Inbyggda roller i Azure

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) har flera inbyggda Azure-roller som du kan tilldela användare, grupper, tjänstens huvudnamn och hanterade identiteter. Rolltilldelningar är det sätt på vilket du styr åtkomsten till Azure-resurser. Om de inbyggda rollerna inte uppfyller organisationens specifika behov kan du skapa egna anpassade Azure-roller. Information om hur du tilldelar roller finns i Steg för att tilldela en Azure-roll.

I den här artikeln visas de inbyggda Rollerna i Azure. Om du letar efter administratörsroller för Microsoft Entra-ID kan du läsa inbyggda Roller i Microsoft Entra.

Följande tabell innehåller en kort beskrivning av varje inbyggd roll. Klicka på rollnamnet för att se listan med Actions, NotActions, DataActionsoch NotDataActions för varje roll. Information om vad dessa åtgärder innebär och hur de gäller för kontroll- och dataplan finns i Förstå Rolldefinitioner för Azure.

Allmänt

Inbyggd roll beskrivning ID
Deltagare Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure RBAC, hanterar tilldelningar i Azure Blueprints eller delar bildgallerier. b24988ac-6180-42a0-ab88-20f7382dd24c
Ägare Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC. 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Läsare Visa alla resurser, men tillåter inte att du gör några ändringar. acdd72a7-3385-48ef-bd42-f606fba81ae7
Administratör för rollbaserad åtkomstkontroll Hantera åtkomst till Azure-resurser genom att tilldela roller med hjälp av Azure RBAC. Med den här rollen kan du inte hantera åtkomst på andra sätt, till exempel Azure Policy. f58310d9-a9f6-439a-9e8d-f62e7b41a168
Administratör för användaråtkomst Gör att du kan hantera användaråtkomst till Azure-resurser. 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9

Compute

Inbyggd roll beskrivning ID
Klassisk virtuell datordeltagare Låter dig hantera klassiska virtuella datorer, men inte åtkomst till dem, och inte det virtuella nätverk eller lagringskonto som de är anslutna till. d73bb868-a0df-4d4d-bd69-98a00b01fccb
Dataoperator för hanterade diskar Ger behörighet att ladda upp data till tomma hanterade diskar, läsa eller exportera data för hanterade diskar (inte anslutna till virtuella datorer som körs) och ögonblicksbilder med hjälp av SAS-URI:er och Azure AD-autentisering. 959f8984-c045-4866-89c7-12bf9737be2e
Deltagare i virtualiseringsprogramgrupp för skrivbord Deltagare i programgruppen för skrivbordsvirtualisering. 86240b0e-9422-4c43-887b-b61143f32ba8
Programgruppläsare för virtualisering av skrivbordsvirtualisering Läsare av programgruppen för skrivbordsvirtualisering. aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
Virtualiseringsdeltagare för skrivbord Deltagare i Skrivbordsvirtualisering. 082f0a83-3be5-4ba1-904c-961cca79b387
Deltagare i värdpoolen för virtualisering av skrivbordsvirtualisering Deltagare i värdpoolen för skrivbordsvirtualisering. e307426c-f9b6-4e81-87de-d99efb3c32bc
Värdpoolläsare för virtualisering av skrivbordsvirtualisering Läsare av värdpoolen för skrivbordsvirtualisering. ceadfde2-b300-400a-ab7b-6143895aa822
Virtualiseringsläsare för skrivbord Läsare av skrivbordsvirtualisering. 49a72310-ab8d-41df-bbb0-79b649203868
Värdoperator för skrivbordsvirtualiseringssession Operator för sessionsvärden för skrivbordsvirtualisering. 2ad6aaab-ead9-4eaa-8ac5-da422f562408
Användare av skrivbordsvirtualisering Tillåter att användaren använder programmen i en programgrupp. 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
Användarsessionsoperator för skrivbordsvirtualisering Operatör för användarsessionen för skrivbordsvirtualisering. ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
Deltagare i virtualisering av skrivbordsarbetsyta Deltagare i arbetsytan Skrivbordsvirtualisering. 21efdde3-836f-432b-bf3d-3e8e734d4b2b
Desktop Virtualization Workspace Reader Läsare av arbetsytan Skrivbordsvirtualisering. 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
Disksäkerhetskopieringsläsare Ger behörighet att säkerhetskopiera valv för att utföra disksäkerhetskopiering. 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
Diskpooloperator Ge behörighet till StoragePool-resursprovidern för att hantera diskar som lagts till i en diskpool. 60fc6e62-5479-42d4-8bf4-67625fcc2840
Diskåterställningsoperator Ger behörighet att säkerhetskopiera valvet för att utföra diskåterställning. b50d9833-a0cb-478e-945f-707fcc997c13
Deltagare i diskögonblicksbild Ger behörighet att säkerhetskopiera valvet för att hantera diskögonblicksbilder. 7efff54f-a5b4-42b5-a1c5-5411624893ce
Administratörsinloggning för virtuell dator Visa virtuella datorer i portalen och logga in som administratör 1c0163c0-47e6-4577-8991-ea5c82e286e4
Virtuell datordeltagare Skapa och hantera virtuella datorer, hantera diskar, installera och köra programvara, återställa lösenord för rotanvändaren på den virtuella datorn med hjälp av VM-tillägg och hantera lokala användarkonton med hjälp av VM-tillägg. Den här rollen ger dig inte hanteringsåtkomst till det virtuella nätverk eller lagringskonto som de virtuella datorerna är anslutna till. Med den här rollen kan du inte tilldela roller i Azure RBAC. 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Administratör för dataåtkomst för virtuell dator (förhandsversion) Hantera åtkomst till virtuella datorer genom att lägga till eller ta bort rolltilldelningar för inloggningsrollen för virtuell datoradministratör och användarinloggning för virtuella datorer. Innehåller ett ABAC-villkor för att begränsa rolltilldelningar. 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04
Lokal inloggning för virtuell dator Visa virtuella datorer i portalen och logga in som en lokal användare som konfigurerats på arc-servern 602da2ba-a5c2-41da-b01d-5360126ab525
Användarinloggning för virtuell dator Visa virtuella datorer i portalen och logga in som en vanlig användare. fb879df8-f326-4884-b1cf-06f3ad86be52
Administratörsinloggning för Windows Admin Center Nu ska vi hantera operativsystemet för din resurs via Administrationscenter för Windows som administratör. a6333a3e-0164-44c3-b281-7a577aff287f

Nätverk

Inbyggd roll beskrivning ID
Azure Front Door-domändeltagare För internt bruk i Azure. Kan hantera Azure Front Door-domäner, men kan inte ge åtkomst till andra användare. 0ab34830-df19-4f8c-b84e-aa85b8afa6e8
Azure Front Door-domänläsare För internt bruk i Azure. Kan visa Azure Front Door-domäner, men kan inte göra ändringar. 0f99d363-226e-4dca-9920-b807cf8e1a5f
Azure Front Door-profilläsare Kan visa AFD-standard- och premiumprofiler och deras slutpunkter, men kan inte göra ändringar. 662802e2-50f6-46b0-aed2-e834bacc6d12
Hemlig Azure Front Door-deltagare För internt bruk i Azure. Kan hantera Azure Front Door-hemligheter, men kan inte bevilja åtkomst till andra användare. 3f2eb865-5811-4578-b90a-6fc6fa0df8e5
Hemlighetsläsare för Azure Front Door För internt bruk i Azure. Kan visa Azure Front Door-hemligheter, men kan inte göra ändringar. 0db238c4-885e-4c4f-a933-aa2cef684fca
CDN-slutpunktsdeltagare Kan hantera CDN-slutpunkter, men kan inte bevilja åtkomst till andra användare. 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
CDN-slutpunktsläsare Kan visa CDN-slutpunkter, men kan inte göra ändringar. 871e35f6-b5c1-49cc-a043-bde969a0f2cd
CDN-profildeltagare Kan hantera CDN- och Azure Front Door-standard- och premiumprofiler och deras slutpunkter, men kan inte ge åtkomst till andra användare. ec156ff8-a8d1-4d15-830c-5b80698ca432
CDN-profilläsare Kan visa CDN-profiler och deras slutpunkter, men kan inte göra ändringar. 8f96442b-4075-438f-813d-ad51ab4019af
Klassisk nätverksdeltagare Låter dig hantera klassiska nätverk, men inte åtkomst till dem. b34d265f-36f7-4a0d-a4d4-e158ca92e90f
DNS-zondeltagare Gör att du kan hantera DNS-zoner och postuppsättningar i Azure DNS, men du kan inte styra vem som har åtkomst till dem. befefa01-2a29-4197-83a8-272ff33ce314
Nätverksdeltagare Låter dig hantera nätverk, men inte åtkomst till dem. 4d97b98b-1d4f-4787-a291-c67834d212e7
Privat DNS zondeltagare Gör att du kan hantera privata DNS-zonresurser, men inte de virtuella nätverk som de är länkade till. b12aa53e-6015-4669-85d0-8515ebb3ae7f
Traffic Manager-deltagare Låter dig hantera Traffic Manager-profiler, men låter dig inte styra vem som har åtkomst till dem. a4b10055-b0c7-44c2-b00f-c7b5b3550cf7

Lagring

Inbyggd roll beskrivning ID
Avere-deltagare Kan skapa och hantera ett Avere vFXT-kluster. 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Avere-operator Används av Avere vFXT-klustret för att hantera klustret c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
Säkerhetskopieringsdeltagare Låter dig hantera säkerhetskopieringstjänsten, men kan inte skapa valv och ge åtkomst till andra 5e467623-bb1f-42f4-a55d-6e525e11384b
Säkerhetskopieringsoperator Gör att du kan hantera säkerhetskopieringstjänster, förutom att ta bort säkerhetskopiering, skapa valv och ge åtkomst till andra 00c29273-979b-4161-815c-10b084fb9324
Säkerhetskopieringsläsare Kan visa säkerhetskopieringstjänster, men kan inte göra ändringar a795c7a0-d4a2-40c1-ae25-d81f01202912
Klassisk lagringskontodeltagare Gör att du kan hantera klassiska lagringskonton, men inte åtkomst till dem. 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
Tjänstroll för nyckeloperator för klassiskt lagringskonto Nyckeloperatorer för klassiska lagringskonton kan visa och återskapa nycklar på klassiska lagringskonton 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Data Box-deltagare Gör att du kan hantera allt under Data Box Service förutom att ge åtkomst till andra. add466c9-e687-43fc-8d98-dfcf8d720be5
Data Box-läsare Gör att du kan hantera Data Box Service förutom att skapa beställnings- eller redigeringsorderinformation och ge åtkomst till andra. 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Data Lake Analytics-utvecklare Gör att du kan skicka, övervaka och hantera dina egna jobb men inte skapa eller ta bort Data Lake Analytics-konton. 47b7735b-770e-4598-a7da-8b91488b4c88
Defender för Storage Data Scanner Ger åtkomst till läsblobar och uppdatera indextaggar. Den här rollen används av dataskannern för Defender for Storage. 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40
Elastisk SAN-ägare Ger fullständig åtkomst till alla resurser under Azure Elastic SAN, inklusive ändring av nätverkssäkerhetsprinciper för att avblockera åtkomst till datasökväg 80dcbedb-47ef-405d-95bd-188a1b4ac406
Elastisk SAN-läsare Tillåter läsbehörighet för kontrollsökväg till Azure Elastic SAN af6a70f8-3c9f-4105-acf1-d719e9fca4ca
Elastic SAN Volume Group Owner Tillåter fullständig åtkomst till en volymgrupp i Azure Elastic SAN, inklusive ändring av nätverkssäkerhetsprinciper för att avblockera åtkomst till datasökväg a8281131-f312-4f34-8d98-ae12be9f0d23
Läsare och dataåtkomst Låter dig visa allt men låter dig inte ta bort eller skapa ett lagringskonto eller en innesluten resurs. Det ger också läs-/skrivåtkomst till alla data som finns i ett lagringskonto via åtkomst till lagringskontonycklar. c12c1c16-33a1-487b-954d-41c89c60f349
Deltagare i säkerhetskopiering av lagringskonto Gör att du kan utföra säkerhetskopierings- och återställningsåtgärder med hjälp av Azure Backup på lagringskontot. e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1
Lagringskontodeltagare Tillåter hantering av lagringskonton. Ger åtkomst till kontonyckeln, som kan användas för att komma åt data via auktorisering av delad nyckel. 17d1049b-9a84-46fb-8f53-869881c3d3ab
Tjänstroll för nyckeloperator för lagringskonto Tillåter att lagringskontots åtkomstnycklar listas och återskapas. 81a9662b-bebf-436f-a333-f67b29880f12
Storage Blob datadeltagare Läsa, skriva och radera Azure Storage-containrar och blobbar. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. ba92f5b4-2d11-453d-a403-e96b0029c9fe
Storage Blob Data-ägare Ger fullständig åtkomst till Azure Storage-blobcontainrar och data, inklusive tilldelning av POSIX-åtkomstkontroll. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. b7e6dc6d-f1e8-4753-8033-0f276bb0955b
Storage Blob Data-läsare Läsa och lista Azure Storage-containrar och blobar. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
Lagringsblobdelegering Hämta en användardelegeringsnyckel som sedan kan användas för att skapa en signatur för delad åtkomst för en container eller blob som är signerad med Azure AD-autentiseringsuppgifter. Mer information finns i Skapa en SAS för användardelegering. db58b8e5-c6ad-4a2a-8342-4190687cbf4a
Storage File Data Privileged-deltagare Tillåter läsning, skrivning, borttagning och ändring av ACL:er för filer/kataloger i Azure-filresurser genom att åsidosätta befintliga ACL:er/NTFS-behörigheter. Den här rollen har ingen inbyggd motsvarighet på Windows-filservrar. 69566ab7-960f-475b-8e7c-b3118f30c6bd
Lagringsfil, dataprivilegierad läsare Tillåter läsåtkomst för filer/kataloger i Azure-filresurser genom att åsidosätta befintliga ACL:er/NTFS-behörigheter. Den här rollen har ingen inbyggd motsvarighet på Windows-filservrar. b8eda974-7b85-4f76-af95-65846b26df6d
Storage File Data SMB-resursdeltagare Tillåter läs-, skriv- och borttagningsåtkomst för filer/kataloger i Azure-filresurser. Den här rollen har ingen inbyggd motsvarighet på Windows-filservrar. 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
Lagringsfildata SMB-resurs förhöjd deltagare Tillåter läsning, skrivning, borttagning och ändring av ACL:er för filer/kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för ändring på Windows-filservrar. a7264617-510b-434b-a828-9731dc254ea7
Storage File Data SMB Share Reader Tillåter läsåtkomst för filer/kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för läsning på Windows-filservrar. aba4ae5f-2193-4029-9191-0cb91df5e314
Lagringsködatadeltagare Läsa, skriva och ta bort Azure Storage-köer och kömeddelanden. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. 974c5e8b-45b9-4653-ba55-5f855dd0fb88
Datameddelandeprocessor för lagringskö Granska, hämta och ta bort ett meddelande från en Azure Storage-kö. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. 8a0f0c08-91a1-4084-bc3d-661d67233fed
Meddelandesändare för lagringskö Lägg till meddelanden i en Azure Storage-kö. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
Dataläsare för lagringskö Läsa och lista Azure Storage-köer och kömeddelanden. Information om vilka åtgärder som krävs för en viss dataåtgärd finns i Behörigheter för att anropa dataåtgärder. 19e7f393-937e-4f77-808e-94535e297925
Storage Table Data-deltagare Tillåter läs-, skriv- och borttagningsåtkomst till Azure Storage-tabeller och entiteter 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3
Dataläsare för lagringstabell Tillåter läsåtkomst till Azure Storage-tabeller och entiteter 76199698-9eea-4c19-bc75-cec21354c6b6

Webb och mobil

Inbyggd roll beskrivning ID
Azure Kartor-datadeltagare Ger åtkomst till läs-, skriv- och borttagningsåtkomst för att mappa relaterade data från ett Azure Maps-konto. 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204
Azure Kartor-dataläsare Ger åtkomst till läsmappningsrelaterade data från ett Azure Maps-konto. 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Azure Spring Cloud Config Server-deltagare Tillåt läs-, skriv- och borttagningsåtkomst till Azure Spring Cloud Config Server a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b
Azure Spring Cloud Config Server Reader Tillåt läsåtkomst till Azure Spring Cloud Config Server d04c6db6-4947-4782-9e91-30a88feb7be7
Azure Spring Cloud Data Reader Tillåt läsåtkomst till Azure Spring Cloud Data b5537268-8956-4941-a8f0-646150406f0c
Azure Spring Cloud Service Registry-deltagare Tillåt läs-, skriv- och borttagningsåtkomst till Azure Spring Cloud Service Registry f5880b48-c26d-48be-b172-7927bfa1c8f1
Registerläsare för Azure Spring Cloud Service Tillåt läsåtkomst till Azure Spring Cloud Service Registry cff1b556-2399-4e7e-856d-a8f754be7b65
Media Services-kontoadministratör Skapa, läsa, ändra och ta bort Media Services-konton; skrivskyddad åtkomst till andra Media Services-resurser. 054126f8-9a2b-4f1c-a9ad-eca461f08466
Media Services Live Events-administratör Skapa, läsa, ändra och ta bort livehändelser, tillgångar, tillgångsfilter och positionerare för direktuppspelning. skrivskyddad åtkomst till andra Media Services-resurser. 532bc159-b25e-42c0-969e-a1d439f60d77
Media Services Media Operator Skapa, läsa, ändra och ta bort tillgångar, tillgångsfilter, positionerare för direktuppspelning och jobb. skrivskyddad åtkomst till andra Media Services-resurser. e4395492-1534-4db2-bedf-88c14621589c
Principadministratör för Media Services Skapa, läsa, ändra och ta bort kontofilter, strömningsprinciper, innehållsnyckelprinciper och transformeringar. skrivskyddad åtkomst till andra Media Services-resurser. Det går inte att skapa jobb, tillgångar eller strömmande resurser. c4bba371-dacd-4a26-b320-7250bca963ae
Administratör för Media Services-slutpunkter för direktuppspelning Skapa, läsa, ändra och ta bort slutpunkter för direktuppspelning. skrivskyddad åtkomst till andra Media Services-resurser. 99dba123-b5fe-44d5-874c-ced7199a5804
SignalR AccessKey-läsare Läs SignalR Service-åtkomstnycklar 04165923-9d83-45d5-8227-78b77b0a687e
SignalR App Server Låter appservern komma åt SignalR Service med AAD-autentiseringsalternativ. 420fcaa2-552c-430f-98ca-3264be4806c7
SignalR REST API-ägare Fullständig åtkomst till REST-API:er för Azure SignalR Service fd53cd77-2268-407a-8f46-7e7863d0f521
SignalR REST API-läsare Skrivskyddad åtkomst till REST-API:er för Azure SignalR Service ddde6b66-c0df-4114-a159-3618637b3035
SignalR Service-ägare Fullständig åtkomst till REST-API:er för Azure SignalR Service 7e4f1700-ea5a-4f59-8f37-079cfe29dce3
SignalR/Web PubSub-deltagare Skapa, läsa, uppdatera och ta bort SignalR-tjänstresurser 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Webbplansdeltagare Hantera webbplaner för webbplatser. Tillåter inte att du tilldelar roller i Azure RBAC. 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Webbplatsdeltagare Hantera webbplatser, men inte webbplaner. Tillåter inte att du tilldelar roller i Azure RBAC. de139f84-1756-47ae-9be6-808fbbe84772

Containers

Inbyggd roll beskrivning ID
AcrDelete Ta bort lagringsplatser, taggar eller manifest från ett containerregister. c2f4ef07-c644-48eb-af81-4b1b4947fb11
AcrImageSigner Skicka betrodda avbildningar till eller hämta betrodda avbildningar från ett containerregister som är aktiverat för innehållsförtroende. 6cef56e8-d556-48e5-a04f-b8e64114680f
AcrPull Hämta artefakter från ett containerregister. 7f951dda-4ed3-4680-a7ca-43fe172d538d
AcrPush Skicka artefakter till eller hämta artefakter från ett containerregister. 8311e382-0749-4cb8-b61a-304f252e45ec
AcrQuarantineReader Hämta avbildningar i karantän från ett containerregister. cdda3590-29a3-44f6-95f2-9f980659eb04
AcrQuarantineWriter Skicka avbildningar i karantän till eller hämta avbildningar i karantän från ett containerregister. c8d4ff99-41c3-41a8-9f60-21dfdad59608
Användarroll för Azure Arc-aktiverade Kubernetes-kluster Visa en lista över autentiseringsuppgifter för klusteranvändare. 00493d72-78f6-4148-b6c5-d3ce8e4799ddd
Azure Arc Kubernetes-administratör Gör att du kan hantera alla resurser under kluster/namnområde, förutom uppdatera eller ta bort resurskvoter och namnområden. dffb1e0c-446f-4dde-a09f-99eb5cc68b96
Azure Arc Kubernetes-klusteradministratör Gör att du kan hantera alla resurser i klustret. 8393591c-06b9-48a2-a542-1bd6b377f6a2
Azure Arc Kubernetes Viewer Gör att du kan visa alla resurser i kluster/namnrymd, förutom hemligheter. 63f0a09d-1495-4db4-a681-037d84835eb4
Azure Arc Kubernetes Writer Gör att du kan uppdatera allt i kluster/namnområde, förutom (kluster)roller och (kluster)rollbindningar. 5b999177-9696-4545-85c7-50de3797e5a1
Azure Kubernetes Fleet Manager-deltagarroll Ger läs-/skrivåtkomst till Azure-resurser som tillhandahålls av Azure Kubernetes Fleet Manager, inklusive flottor, medlemmar i flottan, uppdateringsstrategier för flottan, uppdateringskörningar för flottan osv. 63bb64ad-9799-4770-b5c3-24ed299a07bf
RBAC-administratör för Azure Kubernetes Fleet Manager Ger läs-/skrivåtkomst till Kubernetes-resurser i ett namnområde i det flotthanterade hubbklustret – ger skrivbehörigheter för de flesta objekt i ett namnområde, med undantag för ResourceQuota-objektet och själva namnområdesobjektet. Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. 434fb43a-c01c-447e-9f67-c3ad923cfaba
Azure Kubernetes Fleet Manager RBAC-klusteradministratör Ger läs-/skrivåtkomst till alla Kubernetes-resurser i det vagnparkshanterade hubbklustret. 18ab4d3d-a1bf-4477-8ad9-8359bc988f69
RBAC-läsare för Azure Kubernetes Fleet Manager Ger skrivskyddad åtkomst till de flesta Kubernetes-resurser i ett namnområde i det flotthanterade hubbklustret. Det tillåter inte visning av roller eller rollbindningar. Den här rollen tillåter inte visning av hemligheter eftersom läsning av innehållet i Hemligheter ger åtkomst till ServiceAccount-autentiseringsuppgifter i namnområdet, vilket skulle tillåta API-åtkomst som alla ServiceAccount i namnområdet (en form av eskalering av privilegier). Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. 30b27cfc-9c84-438e-b0ce-70e35255df80
Azure Kubernetes Fleet Manager RBAC Writer Ger läs-/skrivåtkomst till de flesta Kubernetes-resurser i ett namnområde i det vagnparkshanterade hubbklustret. Den här rollen tillåter inte visning eller ändring av roller eller rollbindningar. Den här rollen tillåter dock åtkomst till hemligheter som alla ServiceAccount i namnområdet, så den kan användas för att få API-åtkomstnivåerna för alla ServiceAccount i namnområdet.  Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. 5af6afb3-c06c-4fa4-8848-71a8aee05683
Administratörsroll för Azure Kubernetes-tjänstkluster Visa en lista över åtgärden för klusteradministratörsautentiseringsuppgifter. 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
Azure Kubernetes Service-klusterövervakningsanvändare Visa en lista över åtgärder för klusterövervakning av användarautentiseringsuppgifter. 1afdec4b-e479-420e-99e7-f82237c7c5e6
Användarroll för Azure Kubernetes Service-kluster Visa en lista över autentiseringsuppgifter för klusteranvändare. 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Azure Kubernetes-tjänstens deltagarroll Ger åtkomst till att läsa och skriva Azure Kubernetes Service-kluster ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8
RBAC-administratör för Azure Kubernetes Service Gör att du kan hantera alla resurser under kluster/namnområde, förutom uppdatera eller ta bort resurskvoter och namnområden. 3498e952-d568-435e-9b2c-8d77e338d7f7
RBAC-klusteradministratör för Azure Kubernetes Service Gör att du kan hantera alla resurser i klustret. b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b
RBAC-läsare för Azure Kubernetes Service Tillåter skrivskyddad åtkomst för att se de flesta objekt i ett namnområde. Det tillåter inte visning av roller eller rollbindningar. Den här rollen tillåter inte visning av hemligheter eftersom läsning av innehållet i Hemligheter ger åtkomst till ServiceAccount-autentiseringsuppgifter i namnområdet, vilket skulle tillåta API-åtkomst som alla ServiceAccount i namnområdet (en form av eskalering av privilegier). Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. 7f6c6a51-bcf8-42ba-9220-52d62157d7db
Azure Kubernetes Service RBAC Writer Tillåter läs-/skrivåtkomst till de flesta objekt i ett namnområde. Den här rollen tillåter inte visning eller ändring av roller eller rollbindningar. Den här rollen tillåter dock åtkomst till hemligheter och poddar som alla ServiceAccount i namnområdet, så den kan användas för att få API-åtkomstnivåerna för alla ServiceAccount i namnområdet. Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb
Kubernetes Agentless Operator Beviljar Microsoft Defender för molnet åtkomst till Azure Kubernetes Services d5a2ae44-610b-4500-93be-660a0c5f5ca6
Kubernetes-kluster – Azure Arc-registrering Rolldefinition för att auktorisera alla användare/tjänster för att skapa en anslutenKlusterresurs 34e09817-6cbe-4d01-b1a2-e0eac5743d41
Kubernetes-tilläggsdeltagare Kan skapa, uppdatera, hämta, lista och ta bort Kubernetes-tillägg och hämta asynkrona tilläggsåtgärder 85cb6faf-e071-4c9b-8136-154b5a04f717

Databaser

Inbyggd roll beskrivning ID
Azure Anslut baserad SQL Server-registrering Tillåter läs- och skrivåtkomst till Azure-resurser för SQL Server på Arc-aktiverade servrar. e8113dce-c529-4d33-91fa-e9b972617508
Cosmos DB-kontoläsarroll Kan läsa Azure Cosmos DB-kontodata. Se DocumentDB-kontodeltagare för att hantera Azure Cosmos DB-konton. fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Cosmos DB-operator Gör att du kan hantera Azure Cosmos DB-konton, men inte komma åt data i dem. Förhindrar åtkomst till kontonycklar och anslutningssträng. 230815da-be43-4aae-9cb4-875f7bd000aa
CosmosBackupOperator Kan skicka en återställningsbegäran för en Cosmos DB-databas eller en container för ett konto db7b14f2-5adf-42da-9f96-f2ee17bab5cb
CosmosRestoreOperator Kan utföra återställningsåtgärden för Cosmos DB-databaskontot med läget för kontinuerlig säkerhetskopiering 5432c526-bc82-444a-b7ba-57c5b0b5b34f
DocumentDB-kontodeltagare Kan hantera Azure Cosmos DB-konton. Azure Cosmos DB kallas tidigare DocumentDB. 5bd9cd88-fe45-4216-938b-f97437e15450
Redis Cache-deltagare Låter dig hantera Redis-cacheminnen, men inte åtkomst till dem. e0f68234-74aa-48ed-b826-c38b57376e17
SQL DB-deltagare Låter dig hantera SQL-databaser, men inte åtkomst till dem. Du kan inte heller hantera deras säkerhetsrelaterade principer eller deras överordnade SQL-servrar. 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
Sql Managed Instance-deltagare Gör att du kan hantera SQL Managed Instances och nödvändig nätverkskonfiguration, men inte ge åtkomst till andra. 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
SQL-säkerhetshanteraren Gör att du kan hantera säkerhetsrelaterade principer för SQL-servrar och -databaser, men inte åtkomst till dem. 056cd41c-7e88-42e1-933e-88ba6a50c9c3
SQL Server-deltagare Låter dig hantera SQL-servrar och databaser, men inte åtkomst till dem, och inte deras säkerhetsrelaterade principer. 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437

Analys

Inbyggd roll beskrivning ID
Azure Event Hubs-dataägare Ger fullständig åtkomst till Azure Event Hubs-resurser. f526a384-b230-433a-b45c-95f59c4a2dec
Azure Event Hubs-datamottagare Tillåter åtkomst till Azure Event Hubs-resurser. a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Azure Event Hubs Data Sender Tillåter sändningsåtkomst till Azure Event Hubs-resurser. 2b629674-e913-4c01-ae53-ef4638d8f975
Data Factory-deltagare Skapa och hantera datafabriker samt underordnade resurser i dem. 673868aa-7521-48a0-acc6-0f60742d39f5
Datarensning Ta bort privata data från en Log Analytics-arbetsyta. 150f5e0c-0603-4f03-8c7f-cf70034c4e90
HDInsight-klusteroperator Gör att du kan läsa och ändra HDInsight-klusterkonfigurationer. 61ed4efc-fab3-44fd-b111-e24485cc132a
HDInsight Domain Services-deltagare Kan läsa, skapa, ändra och ta bort domäntjänster relaterade åtgärder som behövs för HDInsight Enterprise Security Package 8d8d5a11-05d3-4bda-a417-a08778121c7c
Log Analytics Contributor Log Analytics-deltagare kan läsa alla övervakningsdata och redigera övervakningsinställningar. Redigering av övervakningsinställningar omfattar att lägga till VM-tillägget till virtuella datorer. läsa lagringskontonycklar för att kunna konfigurera insamling av loggar från Azure Storage. lägga till lösningar. och konfigurera Azure-diagnostik på alla Azure-resurser. 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Log Analytics-läsare Log Analytics-läsare kan visa och söka efter alla övervakningsdata samt visa övervakningsinställningar, inklusive att visa konfigurationen av Azure-diagnostik på alla Azure-resurser. 73c42c96-874c-492b-b04d-ab87d138a893
Schemaregisterdeltagare (förhandsversion) Läsa, skriva och ta bort schemaregistergrupper och scheman. 5dffeca3-4936-4216-b2bc-10343a5abb25
Schema registry reader (förhandsversion) Läsa och lista schemaregistergrupper och scheman. 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2
Stream Analytics-frågetestare Gör att du kan utföra frågetestning utan att skapa ett stream analytics-jobb först 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf

AI + maskininlärning

Inbyggd roll beskrivning ID
AzureML-beräkningsoperator Kan komma åt och utföra CRUD-åtgärder på hanterade beräkningsresurser för Machine Learning Services (inklusive virtuella notebook-datorer). e503ece1-11d0-4e8e-8e2c-7a6c3bf38815
AzureML-Dataforskare Kan utföra alla åtgärder på en Azure Machine Learning-arbetsyta, förutom att skapa eller ta bort beräkningsresurser och ändra själva arbetsytan. f6c7c914-8db3-469d-8ca1-694a8f32e121
Cognitive Services-deltagare Gör att du kan skapa, läsa, uppdatera, ta bort och hantera nycklar för Cognitive Services. 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
Cognitive Services Custom Vision-deltagare Fullständig åtkomst till projektet, inklusive möjligheten att visa, skapa, redigera eller ta bort projekt. c1ff6cc2-c111-46fe-8896-e0ef812ad9f3
Distribution av Custom Vision för Cognitive Services Publicera, avpublicera eller exportera modeller. Distributionen kan visa projektet men kan inte uppdateras. 5c4089e1-6d96-4d2f-b296-c1bc7137275f
Cognitive Services Custom Vision Labeler Visa, redigera träningsbilder och skapa, lägga till, ta bort eller ta bort bildtaggar. Etiketter kan visa projektet men kan inte uppdatera något annat än träningsbilder och taggar. 88424f51-ebe7-446f-bc41-7fa16989e96c
Cognitive Services Custom Vision Reader Skrivskyddade åtgärder i projektet. Läsare kan inte skapa eller uppdatera projektet. 93586559-c37d-4a6b-ba08-b9f0940c2d73
Cognitive Services Custom Vision Trainer Visa, redigera projekt och träna modellerna, inklusive möjligheten att publicera, avpublicera, exportera modellerna. Utbildare kan inte skapa eller ta bort projektet. 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b
Cognitive Services-dataläsare (förhandsversion) Låter dig läsa Cognitive Services-data. b59867f0-fa02-499b-be73-45a86b5b3e1c
Ansiktsigenkänning för Cognitive Services Gör att du kan identifiera, verifiera, identifiera, gruppera och hitta liknande åtgärder i Ansikts-API. Den här rollen tillåter inte åtgärder för att skapa eller ta bort, vilket gör den lämplig för slutpunkter som bara behöver slutsatsdragningsfunktioner, enligt bästa praxis för "lägsta behörighet". 9894cab4-e18a-44aa-828b-cb588cd6f2d7
Administratör för Cognitive Services Metrics Advisor Fullständig åtkomst till projektet, inklusive konfiguration på systemnivå. cb43c632-a144-4ec5-977c-e80c4affc34a
Cognitive Services OpenAI-deltagare Fullständig åtkomst, inklusive möjligheten att finjustera, distribuera och generera text a001fd3d-188f-4b5d-821b-7da978bf7442
Cognitive Services OpenAI-användare Läsbehörighet för att visa filer, modeller, distributioner. Möjligheten att skapa slutförande- och inbäddningsanrop. 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd
QnA Maker-redigeraren för Cognitive Services Nu ska vi skapa, redigera, importera och exportera en KB. Du kan inte publicera eller ta bort en KB. f4cc2bf9-21be-47a1-bdf1-5c5804381025
QnA Maker-läsare för Cognitive Services Nu ska du bara läsa och testa en KB. 466ccd10-b268-4a11-b098-b4849f024126
Cognitive Services Usages Reader Minimal behörighet att visa Cognitive Services-användning. bba48692-92b0-4667-a9ad-c31c7b334ac2
Cognitive Services-användare Gör att du kan läsa och lista nycklar för Cognitive Services. a97b65f3-24c7-4388-baec-2e87135dc908
Search Index Data Contributor Ger fullständig åtkomst till Azure Cognitive Search-indexdata. 8ebe5a00-799e-43f5-93ac-243d3dce84a7
Dataläsare för sökindex Ger läsbehörighet till Azure Cognitive Search-indexdata. 1407120a-92aa-4202-b7e9-c0e197c71c8f
Söktjänstdeltagare Gör att du kan hantera tjänsten Search, men inte åtkomst till dem. 7ca78c08-252a-4471-8644-bb5ff32d4ba0

Sakernas Internet

Inbyggd roll beskrivning ID
Azure Digital Twins-dataägare Fullständig åtkomstroll för Digital Twins-dataplan bcd981a7-7f74-457b-83e1-cceb9e632ffe
Dataläsare för Azure Digital Twins Skrivskyddad roll för Digital Twins dataplansegenskaper d57506d4-4c8d-48b1-8587-93c323f6a5a3
Administratör för enhetsuppdatering Ger dig fullständig åtkomst till hanterings- och innehållsåtgärder 02ca0879-e8e4-47a5-a61e-5c618b76e64a
Innehållsadministratör för enhetsuppdatering Ger dig fullständig åtkomst till innehållsåtgärder 0378884a-3af5-44ab-8323-f5b22f9f3c98
Innehållsläsare för enhetsuppdatering Ger dig läsåtkomst till innehållsåtgärder, men tillåter inte ändringar d1ee9a80-8b14-47f0-bdc2-f4a351625a7b
Administratör för enhetsuppdateringsdistributioner Ger dig fullständig åtkomst till hanteringsåtgärder e4237640-0e3d-4a46-8fda-70bc94856432
Läsare för enhetsuppdateringsdistributioner Ger dig läsbehörighet till hanteringsåtgärder, men tillåter inte ändringar 49e2f5d2-7741-4835-8efa-19e1fe35e47f
Enhetsuppdateringsläsare Ger läsbehörighet till hanterings- och innehållsåtgärder, men tillåter inte ändringar e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f
IoT Hub-datadeltagare Ger fullständig åtkomst till IoT Hub-dataplansåtgärder. 4fc6c259-987e-4a07-842e-c321cc9d413f
IoT Hub-dataläsare Tillåter fullständig läsåtkomst till IoT Hub-dataplansegenskaper b447c946-2db7-41ec-983d-d8bf3b1c77e3
IoT Hub Registry-deltagare Ger fullständig åtkomst till IoT Hub-enhetsregistret. 4ea46cd5-c1b2-4a8e-910b-273211f9ce47
IoT Hub Twin-deltagare Tillåter läs- och skrivåtkomst till alla IoT Hub-enhets- och modultvillingar. 494bdba2-168f-4f31-a0a1-191d2f7c028c

Mixed Reality

Inbyggd roll beskrivning ID
Fjärrrenderingsadministratör Ger användaren funktioner för konvertering, hantering av sessioner, rendering och diagnostik för Azure Remote Rendering 3df8b902-2a6f-47c7-8cc5-360e9b272a7e
Fjärrrenderingsklient Ger användaren funktioner för hantering av sessioner, rendering och diagnostik för Azure Remote Rendering. d39065c4-c120-43c9-ab0a-63eed9795f0a
Spatial Anchors-kontodeltagare Låter dig hantera spatiala fästpunkter i ditt konto, men inte ta bort dem 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827
Kontoägare för Spatial Anchors Gör att du kan hantera spatiala fästpunkter i ditt konto, inklusive att ta bort dem 70bbe301-9835-447d-afdd-19eb3167307c
Spatial Anchors-kontoläsare Gör att du kan hitta och läsa egenskaper för spatiala fästpunkter i ditt konto 5d51204f-eb77-4b1c-b86a-2ec626c49413

Integrering

Inbyggd roll beskrivning ID
API Management Service-deltagare Kan hantera tjänsten och API:erna 312a565d-c81f-4fd8-895a-4e21e48d571c
API Management-tjänstoperatorroll Kan hantera tjänsten men inte API:erna e022efe7-f5ba-4159-bbe4-b44f577e9b61
Api Management-tjänstens läsarroll Skrivskyddad åtkomst till tjänsten och API:er 71522526-b88f-4d52-b57f-d31fc3546d0d
API Management Service Workspace API Developer Har läsbehörighet till taggar och produkter och skrivåtkomst för att tillåta: tilldela API:er till produkter, tilldela taggar till produkter och API:er. Den här rollen bör tilldelas i tjänstomfånget. 9565a273-41b9-4368-97d2-aeb0c976a9b3
API Management Service Workspace API Product Manager Har samma åtkomst som API Management Service Workspace API Developer samt läsåtkomst till användare och skrivåtkomst för att tillåta tilldelning av användare till grupper. Den här rollen bör tilldelas i tjänstomfånget. d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da
API Management Workspace API Developer Har läsåtkomst till entiteter på arbetsytan och läs- och skrivåtkomst till entiteter för redigering av API:er. Den här rollen ska tilldelas i arbetsytans omfång. 56328988-075d-4c6a-8766-d93edd6725b6
API Management Workspace API Product Manager Har läsåtkomst till entiteter på arbetsytan och läs- och skrivåtkomst till entiteter för publicering av API:er. Den här rollen ska tilldelas i arbetsytans omfång. 73c2c328-d004-4c5e-938c-35c6f5679a1f
Api Management Workspace-deltagare Kan hantera arbetsytan och vyn, men inte ändra dess medlemmar. Den här rollen ska tilldelas i arbetsytans omfång. 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799
API Management-arbetsyteläsare Har skrivskyddad åtkomst till entiteter på arbetsytan. Den här rollen ska tilldelas i arbetsytans omfång. ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2
Appkonfigurationsdataägare Ger fullständig åtkomst till App Configuration-data. 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
Dataläsare för appkonfiguration Tillåter läsåtkomst till App Configuration-data. 516239f1-63e1-4d78-a4de-a74fb236a071
Azure Relay-lyssnare Tillåter lyssningsåtkomst till Azure Relay-resurser. 26e0b698-aa6d-4085-9386-aadae190014d
Azure Relay-ägare Ger fullständig åtkomst till Azure Relay-resurser. 2787bf04-f1f5-4bfe-8383-c8a24483ee38
Azure Relay-avsändare Tillåter sändningsåtkomst till Azure Relay-resurser. 26baccc8-eea7-41f1-98f4-1762cc7f685d
Azure Service Bus-dataägare Ger fullständig åtkomst till Azure Service Bus-resurser. 090c5cfd-751d-490a-894a-3ce6f1109419
Azure Service Bus-datamottagare Tillåter åtkomst till Azure Service Bus-resurser. 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Azure Service Bus-datasändare Tillåter att du skickar åtkomst till Azure Service Bus-resurser. 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
BizTalk-deltagare Låter dig hantera BizTalk-tjänster, men inte åtkomst till dem. 5e3c6656-6cfa-4708-81fe-0de47ac73342
EventGrid-deltagare Gör att du kan hantera EventGrid-åtgärder. 1e241071-0855-49ea-94dc-649edcd759de
EventGrid-datasändare Tillåter sändningsåtkomst till event grid-händelser. d5a91429-5739-47e2-a06b-3470a27159e7
EventGrid EventSubscription-deltagare Gör att du kan hantera EventGrid-händelseprenumerationsåtgärder. 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
EventGrid EventSubscription Reader Låter dig läsa EventGrid-händelseprenumerationer. 2414bbcf-6497-4faf-8c65-045460748405
FHIR-datadeltagare Rollen ger användare eller huvudnamn fullständig åtkomst till FHIR-data 5a1fc7df-4bf1-4951-a576-89034ee01acd
FHIR-dataexportör Med rollen kan användare eller huvudnamn läsa och exportera FHIR-data 3db33094-8700-4567-8da5-1501d4e7e843
FHIR-dataimportör Med rollen kan användare eller huvudnamn läsa och importera FHIR-data 4465e953-8ced-4406-a58e-0f6e3f3b530b
FHIR-dataläsare Med rollen kan användare eller huvudnamn läsa FHIR-data 4c8d0bbc-75d3-4935-991f-5f3c56d81508
FHIR-dataskrivare Med rollen kan användare eller huvudnamn läsa och skriva FHIR-data 3f88fce4-5892-4214-ae73-ba5294559913
Integration Service Environment-deltagare Gör att du kan hantera integrationstjänstmiljöer, men inte åtkomst till dem. a41e2c5b-bd99-4a07-88f4-9bf657a760b8
Utvecklare av integrationstjänstens miljö Gör att utvecklare kan skapa och uppdatera arbetsflöden, integrationskonton och API-anslutningar i integrationstjänstmiljöer. c7aa55d3-1abb-444a-a5ca-5e51e485d6ec
Intelligent Systems-kontodeltagare Låter dig hantera Intelligent Systems-konton, men inte åtkomst till dem. 03a6d094-3444-4b3d-88af-7477090a9e5e
Logic App-deltagare Gör att du kan hantera logikappar, men inte ändra åtkomsten till dem. 87a39d53-fc1b-424a-814c-f7e04687dc9e
Logikappoperator Låter dig läsa, aktivera och inaktivera logikappar, men inte redigera eller uppdatera dem. 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
Logic Apps Standard-deltagare (förhandsversion) Du kan hantera alla aspekter av en standardlogikapp och arbetsflöden. Du kan inte ändra åtkomst eller ägarskap. ad710c24-b039-4e85-a019-deb4a06e8570
Logic Apps Standard Developer (förhandsversion) Du kan skapa och redigera arbetsflöden, anslutningar och inställningar för en standardlogikapp. Du kan inte göra ändringar utanför arbetsflödesomfånget. 523776ba-4eb2-4600-a3c8-f2dc93da4bdb
Logic Apps Standard Operator (förhandsversion) Du kan aktivera, skicka om och inaktivera arbetsflöden samt skapa anslutningar. Du kan inte redigera arbetsflöden eller inställningar. b70c96e9-66fe-4c09-b6e7-c98e69c98555
Logic Apps Standard Reader (förhandsversion) Du har skrivskyddad åtkomst till alla resurser i en standardlogikapp och arbetsflöden, inklusive arbetsflödeskörningar och deras historik. 4accf36b-2c05-432f-91c8-5c532dff4c73
Schemaläggarens jobbsamlingar deltagare Låter dig hantera Scheduler-jobbsamlingar, men inte åtkomst till dem. 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
Services Hub-operatör Med Services Hub Operator kan du utföra alla läs-, skriv- och borttagningsåtgärder relaterade till Services Hub-Anslut orer. 82200a5b-e217-47a5-b665-6d8765ee745b

Identitet

Inbyggd roll beskrivning ID
Domain Services-deltagare Kan hantera Azure AD Domain Services och relaterade nätverkskonfigurationer eeaeda52-9324-47f6-8069-5d5bade478b2
Domain Services-läsare Kan visa Azure AD Domain Services och relaterade nätverkskonfigurationer 361898ef-9ed1-48c2-849c-a832951106bb
Hanterad identitetsdeltagare Skapa, läsa, uppdatera och ta bort användartilldelad identitet e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
Hanterad identitetsoperator Läsa och tilldela användartilldelad identitet f1a07417-d97a-45cb-824c-7a7467783830

Säkerhet

Inbyggd roll beskrivning ID
Administratör för appefterlevnadsautomatisering Skapa, läsa, ladda ned, ändra och ta bort rapportobjekt och relaterade andra resursobjekt. 0f37683f-2463-46b6-9ce7-9b788b988ba2
Automation-läsare för appefterlevnad Läs, ladda ned rapportobjekten och relaterade andra resursobjekt. ffc6bbe0-e443-4c3b-bf54-26581bb2f78e
Attesteringsdeltagare Kan läsa skriva eller ta bort attesteringsproviderinstansen bbf86eb8-f7b4-4cce-96e4-18cddf81d86e
Attesteringsläsare Kan läsa egenskaperna för attesteringsprovidern fd1bd22b-8476-40bc-a0bc-69b95687b9f3
Key Vault-administratör Utför alla dataplansåtgärder på ett nyckelvalv och alla objekt i det, inklusive certifikat, nycklar och hemligheter. Det går inte att hantera key vault-resurser eller hantera rolltilldelningar. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". 00482a5a-887f-4fb3-b363-3b7fe8e74483
Key Vault-certifikatanvändare Läsa certifikatinnehåll. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". db79e9a7-68ee-4b58-9aeb-b90e7c24fcba
Key Vault Certificates Officer Utför alla åtgärder på certifikaten för ett nyckelvalv, förutom att hantera behörigheter. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". a4417e6f-fecd-4de8-b567-7b0420556985
Key Vault-deltagare Hantera nyckelvalv, men tillåter inte att du tilldelar roller i Azure RBAC och tillåter inte åtkomst till hemligheter, nycklar eller certifikat. f25e0fa2-a7c8-4377-a976-54943a77a395
Key Vault Crypto Officer Utför alla åtgärder på nycklarna i ett nyckelvalv, förutom att hantera behörigheter. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Krypteringsanvändare för Key Vault Crypto Service Läs metadata för nycklar och utför wrap/unwrap-åtgärder. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". e147488a-f6f5-4113-8e2d-b22465e65bf6
Key Vault Crypto Service Release User Versionsnycklar. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". 08bbd89e-9f13-488c-ac41-acfcb10c90ab
Key Vault Crypto-användare Utför kryptografiska åtgärder med hjälp av nycklar. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". 12338af0-0e69-4776-bea7-57ae8d297424
Key Vault-administratör för dataåtkomst Hantera åtkomst till Azure Key Vault genom att lägga till eller ta bort rolltilldelningar för Key Vault-administratören, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer eller Key Vault Secrets User-roller. Innehåller ett ABAC-villkor för att begränsa rolltilldelningar. 8b54135c-b56d-4d72-a534-26097cfdc8d8
Key Vault-läsare Läs metadata för nyckelvalv och dess certifikat, nycklar och hemligheter. Det går inte att läsa känsliga värden, till exempel hemligt innehåll eller nyckelmaterial. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". 21090545-7ca7-4776-b22c-e363652d74d2
Key Vault Secrets Officer Utför alla åtgärder på hemligheterna i ett nyckelvalv, förutom att hantera behörigheter. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Nyckelvalvshemlighetsanvändare Läs hemligt innehåll. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". 4633458b-17de-408a-b874-0445c86b69e6
Hanterad HSM-deltagare Gör att du kan hantera hanterade HSM-pooler, men inte åtkomst till dem. 18500a29-7fe2-46b2-a342-b16a415e101d
Microsoft Sentinel Automation-deltagare Microsoft Sentinel Automation-deltagare f4c81013-99ee-4d62-a7ee-b3f1f648599a
Microsoft Sentinel-deltagare Microsoft Sentinel-deltagare ab8e14d6-4a74-4a29-9ba8-549422addade
Microsoft Sentinel-spelboksoperator Microsoft Sentinel-spelboksoperator 51d6186e-6489-4900-b93f-92e23144cca5
Microsoft Sentinel-läsare Microsoft Sentinel-läsare 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Microsoft Sentinel-svarare Microsoft Sentinel-svarare 3e150937-b8fe-4cfb-8069-0eaf05ecd056
Säkerhetsadministratör Visa och uppdatera behörigheter för Microsoft Defender för molnet. Samma behörigheter som rollen Säkerhetsläsare och kan även uppdatera säkerhetsprincipen och avvisa aviseringar och rekommendationer.

Information om Microsoft Defender för IoT finns i Azure-användarroller för OT- och Enterprise IoT-övervakning.
fb1c8493-542b-48eb-b624-b4c8fea62acd
Deltagare i säkerhetsutvärdering Gör att du kan skicka utvärderingar till Microsoft Defender för molnet 612c2aa1-cb24-443b-ac28-3ab7272de6f5
Security Manager (äldre) Det här är en äldre roll. Använd säkerhetsadministratören i stället. e3d13bf0-dd5a-482e-ba6b-9b8433878d10
Säkerhetsläsare Visa behörigheter för Microsoft Defender för molnet. Kan visa rekommendationer, aviseringar, en säkerhetsprincip och säkerhetstillstånd, men kan inte göra ändringar.

Information om Microsoft Defender för IoT finns i Azure-användarroller för OT- och Enterprise IoT-övervakning.
39bc4728-0917-49c7-9d2c-d95423bc2eb4

DevOps

Inbyggd roll beskrivning ID
DevTest Labs-användare Gör att du kan ansluta, starta, starta om och stänga av dina virtuella datorer i Azure DevTest Labs. 76283e04-6283-4c54-8f91-bcf1374a3c64
Labbassistent Gör att du kan visa ett befintligt labb, utföra åtgärder på de virtuella labbdatorerna och skicka inbjudningar till labbet. ce40b423-cede-4313-a93f-9b28290b72e1
Labbdeltagare På labbnivå kan du hantera labbet. Med en resursgrupp kan du skapa och hantera labb. 5daaa2af-1fe8-407c-9122-bba179798270
Labbskapare Gör att du kan skapa nya labb under dina Azure Lab-konton. b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
Labboperator Ger dig begränsad möjlighet att hantera befintliga labb. a36e6959-b6be-4b12-8e9f-ef4b474d304d
Lab Services-deltagare Gör att du kan kontrollera alla Lab Services-scenarier i resursgruppen fullt ut. f69b8690-cc87-41d6-b77a-a4bc3c0a966f
Lab Services-läsare Gör att du kan visa, men inte ändra, alla labbplaner och labbresurser. 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc
Läs in testdeltagare Visa, skapa, uppdatera, ta bort och köra belastningstester. Visa och visa testresurser för listinläsning, men det går inte att göra några ändringar. 749a398d-560b-491b-bb21-08924219302e
Läs in testägare Köra alla åtgärder på belastningstestresurser och belastningstester 45bb0b16-2f0c-4e78-afaa-a07599b003f6
Läs in testläsare Visa och lista alla belastningstester och belastningstestresurser men kan inte göra några ändringar 3ae3fb29-0000-4ccd-bf80-542e7b26e081

Monitor

Inbyggd roll beskrivning ID
Application Insights-komponentdeltagare Kan hantera Application Insights-komponenter ae349356-3a1b-4a5e-921d-050484c6347e
Application Insights Snapshot Debugger Ger användaren behörighet att visa och ladda ned felsökningsögonblicksbilder som samlats in med Application Insights Snapshot-felsökningsprogrammet. Observera att dessa behörigheter inte ingår i rollerna Ägare eller Deltagare . När du ger användarna rollen Application Insights Snapshot Debugger måste du bevilja rollen direkt till användaren. Rollen identifieras inte när den läggs till i en anpassad roll. 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Grafana-administratör Utför alla Grafana-åtgärder, inklusive möjligheten att hantera datakällor, skapa instrumentpaneler och hantera rolltilldelningar i Grafana. 22926164-76b3-42b3-bc55-97df8dab3e41
Grafana-redigerare Visa och redigera en Grafana-instans, inklusive dess instrumentpaneler och aviseringar. a79a5197-3a5c-4973-a920-486035ffd60f
Grafana Viewer Visa en Grafana-instans, inklusive dess instrumentpaneler och aviseringar. 60921a7e-fef1-4a43-9b16-a26c52ad4769
Övervakningsdeltagare Kan läsa alla övervakningsdata och redigera övervakningsinställningar. Se även Kom igång med roller, behörigheter och säkerhet med Azure Monitor. 749f88d5-cbae-40b8-bcfc-e573ddc772fa
Utgivare av övervakningsmått Aktiverar publiceringsmått mot Azure-resurser 3913510d-42f4-4e42-8a64-420c390055eb
Övervakningsläsare Kan läsa alla övervakningsdata (mått, loggar osv.). Se även Kom igång med roller, behörigheter och säkerhet med Azure Monitor. 43d0d8ad-25c7-4714-9337-8ba259a9fe05
Arbetsboksdeltagare Kan spara delade arbetsböcker. e8ddcd69-c73f-4f9f-9844-4100522f16ad
Arbetsboksläsare Kan läsa arbetsböcker. b279062a-9be3-42a0-92ae-8b3cf002ec4d

Hantering och styrning

Inbyggd roll beskrivning ID
Automation-deltagare Hantera Azure Automation-resurser och andra resurser med hjälp av Azure Automation. f353d9bd-d4a6-484e-a77a-8050b599b867
Automation-jobboperator Skapa och hantera jobb med Automation Runbooks. 4fe576fe-1146-4730-92eb-48519fa6bf9f
Automation-operatör Automation-operatörer kan starta, stoppa, pausa och återuppta jobb d3881f73-407a-4167-8283-e981cbba0404
Automation Runbook-operatör Läs Runbook-egenskaper – för att kunna skapa jobb för runbooken. 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Azure Anslut ed Machine Onboarding Kan registrera Azure Anslut ed Machines. b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Resursadministratör för Azure Anslut ed Machine Kan läsa, skriva, ta bort och publicera azure-Anslut datorer igen. cd570a14-e51a-42ad-bac8-bafd67325302
Azure Anslut ed Machine Resource Manager Anpassad roll för AzureStackHCI RP för att hantera hybriddatorer och hybridanslutningsslutpunkter i en resursgrupp f5819b54-e033-4d82-ac66-4fec3cbf3f4c
Faktureringsläsare Tillåter läsåtkomst till faktureringsdata fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
Skissdeltagare Kan hantera skissdefinitioner, men inte tilldela dem. 41077137-e803-4205-871c-5a86e6a753b4
Skissoperator Kan tilldela befintliga publicerade skisser, men kan inte skapa nya skisser. Observera att detta endast fungerar om tilldelningen görs med en användartilldelad hanterad identitet. 437d2ced-4a38-4302-8479-ed2bcb43d090
Läsare för koldioxidoptimering Tillåt läsåtkomst till Azure Carbon Optimization-data fa0d39e6-28e5-40cf-8521-1eb320653a4c
Cost Management-deltagare Kan visa kostnader och hantera kostnadskonfiguration (t.ex. budgetar, exporter) 434105ed-43f6-45c7-a02f-909b2ba83430
Cost Management-läsare Kan visa kostnadsdata och konfiguration (t.ex. budgetar, exporter) 72fafb9e-0641-4937-9268-a91bfd8191a3
Hierarki Inställningar administratör Tillåter användare att redigera och ta bort hierarki Inställningar 350f8d15-c687-4448-8ae1-157740a3936d
Deltagarroll för hanterat program Tillåter att hanterade programresurser skapas. 641177b8-a67a-45b9-a033-47bc880bb21e
Hanterad programoperatorroll Gör att du kan läsa och utföra åtgärder på hanterade programresurser c7393b34-138c-406f-901b-d8cf2b17e6ae
Läsare för hanterade program Låter dig läsa resurser i en hanterad app och begära JIT-åtkomst. b9331d33-8a36-4f8c-b097-4f54124fdb44
Ta bort roll för registreringstilldelning för hanterade tjänster Med borttagningsrollen för registrering av hanterade tjänster kan de hantera klientanvändare ta bort den registreringstilldelning som tilldelats deras klientorganisation. 91c1777a-f3dc-4fae-b103-61d183457e46
Deltagare i hanteringsgrupp Deltagarroll för hanteringsgrupp 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
Hanteringsgruppsläsare Läsarroll för hanteringsgrupp ac63b705-f282-497d-ac71-919bf39d939d
Ny relik-APM-kontodeltagare Gör att du kan hantera konton och program för hantering av nya relikprogramsprestanda, men inte åtkomst till dem. 5d28c62d-5b37-4476-8438-e587778df237
Policy Insights Data Writer (förhandsversion) Tillåter läsåtkomst till resursprinciper och skrivåtkomst till resurskomponentprinciphändelser. 66bb4e9e-b016-4a94-8249-4c0511c2be84
Operator för kvotbegäran Läs och skapa kvotbegäranden, hämta status för kvotbegäran och skapa supportärenden. 0e5f05e5-9ab9-446b-b98d-1e2157c94125
Reservationsköpare Gör att du kan köpa reservationer f7b75c60-3036-4b75-91c3-6b41c27c1689
Reservationsadministratör Låter en läsa och hantera alla reservationer i en klientorganisation a8889054-8d42-49c9-bc1c-52486c10e7cd
Reservationsläsare Låter en läsa alla reservationer i en klientorganisation 582fc458-8989-419f-a480-75249bc5db7e
Resursprincipdeltagare Användare med behörighet att skapa/ändra resursprincip, skapa supportbegäran och läsa resurser/hierarki. 36243c78-bf99-498c-9df9-86d9f8d28608
Schemalagd uppdateringsdeltagare Ger åtkomst till att hantera underhållskonfigurationer med underhållsomfånget InGuestPatch och motsvarande konfigurationstilldelningar cd08ab90-6b14-449c-ad9a-8f8e549482c6
Site Recovery-deltagare Gör att du kan hantera Site Recovery-tjänsten förutom skapande av valv och rolltilldelning 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Site Recovery-operatör Låter dig redundans och återställning efter fel men inte utföra andra Site Recovery-hanteringsåtgärder 494ae006-db33-4328-bf46-533a6560a3ca
Site Recovery-läsare Gör att du kan visa Site Recovery-status men inte utföra andra hanteringsåtgärder dbaa88c4-0c30-4179-9fb3-46319faa6149
Deltagare i supportbegäran Gör att du kan skapa och hantera supportförfrågningar cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
Taggdeltagare Gör att du kan hantera taggar på entiteter utan att ge åtkomst till själva entiteterna. 4a9ae827-6dc8-4573-8ac7-8239d42aa03f
Mallspecifikationsdeltagare Tillåter fullständig åtkomst till mallspecifikationsåtgärder i det tilldelade omfånget. 1c9b6475-caf0-4164-b5a1-2142a7116f4b
Mallspecifikationsläsare Tillåter läsåtkomst till mallspecifikationer i det tilldelade omfånget. 392ae280-861d-42bd-9ea5-08ee6d83b80e

Hybrid + flera moln

Inbyggd roll beskrivning ID
Distributionsroll för Azure Resource Bridge Distributionsroll för Azure Resource Bridge 7b1f81f9-4196-4058-8aae-762e593270df
Azure Stack HCI-administratör Ger fullständig åtkomst till klustret och dess resurser, inklusive möjligheten att registrera Azure Stack HCI och tilldela andra som Azure Arc HCI VM-deltagare och/eller Azure Arc HCI VM Reader bda0d508-adf1-4af0-9c28-88919fc3ae06
Azure Stack HCI-Enhetshantering roll Microsoft.AzureStackHCI Enhetshantering roll 865ae368-6a45-4bd1-8fbf-0d5151f56fc1
Azure Stack HCI VM-deltagare Beviljar behörigheter för att utföra alla VM-åtgärder 874d1c73-6003-4e60-a13a-cb31ea190a85
Azure Stack HCI VM Reader Beviljar behörighet att visa virtuella datorer 4b3fe76c-f777-4d24-a2d7-b027b0f7b273
Azure Stack-registreringsägare Gör att du kan hantera Azure Stack-registreringar. 6f12a6df-dd06-4f3e-bcb1-ce8be600526a

Nästa steg