Funções incorporadas do Azure
O controle de acesso baseado em função do Azure (Azure RBAC) tem várias funções internas do Azure que você pode atribuir a usuários, grupos, entidades de serviço e identidades gerenciadas. As atribuições de função são a maneira como você controla o acesso aos recursos do Azure. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas do Azure. Para obter informações sobre como atribuir funções, consulte Etapas para atribuir uma função do Azure.
Este artigo lista as funções internas do Azure. Se você estiver procurando por funções de administrador para o Microsoft Entra ID, consulte Funções internas do Microsoft Entra.
A tabela a seguir fornece uma breve descrição de cada função interna. Clique no nome da função para ver a lista de Actions, NotActions, DataActionse NotDataActions para cada função. Para obter informações sobre o que essas ações significam e como elas se aplicam aos planos de controle e dados, consulte Compreender as definições de função do Azure.
Geral
| Função incorporada | Description | ID |
|---|---|---|
| Contribuinte | Concede acesso total para gerenciar todos os recursos, mas não permite que você atribua funções no RBAC do Azure, gerencie atribuições no Azure Blueprints ou compartilhe galerias de imagens. | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Proprietário | Concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. | 8E3AF657-A8FF-443C-A75C-2FE8C4BCB635 |
| Leitor | Exiba todos os recursos, mas não permite que você faça alterações. | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Administrador de controle de acesso baseado em função | Gerencie o acesso aos recursos do Azure atribuindo funções usando o Azure RBAC. Essa função não permite que você gerencie o acesso usando outras maneiras, como a Política do Azure. | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| Administrador de Acesso do Utilizador | Permite gerenciar o acesso do usuário aos recursos do Azure. | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
Computação
| Função incorporada | Description | ID |
|---|---|---|
| Contribuidor de máquina virtual clássica | Permite gerenciar máquinas virtuais clássicas, mas não acessar elas, e não a rede virtual ou a conta de armazenamento à qual elas estão conectadas. | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| Operador de dados para discos gerenciados | Fornece permissões para carregar dados em discos gerenciados vazios, ler ou exportar dados de discos gerenciados (não anexados a VMs em execução) e instantâneos usando URIs SAS e autenticação do Azure AD. | 959f8984-c045-4866-89c7-12bf9737be2e |
| Colaborador do Grupo de Aplicativos de Virtualização de Área de Trabalho | Colaborador do Grupo de Aplicativos de Virtualização de Desktop. | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| Leitor de grupo de aplicativos de virtualização de área de trabalho | Leitor do Grupo de Aplicativos de Virtualização de Desktop. | AEBF23D0-B568-4E86-B8F9-FE83A2C6AB55 |
| Colaborador do Desktop Virtualization | Colaborador de Virtualização de Desktop. | 082F0A83-3BE5-4BA1-904C-961Cca79B387 |
| Colaborador do Pool de Host de Virtualização de Área de Trabalho | Colaborador do Pool de Hosts de Virtualização de Desktop. | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| Leitor de Pool de Host de Virtualização de Área de Trabalho | Leitor do Pool de Hosts de Virtualização de Desktop. | ceadfde2-b300-400a-ab7b-6143895aa822 |
| Leitor de virtualização de desktop | Leitor de Virtualização de Desktop. | 49A72310-AB8D-41DF-BBB0-79B649203868 |
| Operador de Host de Sessão de Virtualização de Desktop | Operador do Host da Sessão de Virtualização de Desktop. | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| Usuário do Desktop Virtualization | Permite que o usuário use os aplicativos em um grupo de aplicativos. | 1D18FFF3-A72A-46B5-B4A9-0B38A3CD7E63 |
| Operador de sessão de usuário do Desktop Virtualization | Operador da Sessão de Usuário de Virtualização de Desktop. | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| Colaborador do Desktop Virtualization Workspace | Colaborador do Desktop Virtualization Workspace. | 21EFDDE3-836F-432B-BF3D-3E8E734D4B2B |
| Leitor de espaço de trabalho de virtualização de área de trabalho | Leitor do espaço de trabalho de virtualização de desktop. | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| Leitor de backup de disco | Fornece permissão para fazer backup do cofre para executar o backup em disco. | 3E5E47E6-65F7-47EF-90B5-E5DD4D455F24 |
| Operador do pool de discos | Forneça permissão ao StoragePool Resource Provider para gerenciar discos adicionados a um pool de discos. | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| Operador de restauração de disco | Fornece permissão para fazer backup do cofre para executar a restauração do disco. | B50D9833-A0CB-478E-945F-707FCC997C13 |
| Colaborador do Disk Snapshot | Fornece permissão para backup do cofre para gerenciar instantâneos de disco. | 7FEFF54F-A5B4-42B5-A1C5-5411624893CE |
| Login de administrador de máquina virtual | Ver Máquinas Virtuais no portal e iniciar sessão como administrador | 1C0163C0-47E6-4577-8991-EA5C82E286E4 |
| Contribuidor de Máquina Virtual | Crie e gerencie máquinas virtuais, gerencie discos, instale e execute software, redefina a senha do usuário raiz da máquina virtual usando extensões de VM e gerencie contas de usuário locais usando extensões de VM. Essa função não concede acesso de gerenciamento à rede virtual ou à conta de armazenamento à qual as máquinas virtuais estão conectadas. Essa função não permite que você atribua funções no RBAC do Azure. | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Administrador de Acesso a Dados de Máquina Virtual (visualização) | Gerencie o acesso a Máquinas Virtuais adicionando ou removendo atribuições de função para as funções Login de Administrador de Máquina Virtual e Login de Usuário de Máquina Virtual. Inclui uma condição ABAC para restringir atribuições de função. | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| Login de usuário local da máquina virtual | Visualize máquinas virtuais no portal e faça login como um usuário local configurado no servidor arc | 602DA2BA-A5C2-41DA-B01D-5360126AB525 |
| Login de usuário da máquina virtual | Visualize Máquinas Virtuais no portal e faça login como um usuário regular. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| Login do administrador do Windows Admin Center | Vamos gerir o SO do seu recurso através do Windows Admin Center como administrador. | A6333A3E-0164-44C3-B281-7A577AFF287F |
Rede
| Função incorporada | Description | ID |
|---|---|---|
| Azure Front Door Domain Contributor | Para uso interno no Azure. Pode gerenciar domínios do Azure Front Door, mas não pode conceder acesso a outros usuários. | 0AB34830-DF19-4F8C-B84E-AA85B8AFA6E8 |
| Azure Front Door Domain Reader | Para uso interno no Azure. Pode exibir domínios do Azure Front Door, mas não pode fazer alterações. | 0F99D363-226E-4DCA-9920-B807CF8E1A5F |
| Azure Front Door Profile Reader | Pode visualizar os perfis padrão e premium do AFD e seus endpoints, mas não pode fazer alterações. | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Azure Front Door Secret Contributor | Para uso interno no Azure. Pode gerenciar segredos do Azure Front Door, mas não pode conceder acesso a outros usuários. | 3F2EB865-5811-4578-B90A-6FC6FA0DF8E5 |
| Azure Front Door Secret Reader | Para uso interno no Azure. Pode exibir segredos do Azure Front Door, mas não pode fazer alterações. | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| Contribuidor de ponto final CDN | Pode gerenciar pontos de extremidade CDN, mas não pode conceder acesso a outros usuários. | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| Leitor de pontos finais CDN | Pode exibir pontos de extremidade CDN, mas não pode fazer alterações. | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| Colaborador do perfil CDN | Pode gerenciar perfis padrão e premium CDN e Azure Front Door e seus pontos de extremidade, mas não pode conceder acesso a outros usuários. | EC156FF8-A8D1-4D15-830C-5B80698CA432 |
| Leitor de perfil CDN | Pode visualizar perfis CDN e seus pontos de extremidade, mas não pode fazer alterações. | 8F96442B-4075-438F-813D-AD51AB4019AF |
| Contribuidor de Rede Clássica | Permite gerenciar redes clássicas, mas não acessar a elas. | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| Contribuidor da Zona DNS | Permite gerenciar zonas DNS e conjuntos de registros no DNS do Azure, mas não permite controlar quem tem acesso a eles. | befefa01-2a29-4197-83a8-272ff33ce314 |
| Contribuidor de Rede | Permite gerenciar redes, mas não acessar a elas. | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| Contribuidor da Zona DNS Privada | Permite gerenciar recursos de zona DNS privada, mas não as redes virtuais às quais eles estão vinculados. | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| Colaborador do Traffic Manager | Permite gerir perfis do Gestor de Tráfego, mas não permite controlar quem tem acesso aos mesmos. | A4B10055-B0C7-44C2-B00F-C7B5B3550CF7 |
Armazenamento
| Função incorporada | Description | ID |
|---|---|---|
| Colaborador Avere | Pode criar e gerenciar um cluster Avere vFXT. | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Operador Avere | Usado pelo cluster Avere vFXT para gerenciar o cluster | C025889F-8102-4EBF-B32C-FC0C6F0C6BD9 |
| Colaborador de backup | Permite gerenciar o serviço de backup, mas não pode criar cofres e dar acesso a outras pessoas | 5E467623-BB1F-42F4-A55D-6E525E11384B |
| Operador de backup | Permite gerenciar serviços de backup, exceto remoção de backup, criação de cofre e concessão de acesso a outras pessoas | 00c29273-979b-4161-815c-10b084fb9324 |
| Leitor de backup | Pode exibir serviços de backup, mas não pode fazer alterações | A795C7A0-D4A2-40C1-AE25-D81F01202912 |
| Colaborador da Conta de Armazenamento Clássica | Permite gerenciar contas de armazenamento clássicas, mas não acessar elas. | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| Função de Serviço de Operador de Chave da Conta de Armazenamento Clássica | Os Operadores de Chave de Conta de Armazenamento Clássico têm permissão para listar e regenerar chaves em Contas de Armazenamento Clássico | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Contribuidor do Data Box | Permite que você gerencie tudo no Serviço Data Box, exceto dar acesso a outras pessoas. | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Leitor de caixa de dados | Permite gerenciar o Serviço Data Box, exceto criar pedidos ou editar detalhes de pedidos e dar acesso a outros. | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Desenvolvedor de Análise Data Lake | Permite enviar, monitorar e gerenciar seus próprios trabalhos, mas não criar ou excluir contas do Data Lake Analytics. | 47B7735B-770E-4598-A7DA-8B91488B4C88 |
| Scanner de dados do Defender for Storage | Concede acesso a blobs de leitura e tags de índice de atualização. Essa função é usada pelo verificador de dados do Defender for Storage. | 1E7CA9B1-60D1-4DB8-A914-F2CA1FF27C40 |
| Proprietário do Elastic SAN | Permite acesso total a todos os recursos no Azure Elastic SAN, incluindo a alteração das políticas de segurança de rede para desbloquear o acesso ao caminho de dados | 80DCBEDB-47EF-405D-95BD-188A1B4AC406 |
| Elastic SAN Reader | Permite o acesso de leitura do caminho de controle ao Azure Elastic SAN | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| Proprietário do Elastic SAN Volume Group | Permite acesso total a um grupo de volumes na SAN Elástica do Azure, incluindo a alteração das políticas de segurança de rede para desbloquear o acesso ao caminho de dados | A8281131-F312-4F34-8D98-AE12BE9F0D23 |
| Leitor e Acesso a Dados | Permite visualizar tudo, mas não permite excluir ou criar uma conta de armazenamento ou recurso contido. Também permitirá o acesso de leitura/escrita a todos os dados contidos numa conta de armazenamento através do acesso a chaves de conta de armazenamento. | C12C1C16-33A1-487B-954D-41C89C60F349 |
| Colaborador do Backup da Conta de Armazenamento | Permite executar operações de backup e restauração usando o Backup do Azure na conta de armazenamento. | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| Contribuidor de Conta de Armazenamento | Permite a gestão de contas de armazenamento. Fornece acesso à chave da conta, que pode ser usada para acessar dados por meio da autorização de Chave Compartilhada. | 17D1049B-9A84-46FB-8F53-869881C3D3AB |
| Função de Serviço de Operador de Chave de Conta de Armazenamento | Permite listar e regenerar chaves de acesso da conta de armazenamento. | 81a9662b-bebf-436f-a333-f67b29880f12 |
| Contribuidor de Dados de Blobs de Armazenamento | Leia, escreva e elimine contentores e blobs do Armazenamento do Azure. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| Proprietário dos Dados do Armazenamento de Blobs | Fornece acesso total a contêineres e dados de blob de Armazenamento do Azure, incluindo a atribuição de controle de acesso POSIX. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| Leitor de Dados do Armazenamento de Blobs | Leia e liste contêineres e blobs do Armazenamento do Azure. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | 2A2B9908-6EA1-4AE2-8E65-A410DF84E7D1 |
| Delegador de Blob de Armazenamento | Obtenha uma chave de delegação de usuário, que pode ser usada para criar uma assinatura de acesso compartilhado para um contêiner ou blob assinado com credenciais do Azure AD. Para obter mais informações, consulte Criar uma SAS de delegação de usuário. | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| Contribuidor privilegiado de dados de arquivo de armazenamento | Permite ler, gravar, excluir e modificar ACLs em arquivos/diretórios em compartilhamentos de arquivos do Azure substituindo permissões ACLs/NTFS existentes. Essa função não tem equivalente interno nos servidores de arquivos do Windows. | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| Leitor privilegiado de dados de arquivos de armazenamento | Permite acesso de leitura em arquivos/diretórios em compartilhamentos de arquivos do Azure substituindo permissões ACLs/NTFS existentes. Essa função não tem equivalente interno nos servidores de arquivos do Windows. | b8eda974-7b85-4f76-af95-65846b26df6d |
| Contribuidor de compartilhamento SMB de dados de arquivo de armazenamento | Permite ler, gravar e excluir acesso em arquivos/diretórios em compartilhamentos de arquivos do Azure. Essa função não tem equivalente interno nos servidores de arquivos do Windows. | 0C867C2A-1D8C-454A-A3DB-AB2EA1BDC8BB |
| Contribuidor elevado de compartilhamento SMB de dados de arquivos de armazenamento | Permite ler, gravar, excluir e modificar ACLs em arquivos/diretórios em compartilhamentos de arquivos do Azure. Essa função é equivalente a uma ACL de compartilhamento de arquivos de alteração em servidores de arquivos do Windows. | A7264617-510B-434B-A828-9731DC254EA7 |
| Leitor de compartilhamento SMB de dados de arquivo de armazenamento | Permite acesso de leitura em arquivos/diretórios em compartilhamentos de arquivos do Azure. Essa função é equivalente a uma ACL de compartilhamento de arquivos de leitura em servidores de arquivos do Windows. | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| Contribuidor de dados da fila de armazenamento | Leia, escreva e elimine filas e mensagens de fila do Armazenamento do Azure. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| Processador de mensagens de dados da fila de armazenamento | Espreite, recupere e exclua uma mensagem de uma fila de Armazenamento do Azure. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | 8A0F0C08-91A1-4084-BC3D-661D67233FED |
| Remetente da mensagem de dados da fila de armazenamento | Adicione mensagens a uma fila de Armazenamento do Azure. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | C6A89B2D-59BC-44D0-9896-0F6E12D7B80A |
| Leitor de dados da fila de armazenamento | Leia e liste filas e mensagens de fila do Armazenamento do Azure. Para saber quais ações são necessárias para uma determinada operação de dados, consulte Permissões para chamar operações de dados. | 19E7F393-937E-4F77-808E-94535E297925 |
| Contribuidor de dados da tabela de armazenamento | Permite ler, gravar e excluir acesso a tabelas e entidades do Armazenamento do Azure | 0A9A7E1F-B9D0-4CC4-A60D-0319B160AAA3 |
| Leitor de dados da tabela de armazenamento | Permite acesso de leitura a tabelas e entidades do Armazenamento do Azure | 76199698-9EEA-4C19-BC75-CEC21354C6B6 |
Web e Mobile
| Função incorporada | Description | ID |
|---|---|---|
| Azure Maps Data Contributor | Concede acesso para ler, gravar e excluir acesso a dados relacionados a mapas de uma conta de mapas do Azure. | 8F5E0CE6-4F7B-4DCF-BDDF-E6F48634A204 |
| Azure Maps Data Reader | Concede acesso à leitura de dados relacionados a mapas de uma conta de mapas do Azure. | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Azure Spring Cloud Config Server Contributor | Permitir acesso de leitura, gravação e exclusão ao Azure Spring Cloud Config Server | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Azure Spring Cloud Config Server Reader | Permitir acesso de leitura ao Azure Spring Cloud Config Server | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Azure Spring Cloud Data Reader | Permitir acesso de leitura ao Azure Spring Cloud Data | B5537268-8956-4941-A8F0-646150406F0C |
| Colaborador do Registro do Azure Spring Cloud Service | Permitir acesso de leitura, gravação e exclusão ao Registro do Azure Spring Cloud Service | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Azure Spring Cloud Service Registry Reader | Permitir acesso de leitura ao Azure Spring Cloud Service Registry | CFF1B556-2399-4E7E-856D-A8F754BE7B65 |
| Administrador de Conta de Serviços de Mídia | Criar, ler, modificar e excluir contas de Serviços de Mídia; acesso somente leitura a outros recursos dos Serviços de Mídia. | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| Administrador de Eventos ao Vivo dos Serviços de Mídia | Criar, ler, modificar e excluir eventos ao vivo, ativos, filtros de ativos e localizadores de streaming; acesso somente leitura a outros recursos dos Serviços de Mídia. | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| Operador de Mídia de Serviços de Mídia | Criar, ler, modificar e excluir ativos, filtros de ativos, localizadores de streaming e trabalhos; acesso somente leitura a outros recursos dos Serviços de Mídia. | E4395492-1534-4DB2-BEDF-88C14621589C |
| Administrador de Políticas de Serviços de Mídia | Criar, ler, modificar e excluir filtros de conta, políticas de streaming, políticas de chave de conteúdo e transformações; acesso somente leitura a outros recursos dos Serviços de Mídia. Não é possível criar trabalhos, ativos ou recursos de streaming. | c4bba371-dacd-4a26-b320-7250bca963ae |
| Administrador de Pontos de Extremidade de Streaming de Serviços de Mídia | Criar, ler, modificar e excluir Streaming Endpoints; acesso somente leitura a outros recursos dos Serviços de Mídia. | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| SignalR AccessKey Leitor | Leia as chaves de acesso do serviço SignalR | 04165923-9D83-45D5-8227-78B77B0A687E |
| Servidor de aplicativos SignalR | Permite que seu servidor de aplicativos acesse o Serviço SignalR com opções de autenticação do AAD. | 420FCAA2-552C-430F-98CA-3264BE4806C7 |
| Proprietário da API REST do SignalR | Acesso total às APIs REST do Serviço Azure SignalR | FD53CD77-2268-407A-8F46-7E7863D0F521 |
| Leitor de API SignalR REST | Acesso somente leitura às APIs REST do Serviço Azure SignalR | DDDE6B66-C0DF-4114-A159-3618637B3035 |
| Proprietário do Serviço SignalR | Acesso total às APIs REST do Serviço Azure SignalR | 7E4F1700-EA5A-4F59-8F37-079CFE29DCE3 |
| Colaborador SignalR/Web PubSub | Criar, ler, atualizar e excluir recursos do serviço SignalR | 8CF5E20A-E4B2-4E9D-B3A1-5CEB692C2761 |
| Colaborador do Plano Web | Gerencie os planos da Web para sites. Não permite atribuir funções no RBAC do Azure. | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Colaborador do site | Gerencie sites, mas não planos da Web. Não permite atribuir funções no RBAC do Azure. | de139f84-1756-47ae-9be6-808fbbe84772 |
Contentores
| Função incorporada | Description | ID |
|---|---|---|
| AcrDelete | Exclua repositórios, tags ou manifestos de um registro de contêiner. | C2F4EF07-C644-48EB-AF81-4B1B4947FB11 |
| AcrImageSigner | Envie imagens confiáveis ou extraia imagens confiáveis de um registro de contêiner habilitado para confiança de conteúdo. | 6CEF56E8-D556-48E5-A04F-B8E64114680F |
| AcrPull | Extraia artefatos de um registro de contêiner. | 7F951DDA-4ED3-4680-A7CA-43FE172D538D |
| AcrPush | Envie ou extraia artefatos de um registro de contêiner. | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | Extraia imagens em quarentena de um registro de contêiner. | CDDA3590-29A3-44F6-95F2-9F980659EB04 |
| AcrQuarantineWriter | Envie imagens em quarentena ou extraia imagens em quarentena de um registro de contêiner. | C8D4FF99-41C3-41A8-9F60-21DFDAD59608 |
| Função de Usuário do Cluster Kubernetes Habilitado para Azure Arc | Ação Listar credenciais de usuário do cluster. | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Azure Arc Kubernetes Admin | Permite gerenciar todos os recursos em cluster/namespace, exceto atualizar ou excluir cotas de recursos e namespaces. | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Azure Arc Kubernetes Cluster Admin | Permite gerenciar todos os recursos no cluster. | 8393591C-06B9-48A2-A542-1BD6B377F6A2 |
| Azure Arc Kubernetes Viewer | Permite visualizar todos os recursos em cluster/namespace, exceto segredos. | 63F0A09D-1495-4DB4-A681-037D84835EB4 |
| Azure Arc Kubernetes Writer | Permite atualizar tudo no cluster/namespace, exceto funções (cluster) e ligações de função (cluster). | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Função de Colaborador do Azure Kubernetes Fleet Manager | Concede acesso de leitura/gravação aos recursos do Azure fornecidos pelo Azure Kubernetes Fleet Manager, incluindo frotas, membros da frota, estratégias de atualização de frota, execuções de atualização de frota, etc. | 63BB64AD-9799-4770-B5C3-24ED299A07BF |
| Azure Kubernetes Fleet Manager RBAC Admin | Concede acesso de leitura/gravação aos recursos do Kubernetes dentro de um namespace no cluster de hub gerenciado por frota - fornece permissões de gravação na maioria dos objetos dentro de um namespace, com exceção do objeto ResourceQuota e do próprio objeto de namespace. A aplicação dessa função no escopo do cluster dará acesso a todos os namespaces. | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Azure Kubernetes Fleet Manager RBAC Cluster Admin | Concede acesso de leitura/gravação a todos os recursos do Kubernetes no cluster de hub gerenciado pela frota. | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Azure Kubernetes Fleet Manager RBAC Reader | Concede acesso somente leitura à maioria dos recursos do Kubernetes dentro de um namespace no cluster de hub gerenciado por frota. Ele não permite a visualização de funções ou associações de funções. Essa função não permite a visualização de Segredos, uma vez que a leitura do conteúdo de Segredos permite o acesso às credenciais ServiceAccount no namespace, o que permitiria o acesso à API como qualquer ServiceAccount no namespace (uma forma de escalonamento de privilégios). A aplicação dessa função no escopo do cluster dará acesso a todos os namespaces. | 30B27CFC-9C84-438E-B0CE-70E35255DF80 |
| Azure Kubernetes Fleet Manager RBAC Writer | Concede acesso de leitura/gravação à maioria dos recursos do Kubernetes dentro de um namespace no cluster de hub gerenciado pela frota. Essa função não permite exibir ou modificar funções ou associações de função. No entanto, essa função permite acessar Secrets como qualquer ServiceAccount no namespace, para que possa ser usada para obter os níveis de acesso à API de qualquer ServiceAccount no namespace. A aplicação dessa função no escopo do cluster dará acesso a todos os namespaces. | 5AF6AFB3-C06C-4FA4-8848-71A8AEE05683 |
| Função de Administrador do Cluster de Serviço do Kubernetes do Azure | Listar ação de credencial de administrador de cluster. | 0AB0B1A8-8AAC-4EFD-B8C2-3EE1FB270BE8 |
| Usuário de Monitoramento de Cluster de Serviço do Kubernetes do Azure | Listar ação de credencial de usuário de monitoramento de cluster. | 1AFDEC4B-E479-420E-99E7-F82237C7C5E6 |
| Função de Usuário do Cluster de Serviço do Kubernetes do Azure | Listar ação de credencial de usuário do cluster. | 4ABBCC35-E782-43D8-92C5-2D3F1BD2253F |
| Função de Contribuidor do Azure Kubernetes Service | Concede acesso para ler e gravar clusters do Serviço Kubernetes do Azure | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Azure Kubernetes Service RBAC Admin | Permite gerenciar todos os recursos em cluster/namespace, exceto atualizar ou excluir cotas de recursos e namespaces. | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Azure Kubernetes Service RBAC Cluster Admin | Permite gerenciar todos os recursos no cluster. | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Azure Kubernetes Service RBAC Reader | Permite acesso somente leitura para ver a maioria dos objetos em um namespace. Ele não permite a visualização de funções ou associações de funções. Essa função não permite a visualização de Segredos, uma vez que a leitura do conteúdo de Segredos permite o acesso às credenciais ServiceAccount no namespace, o que permitiria o acesso à API como qualquer ServiceAccount no namespace (uma forma de escalonamento de privilégios). A aplicação dessa função no escopo do cluster dará acesso a todos os namespaces. | 7F6C6A51-BCF8-42BA-9220-52D62157D7DB |
| Gravador RBAC do Serviço Kubernetes do Azure | Permite acesso de leitura/gravação à maioria dos objetos em um namespace. Essa função não permite exibir ou modificar funções ou associações de função. No entanto, essa função permite acessar Secrets e executar Pods como qualquer ServiceAccount no namespace, para que possa ser usada para obter os níveis de acesso à API de qualquer ServiceAccount no namespace. A aplicação dessa função no escopo do cluster dará acesso a todos os namespaces. | A7FFA36F-339B-4B5C-8BDF-E2C188B2C0EB |
| Operador sem agente do Kubernetes | Concede ao Microsoft Defender for Cloud acesso aos Serviços Kubernetes do Azure | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
| Kubernetes Cluster - Azure Arc Onboarding | Definição de função para autorizar qualquer usuário/serviço a criar o recurso connectedClusters | 34E09817-6CBE-4D01-B1A2-E0EAC5743D41 |
| Colaborador de extensão do Kubernetes | Pode criar, atualizar, obter, listar e excluir extensões do Kubernetes e obter operações assíncronas de extensão | 85CB6FAF-E071-4C9B-8136-154B5A04F717 |
Bases de Dados
| Função incorporada | Description | ID |
|---|---|---|
| Integração do Azure Connected SQL Server | Permite acesso de leitura e gravação aos recursos do Azure para SQL Server em servidores habilitados para Arc. | E8113DCE-C529-4D33-91FA-E9B972617508 |
| Função de leitor de conta do Cosmos DB | Pode ler os dados da conta do Azure Cosmos DB. Consulte Colaborador da Conta do Banco de Dados de Documentos para gerenciar contas do Azure Cosmos DB. | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Operador do Cosmos DB | Permite gerenciar contas do Azure Cosmos DB, mas não acessar dados nelas. Impede o acesso a chaves de conta e cadeias de conexão. | 230815DA-BE43-4AAE-9CB4-875F7BD000AA |
| CosmosBackupOperator | Pode enviar solicitação de restauração para um banco de dados do Cosmos DB ou um contêiner para uma conta | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | Pode executar ações de restauração para a conta de banco de dados do Cosmos DB com o modo de backup contínuo | 5432C526-BC82-444A-B7BA-57C5B0B5B34F |
| Colaborador da Conta do Banco de Dados de Documentos | Pode gerenciar contas do Azure Cosmos DB. O Azure Cosmos DB é anteriormente conhecido como Banco de Dados de Documentos. | 5BD9CD88-FE45-4216-938B-F97437E15450 |
| Colaborador do Cache Redis | Permite gerenciar caches Redis, mas não acessá-los. | E0F68234-74AA-48ED-B826-C38B57376E17 |
| Colaborador do Banco de Dados SQL | Permite gerenciar bancos de dados SQL, mas não acessá-los. Além disso, você não pode gerenciar suas políticas relacionadas à segurança ou seus servidores SQL pai. | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| Colaborador da instância gerenciada SQL | Permite gerenciar instâncias gerenciadas do SQL e a configuração de rede necessária, mas não pode dar acesso a outras pessoas. | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| Gestor de Segurança SQL | Permite gerenciar as políticas relacionadas à segurança de servidores SQL e bancos de dados, mas não acessar a eles. | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| Colaborador do SQL Server | Permite gerenciar servidores SQL e bancos de dados, mas não acessar a eles, e não suas políticas relacionadas à segurança. | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
Análise
| Função incorporada | Description | ID |
|---|---|---|
| Proprietário de Dados dos Hubs de Eventos do Azure | Permite acesso total aos recursos dos Hubs de Eventos do Azure. | f526a384-b230-433a-b45c-95f59c4a2dec |
| Recetor de Dados dos Hubs de Eventos do Azure | Permite receber acesso aos recursos dos Hubs de Eventos do Azure. | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Remetente de Dados dos Hubs de Eventos do Azure | Permite enviar acesso aos recursos dos Hubs de Eventos do Azure. | 2B629674-E913-4C01-AE53-EF4638D8F975 |
| Colaborador do Data Factory | Crie e gerencie fábricas de dados, bem como recursos filhos dentro delas. | 673868AA-7521-48A0-ACC6-0F60742D39F5 |
| Purificador de dados | Exclua dados privados de um espaço de trabalho do Log Analytics. | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Operador de cluster HDInsight | Permite ler e modificar as configurações de cluster HDInsight. | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| Colaborador dos Serviços de Domínio HDInsight | Pode ler, criar, modificar e excluir operações relacionadas aos Serviços de Domínio necessárias para o Pacote de Segurança Empresarial do HDInsight | 8D8D5A11-05D3-4BDA-A417-A08778121C7C |
| Contribuidor do Log Analytics | O Colaborador do Log Analytics pode ler todos os dados de monitoramento e editar as configurações de monitoramento. A edição de configurações de monitoramento inclui a adição da extensão VM às VMs; leitura de chaves de conta de armazenamento para poder configurar a coleção de logs do Armazenamento do Azure; agregação de soluções; e configurar o diagnóstico do Azure em todos os recursos do Azure. | 92AAF0DA-9DAB-42B6-94A3-D43CE8D16293 |
| Leitor do Log Analytics | O Log Analytics Reader pode exibir e pesquisar todos os dados de monitoramento, bem como e exibir configurações de monitoramento, incluindo a exibição da configuração do diagnóstico do Azure em todos os recursos do Azure. | 73c42c96-874c-492b-b04d-ab87d138a893 |
| Colaborador do Registro de Esquema (Visualização) | Leia, escreva e exclua grupos e esquemas do Registro de Esquema. | 5DFFECA3-4936-4216-B2BC-10343A5ABB25 |
| Leitor de Registo de Esquema (Pré-visualização) | Leia e liste grupos e esquemas do Registro de Esquema. | 2C56EA50-C6B3-40A6-83C0-9D98858BC7D2 |
| Testador de consultas do Stream Analytics | Permite que você execute testes de consulta sem criar um trabalho de análise de fluxo primeiro | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
IA + machine learning
| Função incorporada | Description | ID |
|---|---|---|
| Operador de computação AzureML | Pode acessar e executar operações CRUD em recursos de computação gerenciados pelos Serviços de Aprendizado de Máquina (incluindo VMs de Notebook). | E503ECE1-11D0-4E8E-8E2C-7A6C3BF38815 |
| Cientista de dados do AzureML | Pode executar todas as ações em um espaço de trabalho do Azure Machine Learning, exceto criar ou excluir recursos de computação e modificar o próprio espaço de trabalho. | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| Colaborador de Serviços Cognitivos | Permite criar, ler, atualizar, excluir e gerenciar chaves dos Serviços Cognitivos. | 25FBC0A9-BD7C-42A3-AA1A-3B75D497EE68 |
| Colaborador de Visão Personalizada de Serviços Cognitivos | Acesso total ao projeto, incluindo a capacidade de visualizar, criar, editar ou excluir projetos. | C1FF6CC2-C111-46FE-8896-E0EF812AD9F3 |
| Implantação de visão personalizada de serviços cognitivos | Publicar, cancelar a publicação ou exportar modelos. A implantação pode exibir o projeto, mas não pode atualizar. | 5C4089E1-6D96-4D2F-B296-C1BC7137275F |
| Rotuladora de Visão Personalizada de Serviços Cognitivos | Visualize, edite imagens de treinamento e crie, adicione, remova ou exclua as tags de imagem. Os rotuladores podem visualizar o projeto, mas não podem atualizar nada além de imagens e tags de treinamento. | 88424f51-EBE7-446F-BC41-7FA16989E96C |
| Leitor de Visão Personalizada de Serviços Cognitivos | Ações somente leitura no projeto. Os leitores não podem criar ou atualizar o projeto. | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| Instrutor de Visão Personalizada de Serviços Cognitivos | Visualize, edite projetos e treine os modelos, incluindo a capacidade de publicar, não publicar, exportar os modelos. Os formadores não podem criar ou eliminar o projeto. | 0A5AE4AB-0D65-4EEB-BE61-29FC9B54394B |
| Leitor de Dados de Serviços Cognitivos (Pré-visualização) | Permite ler dados dos Serviços Cognitivos. | B59867F0-FA02-499B-BE73-45A86B5B3E1C |
| Serviços Cognitivos Face Recognizer | Permite que você execute operações de deteção, verificação, identificação, agrupamento e localização semelhantes na API do Face. Essa função não permite criar ou excluir operações, o que a torna adequada para pontos de extremidade que só precisam de recursos de inferência, seguindo as práticas recomendadas de "menor privilégio". | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| Administrador do Consultor de Métricas de Serviços Cognitivos | Acesso total ao projeto, incluindo a configuração ao nível do sistema. | CB43C632-A144-4EC5-977C-E80C4AFFC34A |
| Função de Contribuidor dos Serviços Cognitivos | Acesso total, incluindo a capacidade de ajustar, implantar e gerar texto | A001FD3D-188F-4B5D-821B-7DA978BF7442 |
| Utilizador OpenAI dos Serviços Cognitivos | Acesso de leitura para visualizar arquivos, modelos, implantações. A capacidade de criar chamadas de conclusão e incorporação. | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| Serviços Cognitivos QnA Maker Editor | Vamos criar, editar, importar e exportar um KB. Não é possível publicar ou excluir um KB. | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| Serviços Cognitivos QnA Maker Reader | Vamos ler e testar apenas um KB. | 466CCD10-B268-4A11-B098-B4849F024126 |
| Leitor de Usos de Serviços Cognitivos | Permissão mínima para visualizar os usos dos Serviços Cognitivos. | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| Utilizador de Serviços Cognitivos | Permite ler e listar chaves dos Serviços Cognitivos. | A97B65F3-24C7-4388-BAEC-2E87135DC908 |
| Contribuidor de dados do índice de pesquisa | Concede acesso total aos dados de índice da Pesquisa Cognitiva do Azure. | 8EBE5A00-799E-43F5-93AC-243D3DCE84A7 |
| Leitor de dados de índice de pesquisa | Concede acesso de leitura aos dados de índice da Pesquisa Cognitiva do Azure. | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| Colaborador do Serviço de Pesquisa | Permite gerenciar serviços de pesquisa, mas não acessar a eles. | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
Internet das Coisas
| Função incorporada | Description | ID |
|---|---|---|
| Proprietário de dados do Azure Digital Twins | Função de acesso total para o plano de dados Digital Twins | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Azure Digital Twins Data Reader | Função somente leitura para propriedades do plano de dados Digital Twins | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| Administrador de atualização de dispositivo | Oferece acesso total às operações de gerenciamento e conteúdo | 02CA0879-E8E4-47A5-A61E-5C618B76E64A |
| Administrador de conteúdo de atualização de dispositivo | Oferece acesso total às operações de conteúdo | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| Leitor de conteúdo de atualização de dispositivo | Dá acesso de leitura a operações de conteúdo, mas não permite fazer alterações | D1EE9A80-8B14-47F0-BDC2-F4A351625A7B |
| Administrador de implantações de atualização de dispositivo | Oferece acesso total às operações de gerenciamento | E4237640-0E3D-4A46-8FDA-70BC94856432 |
| Leitor de implantações de atualização de dispositivo | Oferece acesso de leitura às operações de gerenciamento, mas não permite fazer alterações | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| Leitor de atualização de dispositivo | Oferece acesso de leitura a operações de gerenciamento e conteúdo, mas não permite fazer alterações | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| Contribuidor de dados do Hub IoT | Permite acesso total às operações do plano de dados do Hub IoT. | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| Leitor de dados do Hub IoT | Permite acesso total de leitura às propriedades do plano de dados do Hub IoT | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| Colaborador do Registro do Hub IoT | Permite acesso total ao registro do dispositivo do Hub IoT. | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| Contribuidor gêmeo do Hub IoT | Permite acesso de leitura e gravação a todos os dispositivos do Hub IoT e gêmeos de módulo. | 494BDA2-168F-4F31-A0A1-191D2F7C028C |
Realidade mista
| Função incorporada | Description | ID |
|---|---|---|
| Administrador de renderização remota | Fornece ao usuário recursos de conversão, gerenciamento de sessão, renderização e diagnóstico para a Renderização Remota do Azure | 3DF8B902-2A6F-47C7-8CC5-360E9B272A7E |
| Cliente de renderização remota | Fornece ao usuário recursos de gerenciamento de sessão, renderização e diagnóstico para a Renderização Remota do Azure. | d39065c4-c120-43c9-ab0a-63eed9795f0a |
| Colaborador da Conta Âncoras Espaciais | Permite gerenciar âncoras espaciais em sua conta, mas não excluí-las | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
| Proprietário da Conta Âncoras Espaciais | Permite gerir âncoras espaciais na sua conta, incluindo eliminá-las | 70bbe301-9835-447d-afdd-19eb3167307c |
| Leitor de Conta Âncoras Espaciais | Permite localizar e ler propriedades de âncoras espaciais na sua conta | 5D51204F-EB77-4B1C-B86A-2EC626C49413 |
Integração
| Função incorporada | Description | ID |
|---|---|---|
| Colaborador do Serviço de Gerenciamento de API | Pode gerenciar o serviço e as APIs | 312A565D-C81F-4FD8-895A-4E21E48D571C |
| Função de operador de serviço de gerenciamento de API | Pode gerenciar o serviço, mas não as APIs | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| Função de leitor de serviço de gerenciamento de API | Acesso somente leitura ao serviço e APIs | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| Espaço de trabalho do serviço de gerenciamento de API Desenvolvedor de API | Tem acesso de leitura a tags e produtos e acesso de gravação para permitir: atribuir APIs a produtos, atribuir tags a produtos e APIs. Essa função deve ser atribuída no escopo do serviço. | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| Gerenciador de produtos da API do espaço de trabalho do serviço de gerenciamento de API | Tem o mesmo acesso que o API Management Service Workspace API Developer, bem como acesso de leitura a usuários e acesso de gravação para permitir a atribuição de usuários a grupos. Essa função deve ser atribuída no escopo do serviço. | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| Espaço de trabalho de gerenciamento de API Desenvolvedor de API | Tem acesso de leitura a entidades no espaço de trabalho e acesso de leitura e gravação a entidades para edição de APIs. Essa função deve ser atribuída no escopo do espaço de trabalho. | 56328988-075D-4C6A-8766-D93EDD6725B6 |
| Gerenciador de produtos da API do espaço de trabalho de gerenciamento de API | Tem acesso de leitura a entidades no espaço de trabalho e acesso de leitura e gravação a entidades para publicação de APIs. Essa função deve ser atribuída no escopo do espaço de trabalho. | 73C2C328-D004-4C5E-938C-35C6F5679A1F |
| Colaborador do espaço de trabalho de gerenciamento de API | Pode gerenciar o espaço de trabalho e exibir, mas não modificar seus membros. Essa função deve ser atribuída no escopo do espaço de trabalho. | 0C34C906-8D99-4CB7-8BB7-33F5B0A1A799 |
| Leitor de espaço de trabalho de gerenciamento de API | Tem acesso somente leitura a entidades no espaço de trabalho. Essa função deve ser atribuída no escopo do espaço de trabalho. | EF1C2C96-4A77-49E8-B9A4-6179FE1D2FD2 |
| Proprietário dos dados de configuração do aplicativo | Permite acesso total aos dados de Configuração do Aplicativo. | 5AE67DD6-50CB-40E7-96FF-DC2BFA4B606B |
| Leitor de dados de configuração do aplicativo | Permite acesso de leitura aos dados de Configuração do Aplicativo. | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| Azure API Center Compliance Manager | Permite gerenciar a conformidade da API no serviço Central de APIs do Azure. | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Leitor de Dados do Centro de API do Azure | Permite o acesso a operações de leitura do plano de dados do Centro de API do Azure. | C7244DFB-F447-457D-B2BA-3999044D1706 |
| Colaborador do Serviço do Centro de API do Azure | Permite gerenciar o serviço da Central de API do Azure. | DD24193F-EF65-44E5-8A7E-6FA6E03F7713 |
| Azure API Center Service Reader | Permite acesso somente leitura ao serviço Central de API do Azure. | 6CBA8790-29C5-48E5-BAB1-C7541B01CB04 |
| Azure Relay Listener | Permite o acesso de escuta aos recursos do Azure Relay. | 26e0b698-aa6d-4085-9386-aadae190014d |
| Proprietário do Azure Relay | Permite acesso total aos recursos do Azure Relay. | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Azure Relay Sender | Permite enviar acesso aos recursos do Azure Relay. | 26baccc8-EEA7-41F1-98F4-1762CC7F685D |
| Proprietário de Dados do Barramento de Serviço do Azure | Permite acesso total aos recursos do Barramento de Serviço do Azure. | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Recetor de Dados do Barramento de Serviço do Azure | Permite receber acesso aos recursos do Barramento de Serviço do Azure. | 4F6D3B9B-027B-4F4C-9142-0E5A2A2247E0 |
| Remetente de dados do Barramento de Serviço do Azure | Permite enviar acesso aos recursos do Barramento de Serviço do Azure. | 69A216FC-B8FB-44D8-BC22-1F3C2CD27A39 |
| Colaborador do BizTalk | Permite gerenciar serviços do BizTalk, mas não acessar a eles. | 5E3C6656-6CFA-4708-81FE-0DE47AC73342 |
| Colaborador do EventGrid | Permite gerenciar operações do EventGrid. | 1E241071-0855-49EA-94DC-649EDCD759DE |
| Remetente de dados EventGrid | Permite enviar acesso a eventos da grade de eventos. | d5a91429-5739-47e2-a06b-3470a27159e7 |
| EventGrid EventSubscription Contributor | Permite gerenciar operações de assinatura de eventos do EventGrid. | 428E0FF0-5E57-4D9C-A221-2C70D0E0A443 |
| EventGrid EventSubscription Reader | Permite ler assinaturas de eventos do EventGrid. | 2414BBCF-6497-4FAF-8C65-045460748405 |
| Contribuidor de dados FHIR | A função permite ao usuário ou principal acesso total aos dados FHIR | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| FHIR Exportador de Dados | A função permite que o usuário ou principal leia e exporte dados FHIR | 3db33094-8700-4567-8da5-1501d4e7e843 |
| FHIR Importador de Dados | A função permite que o usuário ou principal leia e importe dados FHIR | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| Leitor de dados FHIR | A função permite que o usuário ou principal leia dados FHIR | 4C8D0BBC-75D3-4935-991F-5F3C56D81508 |
| Gravador de dados FHIR | A função permite que o usuário ou principal leia e escreva dados FHIR | 3F88FCE4-5892-4214-AE73-BA5294559913 |
| Colaborador do Ambiente do Serviço de Integração | Permite gerenciar ambientes de serviços de integração, mas não acessar a eles. | A41E2C5B-BD99-4A07-88F4-9BF657A760B8 |
| Desenvolvedor de Ambiente de Serviço de Integração | Permite que os desenvolvedores criem e atualizem fluxos de trabalho, contas de integração e conexões de API em ambientes de serviço de integração. | C7AA55D3-1ABB-444A-A5CA-5E51E485D6EC |
| Contribuidor de Conta da Intelligent Systems | Permite gerenciar contas do Intelligent Systems, mas não acessar a elas. | 03A6D094-3444-4B3D-88AF-7477090A9E5E |
| Colaborador do Aplicativo Lógico | Permite gerenciar aplicativos lógicos, mas não alterar o acesso a eles. | 87A39D53-FC1B-424A-814C-F7E04687DC9E |
| Operador de aplicativo lógico | Permite ler, ativar e desativar aplicações lógicas, mas não editá-las ou atualizá-las. | 515C2055-D9D4-4321-B1B9-BD0C9A0F79Fe |
| Contribuidor padrão de aplicativos lógicos (visualização) | Você pode gerenciar todos os aspetos de um aplicativo lógico padrão e fluxos de trabalho. Não é possível alterar o acesso ou a propriedade. | ad710c24-b039-4e85-a019-deb4a06e8570 |
| Desenvolvedor Logic Apps Standard (Visualização) | Você pode criar e editar fluxos de trabalho, conexões e configurações para um aplicativo lógico padrão. Não é possível fazer alterações fora do escopo do fluxo de trabalho. | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| Operador padrão de aplicativos lógicos (visualização) | Você pode habilitar, reenviar e desabilitar fluxos de trabalho, bem como criar conexões. Não é possível editar fluxos de trabalho ou configurações. | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
| Logic Apps Standard Reader (Pré-visualização) | Você tem acesso somente leitura a todos os recursos em um aplicativo lógico padrão e fluxos de trabalho, incluindo as execuções do fluxo de trabalho e seu histórico. | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| Colaborador de coleções de trabalhos do Scheduler | Permite gerenciar coleções de tarefas do Agendador, mas não acessar elas. | 188A0F2F-5C9E-469B-AE67-2AA5CE574B94 |
| Operador do Hub de Serviços | O Operador do Hub de Serviços permite que você execute todas as operações de leitura, gravação e exclusão relacionadas aos Conectores do Hub de Serviços. | 82200a5b-e217-47a5-b665-6d8765ee745b |
Identidade
| Função incorporada | Description | ID |
|---|---|---|
| Colaborador de Serviços de Domínio | Pode gerenciar os Serviços de Domínio do Azure AD e configurações de rede relacionadas | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| Leitor de Serviços de Domínio | Pode exibir os Serviços de Domínio do Azure AD e as configurações de rede relacionadas | 361898EF-9ED1-48C2-849C-A832951106BB |
| Contribuidor de identidade gerenciada | Criar, ler, atualizar e excluir identidade atribuída ao usuário | E40EC5CA-96E0-45A2-B4FF-59039F2C2B59 |
| Operador de identidade gerenciada | Ler e atribuir identidade atribuída ao usuário | f1a07417-d97a-45cb-824c-7a7467783830 |
Segurança
| Função incorporada | Description | ID |
|---|---|---|
| Administrador de automação de conformidade de aplicativos | Crie, leia, baixe, modifique e exclua objetos de relatórios e outros objetos de recursos relacionados. | 0F37683F-2463-46B6-9CE7-9B788B988BA2 |
| Leitor de automação de conformidade de aplicativos | Leia, baixe os objetos de relatórios e outros objetos de recursos relacionados. | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| Atestado Colaborador | Pode ler, gravar ou excluir a instância do provedor de atestado | BBF86EB8-F7B4-4CCE-96E4-18CDDF81D86E |
| Leitor de Atestado | Pode ler as propriedades do provedor de atestado | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Administrador do Cofre de Chaves | Execute todas as operações do plano de dados em um cofre de chaves e todos os objetos nele, incluindo certificados, chaves e segredos. Não é possível gerenciar recursos do cofre de chaves ou gerenciar atribuições de função. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Usuário do certificado do Key Vault | Leia o conteúdo do certificado. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Oficial de Certificados do Cofre de Chaves | Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | A4417E6F-FECD-4DE8-B567-7B0420556985 |
| Contribuidor do Key Vault | Gerencie cofres de chaves, mas não permite que você atribua funções no RBAC do Azure e não permite que você acesse segredos, chaves ou certificados. | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Responsável pela criptografia do Key Vault | Execute qualquer ação nas chaves de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 14B46E9E-C2B7-41B4-B07B-48A6EBF60603 |
| Usuário de criptografia do Key Vault Crypto Service | Leia metadados de chaves e execute operações de encapsulamento/desempacotamento. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | E147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Usuário do Key Vault Crypto Service Release | Teclas de liberação. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 08BBD89E-9F13-488C-AC41-ACFCB10C90AB |
| Key Vault Crypto Usuário | Execute operações criptográficas usando chaves. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 12338AF0-0E69-4776-BEA7-57AE8D297424 |
| Administrador de Acesso a Dados do Key Vault | Gerencie o acesso ao Cofre de Chaves do Azure adicionando ou removendo atribuições de função para as funções de Administrador do Cofre de Chaves, Oficial de Certificados do Cofre de Chaves, Oficial de Criptografia do Cofre de Chaves, Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves, Usuário de Criptografia do Cofre de Chaves, Leitor de Cofre de Chaves, Oficial de Segredos do Cofre de Chaves ou Usuário de Segredos do Cofre de Chaves. Inclui uma condição ABAC para restringir atribuições de função. | 8B54135C-B56D-4D72-A534-26097CFDC8D8 |
| Leitor Key Vault | Leia metadados de cofres de chaves e seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 21090545-7CA7-4776-B22C-E363652D74D2 |
| Oficial de Segredos do Cofre de Chaves | Execute qualquer ação nos segredos de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | B86A8FE4-44CE-4948-AEE5-ECCB2C155CD7 |
| Usuário do Key Vault Secrets | Leia conteúdos secretos. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 4633458b-17de-408a-b874-0445c86b69e6 |
| Contribuidor HSM gerenciado | Permite gerenciar pools de HSM gerenciados, mas não acessar a eles. | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Colaborador do Microsoft Sentinel Automation | Colaborador do Microsoft Sentinel Automation | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Colaborador do Microsoft Sentinel | Contribuidor do Microsoft Sentinel | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Operador do Microsoft Sentinel Playbook | Operador do Microsoft Sentinel Playbook | 51D6186E-6489-4900-B93F-92E23144CCA5 |
| Leitor Microsoft Sentinel | Leitor do Microsoft Sentinel | 8D289C81-5878-46D4-8554-54E1E3D8B5CB |
| Respondente do Microsoft Sentinel | Respondedor do Microsoft Sentinel | 3E150937-B8FE-4CFB-8069-0EAF05ECD056 |
| Administrador de Segurança | Exiba e atualize as permissões do Microsoft Defender for Cloud. Mesmas permissões que a função Leitor de Segurança e também pode atualizar a política de segurança e descartar alertas e recomendações. Para Microsoft Defender para IoT, consulte Funções de usuário do Azure para monitoramento de OT e Enterprise IoT. |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| Contribuidor de Avaliação de Segurança | Permite enviar avaliações por push para o Microsoft Defender for Cloud | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| Gerente de Segurança (Legado) | Este é um papel legado. Em vez disso, use o administrador de segurança. | E3D13BF0-DD5A-482E-BA6B-9B8433878D10 |
| Leitor de Segurança | Exiba permissões para o Microsoft Defender for Cloud. Pode exibir recomendações, alertas, uma diretiva de segurança e estados de segurança, mas não pode fazer alterações. Para Microsoft Defender para IoT, consulte Funções de usuário do Azure para monitoramento de OT e Enterprise IoT. |
39BC4728-0917-49C7-9D2C-D95423BC2EB4 |
DevOps
| Função incorporada | Description | ID |
|---|---|---|
| Usuário do DevTest Labs | Permite que você conecte, inicie, reinicie e desligue suas máquinas virtuais em seus Laboratórios de Desenvolvimento do Azure. | 76283E04-6283-4C54-8F91-BCF1374A3C64 |
| Assistente de Laboratório | Permite visualizar um laboratório existente, executar ações nas VMs do laboratório e enviar convites para o laboratório. | ce40b423-cede-4313-a93f-9b28290b72e1 |
| Colaborador do Laboratório | Aplicado a nível de laboratório, permite-lhe gerir o laboratório. Aplicado em um grupo de recursos, permite criar e gerenciar laboratórios. | 5daaa2af-1fe8-407c-9122-bba179798270 |
| Criador de laboratório | Permite criar novos laboratórios em suas Contas de Laboratório do Azure. | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| Operador de Laboratório | Oferece capacidade limitada de gerenciar laboratórios existentes. | A36E6959-B6BE-4B12-8E9F-EF4B474D304D |
| Colaborador de Serviços de Laboratório | Permite controlar totalmente todos os cenários do Lab Services no grupo de recursos. | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| Leitor de serviços de laboratório | Permite visualizar, mas não alterar, todos os planos e recursos de laboratório. | 2A5C394F-5EB7-4D4F-9C8E-E8EAE39FAEBC |
| Contribuidor de teste de carga | Visualize, crie, atualize, exclua e execute testes de carga. Exiba e liste recursos de teste de carga, mas não pode fazer alterações. | 749a398d-560b-491b-bb21-08924219302e |
| Proprietário do teste de carga | Executar todas as operações em recursos de teste de carga e testes de carga | 45BB0B16-2F0C-4E78-AFAA-A07599B003F6 |
| Leitor de teste de carga | Exibir e listar todos os testes de carga e recursos de teste de carga, mas não pode fazer alterações | 3AE3FB29-0000-4CCD-BF80-542E7B26E081 |
Monitor
| Função incorporada | Description | ID |
|---|---|---|
| Colaborador do componente Application Insights | Pode gerenciar componentes do Application Insights | AE349356-3A1B-4A5E-921D-050484C6347E |
| Depurador de instantâneo do Application Insights | Dá permissão ao usuário para exibir e baixar instantâneos de depuração coletados com o Application Insights Snapshot Debugger. Observe que essas permissões não estão incluídas nas funções de Proprietário ou Colaborador . Ao conceder aos usuários a função de Depurador de Instantâneo do Application Insights, você deve conceder a função diretamente ao usuário. A função não é reconhecida quando é adicionada a uma função personalizada. | 08954F03-6346-4C2E-81C0-EC3A5CFAE23B |
| Grafana Admin | Execute todas as operações do Grafana, incluindo a capacidade de gerenciar fontes de dados, criar painéis e gerenciar atribuições de função no Grafana. | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana Editor | Visualize e edite uma instância do Grafana, incluindo seus painéis e alertas. | A79A5197-3A5C-4973-A920-486035FFD60F |
| Visualizador Grafana | Visualize uma instância do Grafana, incluindo seus painéis e alertas. | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Contribuidor de Monitorização | Pode ler todos os dados de monitoramento e editar as configurações de monitoramento. Consulte também Introdução às funções, permissões e segurança com o Azure Monitor. | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| Editor de Métricas de Monitoramento | Permite a publicação de métricas em relação aos recursos do Azure | 3913510D-42F4-4E42-8A64-420C390055EB |
| Leitor de Monitorização | Pode ler todos os dados de monitoramento (métricas, logs, etc.). Consulte também Introdução às funções, permissões e segurança com o Azure Monitor. | 43D0D8AD-25C7-4714-9337-8BA259A9FE05 |
| Contribuidor da pasta de trabalho | Pode salvar pastas de trabalho compartilhadas. | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| Leitor de pasta de trabalho | Pode ler pastas de trabalho. | B279062A-9BE3-42A0-92AE-8B3CF002EC4D |
Gestão e governação
| Função incorporada | Description | ID |
|---|---|---|
| Colaborador de automação | Gerencie recursos de Automação do Azure e outros recursos usando a Automação do Azure. | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| Operador de Trabalho de Automação | Crie e gerencie trabalhos usando runbooks de automação. | 4FE576FE-1146-4730-92EB-48519FA6BF9F |
| Operador de Automação | Os operadores de automação podem iniciar, parar, suspender e retomar trabalhos | d3881f73-407a-4167-8283-e981cbba0404 |
| Operador de Runbook de Automação | Leia as propriedades do Runbook - para poder criar Jobs do runbook. | 5FB5AEF8-1081-4B8E-BB16-9D5D0385BAB5 |
| Integração de Máquina Conectada do Azure | Pode integrar o Azure Connected Machines. | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Azure Connected Machine Resource Administrator | Pode ler, escrever, eliminar e voltar a integrar as Máquinas Ligadas do Azure. | CD570A14-E51A-42AD-BAC8-BAFD67325302 |
| Azure Connected Machine Resource Manager | Função personalizada para AzureStackHCI RP para gerenciar máquinas de computação híbridas e pontos de extremidade de conectividade híbrida em um grupo de recursos | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| Leitor de Faturação | Permite acesso de leitura aos dados de faturação | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| Contribuidor do Blueprint | Pode gerenciar definições de blueprint, mas não atribuí-las. | 41077137-E803-4205-871C-5A86E6A753B4 |
| Operador de Blueprint | Pode atribuir esquemas publicados existentes, mas não pode criar novos esquemas. Observe que isso só funciona se a atribuição for feita com uma identidade gerenciada atribuída pelo usuário. | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| Leitor de otimização de carbono | Permitir acesso de leitura aos dados do Azure Carbon Optimization | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| Colaborador de Gestão de Custos | Pode visualizar custos e gerenciar a configuração de custos (por exemplo, orçamentos, exportações) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| Leitor de Gestão de Custos | Pode visualizar dados de custos e configuração (por exemplo, orçamentos, exportações) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| Administrador de Configurações de Hierarquia | Permite que os usuários editem e excluam as Configurações de Hierarquia | 350F8D15-C687-4448-8AE1-157740A3936D |
| Função de Colaborador de Aplicativo Gerenciado | Permite a criação de recursos de aplicativos gerenciados. | 641177b8-a67a-45b9-a033-47bc880bb21e |
| Função de Operador de Aplicativo Gerenciado | Permite ler e executar ações em recursos de aplicativos gerenciados | C7393B34-138C-406F-901B-D8CF2B17E6AE |
| Leitor de aplicativos gerenciados | Permite ler recursos em um aplicativo gerenciado e solicitar acesso JIT. | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| Atribuição de Registro de Serviços Gerenciados Excluir Função | A Função de Exclusão de Atribuição de Registro de Serviços Gerenciados permite que os usuários locatários gerenciadores excluam a atribuição de registro atribuída ao locatário. | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| Colaborador do Grupo de Gestão | Função de Colaborador do Grupo de Gestão | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| Leitor de Grupo de Gestão | Função de Leitor do Grupo de Gestão | ac63b705-f282-497d-ac71-919bf39d939d |
| Novo Colaborador da Conta APM da Relíquia | Permite gerenciar contas e aplicativos do New Relic Application Performance Management, mas não acessar a eles. | 5D28C62D-5B37-4476-8438-E587778DF237 |
| Gravador de dados do Policy Insights (visualização) | Permite acesso de leitura a políticas de recursos e acesso de gravação a eventos de política de componentes de recursos. | 66BB4E9E-B016-4A94-8249-4C0511C2BE84 |
| Operador de Solicitação de Cota | Leia e crie solicitações de cota, obtenha o status da solicitação de cota e crie tíquetes de suporte. | 0E5F05E5-9AB9-446B-B98D-1E2157C94125 |
| Comprador de Reservas | Permite comprar reservas | F7B75C60-3036-4B75-91C3-6B41C27C1689 |
| Administrador de Reservas | Permite ler e gerir todas as reservas num inquilino | A8889054-8D42-49C9-BC1C-52486C10E7CD |
| Leitor de Reservas | Permite ler todas as reservas em um inquilino | 582fc458-8989-419f-a480-75249bc5db7e |
| Contribuidor de Política de Recursos | Usuários com direitos para criar/modificar a política de recursos, criar tíquete de suporte e ler recursos/hierarquia. | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| Contribuidor de aplicação de patches agendado | Fornece acesso para gerenciar configurações de manutenção com escopo de manutenção InGuestPatch e atribuições de configuração correspondentes | CD08AB90-6B14-449C-AD9A-8F8E549482C6 |
| Contribuidor do Site Recovery | Permite gerenciar o serviço de Recuperação de Site, exceto a criação de cofres e a atribuição de funções | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Operador do Site Recovery | Permite failover e failback, mas não executa outras operações de gerenciamento de Recuperação de Site | 494AE006-DB33-4328-BF46-533A6560A3CA |
| Leitor do Site Recovery | Permite visualizar o status da Recuperação de Site, mas não executar outras operações de gerenciamento | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| Contribuidor de solicitação de suporte | Permite criar e gerenciar solicitações de suporte | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| Contribuidor de tags | Permite gerenciar tags em entidades, sem fornecer acesso às próprias entidades. | 4A9AE827-6DC8-4573-8AC7-8239D42AA03F |
| Contribuidor de especificações de modelo | Permite acesso total às operações de Especificação de modelo no escopo atribuído. | 1C9B6475-CAF0-4164-B5A1-2142A7116F4B |
| Leitor de especificações de modelo | Permite acesso de leitura às Especificações do Modelo no escopo atribuído. | 392AE280-861D-42BD-9EA5-08EE6D83B80E |
Híbrido + multicloud
| Função incorporada | Description | ID |
|---|---|---|
| Função de Implantação da Ponte de Recursos do Azure | Função de Implantação da Ponte de Recursos do Azure | 7B1F81F9-4196-4058-8AAE-762E593270DF |
| Azure Stack HCI Administrator | Concede acesso total ao cluster e seus recursos, incluindo a capacidade de registrar o Azure Stack HCI e atribuir outras pessoas como Colaborador de VM do Azure Arc HCI e/ou Leitor de VM do Azure Arc HCI | BDA0D508-ADF1-4AF0-9C28-88919FC3AE06 |
| Função de Gerenciamento de Dispositivos HCI do Azure Stack | Função de gerenciamento de dispositivos Microsoft.AzureStackHCI | 865AE368-6A45-4BD1-8FBF-0D5151F56FC1 |
| Azure Stack HCI VM Contributor | Concede permissões para executar todas as ações da VM | 874D1C73-6003-4E60-A13A-CB31EA190A85 |
| Azure Stack HCI VM Reader | Concede permissões para exibir VMs | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Proprietário do Registro do Azure Stack | Permite gerenciar registros do Azure Stack. | 6F12A6DF-DD06-4F3E-BCB1-CE8BE600526A |