディスクの復元を実行するためにコンテナーをバックアップするアクセス許可を提供します。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
Disk Snapshot Contributor | ディスプのスナップショットを管理するためにコンテナーをバックアップするアクセス許可を提供します。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
Virtual Machine Administrator Login | ポータルで仮想マシンを表示し、管理者としてログインします | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
Virtual Machine Contributor | 仮想マシンの作成と管理、ディスクの管理、ソフトウェアのインストールと実行、VM 拡張機能を使用した仮想マシンのルート ユーザーのパスワードのリセット、VM 拡張機能を使用したローカル ユーザー アカウントの管理を行います。 このロールには、仮想マシンが接続されている仮想ネットワークまたはストレージ アカウントへの管理アクセス権は付与されません。 このロールでは、Azure RBAC でロールの割り当てを行うことはできません。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
仮想マシン データ アクセス管理者 (プレビュー) | 仮想マシン管理者ログイン ロールと仮想マシン ユーザー ログイン ロールのロールの割り当てを追加または削除して、Virtual Machines へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
仮想マシンのローカル ユーザー ログイン | ポータルで Virtual Machines を表示し、Arc サーバーで構成されたローカル ユーザーとしてログインします | 602da2ba-a5c2-41da-b01d-5360126ab525 |
Virtual Machine User Login | ポータルで仮想マシンを表示し、通常のユーザーとしてログインします。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
VM 復元オペレーター | VM の復元中にリソースを作成および削除します。 このロールはプレビュー段階にあり、変更される可能性があります。 | dfce8971-25e3-42e3-ba33-6055438e3080 |
Windows 365 ネットワーク インターフェイス共同作成者 | このロールは、必要なネットワーク リソースをプロビジョニングし、Microsoft がホストする VM をネットワーク インターフェイスに参加させるために Windows 365 によって使用されます。 | 1f135831-5bbe-4924-9016-264044c00788 |
Windows 365 ネットワーク ユーザー | このロールは、Windows 365 によって仮想ネットワークを読み取り、指定された仮想ネットワークに参加するために使用されます。 | 7eabc9a4-85f7-4f71-b8ab-75daaccc1033 |
Windows Admin Center 管理者ログイン | Windows Admin Center を介して、管理者としてリソースの OS を管理できます。 | a6333a3e-0164-44c3-b281-7a577aff287f |
ネットワーク
組み込みのロール | 説明 | ID |
---|---|---|
Azure Front Door ドメイン共同作成者 | Azure 内部での使用用。 Azure Front Door ドメインを管理できますが、他のユーザーにアクセスを許可することはできません。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
Azure Front Door ドメイン リーダー | Azure 内部での使用用。 Azure Front Door ドメインを表示できますが、変更することはできません。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
Azure Front Door プロファイル 閲覧者 | AFD Standard と Premium のプロファイルとそのエンドポイントを表示できますが、変更することはできません。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
Azure Front Door シークレット共同作成者 | Azure 内部での使用用。 Azure Front Door シークレットを管理できますが、他のユーザーにアクセスを許可することはできません。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
Azure Front Door シークレット リーダー | Azure 内部での使用用。 Azure Front Door シークレットを表示できますが、変更することはできません。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
CDN Endpoint Contributor | CDN エンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
CDN Endpoint Reader | CDN エンドポイントを表示できますが、変更はできません。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
CDN Profile Contributor | CDN および Azure Front Door Standard と Premium のプロファイルとそのエンドポイントを管理できますが、他のユーザーにアクセスを許可することはできません。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
CDN Profile Reader | CDN プロファイルとそのエンドポイントを表示できますが、変更はできません。 | 8f96442b-4075-438f-813d-ad51ab4019af |
Classic Network Contributor | 従来のネットワークを管理できます。ただし、それらへのアクセスは含まれません。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
DNS Zone Contributor | Azure DNS の DNS ゾーンとレコード セットを管理できますが、それにアクセスできるユーザーを制御することはできません。 | befefa01-2a29-4197-83a8-272ff33ce314 |
Network Contributor | ネットワークを管理できます。ただし、それらへのアクセスは含まれません。 このロールでは、Virtual Machines をデプロイまたは管理するためのアクセス許可は付与されません。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
プライベート DNS ゾーンの共同作成者 | プライベート DNS ゾーンのリソースを管理できますが、リンク先の仮想ネットワークを管理することはできません。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
Traffic Manager Contributor | Traffic Manager プロファイルを管理できますが、それにアクセスできるユーザーを制御することはできません。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
Storage
組み込みのロール | 説明 | ID |
---|---|---|
Avere 共同作成者 | Avere vFXT クラスターを作成および管理できます。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
Avere オペレーター | クラスターを管理するために Avere vFXT クラスターによって使用されます | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
Backup Contributor | バックアップ サービスを管理できますが、資格情報コンテナーの作成や他のユーザーに対するアクセス権の付与を行うことはできません | 5e467623-bb1f-42f4-a55d-6e525e11384b |
バックアップ MUA 管理者 | マルチユーザー承認をバックアップします。 ResourceGuard を作成/削除できます | c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8 |
バックアップ MUA オペレーター | マルチユーザー承認をバックアップします。 ユーザーが resourceguard によって保護された重要な操作を実行できるようにします | f54b6d04-23c6-443e-b462-9c16ab7b4a52 |
Backup Operator | バックアップ サービスを管理できます (バックアップの削除、資格情報コンテナーの作成、他のユーザーに対するアクセス権の付与を除く) | 00c29273-979b-4161-815c-10b084fb9324 |
Backup Reader | バックアップ サービスを表示できますが、変更を行うことはできません | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
Classic Storage Account Contributor | 従来のストレージ アカウントを管理できますが、アクセスすることはできません。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
従来のストレージ アカウント キー オペレーターのサービス ロール | 従来のストレージ アカウント キー オペレーターは、従来のストレージ アカウントでのキーの一覧表示と再生成を行うことができます | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
Data Box Contributor | Data Box サービスですべてを管理できます (他のユーザーに対するアクセス権の付与を除く)。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
Data Box 閲覧者 | Data Box サービスを管理できます (注文の作成または注文の詳細の編集、および他のユーザーに対するアクセス権の付与を除く)。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
Data Lake Analytics Developer | 独自のジョブを送信、監視、管理できますが、Data Lake Analytics アカウントを作成または削除することはできません。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
Defender for Storage データ スキャナー | BLOB の読み取りとインデックス タグの更新のためのアクセスを許可します。 このロールは、Defender for Storage のデータ スキャナーによって使われます。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
Elastic SAN ネットワーク管理者 | SAN リソースでプライベート エンドポイントを作成し、SAN リソースを読み取るアクセスを許可します | fa6cecf6-5db3-4c43-8470-c540bcb4eafa |
Elastic SAN 所有者 | データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のすべてのリソースへのフル アクセスを許可します | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
Elastic SAN 閲覧者 | Azure Elastic SAN への制御パスの読み取りアクセスを許可します | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
Elastic SAN ボリューム グループ所有者 | データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のボリューム グループへのフル アクセスを許可します | a8281131-f312-4f34-8d98-ae12be9f0d23 |
Reader and Data Access | すべてを表示することができますが、ストレージ アカウントや含まれるリソースの削除や作成はできません。 ストレージ アカウント キーへのアクセスを使用して、ストレージ アカウントに含まれるすべてのデータへの読み取り/書き込みアクセスも許可されます。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
ストレージ アカウントのバックアップ共同作成者 | ストレージ アカウントで Azure Backup を使用してバックアップ操作と復元操作を実行できます。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
Storage Account Contributor | ストレージ アカウントの管理を許可します。 アカウント キーへのアクセスを提供します。これを使用して、共有キー認証を使用してデータにアクセスすることができます。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
ストレージ アカウント キー オペレーターのサービス ロール | ストレージ アカウント アクセス キーを一覧表示および再生成できます。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
ストレージ BLOB データ共同作成者 | Azure Storage コンテナーと BLOB の読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
ストレージ BLOB データ所有者 | Azure Storage Blob コンテナーとデータに対するフル アクセス (POSIX アクセスの制御の割り当てを含む) を提供します。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
ストレージ BLOB データ閲覧者 | Azure Storage コンテナーと BLOB の読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
Storage Blob デリゲータ | Azure AD 資格情報で署名されたコンテナーまたは BLOB 用の共有アクセス署名を作成するために使用できるユーザー委任キーを取得します。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
ストレージ ファイル データ権限付き共同作成者 | 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの ACL の読み取り、書き込み、削除、変更を行うことができます。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
ストレージ ファイル データ権限を持つ閲覧者 | 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの読み取りアクセスを許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 | b8eda974-7b85-4f76-af95-65846b26df6d |
記憶域ファイル データの SMB 共有の共同作成者 | Azure ファイル共有のファイルまたはディレクトリに対する読み取り、書き込み、削除のアクセス権を許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
記憶域ファイル データの SMB 共有の管理者特権共同作成者 | Azure ファイル共有のファイルまたはディレクトリに対する ACL の読み取り、書き込み、削除、変更を許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の変更に相当します。 | a7264617-510b-434b-a828-9731dc254ea7 |
ストレージ ファイル データの SMB 共有の閲覧者 | Azure ファイル共有のファイルまたはディレクトリに対する読み取りアクセスを許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の読み取りに相当します。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
ストレージ キュー データ共同作成者共同作成者 | Azure Storage キューおよびキュー メッセージの読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
ストレージ キュー データのメッセージ プロセッサ | Azure Storage キューからのメッセージのピーク、取得、削除を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
ストレージ キュー データ メッセージ送信者 | Azure Storage キューにメッセージを追加します。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
ストレージ キュー データ閲覧者 | Azure Storage キューおよびキュー メッセージの読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すための Permissionsを参照してください。 | 19e7f393-937e-4f77-808e-94535e297925 |
ストレージ テーブル データ共同作成者 | Azure Storage テーブルおよびエンティティに対する読み取り、書き込み、削除のアクセスを許可します | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
ストレージ テーブル データ閲覧者 | Azure Storage テーブルおよびエンティティに対する読み取りアクセスを許可します | 76199698-9eea-4c19-bc75-cec21354c6b6 |
Web and Mobile
組み込みのロール | 説明 | ID |
---|---|---|
Azure Maps データ共同作成者 | Azure Maps アカウントからのマップ関連データへの読み取り、書き込み、削除のアクセスを付与します。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
Azure Maps データ閲覧者 | Azure Maps アカウントからマップ関連データを読み取るためのアクセス権を付与します。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
Azure Maps の検索とデータ閲覧者のレンダリング | 一般的なビジュアル Web SDK シナリオに対して、非常に限られたデータ API へのアクセスを許可します。 具体的には、データ API のレンダリングと検索を行います。 | 6be48352-4f82-47c9-ad5e-0acacefdb005 |
Azure Spring Apps アプリケーション構成サービス構成ファイル パターン閲覧者ロール | Azure Spring Apps の Application Configuration Service の構成ファイル パターンのコンテンツを読み取ります | 25211fc6-dc78-40b6-b205-e4ac934fd9fd |
Azure Spring Apps アプリケーション構成サービスログ閲覧者ロール | Azure Spring Apps での Application Configuration Service のリアルタイム ログの読み取り | 6593e776-2a30-40f9-8a32-4fe28b77655d |
Azure Spring Apps Connect ロール | Azure Spring Apps Connect ロール | 80558df3-64f9-4c0f-b32d-e5094b036b0b |
Azure Spring Apps ジョブ ログ閲覧者ロール | Azure Spring Apps でのジョブのリアルタイム ログの読み取り | b459aa1d-e3c8-436f-ae21-c0531140f43e |
Azure Spring Apps のリモート デバッグ ロール | Azure Spring Apps のリモート デバッグ ロール | a99b0159-1064-4c22-a57b-c9b3caa1c054 |
Azure Spring Apps Spring Cloud Gateway のログ閲覧者ロール | Azure Spring Apps で Spring Cloud Gateway のリアルタイム ログを読み取る | 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2 |
Azure Spring Cloud Config Server 共同作成者 | Azure Spring Cloud Config Server への読み取り、書き込み、削除アクセスを許可します | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
Azure Spring Cloud Config Server 閲覧者 | Azure Spring Cloud Config Server への読み取りアクセスを許可します | d04c6db6-4947-4782-9e91-30a88feb7be7 |
Azure Spring Cloud データ閲覧者 | Azure Spring Cloud データへの読み取りアクセスを許可します | b5537268-8956-4941-a8f0-646150406f0c |
Azure Spring Cloud Service Registry 共同作成者 | Azure Spring Cloud Service Registry への読み取り、書き込み、削除アクセスを許可します | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
Azure Spring Cloud Service Registry 閲覧者 | Azure Spring Cloud Service Registry への読み取りアクセスを許可します | cff1b556-2399-4e7e-856d-a8f754be7b65 |
Media Services アカウント管理者 | Media Services アカウントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
Media Services ライブ イベント管理者 | ライブ イベント、アセット、アセット フィルター、およびストリーミング ロケーターを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
Media Services メディア オペレーター | アセット、アセット フィルター、ストリーミング ロケーター、およびジョブを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | e4395492-1534-4db2-bedf-88c14621589c |
Media Services ポリシー管理者 | アカウント フィルター、ストリーミング ポリシー、コンテンツ キー ポリシー、および変換を作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 ジョブ、アセット、またはストリーミング リソースは作成できません。 | c4bba371-dacd-4a26-b320-7250bca963ae |
Media Services ストリーミング エンドポイント管理者 | ストリーミング エンドポイントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
SignalR AccessKey 閲覧者 | SignalR サービス アクセス キーを読み取ります | 04165923-9d83-45d5-8227-78b77b0a687e |
SignalR アプリ サーバー | AAD の認証オプションを使用して、アプリ サーバーが SignalR Service にアクセスできるようにします。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
SignalR REST API 所有者 | Azure SignalR Service REST API へのフル アクセス | fd53cd77-2268-407a-8f46-7e7863d0f521 |
SignalR REST API 閲覧者 | Azure SignalR Service REST API への読み取り専用アクセス | ddde6b66-c0df-4114-a159-3618637b3035 |
SignalR Service 所有者 | Azure SignalR Service REST API へのフル アクセス | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
SignalR/Web PubSub 共同作成者 | SignalR のサービス リソースの作成、読み取り、更新、削除を行います | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
Web Plan Contributor | Web サイトの Web プランを管理します。 Azure RBAC でロールを割り当て許可をしません。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
Web PubSub サービス所有者 | Azure Web PubSub サービス REST API へのフル アクセス | 12cf5a90-567b-43ae-8102-96cf46c7d9b4 |
Web PubSub サービス 閲覧者 | Azure Web PubSub Service REST API への読み取り専用アクセス | bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf |
Website Contributor | Web プランではなく、Web サイトを管理します。 Azure RBAC でロールを割り当て許可をしません。 | de139f84-1756-47ae-9be6-808fbbe84772 |
コンテナー
組み込みのロール | 説明 | ID |
---|---|---|
AcrDelete | コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
AcrImageSigner | コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
AcrPull | コンテナー レジストリから成果物をプルします。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
AcrPush | コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
AcrQuarantineReader | コンテナー レジストリから検疫済みのイメージをプルします。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
AcrQuarantineWriter | 検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
Azure Arc 対応 Kubernetes クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションを一覧表示します。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
Azure Arc Kubernetes 管理者 | リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
Azure Arc Kubernetes クラスター管理者 | クラスター内のすべてのリソースを管理できます。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
Azure Arc Kubernetes ビューアー | クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
Azure Arc Kubernetes ライター | (クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
Azure Container Storage 共同作成者 | Azure Container Storage をインストールし、そのストレージ リソースを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
Azure Container Storage オペレーター | マネージド ID で、仮想マシンの管理や仮想ネットワークの管理などの Azure Container Storage 操作を実行できるようにします。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
Azure Container Storage 所有者 | Azure Container Storage をインストールし、そのストレージ リソースへのアクセスを許可し、Azure Elastic Storage Area Network (SAN) を構成します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 95de85bd-744d-4664-9dde-11430bc34793 |
Azure Kubernetes Fleet Manager 共同作成者ロール | フリート、フリート メンバー、フリート更新戦略、フリート更新実行など、Azure Kubernetes Fleet Manager によって提供される Azure リソースへの読み取り/書き込みアクセスを許可します。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
Azure Kubernetes Fleet Manager RBAC 管理者 | フリート マネージド ハブ クラスター内の名前空間内の Kubernetes リソースへの読み取り/書き込みアクセスを許可します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
Azure Kubernetes Fleet Manager RBAC クラスター管理者 | フリートマネージド ハブ クラスター内のすべての Kubernetes リソースへの読み取り/書き込みアクセスを許可します。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
Azure Kubernetes Fleet Manager RBAC リーダー | フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り専用アクセスを許可します。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
Azure Kubernetes Fleet Manager RBAC ライター | フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り/書き込みアクセスを許可します。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
Azure Kubernetes Service Arc クラスター管理者ロール | クラスター管理者の資格情報アクションを一覧表示します。 | b29efa5f-7782-4dc3-9537-4d5bc70a5e9f |
Azure Kubernetes Service Arc クラスターのユーザー ロール | クラスター ユーザーの資格情報アクションを一覧表示します。 | 233ca253-b031-42ff-9fba-87ef12d6b55f |
Azure Kubernetes Service Arc 共同作成者ロール | Azure Kubernetes Services ハイブリッド クラスターの読み取りと書き込みのアクセスを許可します | 5d3f1697-4507-4d08-bb4a-477695db5f82 |
Azure Kubernetes Service クラスター管理者ロール | クラスター管理者の資格情報アクションを一覧表示します。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
Azure Kubernetes Service クラスターの監視ユーザー | クラスター 監視ユーザーの資格情報アクションを一覧表示します。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
Azure Kubernetes Service クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションを一覧表示します。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
Azure Kubernetes Service 共同作成者ロール | Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセスを許可します。 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
Azure Kubernetes Service RBAC 管理者 | リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
Azure Kubernetes Service RBAC クラスター管理者 | クラスター内のすべてのリソースを管理できます。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
Azure Kubernetes Service RBAC 閲覧者 | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
Azure Kubernetes Service RBAC ライター | 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
接続されたクラスターマネージド ID の CheckAccess 閲覧者 | 接続済みクラスターのマネージド ID が checkAccess API を呼び出す機能を許可する組み込みロール | 65a14201-8f6c-4c28-bec4-12619c5a9aaa |
Kubernetes エージェントレス オペレーター | Microsoft Defender for Cloud に Azure Kubernetes Services へのアクセスを許可します | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
Kubernetes クラスター - Azure Arc のオンボード | connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロール定義 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
Kubernetes 拡張機能共同作成者 | Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
Service Fabric クラスター共同作成者 | Service Fabric クラスター リソースを管理します。 クラスター、アプリケーションの種類、アプリケーションの種類のバージョン、アプリケーション、サービスが含まれます。 仮想マシン スケール セット、ストレージ アカウント、ネットワークなど、クラスターの基になるリソースをデプロイおよび管理するには、追加のアクセス許可が必要です。 | b6efc156-f0da-4e90-a50a-8c000140b017 |
Service Fabric マネージド クラスター共同作成者 | Service Fabric マネージド クラスター リソースをデプロイして管理します。 マネージド クラスター、ノードの種類、アプリケーションの種類、アプリケーションの種類のバージョン、アプリケーション、サービスが含まれます。 | 83f80186-3729-438c-ad2d-39e94d718838 |
データベース
組み込みのロール | 説明 | ID |
---|---|---|
Azure Connected SQL Server のオンボード | Arc 対応サーバー上の SQL Server 用 Azure リソースに対する読み取りおよび書き込みアクセスを許可します。 | e8113dce-c529-4d33-91fa-e9b972617508 |
Cosmos DB アカウントの閲覧者ロール | Cosmos DB アカウントのデータを読み取ることができます。 Azure Cosmos DB アカウントの管理については、「DocumentDB Account Contributor」をご覧ください。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
Cosmos DB オペレーター | Azure Cosmos DB アカウントを管理することができます。ただし、アカウント内のデータにはアクセスできません。 アカウント キーと接続文字列へのアクセスは禁止されます。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
CosmosBackupOperator | Cosmos DB データベースまたはアカウントのコンテナーの復元要求を送信できます | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
CosmosRestoreOperator | 継続的バックアップモードで Cosmos DB データベース アカウントの復元操作を実行できます | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
DocumentDB Account Contributor | Azure Cosmos DB アカウントを管理できます。 Azure Cosmos DB は以前は DocumentDB と呼ばれていました。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
PostgreSQL フレキシブル サーバーの長期保有バックアップ ロール | 長期的な保有期間のバックアップのために、バックアップ コンテナーが PostgreSQL フレキシブル サーバー リソース API にアクセスできるようにするロール。 | c088a766-074b-43ba-90d4-1fb21feae531 |
Redis Cache Contributor | Redis Caches を管理できます。ただし、それらへのアクセスは含まれません。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
SQL DB Contributor | SQL データベースを管理できます。ただし、それらへのアクセスは含まれません。 また、セキュリティ関連のポリシーまたは親 SQL Server を管理することはできません。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
SQL マネージド インスタンス共同作成者 | SQL マネージド インスタンスと必要なネットワーク構成を管理することができますが、他のユーザーにアクセス権を付与することはできません。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
SQL Security Manager | SQL サーバーとデータベースのセキュリティ関連のポリシーを管理できます。ただし、それらへのアクセスは管理できません。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
SQL Server Contributor | SQL サーバーとデータベースを管理できます。ただし、それらへのアクセスや、それらのセキュリティ関連ポリシーは管理できません。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
分析
組み込みのロール | 説明 | ID |
---|---|---|
Azure Event Hubs データ所有者 | Azure Event Hubs リソースへのフル アクセスを許可します。 | f526a384-b230-433a-b45c-95f59c4a2dec |
Azure Event Hubs データ受信者 | Azure Event Hubs リソースへの受信アクセスを許可します。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
Azure Event Hubs データ送信者 | Azure Event Hubs リソースへの送信アクセスを許可します。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
Data Factory Contributor | データ ファクトリまたデータ ファクトリ内の子リソースを作成し管理します。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
Data Purger | Log Analytics ワークスペースの非公開データを削除します。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
HDInsight クラスター オペレーター | HDInsight クラスター構成の読み取りと変更を実行できます。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
HDInsight ドメイン サービス共同作成者 | HDInsight Enterprise セキュリティ パッケージに必要なドメイン サービス関連の操作の読み取り、作成、変更、削除を行うことができます。 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
AKS クラスター管理者の HDInsight | 特定のクラスター プール内でクラスターを作成、削除、および管理する機能をユーザー/グループに付与します。 クラスター管理者は、これらのクラスターでワークロードの実行、監視、およびすべてのユーザー アクティビティの管理を行うこともできます。 | fd036e6b-1266-47a0-b0bb-a05d04831731 |
AKS クラスター プール管理者の HDInsight | AKS クラスター プール上の HDInsight の読み取り、作成、変更、削除、クラスターの作成が可能 | 7656b436-37d4-490a-a4ab-d39f838f0042 |
Log Analytics Contributor | Log Analytics 共同作成者は、すべての監視データを読み取り、監視設定を編集できます。 監視設定の編集には、VM 拡張機能の VM への追加、Azure Storage からログの収集を設定できるようにするためのストレージ アカウント キーの読み取り、ソリューションの追加、すべての Azure リソースでの Azure Diagnostics の構成が含まれます。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
Log Analytics Reader | Log Analytics Reader は、すべての監視データの表示と検索、およびすべての Azure リソース上の Azure Diagnostics 構成の表示など、監視設定の表示を行うことができます。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
Schema Registry Contributor (プレビュー) | Schema Registry グループおよびスキーマの読み取り、書き込み、および削除を行います。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
Schema Registry Reader (プレビュー) | Schema Registry グループおよびスキーマの読み取りと一覧表示を行います。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
Stream Analytics クエリ テスター | 最初に Stream Analytics ジョブを作成せずにクエリ テストを実行できるようにします | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 機械学習
組み込みのロール | 説明 | ID |
---|---|---|
AgFood プラットフォーム センサー パートナー共同作成者 | AgFood Platform Service でセンサー関連エンティティを管理するための投稿アクセスを提供します | 6b77f0a0-0d89-41cc-acd1-579c22c17a67 |
AgFood Platform Service 管理者 | AgFood Platform Service への管理者アクセスを提供します | f8da80de-1ff9-4747-ad80-a19b7f6079e3 |
AgFood Platform Service 共同作成者 | AgFood Platform Service への投稿アクセスを提供します | 8508508a-4469-4e45-963b-2518ee0bb728 |
AgFood プラットフォーム サービス 閲覧者 | AgFood Platform Service への読み取りアクセスを提供します | 7ec7ccdc-f61e-41fe-9aaf-980df0a44eba |
Azure AI Developer | リソース自体の管理以外に、Azure AI リソース内のすべてのアクションを実行できます。 | 64702f94-c441-49e6-a78b-ef80e0188fee |
Azure AI Enterprise ネットワーク接続承認者 | Azure AI の一般的な依存関係リソースへのプライベート エンドポイント接続を承認できます | b556d68e-0be0-4f35-a333-ad7ee1ce17ea |
Azure AI 推論デプロイ オペレーター | リソース グループ内にリソースデプロイを作成するために必要なすべてのアクションを実行できます。 | 3afb7f49-54cb-416e-8c09-6dc049efa503 |
AzureML コンピューティング オペレーター | Machine Learning Services マネージド コンピューティング リソース (Notebook VM を含む) に対して CRUD 操作にアクセスして実行できます。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
AzureML データ サイエンティスト | コンピューティング リソースの作成または削除とワークスペース自体の変更を除く、Azure Machine Learning ワークスペース内のすべてのアクションを実行できます。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
AzureML Metrics Writer (プレビュー) | AzureML ワークスペースにメトリックを書き込むことができます | 635dd51f-9968-44d3-b7fb-6d9a6bd613ae |
AzureML レジストリ ユーザー | Machine Learning Services レジストリ資産に対するすべてのアクションを実行したり、レジストリ リソースを取得したりできます。 | 1823dd4f-9b8c-4ab6-ab4e-7397a3684615 |
Cognitive Services 共同作成者 | Cognitive Services のキーの作成、読み取り、更新、削除、管理を行うことができます。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
Cognitive Services Custom Vision Contributor | プロジェクトの表示、作成、編集、削除を含む、プロジェクトへのフル アクセス。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
Cognitive Services Custom Vision Deployment | モデルの公開、非公開、またはエクスポートを行います。 Deployment は、プロジェクトを表示できますが、更新することはできません。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
Cognitive Services Custom Vision Labeler | トレーニング画像の表示と編集、およびイメージ タグの作成、追加、または削除を行うことができます。 ラベラーはプロジェクトを表示できますが、トレーニング画像とタグ以外は更新できません。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
Cognitive Services Custom Vision Reader | プロジェクトでの読み取り専用のアクション。 閲覧者がこのプロジェクトを作成または更新することはできません。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
Cognitive Services Custom Vision Trainer | プロジェクトの表示、作成、およびモデルの公開、非公開、エクスポートを含む、モデルのトレーニングを行うことができます。 トレーナーがこのプロジェクトを作成または削除することはできません。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
Cognitive Services データ 閲覧者 | Cognitive Services データを読み取ります。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
Cognitive Services Face Recognizer | Face API に対する類似の操作の検出、検証、識別、グループ化、検索を実行できるようにします。 このロールでは、作成または削除操作は許可されません。そのため、"最小特権" のベスト プラクティスに従えば、推論機能のみを必要とするエンドポイントに適しています。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
Cognitive Services イマーシブ リーダー ユーザー | イマーシブ リーダー セッションを作成し、API を呼び出すアクセスを提供します | b2de6794-95db-4659-8781-7e080d3f2b9d |
Cognitive Services 言語所有者 | 言語ポータルのすべての読み取り、テスト、書き込み、配置、および削除の各関数にアクセスできます | f07febfe-79bc-46b1-8b37-790e26e6e498 |
Cognitive Services 言語閲覧者 | 言語ポータルで読み取りとテストの機能にアクセスできる | 7628b7b8-a8b2-4cdc-b46f-e9b35248918e |
Cognitive Services 言語ライター | 言語ポータルのすべての読み取り、テスト、および書き込み関数にアクセスできます | f2310ca1-dc64-4889-bb49-c8e0fa3d47a8 |
Cognitive Services LUIS 所有者 | LUIS のすべての読み取り、テスト、書き込み、デプロイ、および削除の各関数にアクセスできます | f72c8140-2111-481c-87ff-72b910f6e3f8 |
Cognitive Services LUIS 閲覧者 | LUIS の読み取りとテストの関数にアクセスできます。 | 18e81cdc-4e98-4e29-a639-e7d10c5a6226 |
Cognitive Services LUIS ライター | LUIS のすべての読み取り、テスト、および書き込み関数にアクセスできます | 6322a993-d5c9-4bed-b113-e49bbea25b27 |
Cognitive Services Metrics Advisor Administrator | システム レベルの構成を含む、プロジェクトへのフル アクセス。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
Cognitive Services Metrics Advisor ユーザー | プロジェクトへのアクセス。 | 3b20f47b-3825-43cb-8114-4bd2201156a8 |
Cognitive Services OpenAI 共同作成者 | テキストを微調整、展開、生成する機能を含むフル アクセス | a001fd3d-188f-4b5d-821b-7da978bf7442 |
Cognitive Services OpenAI ユーザー | ファイル、モデル、デプロイを表示するための読み取りアクセス。 補完呼び出しと埋め込み呼び出しを作成する機能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
Cognitive Services QnA Maker エディター | KB の作成、編集、インポート、およびエクスポートが可能になります。 KB を公開または削除することはできません。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
Cognitive Services QnA Maker 閲覧者 | KB のみ、読み取りとテストが可能になります。 | 466ccd10-b268-4a11-b098-b4849f024126 |
Cognitive Services Speech 共同作成者 | すべてのエンティティの読み取り、書き込み、削除を含む Speech プロジェクトへのフル アクセス。リアルタイム音声認識とバッチ文字起こしタスク、リアルタイム音声合成と長いオーディオ タスク、カスタム音声とカスタム音声。 | 0e75ca1e-0464-4b4d-8b93-68208a576181 |
Cognitive Services Speech ユーザー | リアルタイム音声認識とバッチ文字起こし API、リアルタイム音声合成、長いオーディオ API へのアクセス、カスタム モデルのデータ/テスト/モデル/エンドポイントの読み取りを行うことができますが、カスタム モデルのデータ/テスト/モデル/エンドポイントを作成、削除、または変更することはできません。 | f2dc8367-1007-4938-bd23-fe263f013447 |
Cognitive Services 使用状況閲覧者 | Cognitive Services の使用状況を表示するための最小限のアクセス許可。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
Cognitive Services ユーザー | Cognitive Services のキーの読み取りおよび一覧表示を行うことができます。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
Health Bot Admin | 管理者アクセス権を持つユーザーは、ボット インスタンス キーやシークレットなど、すべてのボット リソース、シナリオ、構成設定をサインイン、表示、編集できます。 | f1082fec-a70f-419f-9230-885d2550fb38 |
Health Bot Editor | エディター アクセス権を持つユーザーは、ボット インスタンス キーとシークレット、エンド ユーザー入力 (フィードバック、認識されない発話、会話ログを含む) を除き、すべてのボット リソース、シナリオ、構成設定をサインイン、表示、編集できます。 ボットのスキルとチャネルへの読み取り専用アクセス。 | af854a69-80ce-4ff7-8447-f1118a2e0ca8 |
Health Bot Reader | 閲覧者アクセス権を持つユーザーは、サインインでき、ボット リソース、シナリオ、構成設定への読み取り専用アクセスが可能です。ただし、ボット インスタンス キーとシークレット (認証、データ接続、チャネル キーを含む) とエンド ユーザーの入力 (フィードバック、認識されない発話、会話ログを含む) を除きます。 | eb5a76d5-50e7-4c33-a449-070e7c9c4cf2 |
検索インデックス データ共同作成者 | Azure Cognitive Search インデックス データへのフル アクセスを付与します。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
検索インデックス データ閲覧者 | Azure Cognitive Search インデックス データへの読み取りアクセスを付与します。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
Search Service Contributor | Search サービスを管理できます。ただし、それらへのアクセスは含まれません。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
モノのインターネット (IoT)
組み込みのロール | 説明 | id |
---|---|---|
Azure Digital Twins データ所有者 | Digital Twins データプレーンのフル アクセス ロール | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
Azure Digital Twins データ リーダー | Digital Twins データプレーン プロパティの読み取り専用ロール | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
Device Provisioning Service データ共同作成者 | Device Provisioning Service データ プレーン操作へのフル アクセスを許可します。 | dfce44e4-17b7-4bd1-a6d1-04996ec95633 |
Device Provisioning Service データ 閲覧者 | Device Provisioning Service データ プレーン プロパティへのフル読み取りアクセスを許可します。 | 10745317-c249-44a1-a5ce-3a4353c0bbd8 |
デバイス更新管理者 | 管理およびコンテンツ操作へのフル アクセスが付与されます。 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
デバイス更新コンテンツ管理者 | コンテンツ操作へのフル アクセスが付与されます。 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
デバイス更新コンテンツ閲覧者 | コンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
デバイス更新デプロイ管理者 | 管理操作へのフル アクセスが付与されます。 | e4237640-0e3d-4a46-8fda-70bc94856432 |
デバイス更新デプロイ閲覧者 | 管理操作への読み取りアクセスが付与されますが、変更を加えることはできません。 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
デバイス更新閲覧者 | 管理操作およびコンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
Firmware Analysis 管理者 | Defender for IoT でファームウェア イメージをアップロードして分析する | 9c1607d1-791d-4c68-885d-c7b7aaff7c8a |
IoT Hub データ共同作成者 | IoT Hub データ プレーン操作へのフル アクセスを許可します。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
IoT Hub データ リーダー | IoT Hub データプレーン プロパティへの読み取りのフル アクセスを許可します | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
IoT Hub レジストリ共同作成者 | IoT Hub デバイス レジストリへのフル アクセスを許可します。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
IoT Hub ツイン共同作成者 | すべての IoT Hub デバイスとモジュール ツインに対する読み取りおよび書き込みのアクセスを許可します。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
複合現実
組み込みのロール | 説明 | ID |
---|---|---|
Remote Rendering 管理者 | ユーザーに、Azure Remote Rendering での変換、セッション管理、レンダリング、および診断の機能を提供します。 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
Remote Rendering クライアント | ユーザーに、Azure Remote Rendering でのセッション管理、レンダリング、および診断の機能を提供します。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
統合
組み込みのロール | 説明 | ID |
---|---|---|
API Management 開発者ポータル コンテンツ エディター | 開発者ポータルのカスタマイズ、コンテンツの編集、発行を行うことができます。 | c031e6a8-4391-4de0-8d69-4706a7ed3729 |
API Management Service Contributor | サービスと API を管理できます | 312a565d-c81f-4fd8-895a-4e21e48d571c |
API Management Service Operator Role | サービスを管理できますが、API は対象外です | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
API Management Service Reader Role | サービスと API への読み取り専用アクセスです | 71522526-b88f-4d52-b57f-d31fc3546d0d |
API Management サービス ワークスペース API 開発者 | タグと製品への読み取りアクセスと、製品への API の割り当て、製品と API へのタグの割り当てを許可する書き込みアクセス権を持ちます。 このロールは、サービス スコープに割り当てる必要があります。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
API Management サービス ワークスペース API プロダクト マネージャー | API Management サービス ワークスペース API 開発者と同じアクセス権だけでなく、ユーザーへの読み取りアクセス権と、グループへのユーザーの割り当てを可能にする書き込みアクセス権があります。 このロールは、サービス スコープに割り当てる必要があります。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
API Management ワークスペース API 開発者 | ワークスペース内のエンティティに対する読み取りアクセス権と、API を編集するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
API Management ワークスペース API プロダクト マネージャー | ワークスペース内のエンティティに対する読み取りアクセス権と、API を発行するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
API Management ワークスペース共同作成者 | ワークスペースとビューを管理できますが、そのメンバーは変更できません。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
API Management ワークスペース閲覧者 | ワークスペース内のエンティティに対する読み取り専用アクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
アプリ構成共同作成者 | App Configuration リソースの消去を除くすべての管理操作に対するアクセス許可を付与します。 | fe86443c-f201-4fc4-9d2a-ac61149fbda0 |
App Configuration データ所有者 | App Configuration データへのフル アクセスを許可します。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
App Configuration データ閲覧者 | App Configuration データへの読み取りアクセスを許可します。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
アプリ構成閲覧者 | App Configuration リソースの読み取り操作のアクセス許可を付与します。 | 175b81b9-6e0d-490a-85e4-0d422273c10c |
Azure API Center コンプライアンス マネージャー | Azure API Center サービスでの API コンプライアンスの管理を許可します。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
Azure API Center データ 閲覧者 | Azure API Center データ プレーンの読み取り操作へのアクセスを許可します。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
Azure API Center サービス共同作成者 | Azure API Center サービスの管理を許可します。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
Azure API Center サービス 閲覧者 | Azure API Center サービスへの読み取り専用アクセスを許可します。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
Azure Relay リスナー | Azure Relay リソースへのリッスン アクセスを許可します。 | 26e0b698-aa6d-4085-9386-aadae190014d |
Azure Relay 所有者 | Azure Relay リソースへのフル アクセスを許可します。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
Azure Relay 送信者 | Azure Relay リソースへの送信アクセスを許可します。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
Azure Resource Notifications System Topics サブスクライバー | Azure Resource Notifications によって現在および今後公開されるすべてのシステム トピックに対して、システム トピックとイベント サブスクリプションを作成できます。 | 0b962ed2-6d56-471c-bd5f-3477d83a7ba4 |
Azure Service Bus データ所有者 | Azure Service Bus リソースへのフル アクセスを許可します。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
Azure Service Bus データ受信者 | Azure Service Bus リソースへの受信アクセスを許可します。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
Azure Service Bus データ送信者 | Azure Service Bus リソースへの送信アクセスを許可します。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
BizTalk Contributor | BizTalk Services を管理できます。ただし、それらへのアクセスは含まれません。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
Chamber Admin | モデリングとシミュレーション ワークベンチのチャンバーの下ですべてを管理できます。 | 4e9b8407-af2e-495b-ae54-bb60a55b1b5a |
Chamber ユーザー | モデリングと Simulation Workbench のチャンバーの下にあるすべてのものを表示できますが、変更は行いません。 | 4447db05-44ed-4da3-ae60-6cbece780e32 |
DeID バッチ データ所有者 | DeID バッチ ジョブを作成および管理します。 このロールはプレビュー段階にあり、変更される可能性があります。 | 8a90fa6b-6997-4a07-8a95-30633a7c97b9 |
DeID バッチ データ リーダー | DeID バッチ ジョブを読み取ります。 このロールはプレビュー段階にあり、変更される可能性があります。 | b73a14ee-91f5-41b7-bd81-920e12466be9 |
DeID データ所有者 | DeID データへのフル アクセス。 このロールはプレビュー段階であり、変更される可能性があります | 78e4b983-1a0b-472e-8b7d-8d770f7c5890 |
DeID リアルタイム データ ユーザー | DeID リアルタイム エンドポイントに対して要求を実行します。 このロールはプレビュー段階にあり、変更される可能性があります。 | bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e |
DICOM データ所有者 | DICOM データへのフル アクセス。 | 58a3b984-7adf-4c20-983a-32417c86fbc8 |
DICOM データ リーダー | DICOM データの読み取りと検索。 | e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a |
EventGrid 共同作成者 | EventGrid 操作を管理できます。 | 1e241071-0855-49ea-94dc-649edcd759de |
EventGrid データ送信者 | Event Grid イベントへの送信アクセスを許可します。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
EventGrid EventSubscription 共同作成者 | EventGrid のイベント サブスクリプション操作を管理できます。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
EventGrid EventSubscription 閲覧者 | EventGrid のイベント サブスクリプションを読み取ることができます。 | 2414bbcf-6497-4faf-8c65-045460748405 |
EventGrid TopicSpaces Publisher | トピックスペースでメッセージを発行できます。 | a12b0b94-b317-4dcd-84a8-502ce99884c6 |
EventGrid TopicSpaces サブスクライバー | トピックスペースでメッセージをサブスクライブできます。 | 4b0f2fd7-60b4-4eca-896f-4435034f8bf5 |
FHIR データ共同作成者 | ユーザーまたはプリンシパルに FHIR データへのフル アクセスを許可するロール | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
FHIR データ コンバーター | ロールを使用すると、ユーザーまたはプリンシパルが従来の形式から FHIR にデータを変換できます | a1705bd2-3a8f-45a5-8683-466fcfd5cc24 |
FHIR データ エクスポーター | ユーザーまたはプリンシパルに FHIR データの読み取りとエクスポートを許可するロール | 3db33094-8700-4567-8da5-1501d4e7e843 |
FHIR データ インポーター | ユーザーまたはプリンシパルに FHIR データの読み取りとインポートを許可するロール | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
FHIR データ リーダー | ユーザーまたはプリンシパルに FHIR データの読み取りを許可するロール | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
FHIR データ ライター | ユーザーまたはプリンシパルに FHIR データの読み取りと書き込みを許可するロール | 3f88fce4-5892-4214-ae73-ba5294559913 |
FHIR SMART User | ロールを使用すると、ユーザーは SMART on FHIR 仕様に従って FHIR サービスにアクセスできます | 4ba50f17-9666-485c-a643-ff00808643f0 |
統合サービス環境の共同作成者 | 統合サービス環境を管理できますが、それらにアクセスすることはできません。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
統合サービス環境の開発者 | 開発者が統合サービス環境でワークフロー、統合アカウント、および API 接続を作成および更新することを許可します。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
Intelligent Systems Account Contributor | Intelligent Systems のアカウントを管理できます。ただし、それらへのアクセスは含まれません。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
Logic App Contributor | ロジック アプリを管理できますが、アクセス権を変更することはできません。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
Logic App Operator | ロジック アプリの読み取り、有効化、無効化ができますが、編集または更新はできません。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
Logic Apps Standard Contributor (プレビュー) | Standard ロジック アプリとワークフローのすべての側面を管理できます。 アクセスまたは所有権を変更することはできません。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
Logic Apps Standard Developer (プレビュー) | Standard ロジック アプリのワークフロー、接続、設定を作成および編集できます。 ワークフロースコープ外では変更を加えることはできません。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
Logic Apps Standard Operator (プレビュー) | ロジック アプリの有効化と無効化、ワークフロー実行の再送信、接続の作成を行うことができます。 ワークフローや設定を編集することはできません。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
Logic Apps Standard Reader (プレビュー) | Standard ロジック アプリとワークフロー内のすべてのリソース (ワークフローの実行とその履歴を含む) への読み取り専用アクセス権があります。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
Scheduler Job Collections Contributor | スケジューラ ジョブ コレクションを管理できます。ただし、それらへのアクセスは含まれません。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
Services Hub Operator | Services Hub Operator を使用すると、サービス ハブ コネクタに関連するすべての読み取り、書き込み、削除の操作を実行できます。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
ID
組み込みのロール | 説明 | ID |
---|---|---|
ドメイン サービス共同作成者 | Azure AD Domain Services と関連ネットワーク構成を管理できます | eeaeda52-9324-47f6-8069-5d5bade478b2 |
ドメイン サービス閲覧者 | Azure Active Directory Domain Services と関連ネットワーク構成を表示できます | 361898ef-9ed1-48c2-849c-a832951106bb |
Managed Identity Contributor | ユーザー割り当て ID の作成、読み取り、更新、削除を行います | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
Managed Identity Operator | ユーザー割り当て ID の読み取りと割り当てを行います | f1a07417-d97a-45cb-824c-7a7467783830 |
セキュリティ
組み込みのロール | 説明 | ID |
---|---|---|
アプリ コンプライアンス オートメーション管理者 | レポート オブジェクトおよび関連する他のリソース オブジェクトを作成、読み取り、ダウンロード、変更、および削除します。 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
アプリ コンプライアンス オートメーション閲覧者 | レポート オブジェクトおよび関連する他のリソース オブジェクトを読み取り、ダウンロードします。 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
Attestation Contributor | 構成証明プロバイダー インスタンスの読み取り、書き込み、または削除ができます | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
Attestation Reader | 構成証明プロバイダーのプロパティを読み取ることができます | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
Key Vault Administrator | キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
Key Vault 証明書ユーザー | 証明書の内容を表示します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
Key Vault Certificates Officer | キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
Key Vault Contributor | キー コンテナーを管理しますが、Azure RBAC でのロール割り当ては許可されず、シークレット、キー、証明書へのアクセスも許可されません。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
Key Vault Crypto Officer | キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
Key Vault Crypto Service Encryption User | キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
Key Vault Crypto Service リリース ユーザー | キーを解放します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
Key Vault Crypto User | キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
Key Vault データ アクセス管理者 | Key Vault 管理者、Key Vault 証明書オフィサー、Key Vault Crypto オフィサー、Key Vault Crypto サービス暗号化ユーザー、Key Vault Crypto ユーザー、Key Vault 閲覧者、Key Vault シークレット オフィサー、または Key Vault シークレット ユーザー ロールのロールを追加または削除して、Azure Key Vault へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Key Vault Reader | キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
Key Vault Secrets Officer | キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
Key Vault Secrets User | シークレット コンテンツを読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 4633458b-17de-408a-b874-0445c86b69e6 |
Managed HSM contributor | マネージド HSM プールを管理できます。ただし、それらへのアクセスは含まれません。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
Microsoft Sentinel Automation 共同作成者 | Microsoft Sentinel Automation 共同作成者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
Microsoft Sentinel 共同作成者 | Microsoft Sentinel 共同作成者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
Microsoft Sentinel プレイブック オペレーター | Microsoft Sentinel プレイブック オペレーター | 51d6186e-6489-4900-b93f-92e23144cca5 |
Microsoft Sentinel 閲覧者 | Microsoft Sentinel 閲覧者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
Microsoft Sentinel レスポンダー | Microsoft Sentinel レスポンダー | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
Security Admin | Microsoft Defender for Cloud のアクセス許可を表示および更新します。 セキュリティ閲覧者と同じアクセス許可があり、セキュリティ ポリシーの更新、アラートと推奨事項の無視も可能になります。 Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。 |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
Security Assessment Contributor | 評価を Microsoft Defender for Cloud にプッシュできます | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
セキュリティ マネージャー (レガシ) | これは、レガシ ロールです。 代わりに Security Admin を使用してください。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
Security Reader | Microsoft Defender for Cloud のアクセス許可を表示します。 推奨事項、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。 Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。 |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
組み込みのロール | 説明 | ID |
---|---|---|
展開環境閲覧者 | 環境リソースへの読み取りアクセスを提供します。 | eb960402-bf75-4cc3-8d68-35b34f960f72 |
デプロイ環境ユーザー | 環境リソースを管理するためのアクセスを提供します。 | 18e40d4e-8d2e-438d-97e1-9528336e149c |
DevCenter Dev Box ユーザー | 開発ボックスを作成および管理するためのアクセスを提供します。 | 45d50f46-0b78-4001-a660-4198cbe8cd05 |
DevCenter プロジェクト管理者 | プロジェクト リソースを管理するためのアクセスを提供します。 | 331c37c6-af14-46d9-b9f4-e1909e1b95a0 |
DevTest Labs User | Azure DevTest Labs で仮想マシンの接続、起動、再起動、シャットダウンができます。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
ラボ アシスタント | 既存のラボを表示し、ラボ VM でアクションを実行し、ラボへの招待を送信できます。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
ラボ共同作成者 | ラボ レベルで適用すると、ラボを管理できます。 リソース グループで適用すると、ラボを作成および管理できます。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
Lab Creator | Azure ラボ アカウントに新しいラボを作成できます。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
ラボ オペレーター | 既存のラボを管理する限られた機能を提供します。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
ラボ サービス共同作成者 | リソース グループでの、Lab Services のすべてのシナリオを完全に制御できます。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
ラボ サービス閲覧者 | すべてのラボ プランとラボ リソースを表示できますが、変更することはできません。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
ロード テスト共同作成者 | ロード テストの表示、作成、更新、削除、実行を行います。 ロード テスト リソースを表示および一覧表示できますが、変更することはできません。 | 749a398d-560b-491b-bb21-08924219302e |
ロード テスト所有者 | ロード テスト リソースとロード テストのすべての操作を実行します | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
ロード テスト閲覧者 | すべてのロード テストとロード テスト リソースを表示および一覧表示できますが、変更することはできません | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
モニター
組み込みのロール | 説明 | ID |
---|---|---|
Application Insights Component Contributor | Application Insights コンポーネントを管理できます | ae349356-3a1b-4a5e-921d-050484c6347e |
Application Insights Snapshot Debugger | Application Insights スナップショット デバッガーで収集されたデバック スナップショットの表示とダウンロードを実行できるアクセス許可をユーザーに与えます。 これらのアクセス許可は、所有者ロールまたは共同作成者ロールには含まれないことに注意してください。 ユーザーに Application Insights スナップショット デバッガー ロールを与える場合は、そのロールをユーザーに直接付与する必要があります。 このロールは、カスタム ロールに追加されるときに認識されません。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
Azure Managed Grafana ワークスペース共同作成者 | ワークスペース自体へのアクセスを提供することなく、Azure Managed Grafana リソースを管理できます。 | 5c2d7e57-b7c2-4d8a-be4f-82afa42c6e95 |
Grafana 管理者 | サーバー全体の設定を管理し、組織、ユーザー、ライセンスなどのリソースへのアクセスを管理します。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
Grafana エディター | ダッシュボードを作成、編集、削除、または表示する。フォルダーを作成、編集、または削除する。再生リストを編集または表示します。 | a79a5197-3a5c-4973-a920-486035ffd60f |
Grafana 制限付き閲覧者 | ホーム ページを表示します。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
Grafana ビューアー | ダッシュボード、プレイリスト、クエリ データ ソースを表示します。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
Monitoring Contributor | すべての監視データを読み取り、監視設定を編集できます。 「Azure Monitor での役割、アクセス許可、およびセキュリティの概要」も参照してください。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
監視メトリック パブリッシャー | Azure リソースに対するメトリックの公開を有効にします | 3913510d-42f4-4e42-8a64-420c390055eb |
Monitoring Reader | すべての監視データ (メトリック、ログなど) を読み取ることができます。 「Azure Monitor での役割、アクセス許可、およびセキュリティの概要」も参照してください。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
Workbook Contributor | 共有ブックを保存できます。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
Workbook Reader | ブックの読み取りが可能です。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理とガバナンス
組み込みのロール | 説明 | ID |
---|---|---|
Advisor の推奨事項共同作成者 (評価とレビュー) | 評価の推奨事項を表示し、承認されたレビューの推奨事項を表示し、推奨事項のライフサイクルを管理します (推奨事項を完了、延期、無視、進行中、未開始としてマークします)。 | 6b534d80-e337-47c4-864f-140f5c7f593d |
Advisor レビュー共同作成者 | ワークロードのレビューを表示し、それらにリンクされている推奨事項をトリアージします。 | 8aac15f0-d885-4138-8afa-bfb5872f7d13 |
Advisor レビュー 閲覧者 | ワークロードのレビューとそれにリンクされた推奨事項を表示します。 | c64499e0-74c3-47ad-921c-13865957895c |
オートメーション 共同作成者 | Azure Automation を使用して、Azure Automation リソースとその他のリソースを管理します。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
Automation Job Operator | Automation Runbook を使用してジョブを作成および管理します。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
Automation Operator | Automation オペレーターはジョブを開始、停止、中断、再開することができます | d3881f73-407a-4167-8283-e981cbba0404 |
Automation Runbook Operator | Runbook のジョブを作成する方法については、Runbook のプロパティを参照してください。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
Azure Center for SAP ソリューション管理者 | このロールは、Azure Center for SAP ソリューションのすべての機能に対する読み取りと書き込みのアクセスを提供します。 | 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7 |
Azure Center for SAP ソリューションリーダー | このロールは、Azure Center for SAP ソリューションのすべての機能への読み取りアクセスを提供します。 | 05352d14-a920-4328-a0de-4cbe7430e26b |
Azure Center for SAP solutions のサービス ロール | Azure Center for SAP ソリューション サービス ロール - このロールは、ユーザー割り当てマネージド ID へのアクセス許可を提供するために使用することを目的としています。 Azure Center for SAP ソリューションでは、この ID を使用して SAP システムをデプロイおよび管理します。 | aabbc5dd-1af0-458b-a942-81af88f9c138 |
Azure Connected Machine のオンボード | Azure Connected Machine をオンボードできます。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
Azure Connected Machine のリソース管理者 | Azure Connected Machine の読み取り、書き込み、削除、再オンボードを実行できます。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
Azure Connected Machine Resource Manager | リソース グループ内のハイブリッド コンピューティング マシンとハイブリッド接続エンドポイントを管理するための AzureStackHCI RP 用のカスタム ロール | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
サブスクリプションの Azure カスタマー ロックボックス承認者 | サブスクリプションが存在するテナントで Microsoft Azure のカスタマー ロックボックスが有効になっている場合、サブスクリプションまたはサブスクリプション自体に含まれる特定のリソースにアクセスするための Microsoft サポート要求を承認できます。 | 4dae6930-7baf-46f5-909e-0383bc931c46 |
Billing Reader | 課金データへの読み取りアクセスを許可します | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
ブループリント共同作成者 | ブループリントの定義を管理できますが、それらを割り当てることはできません。 | 41077137-e803-4205-871c-5a86e6a753b4 |
ブループリント オペレーター | 既存の発行済みのブループリントを割り当てることはできますが、ブループリントの新規作成はできません。 これは、ユーザーが割り当てたマネージド ID を使用して割り当てが行われた場合にのみ機能することに注意してください。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
カーボン最適化リーダー | Azure Carbon Optimization データへの読み取りアクセスを許可する | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
Cost Management 共同作成者 | コストを表示し、コストの構成 (予算、エクスポートなど) を管理することができます。 | 434105ed-43f6-45c7-a02f-909b2ba83430 |
Cost Management 閲覧者 | コストのデータと構成 (予算、エクスポートなど) を表示することができます。 | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
Hierarchy Settings Administrator | ユーザーに、階層設定の編集と削除を許可します | 350f8d15-c687-4448-8ae1-157740a3936d |
Managed Application Contributor Role | マネージド アプリケーション リソースの作成を許可します。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
Managed Application Operator Role | マネージド アプリケーション リソースに対する読み取りとアクションの実行が可能です。 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
Managed Applications 閲覧者 | マネージド アプリおよび要求 JIT アクセスでリソースを読み取ることができます。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
マネージド サービスの登録割り当て削除ロール | マネージド サービスの登録割り当て削除ロールを使用すると、テナント管理ユーザーは、テナントに割り当てられている登録割り当てを削除できます。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
管理グループ共同作成者 | 管理グループ共同作成者ロール | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
管理グループ閲覧者 | 管理グループ閲覧者ロール | ac63b705-f282-497d-ac71-919bf39d939d |
New Relic APM Account Contributor | New Relic Application Performance Management のアカウントとアプリケーションを管理できます。ただし、それらへのアクセスは含まれません。 | 5d28c62d-5b37-4476-8438-e587778df237 |
Policy Insights データ ライター (プレビュー) | リソース ポリシーに対する読み取りアクセスとリソース コンポーネント ポリシー イベントへの書き込みアクセスを許可します。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
クォータ要求オペレーター | クォータ要求の読み取り、作成を行い、クォータ要求の状態を取得して、サポート チケットを作成します。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
Reservation Purchaser | 予約を購入できるようになります | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
予約閲覧者 | テナント内のすべての予約を表示できます | 582fc458-8989-419f-a480-75249bc5db7e |
リソース ポリシーの共同作成者 | リソース ポリシーの作成または変更、サポート チケットの作成、リソースまたは階層の読み取りを行う権限を持つユーザー。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
割引プラン購入者 | 節約プランを購入できます | 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74 |
スケジュールされた修正プログラムの共同作成者 | メンテナンス スコープ InGuestPatch とそれに対応する構成の割り当てを使用してメンテナンス構成を管理するためのアクセスを提供します | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
Site Recovery Contributor | 資格情報コンテナーの作成とロールの割り当てを除く、Site Recovery サービスを管理できます | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
Site Recovery Operator | フェールオーバーとフェールバックを実行できますが、その他の Site Recovery 管理操作は実行しません | 494ae006-db33-4328-bf46-533a6560a3ca |
Site Recovery Reader | Site Recovery の状態を表示できますが、その他の管理操作は実行できません | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
Support Request Contributor | Support request を作成して管理できます | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
タグ共同作成者 | エンティティ自体へのアクセスを提供することなく、エンティティのタグを管理できます。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
テンプレート スペック共同作成者 | 割り当てられたスコープでテンプレート スペック操作へのフル アクセスを許可します。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
テンプレート スペック閲覧者 | 割り当てられたスコープでテンプレート スペックへの読み取りアクセスを許可します。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
ハイブリッド + マルチクラウド
組み込みのロール | 説明 | ID |
---|---|---|
Azure Resource Bridge のデプロイ ロール | Azure リソース ブリッジ デプロイ ロール | 7b1f81f9-4196-4058-8aae-762e593270df |
Azure Stack HCI 管理者 | Azure Stack HCI を登録し、他のユーザーを Azure Arc HCI VM 共同作成者または Azure Arc HCI VM 閲覧者として割り当てる機能など、クラスターとそのリソースへのフル アクセスを許可します | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
Azure Stack HCI 接続インフラストラクチャ | Azure Stack HCI インフラストラクチャ仮想マシンの Arc 統合の役割。 | c99c945f-8bd1-4fb1-a903-01460aae6068 |
Azure Stack HCI デバイス管理 ロール | Microsoft.AzureStackHCI デバイス管理 ロール | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
Azure Stack HCI VM 共同作成者 | すべての VM アクションを実行するアクセス許可を付与します | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
Azure Stack HCI VM リーダー | VM を表示するためのアクセス許可を付与します | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
Azure Stack Registration Owner | Azure Stack の登録を管理できます。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
ハイブリッド サーバー リソース管理者 | ハイブリッド リソース プロバイダーへのハイブリッド サーバーの読み取り、書き込み、削除、再オンボードを行うことができます。 | 48b40c6e-82e0-4eb3-90d5-19e40f49b624 |