Ruoli predefiniti di Azure

Il controllo degli accessi in base al ruolo di Azure ha diversi ruoli predefiniti di Azure che è possibile assegnare a utenti, gruppi, entità servizio e identità gestite. Le assegnazioni di ruolo permettono di controllare l'accesso alle risorse di Azure. Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati di Azure. Per informazioni su come assegnare i ruoli, vedere Passaggi per assegnare un ruolo di Azure.

Questo articolo elenca i ruoli predefiniti di Azure. Se si cercano ruoli di amministratore per Microsoft Entra ID, vedere Ruoli predefiniti di Microsoft Entra.

La tabella seguente fornisce una breve descrizione di ogni ruolo predefinito. Fare clic sul nome del ruolo per vedere l'elenco di Actions, NotActions, DataActions e NotDataActions per ogni ruolo. Per informazioni sul significato di queste azioni e su come si applicano ai piani dati e di controllo, vedere Informazioni sulle definizioni dei ruoli di Azure.

Generali

Ruolo predefinito Descrizione ID
Collaboratore Concede l'accesso completo per la gestione di tutte le risorse, ma non consente di assegnare ruoli in Controllo degli accessi in base al ruolo Azure, gestire le assegnazioni in Azure Blueprints o condividere raccolte di immagini. b24988ac-6180-42a0-ab88-20f7382dd24c
Proprietario Concede l'accesso completo per la gestione di tutte le risorse, inclusa la possibilità di assegnare ruoli in Controllo degli accessi in base al ruolo di Azure. 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Lettore Consente di visualizzare tutte le risorse, ma non permette di apportare modifiche. acdd72a7-3385-48ef-bd42-f606fba81ae7
Controllo di accesso Amministrazione istrator basato su ruoli Gestire l'accesso alle risorse di Azure assegnando ruoli usando il controllo degli accessi in base al ruolo di Azure. Questo ruolo non consente di gestire l'accesso usando altri modi, ad esempio Criteri di Azure. f58310d9-a9f6-439a-9e8d-f62e7b41a168
Amministratore accessi utente Consente di gestire gli accessi utente alle risorse di Azure. 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9

Calcolo

Ruolo predefinito Descrizione ID
Collaboratore macchine virtuali classiche Consente di gestire le macchine virtuali classiche, ma non di accedervi né di gestire la rete virtuale o l'account di archiviazione a cui sono connesse. d73bb868-a0df-4d4d-bd69-98a00b01fccb
Operatore dati per Managed Disks Fornisce le autorizzazioni per caricare i dati in dischi gestiti vuoti, leggere o esportare dati di dischi gestiti (non collegati alle macchine virtuali in esecuzione) e snapshot usando gli URI di firma di accesso condiviso e l'autenticazione di Azure AD. 959f8984-c045-4866-89c7-12bf9737be2e
Collaboratore al gruppo di applicazioni desktop virtualization Collaboratore del gruppo di applicazioni di virtualizzazione desktop. 86240b0e-9422-4c43-887b-b61143f32ba8
Lettore del gruppo di applicazioni di virtualizzazione desktop Lettore del gruppo di applicazioni di virtualizzazione desktop. aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
Collaboratore alla virtualizzazione desktop Collaboratore di Desktop Virtualization. 082f0a83-3be5-4ba1-904c-961cca79b387
Collaboratore al pool di host di virtualizzazione desktop Collaboratore del pool di host di virtualizzazione desktop. e307426c-f9b6-4e81-87de-d99efb3c32bc
Lettore del pool di host di virtualizzazione desktop Lettore del pool di host di virtualizzazione desktop. ceadfde2-b300-400a-ab7b-6143895aa822
Lettore di virtualizzazione desktop Lettore di Desktop Virtualization. 49a72310-ab8d-41df-bbb0-79b649203868
Operatore host sessione di virtualizzazione desktop Operatore dell'host sessione di virtualizzazione desktop. 2ad6aaab-ead9-4eaa-8ac5-da422f562408
Utente di virtualizzazione desktop Consente all'utente di usare le applicazioni in un gruppo di applicazioni. 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
Operatore sessione utente desktop virtualization Operatore della sessione utente di Desktop Virtualization. ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
Collaboratore di Desktop Virtualization Workspace Collaboratore di Desktop Virtualization Workspace. 21efdde3-836f-432b-bf3d-3e8e734d4b2b
Lettore dell'area di lavoro di virtualizzazione desktop Lettore di Desktop Virtualization Workspace. 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
Lettore di backup del disco Fornisce l'autorizzazione per eseguire il backup del disco nell'insieme di credenziali di backup. 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
Operatore pool di dischi Fornire l'autorizzazione per Archiviazione Provider di risorsePool per gestire i dischi aggiunti a un pool di dischi. 60fc6e62-5479-42d4-8bf4-67625fcc2840
Operatore di ripristino del disco Fornisce l'autorizzazione per eseguire il backup dell'insieme di credenziali per eseguire il ripristino del disco. b50d9833-a0cb-478e-945f-707fcc997c13
Collaboratore snapshot del disco Fornisce l'autorizzazione per eseguire il backup dell'insieme di credenziali per gestire gli snapshot del disco. 7efff54f-a5b4-42b5-a1c5-5411624893ce
Virtual Machine Administrator Login (Accesso amministratore macchina virtuale) Consente di visualizzare le macchine virtuali nel portale e di accedere come amministratore 1c0163c0-47e6-4577-8991-ea5c82e286e4
Collaboratore macchine virtuali Creare e gestire macchine virtuali, gestire dischi, installare ed eseguire software, reimpostare la password dell'utente radice della macchina virtuale usando le estensioni della macchina virtuale e gestire gli account utente locali usando le estensioni della macchina virtuale. Questo ruolo non concede l'accesso di gestione alla rete virtuale o all'account di archiviazione a cui sono connesse le macchine virtuali. Questo ruolo non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure. 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Accesso ai dati delle macchine virtuali Amministrazione istrator (anteprima) Gestire l'accesso a Macchine virtuali aggiungendo o rimuovendo le assegnazioni di ruolo per i ruoli di accesso della macchina virtuale Amministrazione istrator e dell'account di accesso utente della macchina virtuale. Include una condizione del controllo degli accessi in base al ruolo per vincolare le assegnazioni di ruolo. 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04
Accesso utente locale macchina virtuale Visualizzare Macchine virtuali nel portale e accedere come utente locale configurato nel server arc 602da2ba-a5c2-41da-b01d-5360126ab525
Virtual Machine User Login (Accesso utente macchina virtuale) Consente di visualizzare le macchine virtuali nel portale e di accedere come utente normale. fb879df8-f326-4884-b1cf-06f3ad86be52
Accesso amministratore di Windows Admin Center È possibile gestire il sistema operativo della risorsa tramite Windows Amministrazione Center come amministratore. a633a3e-0164-44c3-b281-7a577aff287f

Rete

Ruolo predefinito Descrizione ID
Collaboratore al dominio frontdoor di Azure Per l'uso interno in Azure. Può gestire i domini frontdoor di Azure, ma non può concedere l'accesso ad altri utenti. 0ab34830-df19-4f8c-b84e-aa85b8afa6e8
Lettore di dominio frontdoor di Azure Per l'uso interno in Azure. Può visualizzare i domini di Frontdoor di Azure, ma non può apportare modifiche. 0f99d363-226e-4dca-9920-b807cf8e1a5f
Lettore profilo frontdoor di Azure Può visualizzare i profili Standard e Premium afd e i relativi endpoint, ma non può apportare modifiche. 662802e2-50f6-46b0-aed2-e834bacc6d12
Collaboratore segreto di Frontdoor di Azure Per l'uso interno in Azure. Può gestire i segreti di Frontdoor di Azure, ma non può concedere l'accesso ad altri utenti. 3f2eb865-5811-4578-b90a-6fc6fa0df8e5
Lettore di segreti di Frontdoor di Azure Per l'uso interno in Azure. Può visualizzare i segreti di Frontdoor di Azure, ma non può apportare modifiche. 0db238c4-885e-4c4f-a933-aa2cef684fca
Collaboratore endpoint rete CDN Può gestire gli endpoint della rete CDN, ma non può concedere l'accesso ad altri utenti. 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
Lettore endpoint rete CDN Può visualizzare gli endpoint della rete CDN, ma non può apportare modifiche. 871e35f6-b5c1-49cc-a043-bde969a0f2cd
Collaboratore profilo rete CDN Può gestire rete CDN e i profili Standard e Premium di Frontdoor di Azure e i relativi endpoint, ma non può concedere l'accesso ad altri utenti. ec156ff8-a8d1-4d15-830c-5b80698ca432
Lettore profilo rete CDN Può visualizzare i profili e i rispettivi endpoint della rete CDN, ma non può apportare modifiche. 8f96442b-4075-438f-813d-ad51ab4019af
Collaboratore reti virtuali classiche Consente di gestire le reti classiche, ma non di accedervi. b34d265f-36f7-4a0d-a4d4-e158ca92e90f
Collaboratore zona DNS Consente di gestire le zone DNS e i set di record in DNS di Azure, ma non di controllare chi è autorizzato ad accedervi. befefa01-2a29-4197-83a8-272ff33ce314
Collaboratore di rete Consente di gestire le reti, ma non di accedervi. 4d97b98b-1d4f-4787-a291-c67834d212e7
Collaboratore per la zona DNS privata Consente di gestire le risorse della zona DNS privata, ma non le reti virtuali a cui sono collegate. b12aa53e-6015-4669-85d0-8515ebb3ae7f
Collaboratore Gestione traffico Consente di gestire i profili di Gestione traffico, ma non di controllare chi è autorizzato ad accedervi. a4b10055-b0c7-44c2-b00f-c7b5b3550cf7

Storage

Ruolo predefinito Descrizione ID
Collaboratore per Avere Può creare e gestire un cluster Avere vFXT. 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Operatore di Avere Usato dal cluster Avere vFXT per gestire il cluster c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
Collaboratore di backup Consente di gestire il servizio di backup, ma non di creare insiemi di credenziali e concedere l'accesso ad altri utenti 5e467623-bb1f-42f4-a55d-6e525e11384b
Operatore di backup Consente di gestire i servizi di backup, ma non di rimuovere il backup, creare insiemi di credenziali e concedere l'accesso ad altri utenti. 00c29273-979b-4161-815c-10b084fb9324
Lettore di backup Può visualizzare i servizi di backup, ma non può apportare modifiche. a795c7a0-d4a2-40c1-ae25-d81f01202912
Collaboratore account di archiviazione classico Consente di gestire gli account di archiviazione classici, ma non di accedervi. 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
Ruolo del servizio dell'operatore della chiave dell'account di archiviazione classico Gli operatori della chiave dell'account di archiviazione classico sono autorizzati a elencare e rigenerare le chiavi negli account di archiviazione classici 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Collaboratore Data Box Consente di gestire tutto il servizio Data Box, ad eccezione della concessione dell'accesso ad altri utenti. add466c9-e687-43fc-8d98-dfcf8d720be5
Lettore Data Box Consente di gestire il servizio Data Box, ad eccezione della creazione di ordini, della modifica dei dettagli dell'ordine e della concessione dell'accesso ad altri utenti. 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Sviluppatore di Data Lake Analytics Consente di inviare, monitorare e gestire i propri processi, ma non di creare o eliminare account Data Lake Analytics. 47b7735b-770e-4598-a7da-8b91488b4c88
Defender per lo scanner di dati di Archiviazione Concede l'accesso ai BLOB di lettura e aggiorna i tag di indice. Questo ruolo viene usato dallo scanner di dati di Defender per Archiviazione. 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40
Proprietario san elastico Consente l'accesso completo a tutte le risorse nella rete SAN elastica di Azure, inclusa la modifica dei criteri di sicurezza di rete per sbloccare l'accesso al percorso dati 80dcbedb-47ef-405d-95bd-188a1b4ac406
Lettore SAN elastico Consente l'accesso in lettura al percorso di controllo alla SAN elastica di Azure af6a70f8-3c9f-4105-acf1-d719e9fca4ca
Proprietario del gruppo di volumi SAN elastico Consente l'accesso completo a un gruppo di volumi nella rete SAN elastica di Azure, inclusa la modifica dei criteri di sicurezza di rete per sbloccare l'accesso al percorso dati a8281131-f312-4f34-8d98-ae12be9f0d23
Lettore e accesso ai dati Consente di visualizzare tutti gli elementi ma non consente di eliminare o creare un account di archiviazione o una risorsa contenuta. Consente anche l'accesso in lettura/scrittura a tutti i dati contenuti in un account di archiviazione tramite l'accesso alle chiavi dell'account di archiviazione. c12c1c16-33a1-487b-954d-41c89c60f349
Collaboratore backup account Archiviazione Consente di eseguire operazioni di backup e ripristino usando Backup di Azure nell'account di archiviazione. e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1
Collaboratore account di archiviazione Consente di gestire gli account di archiviazione. Consente di accedere alla chiave dell'account, che può essere usata per accedere ai dati usando l'autorizzazione con chiave condivisa. 17d1049b-9a84-46fb-8f53-869881c3d3ab
Ruolo del servizio dell'operatore della chiave dell'account di archiviazione Consente di elencare e rigenerare le chiavi di accesso dell'account di archiviazione. 81a9662b-bebf-436f-a333-f67b29880f12
Collaboratore dati BLOB di archiviazione Consente di leggere, scrivere ed eliminare i contenitori e i BLOB di archiviazione di Azure. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. ba92f5b4-2d11-453d-a403-e96b0029c9fe
Proprietario dei dati del BLOB di archiviazione Concede l'accesso completo ai contenitori e ai dati dei BLOB di Archiviazione di Azure, inclusa l'assegnazione del controllo di accesso POSIX. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. b7e6dc6d-f1e8-4753-8033-0f276bb0955b
Lettore dei dati del BLOB di archiviazione Consente di leggere ed elencare i contenitori e i BLOB di archiviazione di Azure. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
Delegante di BLOB di archiviazione Ottiene una chiave di delega utente, che può quindi essere usata per creare una firma di accesso condiviso per un contenitore o un BLOB firmato con credenziali di Azure AD. Per altre informazioni, vedere Creare una firma di accesso condiviso di delega utente. db58b8e5-c6ad-4a2a-8342-4190687cbf4a
Collaboratore con privilegi per i dati dei file Archiviazione Consente di leggere, scrivere, eliminare e modificare elenchi di controllo di accesso in file/directory nelle condivisioni file di Azure eseguendo l'override delle autorizzazioni ACL/NTFS esistenti. Questo ruolo non ha un equivalente predefinito nei file server Windows. 69566ab7-960f-475b-8e7c-b3118f30c6bd
lettore con privilegi per i dati dei file Archiviazione Consente l'accesso in lettura a file/directory nelle condivisioni file di Azure eseguendo l'override delle autorizzazioni ACL/NTFS esistenti. Questo ruolo non ha un equivalente predefinito nei file server Windows. b8eda974-7b85-4f76-af95-65846b26df6d
Collaboratore per la condivisione SMB di dati per file di archiviazione Consente l'accesso in lettura, scrittura ed eliminazione a file e directory nelle condivisioni file di Azure. Questo ruolo non ha un equivalente predefinito nei file server Windows. 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
Collaboratore con privilegi elevati per la condivisione SMB di dati per file di archiviazione Consente la lettura, scrittura, eliminazione e modifica degli ACL nei file e nelle directory delle condivisioni file di Azure. Questo ruolo è equivalente a un ACL di modifica della condivisione file nei file server Windows. a7264617-510b-434b-a828-9731dc254ea7
Ruolo con autorizzazioni di lettura per la condivisione SMB di dati per file di archiviazione Consente l'accesso in lettura a file e directory nelle condivisioni file di Azure. Questo ruolo è equivalente a un ACL di lettura della condivisione file nei file server Windows. aba4ae5f-2193-4029-9191-0cb91df5e314
Collaboratore ai dati della coda di archiviazione Lettura, scrittura ed eliminazione delle code e dei messaggi delle code di Azure. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. 974c5e8b-45b9-4653-ba55-5f855dd0fb88
Ruolo con autorizzazioni di elaborazione per i messaggi sui dati della coda di archiviazione Visualizzazione in anteprima, recupero ed eliminazione di un messaggio da una coda di Archiviazione di Azure. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. 8a0f0c08-91a1-4084-bc3d-661d67233fed
Mittente dei messaggi sui dati della coda di archiviazione Consente di aggiungere messaggi a una coda di Archiviazione di Azure. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
Ruolo con autorizzazioni di lettura per i dati della coda di archiviazione Consente di leggere ed elencare le code e i messaggi delle code di Azure. Per informazioni sulle azioni necessarie per una determinata operazione sui dati, vedere Autorizzazioni per chiamare le operazioni sui dati. 19e7f393-937e-4f77-808e-94535e297925
Collaboratore dati tabella Archiviazione Consente l'accesso in lettura, scrittura ed eliminazione a tabelle ed entità Archiviazione di Azure 0a9a7e1f-b9d0-4cc4-a60d-0319b160aa3
Lettore dati tabella Archiviazione Consente l'accesso in lettura a tabelle ed entità Archiviazione di Azure 76199698-9eea-4c19-bc75-cec21354c6b6

Web e dispositivi mobili

Ruolo predefinito Descrizione ID
Collaboratore dati Mappe di Azure Concede l'accesso a accesso in lettura, scrittura ed eliminazione per mappare i dati correlati da un account mappe di Azure. 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204
Lettore di dati per Mappe di Azure Concede l'accesso per la lettura dei dati correlati alle mappe da un account Mappe di Azure. 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Collaboratore al server di configurazione di Azure Spring Cloud Consentire l'accesso in lettura, scrittura ed eliminazione al server di configurazione di Azure Spring Cloud a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b
Lettore del server di configurazione di Azure Spring Cloud Consentire l'accesso in lettura al server di configurazione di Azure Spring Cloud d04c6db6-4947-4782-9e91-30a88feb7be7
Lettore di dati di Azure Spring Cloud Consentire l'accesso in lettura ai dati di Azure Spring Cloud b5537268-8956-4941-a8f0-646150406f0c
Collaboratore del Registro di sistema del servizio Azure Spring Cloud Consentire l'accesso in lettura, scrittura ed eliminazione al Registro di sistema del servizio Azure Spring Cloud f5880b48-c26d-48be-b172-7927bfa1c8f1
Lettore del Registro di sistema del servizio Azure Spring Cloud Consentire l'accesso in lettura al Registro di sistema del servizio Azure Spring Cloud cff1b556-2399-4e7e-856d-a8f754be7b65
account Servizi multimediali Amministrazione istrator Creare, leggere, modificare ed eliminare account Servizi multimediali; accesso in sola lettura ad altre risorse Servizi multimediali. 054126f8-9a2b-4f1c-a9ad-eca461f08466
Servizi multimediali eventi live Amministrazione istrator Creare, leggere, modificare ed eliminare eventi live, asset, filtri asset e localizzatori di streaming; accesso in sola lettura ad altre risorse di Servizi multimediali. 532bc159-b25e-42c0-969e-a1d439f60d77
Operatore media Servizi multimediali Creare, leggere, modificare ed eliminare asset, filtri asset, localizzatori di streaming e processi; accesso in sola lettura ad altre risorse di Servizi multimediali. e4395492-1534-4db2-bedf-88c14621589c
Servizi multimediali Policy Amministrazione istrator Creare, leggere, modificare ed eliminare filtri account, criteri di streaming, criteri chiave simmetrica e trasformazioni; accesso in sola lettura ad altre risorse di Servizi multimediali. Impossibile creare processi, asset o risorse di streaming. c4bba371-dacd-4a26-b320-7250bca963ae
endpoint di streaming Servizi multimediali Amministrazione istrator Creare, leggere, modificare ed eliminare endpoint di streaming; accesso in sola lettura ad altre risorse di Servizi multimediali. 99dba123-b5fe-44d5-874c-ced7199a5804
Lettore AccessKey di SignalR Leggere le chiavi di accesso Servizio SignalR 04165923-9d83-45d5-8227-78b77b0a687e
SignalR App Server Consente al server dell'app di accedere Servizio SignalR con le opzioni di autenticazione di AAD. 420fcaa2-552c-430f-98ca-3264be4806c7
Proprietario dell'API REST di SignalR Accesso completo alle API REST Servizio Azure SignalR fd53cd77-2268-407a-8f46-7e7863d0f521
Lettore API REST SignalR Accesso in sola lettura alle API REST di Servizio Azure SignalR ddde6b66-c0df-4114-a159-3618637b3035
proprietario di Servizio SignalR Accesso completo alle API REST Servizio Azure SignalR 7e4f1700-ea5a-4f59-8f37-079cfe29dce3
Collaboratore SignalR/Web PubSub Creare, leggere, aggiornare ed eliminare le risorse del servizio SignalR 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Collaboratore piani Web Gestire i piani Web per i siti Web. Non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure. 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Collaboratore siti Web Gestire i siti Web, ma non i piani Web. Non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure. de139f84-1756-47ae-9be6-808fbbe84772

Contenitori

Ruolo predefinito Descrizione ID
AcrDelete Eliminare repository, tag o manifesti da un registro contenitori. c2f4ef07-c644-48eb-af81-4b1b4947fb11
AcrImageSigner Eseguire il push di immagini attendibili o eseguire il pull di immagini attendibili da un registro contenitori abilitato per l'attendibilità del contenuto. 6cef56e8-d556-48e5-a04f-b8e64114680f
AcrPull Eseguire il pull degli artefatti da un registro contenitori. 7f951dda-4ed3-4680-a7ca-43fe172d538d
AcrPush Eseguire il push degli artefatti in o eseguire il pull di elementi da un registro contenitori. 8311e382-0749-4cb8-b61a-304f252e45ec
AcrQuarantineReader Eseguire il pull delle immagini in quarantena da un registro contenitori. cdda3590-29a3-44f6-95f2-9f980659eb04
AcrQuarantineWriter Eseguire il push delle immagini in quarantena o eseguire il pull di immagini in quarantena da un registro contenitori. c8d4ff99-41c3-41a8-9f60-21dfdad59608
Ruolo utente del cluster Kubernetes abilitato per Azure Arc Elencare l'azione credenziali utente del cluster. 00493d72-78f6-4148-b6c5-d3ce8e4799dd
Amministrazione di Azure Arc Kubernetes Consente di gestire tutte le risorse in cluster/spazio dei nomi, ad eccezione dell'aggiornamento o dell'eliminazione delle quote delle risorse e degli spazi dei nomi. dffb1e0c-446f-4dde-a09f-99eb5cc68b96
Amministrazione del cluster Azure Arc Kubernetes Consente di gestire tutte le risorse nel cluster. 8393591c-06b9-48a2-a542-1bd6b377f6a2
Visualizzatore Kubernetes di Azure Arc Consente di visualizzare tutte le risorse nel cluster o nello spazio dei nomi, ad eccezione dei segreti. 63f0a09d-1495-4db4-a681-037d84835eb4
Azure Arc Kubernetes Writer Consente di aggiornare tutti gli elementi nel cluster o nello spazio dei nomi, ad eccezione dei ruoli (cluster)e delle associazioni di ruolo (cluster). 5b999177-9696-4545-85c7-50de3797e5a1
Controllo degli accessi in base al ruolo di Azure Kubernetes Fleet Manager Amministrazione Questo ruolo concede l'accesso amministratore: fornisce autorizzazioni di scrittura per la maggior parte degli oggetti all'interno di uno spazio dei nomi, ad eccezione dell'oggetto ResourceQuota e dell'oggetto spazio dei nomi stesso. L'applicazione di questo ruolo nell'ambito del cluster consentirà l'accesso a tutti gli spazi dei nomi. 434fb43a-c01c-447e-9f67-c3ad923cfaba
Cluster del controllo degli accessi in base al ruolo di Azure Kubernetes Fleet Manager Amministrazione Consente di gestire tutte le risorse nel cluster fleet manager. 18ab4d3d-a1bf-4477-8ad9-8359bc988f69
Lettore controllo degli accessi in base al ruolo di Azure Kubernetes Fleet Manager Consente l'accesso in sola lettura per visualizzare la maggior parte degli oggetti in uno spazio dei nomi. Non consente la visualizzazione di ruoli o associazioni di ruolo. Questo ruolo non consente la visualizzazione dei segreti, poiché la lettura del contenuto dei segreti consente l'accesso alle credenziali ServiceAccount nello spazio dei nomi, che consente l'accesso api come qualsiasi ServiceAccount nello spazio dei nomi (una forma di escalation dei privilegi). L'applicazione di questo ruolo nell'ambito del cluster consentirà l'accesso a tutti gli spazi dei nomi. 30b27cfc-9c84-438e-b0ce-70e35255df80
Azure Kubernetes Fleet Manager RBAC Writer Consente l'accesso in lettura/scrittura alla maggior parte degli oggetti in uno spazio dei nomi. Questo ruolo non consente la visualizzazione o la modifica di ruoli o associazioni di ruolo. Tuttavia, questo ruolo consente di accedere ai segreti come qualsiasi ServiceAccount nello spazio dei nomi, in modo che possa essere usato per ottenere i livelli di accesso api di qualsiasi ServiceAccount nello spazio dei nomi. L'applicazione di questo ruolo nell'ambito del cluster consentirà l'accesso a tutti gli spazi dei nomi. 5af6afb3-c06c-4fa4-8848-71a8aee05683
Ruolo di amministratore del cluster del servizio Azure Kubernetes Elencare l'azione delle credenziali di amministratore del cluster. 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
utente di monitoraggio del cluster servizio Azure Kubernetes Elencare l'azione delle credenziali utente di monitoraggio del cluster. 1afdec4b-e479-420e-99e7-f82237c7c5e6
Ruolo di utente del cluster del servizio Azure Kubernetes Elencare l'azione delle credenziali di utente del cluster. 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Ruolo collaboratore servizio Azure Kubernetes Concede l'accesso ai cluster di lettura e scrittura servizio Azure Kubernetes ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8
servizio Azure Kubernetes controllo degli accessi in base al ruolo Amministrazione Consente di gestire tutte le risorse in cluster/spazio dei nomi, ad eccezione dell'aggiornamento o dell'eliminazione delle quote delle risorse e degli spazi dei nomi. 3498e952-d568-435e-9b2c-8d77e338d7f7
servizio Azure Kubernetes cluster controllo degli accessi in base al ruolo Amministrazione Consente di gestire tutte le risorse nel cluster. b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b
Lettore controllo degli accessi in base al ruolo servizio Azure Kubernetes Consente l'accesso in sola lettura per visualizzare la maggior parte degli oggetti in uno spazio dei nomi. Non consente la visualizzazione di ruoli o associazioni di ruolo. Questo ruolo non consente la visualizzazione dei segreti, poiché la lettura del contenuto dei segreti consente l'accesso alle credenziali ServiceAccount nello spazio dei nomi, che consente l'accesso api come qualsiasi ServiceAccount nello spazio dei nomi (una forma di escalation dei privilegi). L'applicazione di questo ruolo nell'ambito del cluster consentirà l'accesso a tutti gli spazi dei nomi. 7f6c6a51-bcf8-42ba-9220-52d62157d7db
writer servizio Azure Kubernetes controllo degli accessi in base al ruolo Consente l'accesso in lettura/scrittura alla maggior parte degli oggetti in uno spazio dei nomi. Questo ruolo non consente la visualizzazione o la modifica di ruoli o associazioni di ruolo. Tuttavia, questo ruolo consente l'accesso ai segreti e l'esecuzione di pod come qualsiasi ServiceAccount nello spazio dei nomi, in modo che possa essere usato per ottenere i livelli di accesso API di qualsiasi ServiceAccount nello spazio dei nomi. L'applicazione di questo ruolo nell'ambito del cluster consentirà l'accesso a tutti gli spazi dei nomi. a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb
Operatore senza agente Kubernetes Concede Microsoft Defender per il cloud l'accesso alle servizio Azure Kubernetes d5a2ae44-610b-4500-93be-660a0c5f5ca6
Kubernetes Cluster - Azure Arc Onboarding Definizione del ruolo per autorizzare qualsiasi utente/servizio a creare una risorsa connectedClusters 34e09817-6cbe-4d01-b1a2-e0eac5743d41
Collaboratore estensione Kubernetes Può creare, aggiornare, ottenere, elencare ed eliminare le estensioni Kubernetes e ottenere operazioni asincrone dell'estensione 85cb6faf-e071-4c9b-8136-154b5a04f717

Database

Ruolo predefinito Descrizione ID
Onboarding di SQL Server Connessione ed di Azure Consente l'accesso in lettura e scrittura alle risorse di Azure per SQL Server nei server abilitati per Arc. e8113dce-c529-4d33-91fa-e9b972617508
Ruolo Lettore dell'account Cosmos DB Può leggere i dati degli account Azure Cosmos DB. Vedere Collaboratore account DocumentDB per la gestione degli account Azure Cosmos DB. fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Operatore di Cosmos DB Consente di gestire gli account Azure Cosmos DB, ma non di accedere ai dati contenuti negli stessi. Impedisce l'accesso a chiavi dell'account e stringhe di connessione. 230815da-be43-4aae-9cb4-875f7bd000aa
CosmosBackupOperator Può inviare una richiesta di ripristino per un database di Cosmos DB o un contenitore per un account db7b14f2-5adf-42da-9f96-f2ee17bab5cb
CosmosRestoreOperator Può eseguire un'azione di ripristino per l'account del database Cosmos DB con la modalità di backup continuo 5432c526-bc82-444a-b7ba-57c5b0b5b34f
Collaboratore account DocumentDB È in grado di gestire account Azure Cosmos DB. Azure Cosmos DB era precedentemente noto come DocumentDB. 5bd9cd88-fe45-4216-938b-f97437e15450
Collaboratore cache Redis Consente di gestire le cache Redis, ma non di accedervi. e0f68234-74aa-48ed-b826-c38b57376e17
Collaboratore database SQL Consente di gestire i database SQL, ma non di accedervi né di gestirne i criteri relativi alla sicurezza o i rispettivi server SQL padre. 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
Collaboratore per Istanza gestita di SQL Consente di gestire le istanze gestite di SQL e la configurazione di rete necessaria, ma non consente l'accesso ad altri utenti. 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
Gestione della sicurezza SQL Consente di gestire i criteri relativi alla sicurezza di server e database SQL, ma non di accedervi. 056cd41c-7e88-42e1-933e-88ba6a50c9c3
Collaboratore SQL Server Consente di gestire i server e i database SQL, ma non di accedervi né di gestirne i criteri relativi alla sicurezza. 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437

Analisi

Ruolo predefinito Descrizione ID
Proprietario dei dati di Hub eventi di Azure Consente l'accesso completo alle risorse di Hub eventi di Azure. f526a384-b230-433a-b45c-95f59c4a2dec
Ricevitore dei dati di Hub eventi di Azure Consente l'accesso per la ricezione alle risorse dell'Hub eventi di Azure. a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Mittente dei dati di Hub eventi di Azure Consente l'accesso per l'invio alle risorse dell'Hub eventi di Azure. 2b629674-e913-4c01-ae53-ef4638d8f975
Collaboratore Data Factory Consente di creare e gestire data factory, oltre alle risorse figlio in esse contenute. 673868aa-7521-48a0-acc6-0f60742d39f5
Pulizia dati Eliminare dati privati da un'area di lavoro Log Analytics. 150f5e0c-0603-4f03-8c7f-cf70034c4e90
Operatore di cluster HDInsight Consente di leggere e modificare le configurazioni dei cluster HDInsight. 61ed4efc-fab3-44fd-b111-e24485cc132a
Collaboratore Servizi di dominio HDInsight Può leggere, creare, modificare ed eliminare operazioni correlate ai Servizi di dominio necessarie per HDInsight Enterprise Security Package 8d8d5a11-05d3-4bda-a417-a08778121c7c
Collaboratore di Log Analytics Il ruolo Collaboratore di Log Analytics può leggere tutti i dati di monitoraggio e modificare le impostazioni di monitoraggio. La modifica delle impostazioni di monitoraggio include l'aggiunta dell'estensione vm alle macchine virtuali; lettura delle chiavi dell'account di archiviazione per poter configurare la raccolta di log da Archiviazione di Azure, l'aggiunta di soluzioni e la configurazione della diagnostica di Azure in tutte le risorse di Azure. 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Lettore di Log Analytics Il ruolo Lettore di Log Analytics può visualizzare ed eseguire ricerche in tutti i dati di monitoraggio e può visualizzare le impostazioni di monitoraggio, inclusa la visualizzazione della configurazione di Diagnostica di Azure in tutte le risorse di Azure. 73c42c96-874c-492b-b04d-ab87d138a893
Collaboratore del Registro schemi (anteprima) Lettura, scrittura ed eliminazione di gruppi e schemi del Registro schemi. 5dffeca3-4936-4216-b2bc-10343a5abb25
Lettore del Registro schemi (anteprima) Lettura ed elenco di gruppi e schemi del Registro schemi. 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2
Tester di query di Analisi di flusso Consente di eseguire prima i test delle query senza creare un processo di analisi di flusso 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf

Intelligenza artificiale e Machine Learning

Ruolo predefinito Descrizione ID
Operatore di calcolo AzureML Può accedere ed eseguire operazioni CRUD sulle risorse di calcolo gestite di Machine Learning Services (incluse le macchine virtuali notebook). e503ece1-11d0-4e8e-8e2c-7a6c3bf38815
AzureML Scienziato dei dati Può eseguire tutte le azioni all'interno di un'area di lavoro di Azure Machine Learning, ad eccezione della creazione o dell'eliminazione di risorse di calcolo e della modifica dell'area di lavoro stessa. f6c7c914-8db3-469d-8ca1-694a8f32e121
Collaboratore Servizi cognitivi Consente di creare, leggere, aggiornare, eliminare e gestire le chiavi di Servizi cognitivi. 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
Collaboratore Visione personalizzata Servizi cognitivi Accesso completo al progetto, inclusa la possibilità di visualizzare, creare, modificare o eliminare progetti. c1ff6cc2-c111-46fe-8896-e0ef812ad9f3
Distribuzione di Servizi cognitivi Visione personalizzata Pubblicare, annullare la pubblicazione o l'esportazione di modelli. La distribuzione può visualizzare il progetto ma non può eseguire l'aggiornamento. 5c4089e1-6d96-4d2f-b296-c1bc7137275f
Labeler di Servizi cognitivi Visione personalizzata Visualizzare, modificare le immagini di training e creare, aggiungere, rimuovere o eliminare i tag di immagine. Gli etichettatori possono visualizzare il progetto, ma non possono aggiornare elementi diversi da immagini e tag di training. 88424f51-ebe7-446f-bc41-7fa16989e96c
Lettore di servizi cognitivi Visione personalizzata Azioni di sola lettura nel progetto. I lettori non possono creare o aggiornare il progetto. 93586559-c37d-4a6b-ba08-b9f0940c2d73
Servizi cognitivi Visione personalizzata Trainer Visualizzare, modificare i progetti ed eseguire il training dei modelli, inclusa la possibilità di pubblicare, annullare la pubblicazione, esportare i modelli. I formatori non possono creare o eliminare il progetto. 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b
Ruolo con autorizzazioni di lettura per i dati di Servizi cognitivi (anteprima) Consente di leggere i dati di Servizi cognitivi. b59867f0-fa02-499b-be73-45a86b5b3e1c
Riconoscimento viso di Servizi cognitivi Consente di eseguire rilevare, verificare, identificare, raggruppare e trovare operazioni simili nell'API Viso. Questo ruolo non consente operazioni di creazione o eliminazione, che lo rendono particolarmente adatto per gli endpoint che necessitano solo di funzionalità di inferenza, seguendo le procedure consigliate "privilegi minimi". 9894cab4-e18a-44aa-828b-cb588cd6f2d7
Advisor metriche di Servizi cognitivi Amministrazione istrator Accesso completo al progetto, inclusa la configurazione a livello di sistema. cb43c632-a144-4ec5-977c-e80c4affc34a
Collaboratore Servizi cognitivi OpenAI Accesso completo, inclusa la possibilità di ottimizzare, distribuire e generare testo a001fd3d-188f-4b5d-821b-7da978bf7442
Utente Servizi cognitivi OpenAI Accesso in lettura per visualizzare file, modelli, distribuzioni. Possibilità di creare chiamate di completamento e incorporamento. 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd
Editor QnA Maker di Servizi cognitivi Verrà ora creato, modificato, importato ed esportato un KB. Non è possibile pubblicare o eliminare una Knowledge Base. f4cc2bf9-21be-47a1-bdf1-5c5804381025
Lettore QnA Maker di Servizi cognitivi Si legge e si testa solo una knowledge base. 466ccd10-b268-4a11-b098-b4849f024126
Lettore di utilizzi di Servizi cognitivi Autorizzazione minima per visualizzare gli utilizzi di Servizi cognitivi. bba48692-92b0-4667-a9ad-c31c7b334ac2
Utente Servizi cognitivi Consente di leggere ed elencare le chiavi di Servizi cognitivi. a97b65f3-24c7-4388-baec-2e87135dc908
Collaboratore ai dati dell'indice di ricerca Concede l'accesso completo ai dati dell'indice di Ricerca cognitiva di Azure. 8ebe5a00-799e-43f5-93ac-243d3d3dce84a7
Lettore di dati dell'indice di ricerca Concede l'accesso in lettura ai dati dell'indice Ricerca cognitiva di Azure. 1407120a-92aa-4202-b7e9-c0e197c71c8f
Collaboratore servizi di ricerca Consente di gestire i servizi di Ricerca, ma non di accedervi. 7ca78c08-252a-4471-8644-bb5ff32d4ba0

Internet delle cose

Ruolo predefinito Descrizione ID
Proprietario dei dati di Gemelli digitali di Azure Ruolo di accesso completo per il piano dati di Gemelli digitali bcd981a7-7f74-457b-83e1-cceb9e632ffe
Lettore dati di Gemelli digitali di Azure Ruolo di sola lettura per le proprietà del piano dati di Gemelli digitali d57506d4-4c8d-48b1-8587-93c323f6a5a3
Aggiornamento del dispositivo Amministrazione istrator Offre l'accesso completo alle operazioni di gestione e contenuto 02ca0879-e8e4-47a5-a61e-5c618b76e64a
Aggiornamento del contenuto di Aggiornamento dispositivi Amministrazione istrator Consente l'accesso completo alle operazioni sul contenuto 0378884a-3af5-44ab-8323-f5b22f9f3c98
Lettore contenuto aggiornamento dispositivo Consente l'accesso in lettura alle operazioni sul contenuto, ma non consente di apportare modifiche d1ee9a80-8b14-47f0-bdc2-f4a351625a7b
Distribuzioni degli aggiornamenti dei dispositivi Amministrazione istrator Offre l'accesso completo alle operazioni di gestione e4237640-0e3d-4a46-8fda-70bc94856432
Lettore distribuzioni di aggiornamenti del dispositivo Consente l'accesso in lettura alle operazioni di gestione, ma non consente di apportare modifiche 49e2f5d2-7741-4835-8efa-19e1fe35e47f
Lettore aggiornamento dispositivi Consente l'accesso in lettura alle operazioni di gestione e contenuto, ma non consente di apportare modifiche e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f
Collaboratore dati hub IoT Consente l'accesso completo alle operazioni hub IoT piano dati. 4fc6c259-987e-4a07-842e-c321cc9d413f
lettore dati hub IoT Consente l'accesso in lettura completo alle proprietà del piano dati hub IoT b447c946-2db7-41ec-983d-d8bf3b1c77e3
Collaboratore del Registro di sistema hub IoT Consente l'accesso completo a hub IoT registro dei dispositivi. 4ea46cd5-c1b2-4a8e-910b-273211f9ce47
Collaboratore hub IoT gemello Consente l'accesso in lettura e scrittura a tutti i dispositivi e moduli gemelli hub IoT. 494bdba2-168f-4f31-a0a1-191d2f7c028c

Realtà mista

Ruolo predefinito Descrizione ID
Rendering remoto Amministrazione istrator Fornisce agli utenti funzionalità di conversione, gestione di sessioni, rendering e diagnostica per Azure Rendering remoto 3df8b902-2a6f-47c7-8cc5-360e9b272a7e
client Rendering remoto Offre agli utenti funzionalità di gestione di sessioni, rendering e diagnostica per Azure Rendering remoto. d39065c4-c120-43c9-ab0a-63eed9795f0a
Collaboratore per l'account per gli ancoraggi spaziali Consente di gestire gli ancoraggi nello spazio nell'account, ma non di eliminarli 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827
Proprietario dell'account per gli ancoraggi spaziali Consente di gestire gli ancoraggi nello spazio nell'account, incluse le operazioni di eliminazione 70bbe301-9835-447d-afdd-19eb3167307c
Ruolo Lettore dell'account per gli ancoraggi spaziali Consente di individuare e leggere le proprietà degli ancoraggi nello spazio nell'account 5d51204f-eb77-4b1c-b86a-2ec626c49413

Integrazione

Ruolo predefinito Descrizione ID
Collaboratore servizio Gestione API Può gestire il servizio e le API. 312a565d-c81f-4fd8-895a-4e21e48d571c
Ruolo operatore del servizio Gestione API Può gestire il servizio ma non le API. e022efe7-f5ba-4159-bbe4-b44f577e9b61
Ruolo lettura del servizio Gestione API Consente l'accesso di sola lettura al servizio e alle API. 71522526-b88f-4d52-b57f-d31fc3546d0d
Sviluppatore dell'API dell'area di lavoro del servizio Gestione API Ha accesso in lettura a tag e prodotti e l'accesso in scrittura per consentire: assegnazione di API ai prodotti, assegnazione di tag a prodotti e API. Questo ruolo deve essere assegnato nell'ambito del servizio. 9565a273-41b9-4368-97d2-aeb0c976a9b3
Product Manager dell'API dell'area di lavoro del servizio Gestione API Ha lo stesso accesso a Gestione API'API dell'area di lavoro del servizio, nonché all'accesso in lettura agli utenti e all'accesso in scrittura per consentire l'assegnazione di utenti ai gruppi. Questo ruolo deve essere assegnato nell'ambito del servizio. d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da
Sviluppatore dell'API dell'area di lavoro Gestione API Ha accesso in lettura alle entità nell'area di lavoro e l'accesso in lettura e scrittura alle entità per la modifica delle API. Questo ruolo deve essere assegnato nell'ambito dell'area di lavoro. 56328988-075d-4c6a-8766-d93edd6725b6
Product Manager dell'API dell'area di lavoro Gestione API Ha accesso in lettura alle entità nell'area di lavoro e l'accesso in lettura e scrittura alle entità per la pubblicazione delle API. Questo ruolo deve essere assegnato nell'ambito dell'area di lavoro. 73c2c328-d004-4c5e-938c-35c6f5679a1f
Collaboratore Gestione API area di lavoro Può gestire l'area di lavoro e la visualizzazione, ma non modificarne i membri. Questo ruolo deve essere assegnato nell'ambito dell'area di lavoro. 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799
Lettore dell'area di lavoro Gestione API Ha accesso in sola lettura alle entità nell'area di lavoro. Questo ruolo deve essere assegnato nell'ambito dell'area di lavoro. ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2fd2
Proprietario dei dati di Configurazione dell'app Consente l'accesso completo ai dati di Configurazione dell'app. 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
Ruolo con autorizzazioni di lettura per i dati di Configurazione dell'app Consente l'accesso in lettura ai dati di Configurazione dell'app. 516239f1-63e1-4d78-a4de-a74fb236a071
Listener di inoltro di Azure Consente l'accesso in ascolto alle risorse di Inoltro di Azure. 26e0b698-aa6d-4085-9386-aadae190014d
Proprietario dell'inoltro di Azure Consente l'accesso completo alle risorse di Inoltro di Azure. 2787bf04-f1f5-4bfe-8383-c8a24483ee38
Mittente dell'inoltro di Azure Consente l'accesso alle risorse di inoltro di Azure. 26baccc8-see7-41f1-98f4-1762cc7f685d
Proprietario dei dati del bus di servizio di Azure Consente l'accesso completo alle risorse del bus di servizio di Azure. 090c5cfd-751d-490a-894a-3ce6f1109419
Ricevitore dei dati del bus di servizio di Azure Consente l'accesso per la ricezione alle risorse del bus di servizio di Azure. 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Mittente dei dati del bus di servizio di Azure Consente l'accesso per l'invio alle risorse del bus di servizio di Azure. 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
Collaboratore BizTalk Consente di gestire i servizi BizTalk, ma non di accedervi. 5e3c6656-6cfa-4708-81fe-0de47ac73342
Collaboratore EventGrid Consente di gestire le operazioni di EventGrid. 1e241071-0855-49ea-94dc-649edcd759de
Mittente dati EventGrid Consente di inviare l'accesso agli eventi di Griglia di eventi. d5a91429-5739-47e2-a06b-3470a27159e7
Collaboratore per sottoscrizioni di eventi di Griglia di eventi Consente di gestire le operazioni di sottoscrizione di eventi EventGrid. 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
Ruolo con autorizzazioni di lettura per sottoscrizioni di eventi di Griglia di eventi Consente di leggere le sottoscrizioni di eventi EventGrid. 2414bbcf-6497-4faf-8c65-045460748405
Collaboratore ai dati FHIR Il ruolo consente all'utente o all'entità l'accesso completo ai dati FHIR 5a1fc7df-4bf1-4951-a576-89034ee01acd
Esportazione dei dati FHIR Il ruolo consente all'utente o all'entità di leggere ed esportare i dati FHIR 3db33094-8700-4567-8da5-1501d4e7e843
Utilità di importazione dati FHIR Il ruolo consente all'utente o all'entità di leggere e importare dati FHIR 4465e953-8ced-4406-a58e-0f6e3f3b530b
Lettore dati FHIR Il ruolo consente all'utente o all'entità di leggere i dati FHIR 4c8d0bbc-75d3-4935-991f-5f3c56d81508
Writer di dati FHIR Il ruolo consente all'utente o all'entità di leggere e scrivere dati FHIR 3f88fce4-5892-4214-ae73-ba5294559913
Collaboratore all'ambiente del servizio di integrazione Consente di gestire gli ambienti del servizio di integrazione, ma non di accedervi. a41e2c5b-bd99-4a07-88f4-9bf657a760b8
Sviluppo dell'ambiente del servizio di integrazione Consente agli sviluppatori di creare e aggiornare flussi di lavoro, account di integrazione e connessioni API negli ambienti del servizio di integrazione. c7aa55d3-1abb-444a-a5ca-5e51e485d6ec
Collaboratore account Intelligent Systems Consente di gestire gli account Sistemi intelligenti, ma non di accedervi. 03a6d094-3444-4b3d-88af-7477090a9e5e
Collaboratore per app per la logica Consente di gestire le app per la logica, ma non di modificarne l'accesso. 87a39d53-fc1b-424a-814c-f7e04687dc9e
Operatore per app per la logica Consente di leggere, abilitare e disabilitare le app per la logica, ma non di modificarle o aggiornarle. 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
Collaboratore standard di App per la logica (anteprima) È possibile gestire tutti gli aspetti di un'app per la logica Standard e flussi di lavoro. Non è possibile modificare l'accesso o la proprietà. ad710c24-b039-4e85-a019-deb4a06e8570
Sviluppatore Standard di App per la logica (anteprima) È possibile creare e modificare flussi di lavoro, connessioni e impostazioni per un'app per la logica Standard. Non è possibile apportare modifiche all'esterno dell'ambito del flusso di lavoro. 523776ba-4eb2-4600-a3c8-f2dc93da4bdb
Operatore standard di App per la logica (anteprima) È possibile abilitare, inviare di nuovo e disabilitare i flussi di lavoro, nonché creare connessioni. Non è possibile modificare flussi di lavoro o impostazioni. b70c96e9-66fe-4c09-b6e7-c98e69c98555
Lettore standard di App per la logica (anteprima) È possibile accedere in sola lettura a tutte le risorse in un'app per la logica Standard e ai flussi di lavoro, incluse le esecuzioni del flusso di lavoro e la relativa cronologia. 4accf36b-2c05-432f-91c8-5c532dff4c73
Collaboratore raccolte di processi dell'unità di pianificazione Consente di gestire le raccolte di processi dell'utilità di pianificazione, ma non di accedervi. 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
Operatore del Services Hub L'operatore del Services Hub consente di eseguire tutte le operazioni di lettura, scrittura ed eliminazione correlate ai Connessione ors del Services Hub. 82200a5b-e217-47a5-b665-6d8765ee745b

Identità

Ruolo predefinito Descrizione ID
Collaboratore servizi di dominio Può gestire Azure AD Domain Services e le configurazioni di rete correlate seeeda52-9324-47f6-8069-5d5bade478b2
Lettore di Servizi di dominio Può visualizzare Azure AD Domain Services e le configurazioni di rete correlate 361898ef-9ed1-48c2-849c-a832951106bb
Managed Identity Contributor (Collaboratore per identità gestita) Crea, legge, aggiorna ed elimina l'identità assegnata all'utente e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
Managed Identity Operator (Operatore per identità gestita) Legge e assegna l'identità assegnata all'utente f1a07417-d97a-45cb-824c-7a7467783830

Sicurezza

Ruolo predefinito Descrizione ID
Automazione della conformità delle app Amministrazione istrator Creare, leggere, scaricare, modificare ed eliminare oggetti report e altri oggetti risorsa correlati. 0f37683f-2463-46b6-9ce7-9b788b988ba2
Lettore di Automazione conformità app Leggere, scaricare gli oggetti report e gli altri oggetti risorsa correlati. ffc6bbe0-e443-4c3b-bf54-26581bb2f78e
Collaboratore attestazione Può leggere o eliminare l'istanza del provider di attestazione bbf86eb8-f7b4-4cce-96e4-18cddf81d86e
Lettore di attestazioni Può leggere le proprietà del provider di attestazione fd1bd22b-8476-40bc-a0bc-69b95687b9f3
Key Vault Amministrazione istrator Eseguire tutte le operazioni del piano dati su un insieme di credenziali delle chiavi e su tutti gli oggetti in esso contenuti, inclusi certificati, chiavi e segreti. Impossibile gestire le risorse dell'insieme di credenziali delle chiavi o gestire le assegnazioni di ruolo. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". 00482a5a-887f-4fb3-b363-3b7fe8e74483
Utente del certificato dell'insieme di credenziali delle chiavi Leggere il contenuto del certificato. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". db79e9a7-68ee-4b58-9aeb-b90e7c24fcba
Key Vault Certificates Officer Eseguire qualsiasi azione sui certificati di un insieme di credenziali delle chiavi, ad eccezione della gestione delle autorizzazioni. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". a4417e6f-fecd-4de8-b567-7b0420556985
Collaboratore di Key Vault Gestire gli insiemi di credenziali delle chiavi, ma non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure e non consente di accedere a segreti, chiavi o certificati. f25e0fa2-a7c8-4377-a976-54943a77a395
Key Vault Crypto Officer Eseguire qualsiasi azione sulle chiavi di un insieme di credenziali delle chiavi, ad eccezione della gestione delle autorizzazioni. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Utente di crittografia del servizio di crittografia dell'insieme di credenziali delle chiavi Leggere i metadati delle chiavi ed eseguire operazioni di wrapping/annullamento del wrapping. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". e14748a-f6f5-4113-8e2d-b22465e65bf6
Utente della versione del servizio Crypto Di Key Vault Chiavi di rilascio. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". 08bbd89e-9f13-488c-ac41-acfcb10c90ab
Key Vault Crypto User Eseguire operazioni crittografiche usando le chiavi. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". 12338af0-0e69-4776-bea7-57ae8d297424
Accesso ai dati di Key Vault Amministrazione istrator Gestire l'accesso ad Azure Key Vault aggiungendo o rimuovendo assegnazioni di ruolo per il Amministrazione istrator dell'insieme di credenziali delle chiavi, il responsabile dei certificati dell'insieme di credenziali delle chiavi, il responsabile della crittografia dell'insieme di credenziali delle chiavi, l'agente di crittografia del servizio di crittografia dell'insieme di credenziali delle chiavi, l'utente di crittografia del servizio di crittografia dell'insieme di credenziali delle chiavi, l'utente di crittografia dell'insieme di credenziali delle chiavi, il lettore dell'insieme di credenziali delle chiavi, il responsabile dei segreti dell'insieme di credenziali delle chiavi o i ruoli utente dei segreti dell'insieme di credenziali delle chiavi. Include una condizione del controllo degli accessi in base al ruolo per vincolare le assegnazioni di ruolo. 8b54135c-b56d-4d72-a534-26097cfdc8d8
Lettore dell'insieme di credenziali delle chiavi Leggere i metadati degli insiemi di credenziali delle chiavi e dei relativi certificati, chiavi e segreti. Impossibile leggere valori sensibili, ad esempio il contenuto del segreto o il materiale della chiave. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". 21090545-7ca7-4776-b22c-e363652d74d2
Key Vault Secrets Officer Eseguire qualsiasi azione sui segreti di un insieme di credenziali delle chiavi, ad eccezione della gestione delle autorizzazioni. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Utente dei segreti di Key Vault Leggere il contenuto dei segreti. Funziona solo per gli insiemi di credenziali delle chiavi che usano il modello di autorizzazione "Controllo degli accessi in base al ruolo di Azure". 4633458b-17de-408a-b874-0445c86b69e6
Collaboratore del modulo di protezione hardware gestito Consente di gestire i pool di moduli di protezione hardware gestiti, ma non di accedervi. 18500a29-7fe2-46b2-a342-b16a415e101d
Collaboratore all'automazione di Microsoft Sentinel Collaboratore per l'automazione di Microsoft Sentinel f4c81013-99ee-4d62-a7ee-b3f1f648599a
Collaboratore di Microsoft Sentinel Collaboratore di Microsoft Sentinel ab8e14d6-4a74-4a29-9ba8-549422addade
Operatore playbook di Microsoft Sentinel Operatore di playbook di Microsoft Sentinel 51d6186e-6489-4900-b93f-92e23144cca5
Lettore di Microsoft Sentinel Lettore di Microsoft Sentinel 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Risponditore di Microsoft Sentinel Risponditore di Microsoft Sentinel 3e150937-b8fe-4cfb-8069-0eaf05ecd056
Amministrazione della protezione Visualizzare e aggiornare le autorizzazioni per Microsoft Defender per il cloud. Ha le stesse autorizzazioni del Ruolo con autorizzazioni di lettura per la sicurezza e può anche aggiornare i criteri di sicurezza e rimuovere gli avvisi e le raccomandazioni.

Per Microsoft Defender per IoT, vedere Ruoli utente di Azure per il monitoraggio di OT ed Enterprise IoT.
fb1c8493-542b-48eb-b624-b4c8fea62acd
Collaboratore per valutazioni della sicurezza Consente di eseguire il push delle valutazioni in Microsoft Defender per il cloud 612c2aa1-cb24-443b-ac28-3ab7272de6f5
Gestore sicurezza (legacy) Questo è un ruolo legacy. Usare invece Amministratore della sicurezza. e3d13bf0-dd5a-482e-ba6b-9b8433878d10
Ruolo con autorizzazioni di lettura per la sicurezza Visualizzare le autorizzazioni per Microsoft Defender per il cloud. Può visualizzare raccomandazioni, avvisi, criteri di sicurezza e stati di sicurezza, ma non può apportare modifiche.

Per Microsoft Defender per IoT, vedere Ruoli utente di Azure per il monitoraggio di OT ed Enterprise IoT.
39bc4728-0917-49c7-9d2c-d95423bc2eb4

DevOps

Ruolo predefinito Descrizione ID
Utente DevTest Labs Consente di connettere, avviare, riavviare e arrestare le macchine virtuali in Azure DevTest Labs. 76283e04-6283-4c54-8f91-bcf1374a3c64
Assistente lab Consente di visualizzare un lab esistente, eseguire azioni sulle macchine virtuali del lab e inviare inviti al lab. ce40b423-cede-4313-a93f-9b28290b72e1
Collaboratore lab Applicato a livello di lab, consente di gestire il lab. Applicato a un gruppo di risorse, consente di creare e gestire lab. 5daaa2af-1fe8-407c-9122-bba179798270
Lab Creator (Creatore di lab) Consente di creare nuovi lab con gli account lab di Azure. b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
Operatore Lab Offre una capacità limitata di gestire i lab esistenti. a36e6959-b6be-4b12-8e9f-ef4b474d304d
Collaboratore di Lab Services Consente di controllare completamente tutti gli scenari di Lab Services nel gruppo di risorse. f69b8690-cc87-41d6-b77a-a4bc3c0a966f
Lettore di Lab Services Consente di visualizzare, ma non modificare, tutti i piani di lab e le risorse del lab. 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc
Collaboratore test di carico Visualizzare, creare, aggiornare, eliminare ed eseguire test di carico. Visualizzare ed elencare le risorse di test di carico, ma non è possibile apportare modifiche. 749a398d-560b-491b-bb21-08924219302e
Proprietario test di carico Eseguire tutte le operazioni sulle risorse di test di carico e sui test di carico 45bb0b16-2f0c-4e78-afaa-a07599b003f6
Lettore test di carico Visualizzare ed elencare tutti i test di carico e le risorse di test di carico, ma non possono apportare modifiche 3ae3fb29-0000-4ccd-bf80-542e7b26e081

Monitoraggio

Ruolo predefinito Descrizione ID
Collaboratore componente di Application Insights È in grado di gestire i componenti di Application Insights ae349356-3a1b-4a5e-921d-050484c6347e
Debugger di snapshot di Application Insights Concede l'autorizzazione utente per visualizzare e scaricare gli snapshot di debug raccolti con Application Insights Snapshot Debugger. Si noti che queste autorizzazioni non sono incluse nei ruoli Proprietario e Collaboratore. Quando si assegna agli utenti il ruolo Snapshot Debugger di Application Insights, è necessario concedere il ruolo direttamente all'utente. Il ruolo non viene riconosciuto quando viene aggiunto a un ruolo personalizzato. 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Grafana Amministrazione Eseguire tutte le operazioni di Grafana, inclusa la possibilità di gestire le origini dati, creare dashboard e gestire le assegnazioni di ruolo all'interno di Grafana. 22926164-76b3-42b3-bc55-97df8dab3e41
Grafana Editor Visualizzare e modificare un'istanza di Grafana, inclusi i dashboard e gli avvisi. a79a5197-3a5c-4973-a920-486035ffd60f
Visualizzatore Grafana Visualizzare un'istanza di Grafana, inclusi i dashboard e gli avvisi. 60921a7e-fef1-4a43-9b16-a26c52ad4769
Collaboratore al monitoraggio Può leggere tutti i dati del monitoraggio e modificare le impostazioni di monitoraggio. Vedere anche Introduzione a ruoli, autorizzazioni e sicurezza con il monitoraggio di Azure. 749f88d5-cbae-40b8-bcfc-e573ddc772fa
Autore delle metriche di monitoraggio Abilitare la pubblicazione di metriche nelle risorse di Azure 3913510d-42f4-4e42-8a64-420c390055eb
Lettore di monitoraggio Può leggere tutti i dati del monitoraggio (metriche, log e così via). Vedere anche Introduzione a ruoli, autorizzazioni e sicurezza con il monitoraggio di Azure. 43d0d8ad-25c7-4714-9337-8ba259a9fe05
Collaboratore per le cartelle di lavoro Può salvare le cartelle di lavoro condivise. e8ddcd69-c73f-4f9f-9844-4100522f16ad
Ruolo con autorizzazioni di lettura per le cartelle di lavoro Può leggere le cartelle di lavoro. b279062a-9be3-42a0-92ae-8b3cf002ec4d

Gestione e governance

Ruolo predefinito Descrizione ID
Collaboratore automazione Gestire Automazione di Azure risorse e altre risorse usando Automazione di Azure. f353d9bd-d4a6-484e-a77a-8050b599b867
Operatore processo di automazione Consente di creare e gestire i processi tramite i runbook di Automazione. 4fe576fe-1146-4730-92eb-48519fa6bf9f
Operatore di automazione Gli operatori di automazione possono avviare, arrestare, sospendere e riprendere processi. d3881f73-407a-4167-8283-e981cbba0404
Operatore runbook di automazione Consente di leggere le proprietà del runbook per permettere di creare processi del runbook. 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Onboarding di Azure Connected Machine Può eseguire l'onboarding di Azure Connected Machine. b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Amministratore delle risorse di Azure Connected Machine Può leggere, scrivere, eliminare e ripetere l'onboarding di Azure Connected Machine. cd570a14-e51a-42ad-bac8-bafd67325302
Azure Connessione ed Machine Resource Manager Ruolo personalizzato per AzureStackHCI RP per gestire computer di calcolo ibridi ed endpoint di connettività ibrida in un gruppo di risorse f5819b54-e033-4d82-ac66-4fec3cbf3f4c
Ruolo di distribuzione di Azure Resource Bridge Ruolo di distribuzione di Azure Resource Bridge 7b1f81f9-4196-4058-8aae-762e593270df
Lettore per la fatturazione Consente l'accesso in lettura ai dati di fatturazione. fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
Collaboratore di progetto Può gestire le definizioni di progetto, ma non assegnarle. 41077137-e803-4205-871c-5a86e6a753b4
Operatore di progetto Può assegnare i progetti pubblicati esistenti, ma non creare nuovi progetti. Si noti che funziona solo se l'assegnazione viene eseguita con un'identità gestita assegnata dall'utente. 437d2ced-4a38-4302-8479-ed2bcb43d090
Collaboratore Gestione costi Può visualizzare i costi e gestire la configurazione dei costi, ad esempio budget ed esportazioni 434105ed-43f6-45c7-a02f-909b2ba83430
Lettore Gestione costi Può visualizzare la configurazione e i dati dei costi, ad esempio budget ed esportazioni 72fafb9e-0641-4937-9268-a91bfd8191a3
Amministratore impostazioni gerarchia Consente agli utenti di modificare ed eliminare le impostazioni della gerarchia 350f8d15-c687-4448-8ae1-157740a3936d
Ruolo collaboratore per applicazioni gestite Consente la creazione di risorse di applicazioni gestite. 641177b8-a67a-45b9-a033-47bc880bb21e
Ruolo di Operatore applicazione gestita Consente di leggere ed eseguire azioni sulle risorse dell'applicazione gestita c7393b34-138c-406f-901b-d8cf2b17e6ae
Lettore applicazioni gestite Consente di leggere le risorse in un accesso di app gestita e JIT richiesta. b9331d33-8a36-4f8c-b097-4f54124fdb44
Ruolo con autorizzazioni di eliminazione assegnazioni di registrazione dei servizi gestiti Il Ruolo con autorizzazioni di eliminazione assegnazioni di registrazione dei servizi gestiti consente agli utenti del tenant di gestione di eliminare l'assegnazione della registrazione assegnata al proprio tenant. 91c1777a-f3dc-4fae-b103-61d183457e46
Collaboratore gruppo di gestione Ruolo Collaboratore gruppo di gestione 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
Lettore gruppo di gestione Ruolo Lettore gruppo di gestione ac63b705-f282-497d-ac71-919bf39d939d
Collaboratore account New Relic APM Consente di gestire gli account e le applicazioni di APR New Relic, ma non di accedervi. 5d28c62d-5b37-4476-8438-e587778df237
Ruolo con autorizzazioni di scrittura per i dati di Policy Insights (anteprima) Consente l'accesso in lettura ai criteri delle risorse e l'accesso in scrittura agli eventi dei criteri dei componenti delle risorse. 66bb4e9e-b016-4a94-8249-4c0511c2be84
Operatore richiesta quota Leggere e creare richieste di quota, ottenere lo stato della richiesta di quota e creare ticket di supporto. 0e5f05e5-9ab9-446b-b98d-1e2157c94125
Acquirente di prenotazioni Consente di acquistare prenotazioni f7b75c60-3036-4b75-91c3-6b41c27c1689
Prenotazioni Amministrazione istrator Consente di leggere e gestire tutte le prenotazioni in un tenant a8889054-8d42-49c9-bc1c-52486c10e7cd
Lettore prenotazioni Consente di leggere tutte le prenotazioni in un tenant 582fc458-8989-419f-a480-75249bc5db7e
Collaboratore per i criteri delle risorse Utenti con diritti di creazione/modifica di criteri delle risorse, creazione di ticket di supporto e lettura di risorse/gerarchia. 36243c78-bf99-498c-9df9-86d9f8d28608
Collaboratore al ripristino sito Consente di gestire il servizio Site Recovery ad eccezione della creazione dell'insieme di credenziali e dell'assegnazione di ruolo. 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Operatore del ripristino sito Consente di eseguire il failover e il failback ma non di eseguire altre operazioni di gestione di Site Recovery. 494ae006-db33-4328-bf46-533a6560a3ca
Reader di ripristino sito Consente di visualizzare lo stato di Site Recovery ma non di eseguire altre operazioni di gestione. dbaa88c4-0c30-4179-9fb3-46319faa6149
Collaboratore alla richiesta di supporto Consente di creare e gestire le richieste di supporto. cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
Collaboratore per tag Consente di gestire i tag sulle entità senza concedere l'accesso alle entità stesse. 4a9ae827-6dc8-4573-8ac7-8239d42aa03f
Collaboratore specifica modello Consente l'accesso completo alle operazioni specifiche del modello nell'ambito assegnato. 1c9b6475-caf0-4164-b5a1-2142a7116f4b
Lettore specifiche modello Consente l'accesso in lettura alle specifiche di modello nell'ambito assegnato. 392ae280-861d-42bd-9ea5-08ee6d83b80e

Ibrido e multi-cloud

Ruolo predefinito Descrizione ID
Azure Stack HCI Amministrazione istrator Concede l'accesso completo al cluster e alle relative risorse, inclusa la possibilità di registrare Azure Stack HCI e assegnare altri utenti come Collaboratore macchina virtuale Azure Arc HCI e/o lettore di macchine virtuali Azure Arc HCI bda0d508-adf1-4af0-9c28-88919fc3ae06
Ruolo Gestione dispositivi azure Stack HCI Ruolo di Gestione dispositivi Microsoft.AzureStackHCI 865ae368-6a45-4bd1-8fbf-0d5151f56fc1
Collaboratore macchina virtuale Di Azure Stack HCI Concede le autorizzazioni per eseguire tutte le azioni della macchina virtuale 874d1c73-6003-4e60-a13a-cb31ea190a85
Lettore di macchine virtuali di Azure Stack HCI Concede le autorizzazioni per visualizzare le macchine virtuali 4b3fe76c-f777-4d24-a2d7-b027b0f7b273
Proprietario della registrazione di Azure Stack Consente di gestire le registrazioni di Azure Stack. 6f12a6df-dd06-4f3e-bcb1-ce8be600526a

Passaggi successivi