Azureロールベースのアクセス制御 (Azure RBAC) には、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができるいくつかのAzure組み込みロールがあります。 ロールの割り当ては、Azure リソースへのアクセスを制御する方法です。 組み込みロールが組織の特定のニーズを満たしていない場合は、独自のAzureカスタム ロールを作成できます。 ロールを割り当てる方法については、「Steps」を参照して、Azureロールを割り当てます。
この記事では、Azure組み込みロールの一覧を示します。 Microsoft Entra IDの管理者ロールをお探しの場合は、「Microsoft Entra組み込みロール」を参照してください。
次の表に、各組み込みロールの簡単な説明を示します。 ロール名をクリックすると、各ロールについて Actions、NotActions、DataActions、NotDataActions がリストで表示されます。 これらのアクションの意味と、それらのアクションがコントロールプレーンとデータ プレーンにどのように適用されるかについては、「Azure ロール定義の概要を参照してください。
Privileged
| 組み込みロール | Description | ID |
|---|---|---|
| 投稿者 | すべてのリソースを管理するためのフル アクセス権を付与しますが、Azure RBAC でロールを割り当てたり、Azure Blueprintsで割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 所有者 | RBAC でロールを割り当てる機能を含め、すべてのリソースを管理するためのフル アクセスAzure付与します。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| 予約管理者 | テナント内のすべての予約の読み取りと管理を行えるようにします | a8889054-8d42-49c9-bc1c-52486c10e7cd |
| Role Based Access Control Administrator | Azure RBAC を使用してロールを割り当てることで、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policyなどの他の方法を使用してアクセスを管理することはできません。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| ユーザー アクセス管理者 | Azure リソースへのユーザー アクセスを管理できます。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
General
| 組み込みロール | Description | ID |
|---|---|---|
| 閲覧者 | すべてのリソースを表示できますが、変更を加えることはできません。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Compute
| 組み込みロール | Description | ID |
|---|---|---|
| Azure Arc VMware VM 共同作成者 | Arc VMware VM 共同作成者は、すべての VM アクションを実行するアクセス許可を持ちます。 | b748a06d-6150-4f8a-aaa9-ce3940cd96cb |
| Azure Batch アカウント共同作成者 | Batch アカウント、プール、ジョブなど、すべての Batch リソースを管理するためのフル アクセスを許可します。 | 29fe4964-1e60-436b-bd3a-77fd4c178b3c |
| Azure Batch アカウント 閲覧者 | Batch アカウント内のプールとジョブを含むすべてのリソースを表示できます。 | 11076f67-66f6-4be0-8f6b-f0609fd05cc9 |
| Azure Batch データ共同作成者 | Batch プールとジョブを管理するためのアクセス許可を付与しますが、アカウントを変更することはできません。 | 6aaa78f1-f7de-44ca-8722-c64a23943cae |
| Azure Batch Job Submiter | Batch アカウントでジョブを送信および管理できます。 | 48e5e92e-a480-4e71-aa9c-2778f4c13781 |
| クラシック仮想マシン共同作成者 | 従来の仮想マシンを管理できますが、アクセスすることはできません。また、接続先の仮想ネットワークやストレージ アカウントにもアクセスできません。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| コンピューティング フリート共同作成者 | ユーザーに対し、コンピューティング フリート リソースの管理を許可します。 | 2bed379c-9fba-455b-99e4-6b911073bcf2 |
| コンピュートギャラリー Artifacts 出版社 | これは、ギャラリー成果物を発行するためのロールです。 | 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab |
| コンピューティング ギャラリー イメージ閲覧者 | これは、ギャラリー イメージを読み取るためのロールです。 | cf7c76d2-98a3-4358-a134-615aa78bf44d |
| コンピューティング ギャラリー共有の管理者 | このロールを使用すると、ユーザーはギャラリーを別のサブスクリプション/テナントと共有したり、一般ユーザーと共有したりできます。 | 1ef6a3be-d0ac-425d-8c01-acb62866290b |
| コンピューティング制限演算子 | コンピューティング制限操作を使用して、コンピューティング制限を読み取って管理します。 | 980cf6f7-edec-4fd1-8e9e-28f70b1d5258 |
| Data 演算子 for Managed Disks | SAS URI と Azure AD 認証を使用して、空のマネージド ディスクにデータをアップロードしたり、マネージド ディスク (実行中の VM に接続されていない) およびスナップショットのデータを読み取り、エクスポートしたりするためのアクセス許可を提供します。 | 959f8984-c045-4866-89c7-12bf9737be2e |
| デスクトップ仮想化アプリケーショングループの貢献者 | デスクトップ仮想化アプリケーション グループの共同作成者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| デスクトップ仮想化アプリケーショングループリーダー | デスクトップ仮想化アプリケーション グループの閲覧者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| デスクトップ仮想化の共同作成者 | デスクトップ仮想化の共同作成者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| デスクトップ仮想化ホスト プール共同作成者 | デスクトップ仮想化ホスト プールの共同作成者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| デスクトップ仮想化ホスト プール リーダー | デスクトップ仮想化ホスト プールの閲覧者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
| デスクトップ仮想化起動の共同作成者 | Azure Virtual Desktop リソース プロバイダーに仮想マシンを起動するアクセス許可を付与します。 | 489581de-a3bd-480d-9518-53dea7416b33 |
| デスクトップ仮想化起動停止の共同作成者 | 仮想マシンを起動および停止するためのアクセス許可を Azure Virtual Desktop リソース プロバイダーに提供します。 | 40c5ff49-9181-41f8-ae61-143b0e78555e |
| デスクトップ仮想化閲覧者 | デスクトップ仮想化の閲覧者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
| デスクトップ仮想化セッションホストオペレーター | デスクトップ仮想化セッション ホストのオペレーター。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| デスクトップ仮想化ユーザー | アプリケーション グループ内のアプリケーションの使用を、ユーザーに対し許可します。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| デスクトップ仮想化ユーザーセッション管理者 | デスクトップ仮想化ユーザー セッションのオペレーター。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| デスクトップ仮想化仮想マシンの共同作成者 | このロールはプレビュー段階にあり、変更される可能性があります。 仮想マシンを作成、削除、更新、開始、および停止するためのアクセス許可を Azure Virtual Desktop リソース プロバイダーに提供します。 | a959dbd1-f747-45e3-8ba6-dd80f235f97c |
| デスクトップ仮想化ワークスペース共同作成者 | デスクトップ仮想化ワークスペースの共同作成者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| デスクトップ仮想化ワークスペース閲覧者 | デスクトップ仮想化ワークスペースの閲覧者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| ディスク バックアップ リーダー | ディスク バックアップを実行するためにコンテナーをバックアップするアクセス許可を提供します。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ディスク プール オペレーター | ディスク プールに追加されたディスクを管理するためのアクセス許可を、StoragePool リソース プロバイダーに提供します。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| ディスク復元オペレーター | ディスクの復元を実行するためにコンテナーをバックアップするアクセス許可を提供します。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
| ディスク スナップショット共同作成者 | ディスプのスナップショットを管理するためにコンテナーをバックアップするアクセス許可を提供します。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| Quantum ワークスペースのデータ共同作成者 | ジョブとその他のワークスペース データを作成、読み取り、変更できます。 このロールはプレビュー段階にあり、変更される可能性があります。 | c1410b24-3e69-4857-8f86-4d0a2e603250 |
| 仮想マシン管理者ログイン | ポータルでVirtual Machinesを表示し、管理者としてログインする | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| 仮想マシン共同作成者 | 仮想マシンの作成と管理、ディスクの管理、ソフトウェアのインストールと実行、VM 拡張機能を使用した仮想マシンのルート ユーザーのパスワードのリセット、VM 拡張機能を使用したローカル ユーザー アカウントの管理を行います。 このロールは、仮想マシンが接続されている仮想ネットワークまたはストレージ アカウントへの管理アクセス権は付与しません。 このロールでは、Azure RBAC でロールを割り当てません。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 仮想マシン データ アクセス管理者 (プレビュー) | 仮想マシン管理者ログインロールと仮想マシン ユーザー ログイン ロールのロールの割り当てを追加または削除して、Virtual Machinesへのアクセスを管理します。 ロールの割り当てを制限するための ABAC 条件が含まれています。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| 仮想マシン ローカル ユーザー ログイン | ポータルでVirtual Machinesを表示し、Arc サーバーで構成されたローカル ユーザーとしてログインします。 | 602da2ba-a5c2-41da-b01d-5360126ab525 |
| 仮想マシン のユーザー ログイン | ポータルでVirtual Machinesを表示し、通常のユーザーとしてログインします。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| VM 復元オペレーター | VM の復元中にリソースを作成および削除できます。 このロールはプレビュー段階にあり、変更される可能性があります。 | dfce8971-25e3-42e3-ba33-6055438e3080 |
| Windows 365 ネットワーク インターフェイス共同作成者 | このロールは、必要なネットワーク リソースをプロビジョニングし、Microsoft がホストする VM をネットワーク インターフェイスに参加させるために、Windows 365によって使用されます。 | 1f135831-5bbe-4924-9016-264044c00788 |
| Windows 365 ネットワーク ユーザー | このロールは、Windows 365が仮想ネットワークを読み取り、指定された仮想ネットワークに参加するために使用されます。 | 7eabc9a4-85f7-4f71-b8ab-75daaccc1033 |
| Windows Admin Center Administrator Login | 管理者としてWindows Admin Centerを使用して、リソースの OS を管理してみましょう。 | a6333a3e-0164-44c3-b281-7a577aff287f |
ネットワーク
| 組み込みロール | Description | ID |
|---|---|---|
| Azure Front Door ドメイン共同作成者 | Azure内で内部使用する場合。 Azure Front Doorドメインを管理できますが、他のユーザーにアクセス権を付与することはできません。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
| Azure Front Door ドメイン リーダー | Azure内で内部使用する場合。 Azure Front Doorドメインを表示できますが、変更することはできません。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
| Azure Front Door プロファイル リーダー | AFD の標準およびプレミアム プロファイルとそのエンドポイントを表示できますが、変更することはできません。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Azure Front Door シークレット共同作成者 | Azure内で内部使用する場合。 Azure Front Doorシークレットを管理できますが、他のユーザーにアクセス権を付与することはできません。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
| Azure Front Door シークレット リーダー | Azure内で内部使用する場合。 Azure Front Doorシークレットを表示できますが、変更することはできません。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| CDN エンドポイント共同作成者 | CDN エンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| CDN エンドポイント リーダー | CDN エンドポイントを表示できますが、変更はできません。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| CDN プロファイル共同作成者 | CDN と Azure Front Door Standard プロファイルと Premium プロファイルとそのエンドポイントを管理できますが、他のユーザーにアクセス権を付与することはできません。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| CDN プロファイル 閲覧者 | CDN プロファイルとそのエンドポイントを表示できますが、変更はできません。 | 8f96442b-4075-438f-813d-ad51ab4019af |
| クラシック ネットワーク共同作成者 | クラシック ネットワークを管理できますが、それらにアクセスはできません。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| DNS ゾーン共同作成者 | AZURE DNSで DNS ゾーンとレコード セットを管理できますが、アクセス権を持つユーザーを制御することはできません。 | befefa01-2a29-4197-83a8-272ff33ce314 |
| ネットワーク共同作成者 | ネットワークを管理できますが、それらにアクセスすることはできません。 このロールでは、Virtual Machinesを展開または管理するためのアクセス許可は付与されません。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| Private DNS Zone Contributor | プライベート DNS ゾーンのリソースを管理できますが、リンク先の仮想ネットワークを管理することはできません。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| トラフィックマネージャー 共同作成者 | Traffic Manager プロファイルを管理できますが、それにアクセスできるユーザーを制御することはできません。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
Storage
| 組み込みロール | Description | ID |
|---|---|---|
| Avere 共同作成者 | Avere vFXT クラスターを作成および管理できます。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Avere オペレーター | クラスターを管理するためにAvere vFXT クラスターによって使用されます | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Azure File Sync Administrator | すべてのAzure File Sync (ストレージ同期サービス) リソースを管理するためのフル アクセスを提供します。 | 92b92042-07d9-4307-87f7-36a593fc5850 |
| Azure File Sync Reader | Azure File Sync サービス (ストレージ同期サービス) への読み取りアクセスを提供します。 | 754c1a27-40dc-4708-8ad4-2bffdeee09e8 |
| バックアップ共同作成者 | バックアップ サービスを管理できますが、資格情報コンテナーの作成や他のユーザーに対するアクセス権の付与を行うことはできません | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| バックアップ MUA 管理者 | マルチユーザー承認をバックアップします。 ResourceGuard を作成/削除できます | c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8 |
| バックアップ MUA オペレーター | マルチユーザー承認をバックアップします。 ResourceGuard によって保護されたクリティカルな操作の実行を、ユーザーに対し許可します | f54b6d04-23c6-443e-b462-9c16ab7b4a52 |
| バックアップ オペレーター | バックアップ サービスを管理できます (バックアップの削除、資格情報コンテナーの作成、他のユーザーに対するアクセス権の付与を除く) | 00c29273-979b-4161-815c-10b084fb9324 |
| バックアップ リーダー | バックアップ サービスを表示できますが、変更を行うことはできません | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| クラシック ストレージ アカウント共同作成者 | クラシック ストレージ アカウントを管理できますが、それらにアクセスすることはできません。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| クラシック ストレージ アカウント キー オペレーターのサービス ロール | 従来のストレージ アカウント キー オペレーターは、従来のストレージ アカウントでのキーの一覧表示と再生成を行うことができます | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Data Box 共同作成者 | Data Box サービスにあるすべてを管理できますが、他のユーザーに対しアクセス権を付与することはできません。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Data Box 閲覧者 | Data Box サービスを管理できますが、注文の作成または注文の詳細の編集、および他のユーザーに対しアクセス権を付与することはできません。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Data Lake Analytics Developer | 独自のジョブを送信、監視、管理できますが、Data Lake Analyticsアカウントの作成や削除は行いません。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Defender for Storage データ スキャナー | 読み取り BLOB へのアクセスとインデックス タグの更新を許可できます。 このロールは、Defender for Storage のデータ スキャナーで使用されます。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
| Elastic SAN ネットワーク管理者 | SAN リソースでプライベート エンドポイントを作成し、SAN リソースを読み取るアクセスを許可します | fa6cecf6-5db3-4c43-8470-c540bcb4eafa |
| Elastic SAN 所有者 | データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SANのすべてのリソースへのフル アクセスを許可します | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| Elastic SAN 閲覧者 | Azure Elastic SANへの制御パスの読み取りアクセスを許可します | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| Elastic SAN ボリューム グループの所有者 | データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN内のボリューム グループへのフル アクセスを許可します | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| リーダーとデータ アクセス | すべてを表示することができますが、ストレージ アカウントや含まれるリソースの削除や作成はできません。 これはまた、ストレージ アカウント キーへのアクセスを通じ、ストレージ アカウントに含まれるすべてのデータへの読み取り/書き込みアクセスも許可します。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
| ストレージ アカウントのバックアップ共同作成者 | ストレージ アカウントでAzure Backupを使用して、バックアップと復元の操作を実行できます。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| ストレージ アカウント共同作成者 | ストレージ アカウントの管理を許可します。 共有キー認証経由でデータにアクセスする際に使用できる、アカウント キーへのアクセスを提供します。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| ストレージ アカウント キー オペレーターのサービス ロール | ストレージ アカウント アクセス キーをリスト化および再生成できます。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
| ストレージ アクション BLOB データ 演算子 | ストレージ アカウント BLOB の一覧表示と操作の実行にストレージ アクション - ストレージ タスクによって使用されます | 4bad4d9e-2a13-4888-94bb-c8432f6f3040 |
| ストレージ アクション共同作成者 | ストレージ アクション作成者がストレージ アクションの作成、読み取り、更新、削除に使用する | bd8acdb0-202c-4493-a7fe-ef98eefbfbc4 |
| ストレージ アクション タスク割り当て共同作成者 | ストレージ アクションの割り当て担当者が、マネージド ID の RBAC 特権を使用して、ターゲット ストレージ アカウントにタスク割り当てを作成するために使用されます | 77789c21-1643-48a2-8f27-47f858540b51 |
| ストレージ BLOB データの共同作成者 | コンテナーと BLOB の読み取り、書き込み、および削除Azure Storage。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| ストレージ BLOB データの所有者 | POSIX アクセス制御の割り当てを含め、Azure Storage BLOB コンテナーとデータへのフル アクセスを提供します。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| ストレージ BLOB データの閲覧者 | コンテナーと BLOB Azure Storage読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| Storage BLOB の委任者 | ユーザー委任キーを取得します。これを使用して、Azure AD 資格情報で署名されたコンテナーまたは BLOB の共有アクセス署名を作成できます。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| Storage Connector 共同作成者 | ストレージ アカウント内のリモート データ ソースにインプレースでアクセスするためのストレージ コネクタの作成と管理を許可します。 このロールはプレビュー段階にあり、変更される可能性があります。 | 9d819e60-1b9f-4871-b492-4e6cdee0b50a |
| Storage DataShare 共同作成者 | ストレージ データ共有を作成および管理して、ストレージ アカウントのデータをインプレースで共有できるようにします。 このロールはプレビュー段階にあり、変更される可能性があります。 | 35c49d44-ccc1-4b18-8267-cfb3bacdd396 |
| ストレージ ファイル データの権限付き共同作成者 | 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azureファイル共有内のファイル/ディレクトリの ACL の読み取り、書き込み、削除、および変更を行うことができます。 このロールには、Windows ファイル サーバーに同等の組み込みはありません。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| ストレージ ファイル データの権限付き閲覧者 | 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリに対する読み取りアクセスを許可します。 このロールには、Windows ファイル サーバーに同等の組み込みはありません。 | b8eda974-7b85-4f76-af95-65846b26df6d |
| ストレージ ファイル データ SMB 管理者 | SMB 経由のエンド ユーザーのストレージ アカウント キーに相当する管理者アクセスを許可します。 | bbf004e3-0e4b-4f86-ae4f-1f8fb47b357b |
| ストレージファイルデータSMB MI管理者 | ファイル共有内のファイル/ディレクトリのマネージド ID に対する管理者レベルのアクセスAzure許可します。 | A235D3EE-5935-4CFB-8CC5-A3303AD5995E |
| ストレージ ファイル データの SMB 共有の共同作成者 | ファイル共有内のファイル/ディレクトリに対する読み取り、書き込み、および削除アクセスAzure許可します。 このロールには、Windows ファイル サーバーに同等の組み込みはありません。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| ストレージ ファイル データの SMB 共有の昇格された共同作成者 | ファイル共有内のファイル/ディレクトリの ACL の読み取り、書き込み、削除、および変更Azure許可します。 このロールは、Windows ファイル サーバーでの変更のファイル共有 ACL と同じです。 | a7264617-510b-434b-a828-9731dc254ea7 |
| ストレージ ファイル データの SMB 共有の閲覧者 | ファイル共有内のファイル/ディレクトリに対する読み取りアクセスAzure許可します。 このロールは、ファイル サーバーでの読み取りのファイル共有 ACL Windows相当します。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| ストレージファイルデータSMBが所有権を取得する | エンドユーザーがファイルやディレクトリの所有権を継承できるようにします | 5d9BAC3F-34B2-432F-BDE5-78AA8E73CE6B |
| ストレージファイルデリゲーター | ユーザー委任キーを取得します。これを使用して、Azure AD 資格情報で署名されたファイルまたはAzureファイル共有の共有アクセス署名を作成できます。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 | 765a04e0-5de8-4bb2-9bf6-b2a30bc03e91 |
| ストレージ キュー データ共同作成者 | キューとキュー メッセージAzure Storage読み取り、書き込み、および削除します。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| ストレージ キュー データのメッセージ プロセッサ | Azure Storage キューからメッセージをピーク、取得、および削除します。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| ストレージ キュー データ メッセージ送信者 | Azure Storage キューにメッセージを追加します。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| ストレージ キュー データ閲覧者 | キューとキュー メッセージAzure Storage読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「データ操作呼び出しのためのアクセス許可」を参照してください。 | 19e7f393-937e-4f77-808e-94535e297925 |
| ストレージキューデリゲーター | ユーザー委任キーを取得します。このキーを使用して、Azure AD 資格情報で署名されたAzure Storage キューの共有アクセス署名を作成できます。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 | 7ee386e9-84f0-448e-80a6-f185f6533131 |
| ストレージ テーブル データ共同作成者 | Azure Storageテーブルとエンティティへの読み取り、書き込み、削除のアクセスを許可します | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| ストレージ テーブル データ閲覧者 | Azure Storageテーブルとエンティティへの読み取りアクセスを許可します | 76199698-9eea-4c19-bc75-cec21354c6b6 |
| ストレージテーブルデリゲーター | ユーザー委任キーを取得します。これを使用して、Azure AD 資格情報で署名されたAzure Storage テーブルの共有アクセス署名を作成できます。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 | 965033a5-c8eb-4f35-b82f-fef460a3606d |
Web とモバイル
| 組み込みロール | Description | ID |
|---|---|---|
| Azure Maps データ共同作成者 | Azure マップ アカウントからマップ関連データへの読み取り、書き込み、削除アクセスを許可します。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Azure Maps データ リーダー | Azure マップ アカウントからマップ関連データを読み取るアクセス権を付与します。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Azure Maps データ リーダーの検索とレンダリング | 一般的なビジュアル Web SDK シナリオのために、非常に限定された データ API セットに対するアクセスを許可します。 具体的には、データ API のレンダリングと検索を行います。 | 6be48352-4f82-47c9-ad5e-0acacefdb005 |
| Azure Spring Apps アプリケーション構成サービス構成ファイル パターン リーダー ロール | Azure Spring Apps での Application Configuration Service の構成ファイル パターンの内容の読み取り | 25211fc6-dc78-40b6-b205-e4ac934fd9fd |
| Azure Spring Apps アプリケーション構成サービスログ閲覧者ロール | Azure Spring Apps での Application Configuration Service のリアルタイム ログの読み取り | 6593e776-2a30-40f9-8a32-4fe28b77655d |
| Azure Spring Apps Connect ロール | Azure Spring Apps接続ロール | 80558df3-64f9-4c0f-b32d-e5094b036b0b |
| Azure Spring Apps ジョブ ログ閲覧者ロール | Azure Spring Appsでのジョブのリアルタイム ログの読み取り | b459aa1d-e3c8-436f-ae21-c0531140f43e |
| Azure Spring Apps リモート デバッグ ロール | リモート デバッグ ロールのAzure Spring Apps | a99b0159-1064-4c22-a57b-c9b3caa1c054 |
| Azure Spring Apps Spring Cloud Gateway のログ 閲覧者ロール | Azure Spring Appsで Spring Cloud Gateway のリアルタイム ログを読み取る | 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2 |
| Azure Spring Cloud Config Server Contributor | Spring Cloud Config Server への読み取り、書き込み、削除Azureアクセスを許可する | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Azure Spring Cloud Config Server Reader | Spring Cloud Config Server への読み取りアクセスAzure許可する | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Azure Spring Cloud Data Reader | Azure Spring Cloud データへの読み取りアクセスを許可する | b5537268-8956-4941-a8f0-646150406f0c |
| Azure Spring Cloud Service Registry Contributor | Azure Spring Cloud Service Registry への読み取り、書き込み、削除のアクセスを許可する | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Azure Spring Cloud Service レジストリ リーダー | Azure Spring Cloud Service Registry への読み取りアクセスを許可する | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| SignalR AccessKey 閲覧者 | SignalR Service アクセス キーの読み取り | 04165923-9d83-45d5-8227-78b77b0a687e |
| SignalR アプリ サーバー | アプリ サーバーが AAD 認証オプションを使用してSignalR Serviceにアクセスできるようにします。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| SignalR REST API 所有者 | Azure SignalR Service REST API へのフル アクセス | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| SignalR REST API 閲覧者 | Azure SignalR Service REST API への読み取り専用アクセス | ddde6b66-c0df-4114-a159-3618637b3035 |
| SignalR Service Owner | Azure SignalR Service REST API へのフル アクセス | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| SignalR/Web PubSub 共同作成者 | SignalR サービス リソースの作成、読み取り、更新、削除ができます | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| ウェブプラン共同作成者 | Web サイトの Web プランを管理します。 RBAC でロールを割り当てAzureできません。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Web PubSub サービス所有者 | Azure Web PubSub サービス REST API へのフル アクセス | 12cf5a90-567b-43ae-8102-96cf46c7d9b4 |
| Web PubSub サービスの閲覧者 | Azure Web PubSub サービス REST API への読み取り専用アクセス | bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf |
| Web サイトの共同作成者 | Web プランではなく、Web サイトを管理します。 RBAC でロールを割り当てAzureできません。 | de139f84-1756-47ae-9be6-808fbbe84772 |
Containers
| 組み込みロール | Description | ID |
|---|---|---|
| AcrDelete | コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | このロールは使用しないでください。 Azure Container Registryのコンテンツ信頼と AcrImageSigner ロールは非推奨となり、2028 年 3 月 31 日に完全に削除されます。 詳細と移行のガイダンスについては、 https://aka.ms/acr/dctdeprecationを参照してください。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| アクリプル | コンテナー レジストリから成果物をプルします。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| アクラプッシュ | コンテナー レジストリに対し、成果物をプッシュまたはプルします。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
| アクアランティンリーダー | コンテナー レジストリから検疫済みのイメージをプルします。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| アクワランティンライター | 検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| Azure Arc 有効な Kubernetes クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションをリストできます。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Azure Arc Kubernetes Admin | リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Azure Arc Kubernetes クラスター管理者 | クラスター内のすべてのリソースを管理できます。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Azure Arc Kubernetes Viewer | クラスターおよび名前空間内で、シークレットを除くすべてのリソースを表示できます。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Azure Arc Kubernetes Writer | (クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Azure Container Instances 共同作成者ロール | Azure Container Instancesによって提供されるコンテナー グループへの読み取り/書き込みアクセスを許可します | 5d977122-f97e-4b4d-a52f-6b43003ddb4d |
| Azure Container Storage Contributor | コンテナー ストレージAzureインストールし、そのストレージ リソースを管理します。 ロールの割り当てを制限するための ABAC 条件が含まれています。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
| Azure Container Storage Operator | マネージド ID で、仮想マシンの管理や仮想ネットワークの管理など、Azure Container Storage 操作を実行できるようにします。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
| Azure Container Storage Owner | コンテナー ストレージAzureインストールし、そのストレージ リソースへのアクセスを許可し、Elastic Storage Area Network (SAN) Azure構成します。 ロールの割り当てを制限するための ABAC 条件が含まれています。 | 95de85bd-744d-4664-9dde-11430bc34793 |
| Azure Kubernetes Fleet Manager 共同作成者ロール | Azure Kubernetes Fleet Manager によって提供されるAzure リソース (フリート、フリート メンバー、フリート更新戦略、フリート更新実行など) への読み取り/書き込みアクセスを許可します。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
| Azure Kubernetes Fleet Manager Hub エージェント ロール | Kubernetes Fleet Manager ハブ エージェントAzure必要なAzure リソースへのアクセスを許可します。 | de2b316d-7a2c-4143-b4cd-c148f6a355a1 |
| Azure Kubernetes Fleet Manager Hub クラスター ユーザー ロール | kubernetes Fleet Manager Azureと Kubernetes 構成ファイルへの読み取りアクセス権を付与して、フリートマネージド ハブ クラスターに接続します。 | 850c5848-fc51-4a9a-8823-f220370626e3 |
| Azure Kubernetes Fleet Manager RBAC 管理者 | フリート マネージド ハブ クラスターの名前空間内の Kubernetes リソースに対する読み取り/書き込みアクセスを許可します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Azure メンバー クラスターの Kubernetes Fleet Manager RBAC 管理者 | このロールは管理者アクセス権を付与します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | d1f699ed-700a-4c77-a22f-29890ac7b115 |
| Azure Kubernetes Fleet Manager RBAC クラスター管理者 | フリートマネージド ハブ クラスター内のすべての Kubernetes リソースに対する、読み取り/書き込みアクセスを許可します。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Azure メンバー クラスターの Kubernetes Fleet Manager RBAC クラスター管理者 | フリート内のメンバー クラスター内のすべてのリソースを管理できます。 | 79a36d98-eb96-4a76-ae1d-481dc98d2c23 |
| Azure Kubernetes Fleet Manager RBAC 閲覧者 | フリートマネージド ハブ クラスターの名前空間内にある、ほとんどの Kubernetes リソースへの読み取り専用アクセスを許可します。 ロールまたはロールのバインドを表示する許可は付与できません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Azure メンバー クラスターの Kubernetes Fleet Manager RBAC リーダー | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスを許可します。 ロールまたはロールのバインドを表示する許可は付与できません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 463ad26c-fcce-4469-9c7f-5653d8acbab5 |
| Azure Kubernetes Fleet Manager RBAC ライター | フリートマネージド ハブ クラスターの名前空間にある、ほとんどの Kubernetes リソースへの読み取りおよび書き込みアクセスを許可します。 このロールでは、ロールまたはロールのバインドを表示または変更する許可は付与できません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Azure メンバー クラスターの Kubernetes Fleet Manager RBAC ライター | 名前空間内のほとんどのオブジェクトに対する読みをが許可します。 このロールでは、ロールまたはロールのバインドを表示または変更する許可は付与できません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 50346970-0998-40f2-b47d-f3b8809840f8 |
| Azure Kubernetes Service Arc クラスター管理者ロール | クラスター管理者の資格情報アクションをリスト化できます。 | b29efa5f-7782-4dc3-9537-4d5bc70a5e9f |
| Azure Kubernetes Service Arc クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションをリスト化できます。 | 233ca253-b031-42ff-9fba-87ef12d6b55f |
| Azure Kubernetes Service Arc 共同作成者ロール | Kubernetes Services ハイブリッド クラスター Azure読み取りと書き込みのアクセスを許可します | 5d3f1697-4507-4d08-bb4a-477695db5f82 |
| Azure Kubernetes Service クラスター管理者ロール | クラスター管理者の資格情報アクションをリスト化できます。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Azure Kubernetes Service クラスター監視ユーザー | クラスター 監視ユーザーの資格情報アクションをリスト化できます。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Azure Kubernetes Service クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションをリスト化できます。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Azure Kubernetes Service 共同作成者ロール | クラスターの読み取りと書き込みAzure Kubernetes Serviceアクセスを許可します | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Azure Kubernetes Service 名前空間共同作成者 | ユーザーが名前空間リソースAzure Kubernetes Service作成および管理できるようにします。 | 289d8817-ee69-43f1-a0af-43a45505b488 |
| Azure Kubernetes Service 名前空間ユーザー | ユーザーが名前空間リソースAzure Kubernetes Service読み取ることができます。 さらに、クラスター内名前空間アクセスでは、Entra ID が有効なクラスターの名前空間リソースにAzure Kubernetes Service RBAC ロールを割り当てられている必要があります。 | c9f76ca8-b262-4b10-8ed2-09cf0948aa35 |
| Azure Kubernetes Service RBAC 管理者 | リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Azure Kubernetes Service RBAC クラスター管理者 | クラスター内のすべてのリソースを管理できます。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Azure Kubernetes Service RBAC 閲覧者 | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスを許可します。 ロールまたはロールのバインドを表示する許可は付与できません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Azure Kubernetes Service RBAC ライター | 名前空間内のほとんどのオブジェクトに対する読みをが許可します。 このロールでは、ロールまたはロールのバインドを表示または変更する許可は付与できません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Azure Red Hat OpenShift Cloud Controller Manager | OpenShift の上に展開されたクラウド コントローラー マネージャーを管理および更新できます。 | a1f96423-95ce-4224-ab27-4e3dc72facd4 |
| Azure Red Hat OpenShift クラスターイングレス オペレーター | OpenShift ルーターを管理および構成します。 | 0336e1d3-7a87-462b-b6db-342b63f7802c |
| Azure Red Hat OpenShift Disk Storage 演算子 | クラスターで Azure ディスクを使用できるようにする Container Storage Interface (CSI) ドライバーをインストールします。 クラスター向けとして既定のストレージ クラスが存在するように、OpenShift クラスター全体のストレージの既定値を設定します。 | 5b7237c5-45e1-49d6-bc18-a1f62f400748 |
| Azure Red Hat OpenShift フェデレーション資格情報 | マネージド ID、OpenID Connect (OIDC)、サービス アカウントの間に信頼関係を構築するために、ユーザー割り当てマネージド ID のフェデレーション資格情報を作成、更新、削除します。 | ef318e2a-8334-4a05-9e4a-295a196c6a6e |
| Azure Red Hat OpenShift File Storage Operator | クラスターで Azure Files を使用できるようにする Container Storage Interface (CSI) ドライバーをインストールします。 クラスター向けとして既定のストレージ クラスが存在するように、OpenShift クラスター全体のストレージの既定値を設定します。 | 0d7aedc0-15fd-4a67-a412-efad370c947e |
| Azure Red Hat OpenShift Image Registry Operator | OpenShift イメージ レジストリのシングルトン インスタンスを管理するための、オペレーター用のアクセス許可を有効にします。 ストレージの作成を含め、レジストリのすべての構成を管理します。 | 8b32b316-c2f5-4ddf-b05b-83dacd2d08b5 |
| Azure Red Hat OpenShift Machine API 演算子 | Kubernetes API を拡張してクラスター内のマシンの望ましい状態を宣言する、特定目的のカスタム リソース定義 (CRD)、コントローラー、およびAzure RBAC オブジェクトのライフサイクルを管理します。 | 0358943c-7e01-48ba-8889-02cc51d78637 |
| Azure Red Hat OpenShift ネットワーク オペレーター | OpenShift クラスターにネットワーク コンポーネントをインストールしてアップグレードできます。 | be7a6435-15ae-4171-8f30-4a343eff9e8f |
| Azure Red Hat OpenShift サービス オペレーター | OpenShift クラスターのマネージド サービスとして継続する機能に固有な、マシンの正常性、ネットワーク構成、監視、その他の機能を維持します。 | 4436bae4-7702-4c84-919b-c4069ff25ee2 |
| 接続済みクラスターマネージド ID の CheckAccess 閲覧者 | 接続済みクラスターのマネージド ID による checkAccess API 呼び出しを許可する組み込みロール | 65a14201-8f6c-4c28-bec4-12619c5a9aaa |
| Container Apps ConnectedEnvironments 寄稿者 | 作成、削除、更新など、Container Apps ConnectedEnvironments の完全な管理。 | 6f4fe6fc-f04f-4d97-8528-8bc18c848dca |
| Container Apps ConnectedEnvironments 閲覧者 | Container Apps ConnectedEnvironments への読み取りアクセス。 | d5adeb5b-107f-4aca-99ea-4e3f4fc008d5 |
| Container Apps 共同作成者 | 作成、削除、更新など、Container Apps の完全な管理。 | 358470bc-b998-42bd-ab17-a7e34c199c0f |
| Container Apps ジョブの共同作成者 | 作成、削除、更新など、Container Apps ジョブの完全な管理。 | 4e3d2b60-56ae-4dc6-a233-09c8e5a82e68 |
| Container Apps ジョブ オペレーター | Container Apps ジョブの読み取り、開始、および停止。 | b9a307c4-5aa3-4b52-ba60-2b17c136cd7b |
| コンテナーアプリケーションジョブリーダー | ContainerApps ジョブへの読み取りアクセス | edd66693-d32a-450b-997d-0158c03976b0 |
| Container Apps ManagedEnvironments 共同作成者 | 作成、削除、更新など、Container Apps ManagedEnvironments の完全な管理。 | 57cc5028-e6a7-4284-868d-0611c5923f8d |
| Container Apps ManagedEnvironments 閲覧者 | ContainerApps managedenvironments への読み取りアクセス。 | 1b32c00b-7eff-4c22-93e6-93d11d72d2d8 |
| コンテナアプリオペレーター | ログストリームの読み取りと、Container Apps 内での実行。 | f3bd1b5c-91fa-40e7-afe7-0c11d331232c |
| Container Apps SessionPools 共同作成者 | 作成、削除、更新など、Container Apps SessionPools の完全な管理。 | f7669afb-68b2-44b4-9c5f-6d2a47fddda0 |
| Container Apps SessionPools 閲覧者 | ContainerApps SessionPools への読み取りアクセス。 | af61e8fc-2633-4b95-bed3-421ad6826515 |
| コンテナレジストリキャッシュルール管理者 | コンテナー レジストリでキャッシュ 規則を作成、読み取り、更新、および削除します。 このロールでは、資格情報セットを管理するためのアクセス許可は付与されません。 | df87f177-bb12-4db1-9793-a413691eff94 |
| コンテナレジストリキャッシュルールリーダー | コンテナー レジストリのキャッシュ 規則の構成を読み取ります。 このアクセス許可では、資格情報セットを読み取るアクセス許可は付与されません。 | c357b964-0002-4b64-a50d-7a28f02edc52 |
| Container Registry 構成の閲覧者およびデータ アクセス構成の閲覧者 | コンテナー レジストリとレジストリ構成プロパティをリストするアクセス許可を提供します。 管理者ユーザーの資格情報、スコープ マップ、トークンなど、データ アクセス構成をリストするためのアクセス許可を提供します。これは、リポジトリとイメージの読み取り、書き込み、削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、リスト化、または書き込みを行う直接のアクセス許可は提供しません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は提供しません。 タスクを管理するためのアクセス許可は提供しません。 | 69b07be0-09bf-439a-b9a6-e73de851bd59 |
| Container Registry 共同作成者およびデータ アクセス構成管理者 | コンテナー レジストリとレジストリ構成プロパティを作成、リスト化、更新するためのアクセス許可を提供します。 管理者ユーザーの資格情報、スコープ マップ、トークンなどのデータ アクセスを構成するためのアクセス許可を提供します。これは、リポジトリとイメージの読み取り、書き込み、削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、リスト化、または書き込みを行う直接のアクセス許可は提供しません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は提供しません。 タスクを管理するためのアクセス許可は提供しません。 | 3bc748fc-213d-45c1-8d91-9da5725539b9 |
| コンテナー レジストリ資格情報セット管理者 | コンテナー レジストリで資格情報セットを作成、読み取り、更新、および削除します。 このロールは、Azure Key Vault内にコンテンツを格納するために必要なアクセス許可には影響しません。 このロールでは、キャッシュ ルールを管理するためのアクセス許可も付与されません。 | f094fb07-0703-4400-ad6a-e16dd8000e14 |
| コンテナレジストリ資格セットリーダー | コンテナー レジストリの資格情報セットの構成を読み取ります。 このアクセス許可では、コンテナー レジストリ内のコンテンツのみを Key Vault 内Azureコンテンツを表示するアクセス許可は許可されません。 このアクセス許可では、キャッシュ ルールを読み取るアクセス許可は付与されません。 | 29093635-9924-4f2c-913b-650a12949526 |
| Container Registry のデータ インポーターおよびデータ閲覧者 | レジストリのインポート操作を介し、レジストリにイメージをインポートする機能を提供します。 リポジトリのリスト化、イメージとタグの表示、マニフェストの取得、イメージのプルを行う機能を提供します。 インポート パイプラインやエクスポート パイプラインなど、レジストリ転送パイプラインを構成してイメージをインポートするためのアクセス許可は提供しません。 アーティファクト キャッシュまたは同期ルールを構成してインポートするためのアクセス許可は提供しません。 | 577a9874-89fd-4f24-9dbd-b5034d0ad23a |
| コンテナ レジストリ リポジトリ カタログ リスター | Azure Container Registry内のすべてのリポジトリを一覧表示できます。 | bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7 |
| コンテナレジストリリポジトリ寄稿者 | Azure Container Registry リポジトリへの読み取り、書き込み、および削除アクセスを許可しますが、カタログ一覧は除きます。 | 2efddaa5-3f1f-4df3-97df-af3f13818f4c |
| コンテナレジストリリポジトリリーダー | Azure Container Registry リポジトリへの読み取りアクセスを許可しますが、カタログ一覧は除きます。 | b93aa761-3e63-49ed-ac28-beffa264f7ac |
| Container Registry リポジトリのライター | Azure Container Registry リポジトリへの読み取りと書き込みのアクセスを許可しますが、カタログ一覧は除きます。 | 2a1e307c-b015-4ebd-883e-5b7698a07328 |
| コンテナ レジストリ タスク コントリビューター | Container Registry タスク、タスク実行、タスク ログ、クイック実行、クイック ビルド、タスク エージェント プールを構成、読み取り、リスト、トリガー、またはキャンセルするためのアクセス許可を提供します。 タスク管理に付与されたアクセス許可は、レジストリ内のコンテナー イメージの読み取り/書き込み/削除を含む、レジストリ データ プレーンの完全なアクセス許可に使用できます。 また、タスク管理に付与されたアクセス許可を使用しすると、顧客が作成したビルド ディレクティブを実行したり、スクリプトを実行してソフトウェア成果物をビルドしたりできます。 | fb382eab-e894-4461-af04-94435c366c3f |
| Container Registry 転送パイプライン共同作成者 | 中間ストレージ アカウントとキー コンテナーを含むレジストリ転送パイプラインを構成することで、成果物を転送、インポート、エクスポートする機能を提供します。 イメージをプッシュまたはプルするためのアクセス許可は提供しません。 ストレージ アカウントまたはキー コンテナーを作成、管理、リストするためのアクセス許可は提供しません。 ロールの割り当てを実行するためのアクセス許可は提供しません。 | bf94e731-3a51-4a7c-8c54-a1ab9971dfc1 |
| Defender Kubernetes API Access | Azure Kubernetes Services へのアクセスMicrosoft Defender for Cloud許可します | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
| Kubernetes クラスター - Azure Arcオンボード | あらゆるユーザーまたはサービスが、connectedClusters リソースを作成することを承認するためのロール定義 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Kubernetes 拡張機能共同作成者 | Kubernetes 拡張機能の作成、更新、取得、リスト、削除を行い、拡張機能の非同期操作を取得することができます | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
| Service Fabric クラスター共同作成者 | Service Fabric クラスター リソースを管理します。 クラスター、アプリケーション タイプ、アプリケーション タイプのバージョン、アプリケーション、サービスが含まれます。 仮想マシン スケール セット、ストレージ アカウント、ネットワークなど、クラスターの基盤となるリソースを展開および管理するには、追加のアクセス許可が必要です。 | b6efc156-f0da-4e90-a50a-8c000140b017 |
| Service Fabric マネージド クラスターの共同作成者 | Service Fabric マネージド クラスター リソースを展開および管理します。 マネージド クラスター、ノード タイプ、アプリケーション タイプ、アプリケーション タイプのバージョン、アプリケーション、サービスが含まれます。 | 83f80186-3729-438c-ad2d-39e94d718838 |
Databases
| 組み込みロール | Description | ID |
|---|---|---|
| Azure Connected SQL Server Onboarding | Arc 対応サーバー上のSQL ServerのAzure リソースへの読み取りおよび書き込みアクセスを許可します。 | e8113dce-c529-4d33-91fa-e9b972617508 |
| Cosmos DB アカウントの閲覧者ロール | アカウント データAzure Cosmos DB読み取ることができます。 Azure Cosmos DBアカウントの管理については、「DocumentDB アカウント共同作成者を参照してください。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Cosmos DB オペレーター | Azure Cosmos DBアカウントを管理できますが、その中のデータにはアクセスできません。 アカウント キーと接続文字列へのアクセスは禁止されます。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
| コスモスバックアップオペレーター | Cosmos DB データベースまたはアカウントのコンテナーの復元要求を送信できます | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | 継続的バックアップモードで Cosmos DB データベース アカウントの復元操作を実行できます | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| DocumentDB アカウント共同作成者 | Azure Cosmos DBアカウントを管理できます。 Azure Cosmos DBは、以前は DocumentDB と呼ばれています。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| PostgreSQL フレキシブル サーバーの長期保持バックアップ ロール | 長期保持バックアップのために、 PostgreSQL フレキシブル サーバー リソース API へのアクセスを、バックアップ コンテナーに許可するロール。 | c088a766-074b-43ba-90d4-1fb21feae531 |
| Redis Cache 共同作成者 | Redis Caches を管理できまが、それらにアクセスはできません。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
| SQL DB 共同作成者 | SQL データベースを管理できますが、それらにアクセスはできません。 また、セキュリティ関連のポリシーまたは親 SQL Server を管理することもできません。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| SQL Managed Instance Contributor | SQL マネージド インスタンスと必要なネットワーク構成を管理することができますが、他のユーザーにアクセス権を付与することはできません。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| SQLセキュリティマネージャー | SQL サーバーとデータベースのセキュリティ関連のポリシーを管理できますが、それらにアクセスはできません。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| SQL Server Contributor | SQL サーバーとデータベースを管理できます。ただし、それ自体と、それらのセキュリティ関連ポリシーにアクセスはできません。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
Analytics
| 組み込みロール | Description | ID |
|---|---|---|
| Azure Event Hubs データ所有者 | Azure Event Hubs リソースへのフル アクセスを許可します。 | f526a384-b230-433a-b45c-95f59c4a2dec |
| Azure Event Hubs Data Receiver | Azure Event Hubs リソースへの受信アクセスを許可します。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Azure Event Hubs データ送信者 | Azure Event Hubs リソースへの送信アクセスを許可します。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| Data Factory 共同作成者 | データ ファクトリと、その内部の子リソースを作成し管理できます。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| HDInsight クラスター オペレーター | HDInsight クラスター構成の読み取りと変更を実行できます。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| HDInsight ドメイン サービスの共同作成者 | HDInsight Enterprise セキュリティ パッケージに必要なドメイン サービス関連の操作の読み取り、作成、変更、削除を行うことができます | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| HDInsight on AKS クラスター管理者 | 特定のクラスター プール内でクラスターを作成、削除、管理する機能をユーザー/グループに付与します。 クラスター管理者は、これらのクラスター上でのすべてのユーザー アクティビティについて、ワークロードの実行、監視、管理を行うこともできます。 | fd036e6b-1266-47a0-b0bb-a05d04831731 |
| HDInsight on AKS クラスター プール管理者 | クラスター プールの読み取り、作成、変更、および削除HDInsight on AKS、クラスターの作成が可能 | 7656b436-37d4-490a-a4ab-d39f838f0042 |
| スキーマ レジストリ共同作成者 | Schema Registry グループおよびスキーマの読み取り、書き込み、および削除ができます。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| スキーマ レジストリ 閲覧者 | Schema Registry グループおよびスキーマの読み取りとリスト化ができます。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| Stream Analytics クエリのテスター | 最初に Stream Analytics ジョブを作成せずにクエリ テストを実行できるようにします | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 機械学習
| 組み込みロール | Description | ID |
|---|---|---|
| Azure AI アカウント所有者 | AI プロジェクトとアカウントを管理するためのフル アクセスを許可します。 ロールの割り当てを制限するための ABAC 条件が含まれています。 Azure AI ユーザー ロールの条件付き割り当てを他のユーザー 原則に付与します。 新しい Foundry リソースに適用されます。 | e47c6f54-e4a2-4754-9501-8e0985b135e1 |
| Azure AI 管理者 | Azure AI とその依存関係を操作するためのすべてのコントロール プレーンアクセス許可を持つ Built-In ロール。 Azure Machine Learningハブと Foundry ハブにのみ適用されます。 | b78c5d69-af96-48a3-bf8d-a8b4d589de94 |
| Azure AI Developer | リソース自体の管理以外に、Azure AI リソース内のすべてのアクションを実行できます。 Azure Machine Learningハブと Foundry ハブにのみ適用されます。 | 64702f94-c441-49e6-a78b-ef80e0188fee |
| Azure AI Enterprise ネットワーク接続承認者 | AZURE AI の一般的な依存関係リソースへのプライベート エンドポイント接続を承認できます | b556d68e-0be0-4f35-a333-ad7ee1ce17ea |
| Azure AI 推論デプロイ オペレーター | リソース グループ内でのリソースのデプロイ作成に必要な、すべてのアクションを実行できます。 | 3afb7f49-54cb-416e-8c09-6dc049efa503 |
| Azure AI 所有者 | AI プロジェクトとアカウントを管理するための完全な権限を付与します。 AI プロジェクトへの閲覧者アクセス、AI アカウントへの閲覧者アクセス、AI プロジェクトのデータ アクションを許可します。 新しい Foundry リソースに適用されます。 | c883944f-8b7b-4483-af10-35834be79c4a |
| Azure AI プロジェクト マネージャー | Foundry Projects で開発者アクションと管理アクションを実行できます。 ロールの割り当てを制限するための ABAC 条件が含まれています。 ロールの割り当てを行えますが、AI ユーザー ロールAzure制限されます。 新しい Foundry リソースに適用されます。 | eadc314b-1a2d-4efa-be10-5d325db5065e |
| Azure AI ユーザー | AI プロジェクトへの閲覧者アクセス、AI アカウントへの閲覧者アクセス、AI プロジェクトのデータ アクションを許可します。 | 53ca6127-db72-4b80-b1b0-d745d6d5456d |
| AzureML コンピューティング オペレーター | Machine Learning Services マネージド コンピューティング リソース (Notebook VM を含む) に対して CRUD 操作にアクセスして実行できます。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
| AzureML Data Scientist | コンピューティング リソースの作成または削除やワークスペース自体の変更を除き、Azure Machine Learning ワークスペース内のすべてのアクションを実行できます。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| AzureML メトリックのライター (プレビュー) | AzureML ワークスペースにメトリックを書き込むことができます | 635dd51f-9968-44d3-b7fb-6d9a6bd613ae |
| AzureML レジストリ ユーザー | Machine Learning サービス レジストリ資産に対するすべてのアクションを実行したり、レジストリ リソースを取得したりできます。 | 1823dd4f-9b8c-4ab6-ab4e-7397a3684615 |
| Cognitive Services 共同作成者 | Cognitive Services のキーの作成、読み取り、更新、削除、管理を行えます。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| Cognitive Services Custom Vision 共同作成者 | プロジェクトの表示、作成、編集、削除を含む、プロジェクトに対するフル アクセス。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| Cognitive Services Custom Vision デプロイ | モデルを公開、非公開、またはエクスポートできます。 デプロイはプロジェクトを表示できますが、更新することはできません。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| Cognitive Services カスタムビジョンラベラー | トレーニング画像の表示と編集、およびイメージ タグの作成、追加、消去、削除を行うことができます。 ラベラーはプロジェクトを表示できますが、トレーニング画像とタグ以外は更新できません。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| Cognitive Services Custom Vision 閲覧者 | プロジェクトでの読み取り専用のアクション。 閲覧者はプロジェクトを作成または更新できません。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| コグニティブ サービス カスタム ビジョン トレーナー | プロジェクトの表示、作成、およびモデルの公開、非公開、エクスポートを含む、モデルのトレーニングを行うことができます。 トレーナーがこのプロジェクトを作成または削除することはできません。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| Cognitive Services のデータ閲覧者 | Cognitive Services のデータを読み取ることができます。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| 認知サービス フェイスレカミダイア | Face API 上での検出、検証、識別、グループ化と、類似の操作の検索を実行できるようにします。 このロールでは、作成または削除操作は許可されません。そのため、"最小特権" のベスト プラクティスに従えば、推論機能のみを必要とするエンドポイントに適しています。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| Cognitive Services Immersive Reader User | Immersive Reader セッションを作成し、API を呼び出すアクセスを提供します | b2de6794-95db-4659-8781-7e080d3f2b9d |
| Cognitive Services の言語所有者 | 言語ポータルで Read、Test、Write、Deploy、Delete 関数のすべてにアクセスできます | f07febfe-79bc-46b1-8b37-790e26e6e498 |
| Cognitive Services の言語閲覧者 | 言語ポータルで Read と Test 関数にアクセスできます | 7628b7b8-a8b2-4cdc-b46f-e9b35248918e |
| Cognitive Services の言語ライター | 言語ポータルで、Read、Test、Write 関数のすべてにアクセスできます | f2310ca1-dc64-4889-bb49-c8e0fa3d47a8 |
| Cognitive Services LUIS 所有者 | LUIS において、Read、Test、Write、Deploy、Delete 関数のすべてにアクセスできます | f72c8140-2111-481c-87ff-72b910f6e3f8 |
| Cognitive Services LUIS 閲覧者 | LUIS において、Read および Test 関数にアクセスできます。 | 18e81cdc-4e98-4e29-a639-e7d10c5a6226 |
| Cognitive Services LUIS ライター | LUIS において、Read、Test、Write 関数のすべてにアクセスできます | 6322a993-d5c9-4bed-b113-e49bbea25b27 |
| Cognitive Services Metrics Advisor 管理者 | システム レベルの構成を含む、プロジェクトへのフル アクセス。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
| Cognitive Services Metrics Advisor ユーザー | プロジェクトへのアクセス。 | 3b20f47b-3825-43cb-8114-4bd2201156a8 |
| Cognitive Services OpenAI 共同作成者 | テキストを微調整、展開、生成する機能を含むフル アクセス | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| Cognitive Services OpenAI ユーザー | ファイル、モデル、デプロイを表示するための読み取りアクセス。 補完呼び出しと埋め込み呼び出しを作成する機能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| Cognitive Services QnA Maker エディター | KB の作成、編集、インポート、エクスポートができます。 KB を公開または削除することはできません。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| Cognitive Services QnA Maker 閲覧者 | KB のみ、読み取りとテストが可能になります。 | 466ccd10-b268-4a11-b098-b4849f024126 |
| Cognitive Services スピーチ共同作成者 | すべてのエンティティの読み取り、書き込み、削除を含む、リアルタイム音声認識とバッチ文字起こしのタスク、リアルタイム音声合成と長い音声のタスク、Custom Speech と Custom Voice などの Speech プロジェクトへのフル アクセス。 | 0e75ca1e-0464-4b4d-8b93-68208a576181 |
| Cognitive Services Speech ユーザー | リアルタイム音声認識とバッチ文字起こしの API、リアルタイム音声合成と長い音声の API にアクセスできるほか、カスタム モデルのデータ、テスト、モデル、エンドポイントを読み取ることができますが、カスタム モデルのデータ、テスト、モデル、エンドポイントを作成、削除、変更することはできません。 | f2dc8367-1007-4938-bd23-fe263f013447 |
| Cognitive Services 使用状況閲覧者 | Cognitive Services の使用状況を表示するための最小限のアクセス許可。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| Cognitive Services ユーザー | Cognitive Services のキーの読み取りとリスト化ができます。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
| 医療エージェント管理者 | 管理者アクセス権を持つユーザーは、、すべてのボット リソース、シナリオ、ボット インスタンス キーやシークレットを含む構成設定などを、サインイン、表示、編集できます。 | f1082fec-a70f-419f-9230-885d2550fb38 |
| ヘルスケアエージェント編集者 | エディター アクセス権を持つユーザーは、ボット インスタンス キーとシークレットおよびエンド ユーザーの入力 (フィードバック、認識されない発話、会話ログを含む) を除き、すべてのボット リソース、シナリオ、構成設定をサインイン、表示、編集できます。 ボットのスキルとチャネルへの読み取り専用アクセス。 | af854a69-80ce-4ff7-8447-f1118a2e0ca8 |
| ヘルスケアエージェントリーダー | 閲覧者アクセス権を持つユーザーはサインインでき、ボット リソース、シナリオ、構成設定への読み取り専用アクセスが可能です。ただし、ボット インスタンス キーとシークレット (認証、データ接続、チャネル キーなど) とエンド ユーザーの入力 (フィードバック、認識されない発話、会話ログなど) は対象外です。 | eb5a76d5-50e7-4c33-a449-070e7c9c4cf2 |
| 検索インデックス データ共同作成者 | Azure Cognitive Searchインデックス データへのフル アクセスを許可します。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| 検索インデックス データ閲覧者 | Azure Cognitive Searchインデックス データへの読み取りアクセスを許可します。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| Search Service 共同作成者 | Search サービスを管理できまが、それらにアクセスはできません。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
モノのインターネット
| 組み込みロール | Description | ID |
|---|---|---|
| Azure デバイス レジストリ共同作成者 | Azure Device Registry 名前空間内の IoT デバイスへのフル アクセスを許可します。 | A5C3590A-3A1A-4CD4-9648-EA0A32B15137 |
| Azure デバイス レジストリ資格情報共同作成者 | Azureデバイス レジストリ名前空間内の資格情報とポリシーを管理するためのフル アクセスを許可します。 | 09267e11-2e06-40b5-8fe4-68cea20794c9 |
| Azure デバイス レジストリのオンボード | Azure Device Registry 名前空間と X.509 証明書プロビジョニングへのフル アクセスを許可します。 | 547F7F0A-69C0-4807-BD9E-0321DFB66A84 |
| Azure Digital Twins データ所有者 | Digital Twins データプレーンに対するフル アクセス ロール | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Azure Digital Twins データ リーダー | Digital Twins データプレーン プロパティに対する読み取り専用ロール | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| Azure IoT Operations Administrator | AIO リソースを表示、作成、編集、削除します。 インスタンスとそのダウンストリーム リソースを含むすべてのリソースを管理します。 | 5bc02df6-6cd5-43fe-ad3d-4c93cf56cc16 |
| Azure IoT Operations Onboarding | ユーザーは、arc connect をAzureし、Azure IoT Operationsを安全にデプロイできます。 | 7b7c71ed-33fa-4ed2-a91a-e56d5da260b5 |
| デバイス プロビジョニング サービスのデータ共同作成者 | デバイス プロビジョニング サービスのデータ プレーン操作に対するフル アクセスを許可します。 | dfce44e4-17b7-4bd1-a6d1-04996ec95633 |
| デバイス プロビジョニング サービスのデータ閲覧者 | デバイス プロビジョニング サービスのデータ プレーン プロパティへの、完全な読み取りアクセスを許可します。 | 10745317-c249-44a1-a5ce-3a4353c0bbd8 |
| デバイス更新管理者 | 管理およびコンテンツ操作へのフル アクセスが付与されます | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| デバイス更新のコンテンツ管理者 | コンテンツ操作へのフル アクセスが付与されます | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| デバイス更新のコンテンツ閲覧者 | コンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| デバイス更新デプロイ管理者 | 管理操作へのフル アクセスが付与されます | e4237640-0e3d-4a46-8fda-70bc94856432 |
| デバイス更新デプロイの閲覧者 | 管理操作への読み取りアクセスが付与されますが、変更を加えることはできません | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| デバイス更新閲覧者 | 管理操作およびコンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| ファームウェア分析管理者 | ファームウェアをアップロード/表示できる管理ユーザーとファームウェア ワークスペースの構成 | 9c1607d1-791d-4c68-885d-c7b7aaff7c8a |
| ファームウェア分析リーダー | ファームウェア イメージを表示するが、アップロードしたり、ワークスペースの構成を実行したりしない | 2a94a2fd-3c4f-45d1-847d-6585ba88af94 |
| ファームウェア分析ユーザー | ファームウェア イメージをアップロードして分析しますが、ワークスペースの構成は実行しません | 53b2724d-1e51-44fa-b586-bcace0c82609 |
| IoT Hub データ共同作成者 | IoT Hubデータ プレーン操作へのフル アクセスを許可します。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| IoT Hub データ リーダー | IoT Hubデータ プレーン プロパティへの完全読み取りアクセスを許可します | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| IoT Hub レジストリ共同作成者 | IoT Hubデバイス レジストリへのフル アクセスを許可します。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| IoT Hub ツイン共同作成者 | すべてのIoT Hubデバイス ツインとモジュール ツインへの読み取りおよび書き込みアクセスを許可します。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
Integration
| 組み込みロール | Description | ID |
|---|---|---|
| API Management 開発者ポータル コンテンツ エディター | 開発者ポータルをカスタマイズし、コンテンツの編集と発行を行うことができます。 | c031e6a8-4391-4de0-8d69-4706a7ed3729 |
| API Management サービス共同作成者 | サービスと API を管理できます | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| API Management サービス運用者 役割 | サービスを管理できますが、API は対象外です | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| API Management サービス閲覧者ロール | サービスと API への読み取り専用アクセス | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| API Management のサービス ワークスペース API 開発者 | タグと製品への読み取りアクセス権と、製品への API の割り当て、製品と API へのタグの割り当てを許可する書き込みアクセス権を持ちます。 このロールは、サービス スコープに割り当てる必要があります。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| API Management のサービス ワークスペース API プロダクト マネージャー | API Management サービス ワークスペース API 開発者と同じアクセス権に加えて、ユーザーへの読み取りアクセス権と、グループへのユーザーの割り当てを可能にする書き込みアクセス権があります。 このロールは、サービス スコープに割り当てる必要があります。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| API Management のワークスペース API 開発者 | ワークスペース内のエンティティに対する読み取りアクセス権と、API を編集するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
| API Management のワークスペース API プロダクト マネージャー | ワークスペース内のエンティティに対する読み取りアクセス権と、API を発行するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| API Management のワークスペース共同作成者 | ワークスペースとビューを管理できますが、そのメンバーは変更できません。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| API Management のワークスペース閲覧者 | ワークスペース内のエンティティに対する読み取り専用アクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
| App Configuration の共同作成者 | App Configuration リソースの消去を除く、すべての管理操作に対するアクセス許可を付与します。 このロールでは、キー値、スナップショット、機能フラグなどのデータ プレーン リソースへのアクセスは許可されません。 | fe86443c-f201-4fc4-9d2a-ac61149fbda0 |
| App Configuration データ所有者 | App Configuration データへのフル アクセスを許可します。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| App Configuration のデータ閲覧者 | App Configuration データへの読み取りアクセスを許可します。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| App Configuration の閲覧者 | App Configuration リソースに対する読み取り操作のアクセス許可を付与します。 このロールでは、キー値、スナップショット、機能フラグなどのデータ プレーン リソースへのアクセスは許可されません。 | 175b81b9-6e0d-490a-85e4-0d422273c10c |
| Azure API Center Compliance Manager | AI プロジェクトへの閲覧者アクセス、AI アカウントへの閲覧者アクセス、AI プロジェクトのデータ アクションを許可します。 新しい Foundry リソースに適用されます。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Azure API Center データ リーダー | AZURE API Center データ プレーンの読み取り操作にアクセスできます。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
| Azure API Center サービス共同作成者 | API センター サービスAzure管理できます。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
| Azure API Center サービス リーダー | AZURE API Center サービスへの読み取り専用アクセスを許可します。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
| Azure Relay Listener | Azure Relay リソースへのリッスン アクセスを許可します。 | 26e0b698-aa6d-4085-9386-aadae190014d |
| Azure Relay Owner | Azure Relay リソースへのフル アクセスを許可します。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Azure Relay Sender | Azure Relay リソースへの送信アクセスを許可します。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Azure リソース通知システム トピック サブスクライバー | リソース通知をAzureして、現在および今後公開されるすべてのシステム トピックに対してシステム トピックとイベント サブスクリプションを作成できます。 | 0b962ed2-6d56-471c-bd5f-3477d83a7ba4 |
| Azure Service Bus データ所有者 | Azure Service Bus リソースへのフル アクセスを許可します。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Azure Service Bus Data Receiver | Azure Service Bus リソースへの受信アクセスを許可します。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Azure Service Bus データ送信者 | Azure Service Bus リソースへの送信アクセスを許可します。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| BizTalk 共同作成者 | BizTalk Services を管理できますが、それらにアクセスはできません。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| DeID バッチ データ所有者 | DeID バッチ ジョブを作成および管理できます。 このロールはプレビュー段階にあり、変更される可能性があります。 | 8a90fa6b-6997-4a07-8a95-30633a7c97b9 |
| DeID バッチ データの閲覧者 | DeID バッチ ジョブを読み取ることができます。 このロールはプレビュー段階にあり、変更される可能性があります。 | b73a14ee-91f5-41b7-bd81-920e12466be9 |
| DeID のデータ所有者 | DeID データへのフル アクセス。 このロールはプレビュー段階にあり、変更される可能性があります | 78e4b983-1a0b-472e-8b7d-8d770f7c5890 |
| DeID リアルタイム データ ユーザー | DeID リアルタイム エンドポイントに対して要求を実行できます。 このロールはプレビュー段階にあり、変更される可能性があります。 | bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e |
| DICOM のデータ所有者 | DICOM データへのフル アクセス。 | 58a3b984-7adf-4c20-983a-32417c86fbc8 |
| DICOM のデータ閲覧者 | DICOM データの読み取りと検索ができます。 | e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a |
| 永続タスクのデータ共同作成者 | すべてのデータ アクセス操作についての、永続タスク ロール。 | 0ad04412-c4d5-4796-b79c-f76d14c8d402 |
| 耐久タスクデータリーダー | 永続タスク スケジューラーのすべてのデータを読み取れます。 | d6a5505f-6ebb-45a4-896e-ac8274cfc0ac |
| 耐久性タスク作業者 | ワーカー アプリケーションで、永続タスク サービスと対話するために使用されます | 80d0d6b0-f522-40a4-8886-a5a11720c375 |
| EventGrid 共同作成者 | EventGrid 操作を管理できるようにします。 | 1e241071-0855-49ea-94dc-649edcd759de |
| EventGrid のデータ送信者 | Event Grid イベントへの送信アクセスを許可します。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
| EventGrid EventSubscription の共同作成者 | EventGrid のイベント サブスクリプション操作を管理できるようにします。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| EventGrid EventSubscription の閲覧者 | EventGrid のイベント サブスクリプションを読み取れるようになります。 | 2414bbcf-6497-4faf-8c65-045460748405 |
| EventGrid トピックスペース出版社 | トピックスペースでメッセージを発行できます。 | a12b0b94-b317-4dcd-84a8-502ce99884c6 |
| EventGrid TopicSpaces のサブスクライバー | TopicSpaces でメッセージをサブスクライブできるようにします。 | 4b0f2fd7-60b4-4eca-896f-4435034f8bf5 |
| FHIR データ一括演算子 | ロールを使用すると、ユーザーまたはプリンシパルが一括操作を実行できます | 804db8d3-32c7-4ad4-a975-3f6f90d5f5f5 |
| FHIR のデータ共同作成者 | ユーザーまたはプリンシパルに FHIR データへのフル アクセスを許可するロール | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| FHIR データのコンバーター | ユーザーまたはプリンシパルが、データをレガシ形式から FHIR に変換できるようにするロール | a1705bd2-3a8f-45a5-8683-466fcfd5cc24 |
| FHIR データ エクスポーター | ユーザーまたはプリンシパルに FHIR データの読み取りとエクスポートを許可するロール | 3db33094-8700-4567-8da5-1501d4e7e843 |
| FHIR データ インポーター | ユーザーまたはプリンシパルに FHIR データの読み取りとインポートを許可するロール | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| FHIR のデータ閲覧者 | ユーザーまたはプリンシパルに FHIR データの読み取りを許可するロール | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| FHIR のデータ ライター | ユーザーまたはプリンシパルに FHIR データの読み取りと書き込みを許可するロール | 3f88fce4-5892-4214-ae73-ba5294559913 |
| FHIR SMARTユーザー | SMART on FHIR 仕様に従って、ユーザーに FHIR サービスへのアクセスを許可するロール | 4ba50f17-9666-485c-a643-ff00808643f0 |
| 統合サービス環境の共同作成者 | 統合サービス環境の管理を可能にしますが、それらにアクセスすることはできません。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| 統合サービス環境の開発者 | 統合サービス環境でワークフロー、統合アカウント、および API 接続を作成および更新することを、開発者に許可します。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| インテリジェント システム アカウント共同作成者 | Intelligent Systems のアカウントを管理できます。ただし、それらにアクセスはできません。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| ロジック アプリ共同作成者 | ロジック アプリを管理できますが、それらへのアクセス権を変更することはできません。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| ロジック アプリのオペレーター | ロジック アプリの読み取り、有効化、無効化ができますが、編集または更新はできません。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| Logic Apps Standard の共同作成者 (プレビュー) | Standard ロジック アプリとワークフローのすべての側面を管理できます。 アクセスまたは所有権を変更することはできません。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
| Logic Apps Standard の開発者 (プレビュー) | Standard ロジック アプリのワークフロー、接続、設定を作成および編集できます。 ワークフロースコープ外では変更を加えることはできません。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| Logic Apps Standard のオペレーター (プレビュー) | ロジック アプリの有効化と無効化、ワークフロー実行の再送信、さらに接続の作成を行うことができます。 ワークフローや設定を編集することはできません。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
| Logic Apps Standard の閲覧者 (プレビュー) | Standard ロジック アプリとワークフロー内のすべてのリソース (ワークフローの実行とその履歴を含む) への読み取り専用アクセス権があります。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| Scheduler ジョブ コレクション共同作成者 | Scheduler ジョブ コレクションを管理できまが、それらにアクセスはできません。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| Services Hub オペレーター | Services Hub Operator では、サービス ハブ コネクタに関連するすべての読み取り、書き込み、削除の操作を許可します。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
Identity
| 組み込みロール | Description | ID |
|---|---|---|
| ドメイン サービス共同作成者 | Azure AD Domain Services と関連するネットワーク構成を管理できます | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| ドメイン サービスの閲覧者r | AZURE AD Domain Services と関連するネットワーク構成を表示できます | 361898ef-9ed1-48c2-849c-a832951106bb |
| マネージド ID 共同作成者 | ユーザー割り当て ID を作成、読み取り、更新、削除できます | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| マネージド ID オペレーター | ユーザー割り当て ID の読み取りと割り当てができます | f1a07417-d97a-45cb-824c-7a7467783830 |
セキュリティ
| 組み込みロール | Description | ID |
|---|---|---|
| アプリ コンプライアンス オートメーションの管理者 | Microsoft 365のアプリ コンプライアンス自動化ツールの管理を許可します | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
| アプリ コンプライアンス オートメーションの閲覧者 | Microsoft 365の App Compliance Automation ツールへの読み取り専用アクセスを許可します | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| 構成証明共同作成者 | 構成証明プロバイダー インスタンスの読み取り、書き込み、削除ができます | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| 認証リーダー | 構成証明プロバイダーのプロパティを読み取ることができます | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Key Vault Administrator | キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットなど) に対して、すべてのデータ プレーン操作を実行できます。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault Certificate User | 証明書のコンテンツを読み取れます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Key Vault Certificates Officer | キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行できます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault Contributor | キー コンテナーを管理しますが、Azure RBAC でロールを割り当てるのではなく、シークレット、キー、または証明書にアクセスすることはできません。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Key Vault Crypto Officer | キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行できます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Key Vault Crypto Service Encryption User | キーのメタデータを読み取り、wrap および unwrap 操作を実行できます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto Service Release User | リリース キー。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
| Key Vault Crypto User | キーを使用した暗号化操作を実行できます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault データ アクセス管理者 | Key Vault管理者、Key Vault Certificates Officer、Key Vault Crypto Officer、Key Vault Crypto Service Encryption User、Key Vault Crypto User、Key Vault のロールの割り当てを追加または削除して、Azure Key Vaultへのアクセスを管理します。閲覧者、Key Vaultシークレット責任者、または Key Vault シークレット ユーザー ロール。 ロールの割り当てを制限するための ABAC 条件が含まれています。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| Key Vault Reader | キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ることができます。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault Secrets Officer | キー コンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行できます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault シークレット ユーザー | シークレット コンテンツを読み取れます。 "Azure ロールベースのアクセス制御" アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 4633458b-17de-408a-b874-0445c86b69e6 |
| ロック共同作成者 | ロック操作を管理できます。 | 28bf596f-4eb7-45ce-b5bc-6cf482fec137 |
| マネージド HSM 共同作成者 | マネージド HSM プールを管理できまが、それらにアクセスはできません。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Microsoft Sentinel Automation 共同作成者 | Microsoft Sentinel Automation 共同作成者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Microsoft Sentinel Contributor | Microsoft Sentinel共同作成者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Microsoft Sentinel プレイブック オペレーター | Microsoft Sentinel プレイブック オペレーター | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Microsoft Sentinel Reader | Microsoft Sentinel 閲覧者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Microsoft Sentinel レスポンダー | Microsoft Sentinel レスポンダー | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| セキュリティ管理者 | Microsoft Defender for Cloudのアクセス許可を表示および更新します。 セキュリティ閲覧者ロールと同じアクセス許可ですが、セキュリティ コネクタの作成、更新、削除、セキュリティ ポリシーの更新、アラートと推奨事項の無視を行うことができます。 Microsoft Defender for IoTについては、OT および Enterprise IoT 監視>Azure |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| セキュリティ評価共同作成者 | 評価をMicrosoft Defender for Cloudにプッシュできます | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| セキュリティ マネージャー (レガシ) | これはレガシ ロールです。 代わりに Security Admin を使用してください。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| セキュリティ閲覧者 | Microsoft Defender for Cloudのアクセス許可を表示します。 推奨事項、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。 Microsoft Defender for IoTについては、OT および Enterprise IoT 監視>Azure |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
| 組み込みロール | Description | ID |
|---|---|---|
| Chaos Studio 実験共同作成者 | 実験、ターゲットのオンボード、機能の管理を作成、実行、詳細表示することができます。 | 7c2e40b7-25eb-482a-82cb-78ba06cb46d5 |
| Chaos Studio 演算子 | 実験の実行と詳細の確認を行うことができますが、実験の作成やターゲットと機能の管理を行うことはできません。 | 1a40e87e-6645-48e0-b27a-0b115d849a20 |
| Chaos Studio Reader | ターゲット、機能、実験、実験の詳細を表示できます。 | 29e2da8a-229c-4157-8ae8-cc72fc506b74 |
| Chaos Studio ターゲット共同作成者 | ターゲットをオンボードして機能を管理することはできますが、実験を作成、実行し、詳細を表示することはできません | 59a618e3-3c9a-406e-9f03-1a20dd1c55f1 |
| Deployment Environments の閲覧者 | 環境リソースへの読み取りアクセスを提供します。 | eb960402-bf75-4cc3-8d68-35b34f960f72 |
| Deployment Environments ユーザー | 環境リソースを管理するためのアクセスを提供します。 | 18e40d4e-8d2e-438d-97e1-9528336e149c |
| DevCenter 開発ボックスユーザー | 開発ボックスを作成および管理するためのアクセス権を提供します。 | 45d50f46-0b78-4001-a660-4198cbe8cd05 |
| DevCenter 所有者 | DevCenter プロジェクト管理者ロールと DevCenter Dev Box ロールのロールの割り当てを追加または削除することで、すべての Microsoft.DevCenter リソースを管理したり、Microsoft.DevCenter リソースへのアクセスを管理したりするためのアクセスを提供します。 | 4c6569b6-f23e-4295-9b90-bd4cc4ff3292 |
| DevCenter のプロジェクト管理者 | プロジェクト リソースを管理するためのアクセス権を提供します。 | 331c37c6-af14-46d9-b9f4-e1909e1b95a0 |
| DevOps インフラストラクチャ共同作成者 | マネージド DevOps プールに対する読み取り、書き込み、削除、アクションの実行 | 76153a9e-0edb-49bc-8e01-93c47e6b5180 |
| DevTest Labs ユーザー | Azure DevTest Labs内の仮想マシンを接続、開始、再起動、シャットダウンできます。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| ラボ アシスタント | 既存のラボを表示し、ラボ VM でアクションを実行し、ラボへの招待を送信できるようにします。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
| ラボ共同作成者 | ラボ レベルで適用すると、ラボを管理できます。 リソース グループで適用すると、ラボを作成および管理できます。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
| ラボ作成者 | Azure ラボ アカウントで新しいラボを作成できます。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| ラボ オペレーター | 既存のラボを管理するための、限定された機能を提供します。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| ラボ サービス共同作成者 | リソース グループにおいて、ラボ サービスのすべてのシナリオを完全に制御できるようにします。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| ラボ サービスの閲覧者 | すべてのラボ プランとラボ リソースを表示できますが、変更することはできません。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| 負荷テストの共同作成者 | 負荷テストの表示、作成、更新、削除、実行を行えます。 負荷テスト リソースを表示およびリストできますが、変更することはできません。 | 749a398d-560b-491b-bb21-08924219302e |
| 負荷テストの所有者 | 負荷テスト リソースと負荷テストのすべての操作を実行できます | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| 負荷テストの閲覧者 | すべての負荷テストと負荷テスト リソースを表示およびリストできますが、変更することはできません | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
| Playwright ワークスペース共同作成者 | Playwright ワークスペース リソースを表示および一覧表示しますが、変更することはできません。 サービス アクセス トークンを管理し、Playwright テストを実行できます。 | 78cf819f-0969-4ebe-8759-015c6efcd5bf |
| Playwright ワークスペース所有者 | Playwright ワークスペース リソースに対するすべての操作を実行します。 サービス アクセス トークンを管理し、Playwright テストを実行できます。 | 45265627-32f7-4da4-9ab0-b1cb0e9ec70b |
| Playwright ワークスペース 閲覧者 | すべてのプレイライト ワークスペースのリソースとテストを表示および一覧表示しますが、変更することはできません。 | 19d36063-d00b-4ea5-a1ac-a7c4926a0b78 |
Migration
| 組み込みロール | Description | ID |
|---|---|---|
| Azure Migrate エキスパートの決定と計画 | アプライアンス ベースの検出、インベントリの管理、サーバーの依存関係の識別、ビジネス ケースと評価レポートの作成など、計画操作のみを実行するように、Azure Migrate プロジェクトへの制限付きアクセスを許可します。 | 7859c0b0-0bb9-4994-bd12-cd529af7d646 |
| Azure Migrate エキスパート実行 | レプリケーション、テスト移行の実行、移行の進行状況の追跡と監視、エージェントレスおよびエージェントベースの移行の開始など、移行関連の操作のみを実行するように、Azure Migrate プロジェクトに対する制限付きアクセスを許可します。 | 1cfa4eac-9a23-481c-a793-bfb6958e836b |
| Azure Migrate Owner | アプライアンス ベースの検出、ビジネス ケースと評価レポートの作成、移行の実行など、Azure Migrate プロジェクトを作成および管理するためのフル アクセスを許可します。また、AZURE RBAC で特定のロールAzure Migrate割り当てる機能も付与されます。 | fd8ea4d5-6509-4db0-bada-356ab233b4fa |
| Azure Migrate サービス リーダー | プロジェクト リソースのシステム割り当てマネージド ID への必要なアクセスAzure Migrate許可します。 | ba480ccd-6499-4709-b581-8f38bb215c63 |
| Arc Discovery Reader の移行 - プレビュー | Azure Arcが有効なサーバー リソースのメタデータとメタデータ、Arc 対応 SQL Server リソースのパフォーマンスと移行の適合性を読み取ります。 Arc リソース探索を使用Azure Migrateプロジェクトを作成するユーザーには、プロジェクトの Arc スコープに対してこのロールが必要です。 定期的な同期を有効にするには、プロジェクトマネージド ID Azure Migrateこのロールを割り当てる必要があります。 このロールはプレビュー段階にあり、変更される可能性があります。 | 5d5dddae-e124-4753-972d-aae60b37deb4 |
Monitor
| 組み込みロール | Description | ID |
|---|---|---|
| Application Insights コンポーネント共同作成者 | Application Insights コンポーネントを管理できます | ae349356-3a1b-4a5e-921d-050484c6347e |
| アプリケーション インサイト スナップショット デバッガー | Application Insights スナップショット デバッガーで収集されたデバック スナップショットを表示およびダウンロードするための、アクセス許可をユーザーに付与します。 これらのアクセス許可は、所有者ロールまたは共同作成者ロールには含まれないことに注意してください。 ユーザーに Application Insights スナップショット デバッガー ロールを与える場合は、そのロールをユーザーに直接付与する必要があります。 このロールは、カスタム ロールに追加されている場合には認識されません。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Azure Managed Grafana ワークスペース共同作成者 | ワークスペース自体へのアクセスを提供することなく、Azure Managed Grafanaリソースを管理できます。 | 5c2d7e57-b7c2-4d8a-be4f-82afa42c6e95 |
| データ消去 | Log Analytics ワークスペースからプライベート データを削除します。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Grafana 管理者 | サーバー全体の設定を管理し、組織、ユーザー、ライセンスなどのリソースへのアクセスを管理します。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana エディター | ダッシュボードを作成、編集、削除、表示し、フォルダーを作成、編集、削除し、プレイリストを編集または表示できます。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana の制限付き閲覧者 | ホーム ページを表示します。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Grafana ビューアー | ダッシュボード、プレイリスト、クエリ データ ソースを表示できます。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Log Analytics Contributor | Log Analytics共同作成者は、すべての監視データを読み取り、監視設定を編集できます。 監視設定の編集には、VM 拡張機能の VM への追加が含まれます。ストレージ アカウント キーを読み取って、Azure Storageからログの収集を構成したり、ソリューションを追加したり、すべてのAzure リソースでAzure診断を構成したりできます。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Log Analytics データ リーダー | Log Analyticsデータ 閲覧者は、Log Analyticsワークスペースとテーブルに対して表示できるログに対してクエリを実行して検索できます | 3b03c2da-16b3-4a49-8834-0f8130efdd3b |
| Log Analytics Reader | Log Analytics閲覧者は、すべての監視データの表示と検索、およびすべてのAzure リソースのAzure診断の構成の表示など、監視設定を表示できます。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
| 監視共同作成者 | すべての監視データを読み取り、監視設定を編集できます。 「get started with roles, permissions, and security with Azure Monitorも参照してください。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| 監視メトリックのパブリッシャー | Azure リソースに対するメトリックの発行を有効にします | 3913510d-42f4-4e42-8a64-420c390055eb |
| 監視ポリシー共同作成者 | すべての監視データへの読み取りアクセス、監視設定のアクセス許可の更新、アラート ポリシー Azure Monitor展開および修復するためのアクセス許可を許可します。 | 47be4a87-7950-4631-9daf-b664a405f074 |
| 監視リーダー | すべての監視データ (メトリック、ログなど) を読み取ることができます。 「get started with roles, permissions, and security with Azure Monitorも参照してください。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| サービス正常性セキュリティ閲覧者 | サービス正常性イベントに存在する機密性の高いセキュリティ情報を表示するためのアクセス許可を付与します | 1a928ab0-1fee-43cf-9266-f9d8c22a8ddb |
| ワークブックの共同作成者 | 共有ブックを保存できます。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| ワークブックリーダー | ブックの読み取りが可能です。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理とガバナンス
| 組み込みロール | Description | ID |
|---|---|---|
| Advisor の推奨事項の共同作成者 (アセスメントとレビュー) | アセスメントの推奨事項の表示と、承認されたレビューの推奨事項の表示、および推奨事項のライフサイクルの管理を行います (推奨事項を完了、延期、無視、進行中、未開始としてマークします)。 | 6b534d80-e337-47c4-864f-140f5c7f593d |
| Advisor のレビュー共同作成者 | ワークロードのレビューを表示し、それらにリンクされている推奨事項をトリアージします。 | 8aac15f0-d885-4138-8afa-bfb5872f7d13 |
| Advisor のレビュー閲覧者 | ワークロードのレビューとそれにリンクされた推奨事項を表示できます。 | c64499e0-74c3-47ad-921c-13865957895c |
| Automation 共同作成者 | Azure Automationを使用して、Azure Automationリソースとその他のリソースを管理します。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| オートメーション業務作業員 | Automation Runbook を使用してジョブを作成および管理します。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| オートメーション操作員 | Automation オペレーターはジョブを開始、停止、中断、再開することができます | d3881f73-407a-4167-8283-e981cbba0404 |
| オートメーション ランブック オペレーター | Runbook のジョブを作成する方法については、Runbook のプロパティを参照してください。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Azure Center for SAP ソリューション管理者 | このロールは、Azure Center for SAP ソリューションのすべての機能に対する読み取りおよび書き込みアクセスを提供します。 | 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7 |
| Azure Center for SAP ソリューション リーダー | このロールは、Azure Center for SAP ソリューションのすべての機能への読み取りアクセスを提供します。 | 05352d14-a920-4328-a0de-4cbe7430e26b |
| Azure Center for SAP ソリューション サービスロール | Azure CENTER for SAP ソリューション サービス ロール - このロールは、ユーザー割り当てマネージド ID へのアクセス許可を提供するために使用することを目的としています。 Azure Center for SAP ソリューションでは、この ID を使用して SAP システムをデプロイおよび管理します。 | aabbc5dd-1af0-458b-a942-81af88f9c138 |
| Azure Connected Machine Onboarding | 接続されたマシンAzureオンボードできます。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Azure Connected Machine Resource Administrator | 接続されたマシンの読み取り、書き込み、削除、再オンボードAzureできます。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Azure Connected Machine Resource Manager | リソース グループ内のハイブリッド コンピューティング マシンとハイブリッド接続エンドポイントを管理するための、Azure Local リソース プロバイダー (Microsoft.AzureStackHCI リソース プロバイダー) のカスタム ロール | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| Azure サブスクリプションのカスタマー ロックボックス承認者 | サブスクリプションが存在するテナントで Microsoft Azure のカスタマー ロックボックスが有効になっている場合、サブスクリプションまたはサブスクリプション自体に含まれる特定のリソースにアクセスするための Microsoft サポート要求を承認できます。 | 4dae6930-7baf-46f5-909e-0383bc931c46 |
| 請求書リーダー | 課金データへの読み取りアクセスを許可します | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| ブループリント共同作成者 | ブループリントの定義を管理できますが、それらを割り当てることはできません。 | 41077137-e803-4205-871c-5a86e6a753b4 |
| ブループリント オペレーター | 既存の発行済みのブループリントを割り当てることはできますが、ブループリントの新規作成はできません。 これは、ユーザー割り当てのマネージド ID を使用して割り当てが行われた場合にのみ機能することに注意してください。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| Carbon Optimization の閲覧者 | Azureカーボン最適化データへの読み取りアクセスを許可する | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| Cost Management の共同作成者 | コストを表示し、コストの構成 (予算、エクスポートなど) を管理することができます。 | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| Cost Management の閲覧者 | コストのデータと構成 (予算、エクスポートなど) を表示することができます | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| Essential Machine Management Administrator | サブスクリプションの Essential Machine Management リソースを管理できます | 34013b0a-565b-43aa-8755-1b7c286f6cf7 |
| 階層設定管理者 | ユーザーに、階層設定の編集と削除を許可します | 350f8d15-c687-4448-8ae1-157740a3936d |
| マネージド アプリケーションコントリビューターロール | マネージド アプリケーション リソースの作成を許可します。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
| マネージド アプリケーション オペレーター ロール | マネージド アプリケーション リソースに対する、読み取りとアクションを実行できるようにします | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| マネージド アプリ発行元オペレーター | パブリッシャーがマネージド アプリケーションのマネージド リソース グループ内のリソースを読み取り、追加の操作のために JIT アクセスを要求できるようにします。 このロールは、パブリッシャーへのアクセスを提供するために、マネージド アプリケーション サービスによってのみ使用されます。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| マネージド サービスの登録割り当て削除ロール | マネージド サービスの登録割り当て削除ロールを使用すると、テナント管理ユーザーは、テナントに割り当てられている登録割り当てを削除できます。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| 管理グループの共同作成者 | 管理グループの共同作成者ロール | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| 管理グループの閲覧者 | 管理グループの閲覧者ロール | ac63b705-f282-497d-ac71-919bf39d939d |
| New Relic APM アカウント共同作成者 | New Relic Application Performance Management のアカウントとアプリケーションを管理できますが、それらにはアクセスできません。 | 5d28c62d-5b37-4476-8438-e587778df237 |
| ポリシー分析情報データ ライター (プレビュー) | リソース ポリシーに対する読み取りアクセス、および、リソース コンポーネント ポリシー イベントへの書き込みアクセスを許可します。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| クォータ要求オペレーター | クォータ要求の読み取り、作成を行い、クォータ要求の状態を取得して、サポート チケットの作成ができます。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| 予約購入者 | 予約を購入できるようになります | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| 予約閲覧者 | テナント内のすべての予約を読み取れるようにします | 582fc458-8989-419f-a480-75249bc5db7e |
| リソース ポリシーの共同作成者 | リソース ポリシーの作成または変更、サポート チケットの作成、リソースまたは階層の読み取りを行う権限を持つユーザー。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| 節約プランの購入者 | 節約プランを購入できるようにします | 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74 |
| 予定パッチの共同作成者 | メンテナンス スコープ InGuestPatch とそれに対応する構成の割り当てを使用するメンテナンス構成を、管理するためのアクセスを提供します | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
| サービス グループ管理者 | サービス グループとリレーションシップのすべての側面を管理します。 サービス グループの作成時にユーザーに割り当てられる既定のロール。 ロールの割り当てを制限するための ABAC 条件が含まれています。 | 4e50c84c-c78e-4e37-b47e-e60ffea0a775 |
| サービス グループ寄稿者 | サービス グループとリレーションシップのすべての側面を管理しますが、ロールを割り当てすることはできません。 | 32e6a4ec-6095-4e37-b54b-12aa350ba81f |
| サービス グループの閲覧者 | サービス グループを読み取り、接続されたリレーションシップを表示します。 | de754d53-652d-4c75-a67f-1e48d8b49c97 |
| Site Recovery Contributor | コンテナーの作成とロールの割り当てを除くSite Recovery サービスを管理できます | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Site Recovery 演算子 | フェールオーバーとフェールバックは可能ですが、他のSite Recovery管理操作は実行できません | 494ae006-db33-4328-bf46-533a6560a3ca |
| Site Recovery Reader | Site Recovery状態を表示できますが、他の管理操作は実行できません | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| SRE エージェント管理者 | エージェントの完全な制御 - チャット、インシデント対応計画、およびエージェント実行モードを管理します。コマンドを承認して実行します。 | e79298df-d852-4c6d-84f9-5d13249d1e55 |
| SRE エージェント リーダー | チャット、インシデント、ログ、構成など、すべての SRE エージェント データへの読み取り専用アクセスを許可します。 エージェントとの対話は許可されません。 | a4b156ac-253f-4a1a-9851-96d62b71b047 |
| SRE エージェント標準ユーザー | SRE エージェントと対話してインシデントをトリアージし、診断を実行するためのアクセス権を付与します。 | 2d84a65a-63b2-4343-bbb6-31105d857bc1 |
| サポート リクエスト共同作成者 | Support 要求を作成および管理できるようにします | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| タグ共同作成者 | エンティティ自体へのアクセスを提供することなく、エンティティのタグを管理できるようにします。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| テンプレート スペックの共同作成者 | 割り当てられたスコープでテンプレート スペック操作へのフル アクセスを許可します。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| テンプレート スペックの閲覧者 | 割り当てられたスコープで Template Specs への読み取りアクセスを許可します。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
ハイブリッドとマルチクラウド
| 組み込みロール | Description | ID |
|---|---|---|
| Arc Gateway Manager | Arc Gateway リソースの管理 | f6e92014-8af2-414d-9948-9b1abf559285 |
| Azure Arc ScVmm 管理者ロール | Arc ScVmm VM 管理者には、すべての ScVmm アクションを実行するアクセス許可があります。 | a92dfd61-77f9-4aec-a531-19858b406c87 |
| Azure Arc ScVmm プライベート クラウド ユーザー | Azure Arc ScVmm プライベート クラウド ユーザーには、ScVmm リソースを使用して VM をデプロイするためのアクセス許可があります。 | c0781e91-8102-4553-8951-97c6d4243cda |
| Azure Arc ScVmm プライベート クラウドのオンボード | Azure Arc ScVmm プライベート クラウドオンボーディング ロールには、vmm サーバー インスタンスのオンボードとデボードに必要なすべてのリソースをAzureにプロビジョニングするためのアクセス許可があります。 | 6aac74c4-6311-40d2-bbdd-7d01e7c6e3a9 |
| Azure Arc ScVmm VM 共同作成者 | Arc ScVmm VM 共同作成者には、すべての VM アクションを実行するアクセス許可があります。 | e582369a-e17b-42a5-b10c-874c387c530b |
| Azure Resource Bridge Deployment Role | Azure リソース ブリッジのデプロイ ロールは、Azure Stack HCI にのみ使用されます。 | 7b1f81f9-4196-4058-8aae-762e593270df |
| Azure Stack HCI 管理者 | Azure Localを登録し、他のユーザーを HCI VM 共同作成者または HCI VM 閲覧者Azure Stack割り当てる機能など、クラスターとそのリソースへのフル アクセスAzure Stack許可します。 | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
| Azure Stack HCI 接続インフラストラクチャ | Azure Stack HCI インフラストラクチャ Virtual Machinesの Arc 統合の役割。 | c99c945f-8bd1-4fb1-a903-01460aae6068 |
| Azure Stack HCI Device Management Role | Microsoft.AzureStackHCI Device Management ロール | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
| Azure Stack HCI VM 共同作成者 | すべての VM アクションを実行できるアクセス許可を付与します | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
| Azure Stack HCI VM リーダー | VM を表示するためのアクセス許可を付与します | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Azure Stack 登録所有者 | Azure Stack登録を管理できます。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| ハイブリッド サーバー リソース管理者 | ハイブリッド リソース プロバイダーに対する、ハイブリッド サーバーの読み取り、書き込み、削除、および再オンボードができます。 | 48b40c6e-82e0-4eb3-90d5-19e40f49b624 |
次のステップ
- Azure ポータルを使用してAzureロールを割り当
- Azureカスタム ロール
Microsoft Defender for Cloud