Azure 組み込みロール

Azure ロールベースのアクセス制御 (Azure RBAC) には、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることのできる Azure 組み込みロールがいくつかあります。 ロールの割り当ては、Azure リソースへのアクセスを制御する方法です。 組み込みロールが組織の特定のニーズを満たさない場合は、独自の Azure カスタム ロールを作成することができます。 ロールの割り当て方法については、「Azure ロールを割り当てる手順」を参照してください。

この記事では、Azure 組み込みロールを一覧で示します。 Microsoft Entra ID の管理者ロールをお探しの場合は、Microsoft Entra の組み込みロールを参照してください

次の表に、各組み込みロールの簡単な説明を示します。 ロール名をクリックすると、各ロールの ActionsNotActionsDataActionsNotDataActions の一覧が表示されます。 これらのアクションの意味と、コントロールおよびデータ プレーンへの適用方法については、「Azure ロールの定義について」を参照してください。

全般

組み込みのロール 説明 ID
Contributor すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。 b24988ac-6180-42a0-ab88-20f7382dd24c
所有者 Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Reader すべてのリソースを表示しますが、変更を加えることはできません。 acdd72a7-3385-48ef-bd42-f606fba81ae7
ロール ベースのアクセスの制御の管理者 Azure RBACを使用してロールを割り当てることにより、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policy などの他の方法を使用してアクセスを管理することはできません。 f58310d9-a9f6-439a-9e8d-f62e7b41a168
User Access Administrator Azure リソースに対するユーザー アクセスを管理します。 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9

Compute

組み込みのロール 説明 ID
Classic Virtual Machine Contributor 従来の仮想マシンを管理できますが、アクセスすることはできません。また、接続先の仮想ネットワークやストレージ アカウントにもアクセスできません。 d73bb868-a0df-4d4d-bd69-98a00b01fccb
マネージド ディスクのデータ演算子 SAS URI と Azure AD 認証を使用して、空のマネージド ディスクにデータをアップロードしたり、マネージド ディスク (実行中の VM に接続されていない) やスナップショットのデータの読み取りまたはエクスポートを行ったりするためのアクセス許可を提供します。 959f8984-c045-4866-89c7-12bf9737be2e
Desktop Virtualization Application Group Contributor デスクトップ仮想化アプリケーション グループの共同作成者。 86240b0e-9422-4c43-887b-b61143f32ba8
Desktop Virtualization Application Group Reader デスクトップ仮想化アプリケーション グループの閲覧者。 aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
デスクトップ仮想化共同作成者 デスクトップ仮想化の共同作成者。 082f0a83-3be5-4ba1-904c-961cca79b387
Desktop Virtualization Host Pool Contributor デスクトップ仮想化ホスト プールの共同作成者。 e307426c-f9b6-4e81-87de-d99efb3c32bc
Desktop Virtualization Host Pool Reader デスクトップ仮想化ホスト プールの閲覧者。 ceadfde2-b300-400a-ab7b-6143895aa822
デスクトップ仮想化閲覧者 デスクトップ仮想化の閲覧者。 49a72310-ab8d-41df-bbb0-79b649203868
Desktop Virtualization Session Host Operator デスクトップ仮想化セッション ホストのオペレーター。 2ad6aaab-ead9-4eaa-8ac5-da422f562408
デスクトップ仮想化ユーザー ユーザーにアプリケーション グループ内のアプリケーションを使用することを許可します。 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
Desktop Virtualization User Session Operator デスクトップ仮想化のユーザー セッションのオペレーター。 ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
Desktop Virtualization Workspace Contributor デスクトップ仮想化ワークスペースの共同作成者。 21efdde3-836f-432b-bf3d-3e8e734d4b2b
Desktop Virtualization Workspace Reader デスクトップ仮想化ワークスペースの閲覧者。 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
Disk Backup Reader ディスク バックアップを実行するためにコンテナーをバックアップするアクセス許可を提供します。 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
ディスク プール オペレーター ディスク プールに追加されたディスクを管理するためのアクセス許可を、StoragePool リソース プロバイダーに付与します。 60fc6e62-5479-42d4-8bf4-67625fcc2840
Disk Restore Operator ディスクの復元を実行するためにコンテナーをバックアップするアクセス許可を提供します。 b50d9833-a0cb-478e-945f-707fcc997c13
Disk Snapshot Contributor ディスプのスナップショットを管理するためにコンテナーをバックアップするアクセス許可を提供します。 7efff54f-a5b4-42b5-a1c5-5411624893ce
Virtual Machine Administrator Login ポータルで仮想マシンを表示し、管理者としてログインします 1c0163c0-47e6-4577-8991-ea5c82e286e4
Virtual Machine Contributor 仮想マシンの作成と管理、ディスクの管理、ソフトウェアのインストールと実行、VM 拡張機能を使用した仮想マシンのルート ユーザーのパスワードのリセット、VM 拡張機能を使用したローカル ユーザー アカウントの管理を行います。 このロールには、仮想マシンが接続されている仮想ネットワークまたはストレージ アカウントへの管理アクセス権は付与されません。 このロールでは、Azure RBAC でロールの割り当てを行うことはできません。 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
仮想マシン データ アクセス管理者 (プレビュー) 仮想マシンへのアクセスを管理するには、仮想マシン 管理istrator ログイン ロールと仮想マシン ユーザー ログイン ロールのロールの割り当てを追加または削除します。 ロールの割り当てを制限する ABAC 条件が含まれています。 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04
仮想マシンのローカル ユーザー ログイン ポータルで仮想マシンを表示し、Arc サーバーで構成されたローカル ユーザーとしてログインする 602da2ba-a5c2-41da-b01d-5360126ab525
Virtual Machine User Login ポータルで仮想マシンを表示し、通常のユーザーとしてログインします。 fb879df8-f326-4884-b1cf-06f3ad86be52
Windows Admin Center 管理者ログイン Windows Admin Center を介して、管理者としてリソースの OS を管理できます。 a6333a3e-0164-44c3-b281-7a577aff287f

ネットワーク

組み込みのロール 説明 ID
Azure Front Door Doメイン 共同作成者 Azure 内で内部使用する場合。 Azure Front Door の操作メインを管理できますが、他のユーザーにアクセス権を付与することはできません。 0ab34830-df19-4f8c-b84e-aa85b8afa6e8
Azure Front Door Doメイン Reader Azure 内で内部使用する場合。 Azure Front Door の操作メインを表示できますが、変更することはできません。 0f99d363-226e-4dca-9920-b807cf8e1a5f
Azure Front Door プロファイル 閲覧者 AFD 標準プロファイルと Premium プロファイルとそのエンドポイントを表示できますが、変更することはできません。 662802e2-50f6-46b0-aed2-e834bacc6d12
Azure Front Door シークレット共同作成者 Azure 内で内部使用する場合。 Azure Front Door シークレットを管理できますが、他のユーザーにアクセス権を付与することはできません。 3f2eb865-5811-4578-b90a-6fc6fa0df8e5
Azure Front Door シークレット リーダー Azure 内で内部使用する場合。 Azure Front Door シークレットは表示できますが、変更することはできません。 0db238c4-885e-4c4f-a933-aa2cef684fca
CDN Endpoint Contributor CDN エンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
CDN Endpoint Reader CDN エンドポイントを表示できますが、変更はできません。 871e35f6-b5c1-49cc-a043-bde969a0f2cd
CDN Profile Contributor CDN と Azure Front Door の標準プロファイルと Premium プロファイルとそのエンドポイントを管理できますが、他のユーザーにアクセス権を付与することはできません。 ec156ff8-a8d1-4d15-830c-5b80698ca432
CDN Profile Reader CDN プロファイルとそのエンドポイントを表示できますが、変更はできません。 8f96442b-4075-438f-813d-ad51ab4019af
Classic Network Contributor 従来のネットワークを管理できます。ただし、それらへのアクセスは含まれません。 b34d265f-36f7-4a0d-a4d4-e158ca92e90f
DNS Zone Contributor Azure DNS の DNS ゾーンとレコード セットを管理できますが、それにアクセスできるユーザーを制御することはできません。 befefa01-2a29-4197-83a8-272ff33ce314
Network Contributor ネットワークを管理できます。ただし、それらへのアクセスは含まれません。 4d97b98b-1d4f-4787-a291-c67834d212e7
プライベート DNS ゾーンの共同作成者 プライベート DNS ゾーンのリソースを管理できますが、リンク先の仮想ネットワークを管理することはできません。 b12aa53e-6015-4669-85d0-8515ebb3ae7f
Traffic Manager Contributor Traffic Manager プロファイルを管理できますが、それにアクセスできるユーザーを制御することはできません。 a4b10055-b0c7-44c2-b00f-c7b5b3550cf7

記憶域

組み込みのロール 説明 ID
Avere 共同作成者 Avere vFXT クラスターを作成および管理できます。 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Avere オペレーター クラスターを管理するために Avere vFXT クラスターによって使用されます c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
Backup Contributor バックアップ サービスを管理できますが、資格情報コンテナーの作成や他のユーザーに対するアクセス権の付与を行うことはできません 5e467623-bb1f-42f4-a55d-6e525e11384b
Backup Operator バックアップ サービスを管理できます (バックアップの削除、資格情報コンテナーの作成、他のユーザーに対するアクセス権の付与を除く) 00c29273-979b-4161-815c-10b084fb9324
Backup Reader バックアップ サービスを表示できますが、変更を行うことはできません a795c7a0-d4a2-40c1-ae25-d81f01202912
Classic Storage Account Contributor 従来のストレージ アカウントを管理できますが、アクセスすることはできません。 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
従来のストレージ アカウント キー オペレーターのサービス ロール 従来のストレージ アカウント キー オペレーターは、従来のストレージ アカウントでのキーの一覧表示と再生成を行うことができます 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Data Box Contributor Data Box サービスですべてを管理できます (他のユーザーに対するアクセス権の付与を除く)。 add466c9-e687-43fc-8d98-dfcf8d720be5
Data Box 閲覧者 Data Box サービスを管理できます (注文の作成または注文の詳細の編集、および他のユーザーに対するアクセス権の付与を除く)。 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Data Lake Analytics Developer 独自のジョブを送信、監視、管理できますが、Data Lake Analytics アカウントを作成または削除することはできません。 47b7735b-770e-4598-a7da-8b91488b4c88
Defender for Storage データ スキャナー 読み取り BLOB へのアクセスとインデックス タグの更新を許可します。 このロールは、Defender for Storage のデータ スキャナーによって使用されます。 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40
Elastic SAN 所有者 データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のすべてのリソースへのフル アクセスを許可します 80dcbedb-47ef-405d-95bd-188a1b4ac406
Elastic SAN 閲覧者 Azure Elastic SAN への制御パスの読み取りアクセスを許可します af6a70f8-3c9f-4105-acf1-d719e9fca4ca
Elastic SAN ボリューム グループ所有者 データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のボリューム グループへのフル アクセスを許可します a8281131-f312-4f34-8d98-ae12be9f0d23
Reader and Data Access すべてを表示することができますが、ストレージ アカウントや含まれるリソースの削除や作成はできません。 ストレージ アカウント キーへのアクセスを使用して、ストレージ アカウントに含まれるすべてのデータへの読み取り/書き込みアクセスも許可されます。 c12c1c16-33a1-487b-954d-41c89c60f349
ストレージ アカウントのバックアップ共同作成者 ストレージ アカウントで Azure Backup を使用してバックアップ操作と復元操作を実行できます。 e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1
Storage Account Contributor ストレージ アカウントの管理を許可します。 アカウント キーへのアクセスを提供します。これを使用して、共有キー認証を使用してデータにアクセスすることができます。 17d1049b-9a84-46fb-8f53-869881c3d3ab
ストレージ アカウント キー オペレーターのサービス ロール ストレージ アカウント アクセス キーを一覧表示および再生成できます。 81a9662b-bebf-436f-a333-f67b29880f12
ストレージ BLOB データ共同作成者 Azure Storage コンテナーと BLOB の読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください ba92f5b4-2d11-453d-a403-e96b0029c9fe
ストレージ BLOB データ所有者 Azure Storage Blob コンテナーとデータに対するフル アクセス (POSIX アクセスの制御の割り当てを含む) を提供します。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください b7e6dc6d-f1e8-4753-8033-0f276bb0955b
ストレージ BLOB データ閲覧者 Azure Storage コンテナーと BLOB の読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
Storage Blob デリゲータ Azure AD 資格情報で署名されたコンテナーまたは BLOB 用の共有アクセス署名を作成するために使用できるユーザー委任キーを取得します。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 db58b8e5-c6ad-4a2a-8342-4190687cbf4a
ストレージ ファイル データ権限付き共同作成者 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの ACL の読み取り、書き込み、削除、変更を行うことができます。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 69566ab7-960f-475b-8e7c-b3118f30c6bd
ストレージ ファイル データ権限を持つ閲覧者 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの読み取りアクセスを許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 b8eda974-7b85-4f76-af95-65846b26df6d
記憶域ファイル データの SMB 共有の共同作成者 Azure ファイル共有のファイルまたはディレクトリに対する読み取り、書き込み、削除のアクセス権を許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
記憶域ファイル データの SMB 共有の管理者特権共同作成者 Azure ファイル共有のファイルまたはディレクトリに対する ACL の読み取り、書き込み、削除、変更を許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の変更に相当します。 a7264617-510b-434b-a828-9731dc254ea7
ストレージ ファイル データの SMB 共有の閲覧者 Azure ファイル共有のファイルまたはディレクトリに対する読み取りアクセスを許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の読み取りに相当します。 aba4ae5f-2193-4029-9191-0cb91df5e314
ストレージ キュー データ共同作成者共同作成者 Azure Storage キューおよびキュー メッセージの読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください 974c5e8b-45b9-4653-ba55-5f855dd0fb88
ストレージ キュー データのメッセージ プロセッサ Azure Storage キューからのメッセージのピーク、取得、削除を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください 8a0f0c08-91a1-4084-bc3d-661d67233fed
ストレージ キュー データ メッセージ送信者 Azure Storage キューにメッセージを追加します。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
ストレージ キュー データ閲覧者 Azure Storage キューおよびキュー メッセージの読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「データ操作を呼び出すためのアクセス許可」を参照してください 19e7f393-937e-4f77-808e-94535e297925
ストレージ テーブル データ共同作成者 Azure Storage テーブルおよびエンティティに対する読み取り、書き込み、削除のアクセスを許可します 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3
ストレージ テーブル データ閲覧者 Azure Storage テーブルおよびエンティティに対する読み取りアクセスを許可します 76199698-9eea-4c19-bc75-cec21354c6b6

Web and Mobile

組み込みのロール 説明 ID
Azure Maps データ共同作成者 Azure Maps アカウントからのマップ関連データへの読み取り、書き込み、削除のアクセスを付与します。 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204
Azure Maps データ閲覧者 Azure Maps アカウントからマップ関連データを読み取るためのアクセス権を付与します。 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Azure Spring Cloud Config Server 共同作成者 Azure Spring Cloud Config Server への読み取り、書き込み、削除アクセスを許可します a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b
Azure Spring Cloud Config Server 閲覧者 Azure Spring Cloud Config Server への読み取りアクセスを許可します d04c6db6-4947-4782-9e91-30a88feb7be7
Azure Spring Cloud データ閲覧者 Azure Spring Cloud データへの読み取りアクセスを許可します b5537268-8956-4941-a8f0-646150406f0c
Azure Spring Cloud Service Registry 共同作成者 Azure Spring Cloud Service Registry への読み取り、書き込み、削除アクセスを許可します f5880b48-c26d-48be-b172-7927bfa1c8f1
Azure Spring Cloud Service Registry 閲覧者 Azure Spring Cloud Service Registry への読み取りアクセスを許可します cff1b556-2399-4e7e-856d-a8f754be7b65
Media Services アカウント管理者 Media Services アカウントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 054126f8-9a2b-4f1c-a9ad-eca461f08466
Media Services ライブ イベント管理者 ライブ イベント、アセット、アセット フィルター、およびストリーミング ロケーターを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 532bc159-b25e-42c0-969e-a1d439f60d77
Media Services メディア オペレーター アセット、アセット フィルター、ストリーミング ロケーター、およびジョブを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 e4395492-1534-4db2-bedf-88c14621589c
Media Services ポリシー管理者 アカウント フィルター、ストリーミング ポリシー、コンテンツ キー ポリシー、および変換を作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 ジョブ、アセット、またはストリーミング リソースは作成できません。 c4bba371-dacd-4a26-b320-7250bca963ae
Media Services ストリーミング エンドポイント管理者 ストリーミング エンドポイントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 99dba123-b5fe-44d5-874c-ced7199a5804
SignalR AccessKey 閲覧者 SignalR サービス アクセス キーを読み取ります 04165923-9d83-45d5-8227-78b77b0a687e
SignalR アプリ サーバー AAD の認証オプションを使用して、アプリ サーバーが SignalR Service にアクセスできるようにします。 420fcaa2-552c-430f-98ca-3264be4806c7
SignalR REST API 所有者 Azure SignalR Service REST API へのフル アクセス fd53cd77-2268-407a-8f46-7e7863d0f521
SignalR REST API 閲覧者 Azure SignalR Service REST API への読み取り専用アクセス ddde6b66-c0df-4114-a159-3618637b3035
SignalR Service 所有者 Azure SignalR Service REST API へのフル アクセス 7e4f1700-ea5a-4f59-8f37-079cfe29dce3
SignalR/Web PubSub 共同作成者 SignalR のサービス リソースの作成、読み取り、更新、削除を行います 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Web Plan Contributor Web サイトの Web プランを管理します。 Azure RBAC でロールを割り当て許可をしません。 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Website Contributor Web プランではなく、Web サイトを管理します。 Azure RBAC でロールを割り当て許可をしません。 de139f84-1756-47ae-9be6-808fbbe84772

Containers

組み込みのロール 説明 ID
AcrDelete コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。 c2f4ef07-c644-48eb-af81-4b1b4947fb11
AcrImageSigner コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。 6cef56e8-d556-48e5-a04f-b8e64114680f
AcrPull コンテナー レジストリから成果物をプルします。 7f951dda-4ed3-4680-a7ca-43fe172d538d
AcrPush コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。 8311e382-0749-4cb8-b61a-304f252e45ec
AcrQuarantineReader コンテナー レジストリから検疫済みのイメージをプルします。 cdda3590-29a3-44f6-95f2-9f980659eb04
AcrQuarantineWriter 検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。 c8d4ff99-41c3-41a8-9f60-21dfdad59608
Azure Arc 対応 Kubernetes クラスター ユーザー ロール クラスター ユーザーの資格情報アクションを一覧表示します。 00493d72-78f6-4148-b6c5-d3ce8e4799dd
Azure Arc Kubernetes 管理者 リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 dffb1e0c-446f-4dde-a09f-99eb5cc68b96
Azure Arc Kubernetes クラスター管理者 クラスター内のすべてのリソースを管理できます。 8393591c-06b9-48a2-a542-1bd6b377f6a2
Azure Arc Kubernetes ビューアー クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。 63f0a09d-1495-4db4-a681-037d84835eb4
Azure Arc Kubernetes ライター (クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。 5b999177-9696-4545-85c7-50de3797e5a1
Azure Kubernetes Fleet Manager RBAC 管理者 このロールは管理者アクセス権を付与します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対して書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 434fb43a-c01c-447e-9f67-c3ad923cfaba
Azure Kubernetes Fleet Manager RBAC クラスター管理者 フリート マネージャー クラスター内のすべてのリソースを管理できます。 18ab4d3d-a1bf-4477-8ad9-8359bc988f69
Azure Kubernetes Fleet Manager RBAC リーダー 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 30b27cfc-9c84-438e-b0ce-70e35255df80
Azure Kubernetes Fleet Manager RBAC ライター 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 5af6afb3-c06c-4fa4-8848-71a8aee05683
Azure Kubernetes Service クラスター管理者ロール クラスター管理者の資格情報アクションを一覧表示します。 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
Azure Kubernetes Service クラスターの監視ユーザー クラスター 監視ユーザーの資格情報アクションを一覧表示します。 1afdec4b-e479-420e-99e7-f82237c7c5e6
Azure Kubernetes Service クラスター ユーザー ロール クラスター ユーザーの資格情報アクションを一覧表示します。 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Azure Kubernetes Service 共同作成者ロール Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセスを許可します。 ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8
Azure Kubernetes Service RBAC 管理者 リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 3498e952-d568-435e-9b2c-8d77e338d7f7
Azure Kubernetes Service RBAC クラスター管理者 クラスター内のすべてのリソースを管理できます。 b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b
Azure Kubernetes Service RBAC 閲覧者 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 7f6c6a51-bcf8-42ba-9220-52d62157d7db
Azure Kubernetes Service RBAC ライター 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb
Kubernetes エージェントレス オペレーター Microsoft Defender for Cloud に Azure Kubernetes Services へのアクセスを許可する d5a2ae44-610b-4500-93be-660a0c5f5ca6
Kubernetes クラスター - Azure Arc のオンボード connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロール定義 34e09817-6cbe-4d01-b1a2-e0eac5743d41
Kubernetes 拡張機能共同作成者 Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます 85cb6faf-e071-4c9b-8136-154b5a04f717

データベース

組み込みのロール 説明 ID
Azure Connected SQL Server のオンボード Arc 対応サーバー上の SQL Server 用 Azure リソースに対する読み取りおよび書き込みアクセスを許可します。 e8113dce-c529-4d33-91fa-e9b972617508
Cosmos DB アカウントの閲覧者ロール Cosmos DB アカウントのデータを読み取ることができます。 Azure Cosmos DB アカウントの管理については、「DocumentDB Account Contributor」をご覧ください。 fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Cosmos DB オペレーター Azure Cosmos DB アカウントを管理することができます。ただし、アカウント内のデータにはアクセスできません。 アカウント キーと接続文字列へのアクセスは禁止されます。 230815da-be43-4aae-9cb4-875f7bd000aa
CosmosBackupOperator Cosmos DB データベースまたはアカウントのコンテナーの復元要求を送信できます db7b14f2-5adf-42da-9f96-f2ee17bab5cb
CosmosRestoreOperator 継続的バックアップモードで Cosmos DB データベース アカウントの復元操作を実行できます 5432c526-bc82-444a-b7ba-57c5b0b5b34f
DocumentDB Account Contributor Azure Cosmos DB アカウントを管理できます。 Azure Cosmos DB は以前は DocumentDB と呼ばれていました。 5bd9cd88-fe45-4216-938b-f97437e15450
Redis Cache Contributor Redis Caches を管理できます。ただし、それらへのアクセスは含まれません。 e0f68234-74aa-48ed-b826-c38b57376e17
SQL DB Contributor SQL データベースを管理できます。ただし、それらへのアクセスは含まれません。 また、セキュリティ関連のポリシーまたは親 SQL Server を管理することはできません。 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
SQL マネージド インスタンス共同作成者 SQL マネージド インスタンスと必要なネットワーク構成を管理することができますが、他のユーザーにアクセス権を付与することはできません。 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
SQL Security Manager SQL サーバーとデータベースのセキュリティ関連のポリシーを管理できます。ただし、それらへのアクセスは管理できません。 056cd41c-7e88-42e1-933e-88ba6a50c9c3
SQL Server Contributor SQL サーバーとデータベースを管理できます。ただし、それらへのアクセスや、それらのセキュリティ関連ポリシーは管理できません。 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437

分析

組み込みのロール 説明 ID
Azure Event Hubs データ所有者 Azure Event Hubs リソースへのフル アクセスを許可します。 f526a384-b230-433a-b45c-95f59c4a2dec
Azure Event Hubs データ受信者 Azure Event Hubs リソースへの受信アクセスを許可します。 a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Azure Event Hubs データ送信者 Azure Event Hubs リソースへの送信アクセスを許可します。 2b629674-e913-4c01-ae53-ef4638d8f975
Data Factory Contributor データ ファクトリまたデータ ファクトリ内の子リソースを作成し管理します。 673868aa-7521-48a0-acc6-0f60742d39f5
Data Purger Log Analytics ワークスペースの非公開データを削除します。 150f5e0c-0603-4f03-8c7f-cf70034c4e90
HDInsight クラスター オペレーター HDInsight クラスター構成の読み取りと変更を実行できます。 61ed4efc-fab3-44fd-b111-e24485cc132a
HDInsight ドメイン サービス共同作成者 HDInsight Enterprise セキュリティ パッケージに必要なドメイン サービス関連の操作の読み取り、作成、変更、削除を行うことができます。 8d8d5a11-05d3-4bda-a417-a08778121c7c
Log Analytics Contributor Log Analytics 共同作成者は、すべての監視データを読み取り、監視設定を編集できます。 監視設定の編集には、VM 拡張機能の VM への追加、Azure Storage からログの収集を設定できるようにするためのストレージ アカウント キーの読み取り、ソリューションの追加、すべての Azure リソースでの Azure Diagnostics の構成が含まれます。 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Log Analytics Reader Log Analytics Reader は、すべての監視データの表示と検索、およびすべての Azure リソース上の Azure Diagnostics 構成の表示など、監視設定の表示を行うことができます。 73c42c96-874c-492b-b04d-ab87d138a893
Schema Registry Contributor (プレビュー) Schema Registry グループおよびスキーマの読み取り、書き込み、および削除を行います。 5dffeca3-4936-4216-b2bc-10343a5abb25
Schema Registry Reader (プレビュー) Schema Registry グループおよびスキーマの読み取りと一覧表示を行います。 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2
Stream Analytics クエリ テスター 最初に Stream Analytics ジョブを作成せずにクエリ テストを実行できるようにします 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf

AI + 機械学習

組み込みのロール 説明 ID
AzureML コンピューティング オペレーター Machine ラーニング Services マネージド コンピューティング リソース (Notebook VM を含む) に対して CRUD 操作にアクセスして実行できます。 e503ece1-11d0-4e8e-8e2c-7a6c3bf38815
AzureML データ サイエンティスト コンピューティング リソースの作成または削除とワークスペース自体の変更を除く、Azure Machine Learning ワークスペース内のすべてのアクションを実行できます。 f6c7c914-8db3-469d-8ca1-694a8f32e121
Cognitive Services 共同作成者 Cognitive Services のキーの作成、読み取り、更新、削除、管理を行うことができます。 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
Cognitive Services Custom Vision Contributor プロジェクトの表示、作成、編集、削除を含む、プロジェクトへのフル アクセス。 c1ff6cc2-c111-46fe-8896-e0ef812ad9f3
Cognitive Services Custom Vision Deployment モデルの公開、非公開、またはエクスポートを行います。 Deployment は、プロジェクトを表示できますが、更新することはできません。 5c4089e1-6d96-4d2f-b296-c1bc7137275f
Cognitive Services Custom Vision Labeler トレーニング画像の表示と編集、およびイメージ タグの作成、追加、または削除を行うことができます。 ラベラーはプロジェクトを表示できますが、トレーニング画像とタグ以外は更新できません。 88424f51-ebe7-446f-bc41-7fa16989e96c
Cognitive Services Custom Vision Reader プロジェクトでの読み取り専用のアクション。 閲覧者がこのプロジェクトを作成または更新することはできません。 93586559-c37d-4a6b-ba08-b9f0940c2d73
Cognitive Services Custom Vision Trainer プロジェクトの表示、作成、およびモデルの公開、非公開、エクスポートを含む、モデルのトレーニングを行うことができます。 トレーナーがこのプロジェクトを作成または削除することはできません。 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b
Cognitive Services データ閲覧者 (プレビュー) Cognitive Services データを読み取ります。 b59867f0-fa02-499b-be73-45a86b5b3e1c
Cognitive Services Face Recognizer Face API に対する類似の操作の検出、検証、識別、グループ化、検索を実行できるようにします。 このロールでは、作成または削除操作は許可されません。そのため、"最小特権" のベスト プラクティスに従えば、推論機能のみを必要とするエンドポイントに適しています。 9894cab4-e18a-44aa-828b-cb588cd6f2d7
Cognitive Services Metrics Advisor Administrator システム レベルの構成を含む、プロジェクトへのフル アクセス。 cb43c632-a144-4ec5-977c-e80c4affc34a
Cognitive Services OpenAI 共同作成者 テキストを微調整、展開、生成する機能を含むフル アクセス a001fd3d-188f-4b5d-821b-7da978bf7442
Cognitive Services OpenAI ユーザー ファイル、モデル、デプロイを表示するための読み取りアクセス。 補完呼び出しと埋め込み呼び出しを作成する機能。 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd
Cognitive Services QnA Maker エディター KB の作成、編集、インポート、およびエクスポートが可能になります。 KB を公開または削除することはできません。 f4cc2bf9-21be-47a1-bdf1-5c5804381025
Cognitive Services QnA Maker 閲覧者 KB のみ、読み取りとテストが可能になります。 466ccd10-b268-4a11-b098-b4849f024126
Cognitive Services 使用状況閲覧者 Cognitive Services の使用状況を表示するための最小限のアクセス許可。 bba48692-92b0-4667-a9ad-c31c7b334ac2
Cognitive Services ユーザー Cognitive Services のキーの読み取りおよび一覧表示を行うことができます。 a97b65f3-24c7-4388-baec-2e87135dc908
検索インデックス データ共同作成者 Azure Cognitive Search インデックス データへのフル アクセスを付与します。 8ebe5a00-799e-43f5-93ac-243d3dce84a7
検索インデックス データ閲覧者 Azure Cognitive Search インデックス データへの読み取りアクセスを付与します。 1407120a-92aa-4202-b7e9-c0e197c71c8f
Search Service Contributor Search サービスを管理できます。ただし、それらへのアクセスは含まれません。 7ca78c08-252a-4471-8644-bb5ff32d4ba0

モノのインターネット (IoT)

組み込みのロール 説明 id
Azure Digital Twins データ所有者 Digital Twins データプレーンのフル アクセス ロール bcd981a7-7f74-457b-83e1-cceb9e632ffe
Azure Digital Twins データ リーダー Digital Twins データプレーン プロパティの読み取り専用ロール d57506d4-4c8d-48b1-8587-93c323f6a5a3
デバイス更新管理者 管理およびコンテンツ操作へのフル アクセスが付与されます。 02ca0879-e8e4-47a5-a61e-5c618b76e64a
デバイス更新コンテンツ管理者 コンテンツ操作へのフル アクセスが付与されます。 0378884a-3af5-44ab-8323-f5b22f9f3c98
デバイス更新コンテンツ閲覧者 コンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。 d1ee9a80-8b14-47f0-bdc2-f4a351625a7b
デバイス更新デプロイ管理者 管理操作へのフル アクセスが付与されます。 e4237640-0e3d-4a46-8fda-70bc94856432
デバイス更新デプロイ閲覧者 管理操作への読み取りアクセスが付与されますが、変更を加えることはできません。 49e2f5d2-7741-4835-8efa-19e1fe35e47f
デバイス更新閲覧者 管理操作およびコンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。 e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f
IoT Hub データ共同作成者 IoT Hub データ プレーン操作へのフル アクセスを許可します。 4fc6c259-987e-4a07-842e-c321cc9d413f
IoT Hub データ リーダー IoT Hub データプレーン プロパティへの読み取りのフル アクセスを許可します b447c946-2db7-41ec-983d-d8bf3b1c77e3
IoT Hub レジストリ共同作成者 IoT Hub デバイス レジストリへのフル アクセスを許可します。 4ea46cd5-c1b2-4a8e-910b-273211f9ce47
IoT Hub ツイン共同作成者 すべての IoT Hub デバイスとモジュール ツインに対する読み取りおよび書き込みのアクセスを許可します。 494bdba2-168f-4f31-a0a1-191d2f7c028c

複合現実

組み込みのロール 説明 ID
Remote Rendering 管理者 ユーザーに、Azure Remote Rendering での変換、セッション管理、レンダリング、および診断の機能を提供します。 3df8b902-2a6f-47c7-8cc5-360e9b272a7e
Remote Rendering クライアント ユーザーに、Azure Remote Rendering でのセッション管理、レンダリング、および診断の機能を提供します。 d39065c4-c120-43c9-ab0a-63eed9795f0a
Spatial Anchors アカウント共同作成者 アカウントで Spatial Anchors を管理します (削除は含まない) 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827
Spatial Anchors アカウント所有者 アカウントで Spatial Anchors を管理します (削除も含む) 70bbe301-9835-447d-afdd-19eb3167307c
Spatial Anchors アカウント閲覧者 アカウントで Spatial Anchors のプロパティを検索して読み取ります 5d51204f-eb77-4b1c-b86a-2ec626c49413

統合

組み込みのロール 説明 ID
API Management Service Contributor サービスと API を管理できます 312a565d-c81f-4fd8-895a-4e21e48d571c
API Management Service Operator Role サービスを管理できますが、API は対象外です e022efe7-f5ba-4159-bbe4-b44f577e9b61
API Management Service Reader Role サービスと API への読み取り専用アクセスです 71522526-b88f-4d52-b57f-d31fc3546d0d
API Management サービス ワークスペース API 開発者 タグと製品への読み取りアクセスと、製品への API の割り当て、製品と API へのタグの割り当てを許可する書き込みアクセス権を持ちます。 このロールは、サービス スコープに割り当てる必要があります。 9565a273-41b9-4368-97d2-aeb0c976a9b3
API Management サービス ワークスペース API プロダクト マネージャー API Management サービス ワークスペース API 開発者と同じアクセス権だけでなく、ユーザーへの読み取りアクセス権と、グループへのユーザーの割り当てを可能にする書き込みアクセス権があります。 このロールは、サービス スコープに割り当てる必要があります。 d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da
API Management ワークスペース API 開発者 ワークスペース内のエンティティに対する読み取りアクセス権と、API を編集するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 56328988-075d-4c6a-8766-d93edd6725b6
API Management ワークスペース API プロダクト マネージャー ワークスペース内のエンティティに対する読み取りアクセス権と、API を発行するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 73c2c328-d004-4c5e-938c-35c6f5679a1f
API Management ワークスペース共同作成者 ワークスペースとビューを管理できますが、そのメンバーは変更できません。 このロールは、ワークスペース スコープに割り当てる必要があります。 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799
API Management ワークスペース閲覧者 ワークスペース内のエンティティに対する読み取り専用アクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2
App Configuration データ所有者 App Configuration データへのフル アクセスを許可します。 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
App Configuration データ閲覧者 App Configuration データへの読み取りアクセスを許可します。 516239f1-63e1-4d78-a4de-a74fb236a071
Azure Relay リスナー Azure Relay リソースへのリッスン アクセスを許可します。 26e0b698-aa6d-4085-9386-aadae190014d
Azure Relay 所有者 Azure Relay リソースへのフル アクセスを許可します。 2787bf04-f1f5-4bfe-8383-c8a24483ee38
Azure Relay 送信者 Azure Relay リソースへの送信アクセスを許可します。 26baccc8-eea7-41f1-98f4-1762cc7f685d
Azure Service Bus データ所有者 Azure Service Bus リソースへのフル アクセスを許可します。 090c5cfd-751d-490a-894a-3ce6f1109419
Azure Service Bus データ受信者 Azure Service Bus リソースへの受信アクセスを許可します。 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Azure Service Bus データ送信者 Azure Service Bus リソースへの送信アクセスを許可します。 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
BizTalk Contributor BizTalk Services を管理できます。ただし、それらへのアクセスは含まれません。 5e3c6656-6cfa-4708-81fe-0de47ac73342
EventGrid 共同作成者 EventGrid 操作を管理できます。 1e241071-0855-49ea-94dc-649edcd759de
EventGrid データ送信者 Event Grid イベントへの送信アクセスを許可します。 d5a91429-5739-47e2-a06b-3470a27159e7
EventGrid EventSubscription 共同作成者 EventGrid のイベント サブスクリプション操作を管理できます。 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
EventGrid EventSubscription 閲覧者 EventGrid のイベント サブスクリプションを読み取ることができます。 2414bbcf-6497-4faf-8c65-045460748405
FHIR データ共同作成者 ユーザーまたはプリンシパルに FHIR データへのフル アクセスを許可するロール 5a1fc7df-4bf1-4951-a576-89034ee01acd
FHIR データ エクスポーター ユーザーまたはプリンシパルに FHIR データの読み取りとエクスポートを許可するロール 3db33094-8700-4567-8da5-1501d4e7e843
FHIR データ インポーター ユーザーまたはプリンシパルに FHIR データの読み取りとインポートを許可するロール 4465e953-8ced-4406-a58e-0f6e3f3b530b
FHIR データ リーダー ユーザーまたはプリンシパルに FHIR データの読み取りを許可するロール 4c8d0bbc-75d3-4935-991f-5f3c56d81508
FHIR データ ライター ユーザーまたはプリンシパルに FHIR データの読み取りと書き込みを許可するロール 3f88fce4-5892-4214-ae73-ba5294559913
統合サービス環境の共同作成者 統合サービス環境を管理できますが、それらにアクセスすることはできません。 a41e2c5b-bd99-4a07-88f4-9bf657a760b8
統合サービス環境の開発者 開発者が統合サービス環境でワークフロー、統合アカウント、および API 接続を作成および更新することを許可します。 c7aa55d3-1abb-444a-a5ca-5e51e485d6ec
Intelligent Systems Account Contributor Intelligent Systems のアカウントを管理できます。ただし、それらへのアクセスは含まれません。 03a6d094-3444-4b3d-88af-7477090a9e5e
Logic App Contributor ロジック アプリを管理できますが、アクセス権を変更することはできません。 87a39d53-fc1b-424a-814c-f7e04687dc9e
Logic App Operator ロジック アプリの読み取り、有効化、無効化ができますが、編集または更新はできません。 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
Logic Apps Standard Contributor (プレビュー) Standard ロジック アプリとワークフローのすべての側面を管理できます。 アクセスまたは所有権を変更することはできません。 ad710c24-b039-4e85-a019-deb4a06e8570
Logic Apps Standard Developer (プレビュー) Standard ロジック アプリのワークフロー、接続、設定を作成および編集できます。 ワークフロースコープ外では変更を加えることはできません。 523776ba-4eb2-4600-a3c8-f2dc93da4bdb
Logic Apps Standard Operator (プレビュー) ワークフローの有効化、再送信、無効化、接続の作成を行うことができます。 ワークフローや設定を編集することはできません。 b70c96e9-66fe-4c09-b6e7-c98e69c98555
Logic Apps Standard Reader (プレビュー) Standard ロジック アプリとワークフロー内のすべてのリソース (ワークフローの実行とその履歴を含む) への読み取り専用アクセス権があります。 4accf36b-2c05-432f-91c8-5c532dff4c73
Scheduler Job Collections Contributor スケジューラ ジョブ コレクションを管理できます。ただし、それらへのアクセスは含まれません。 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
Services Hub Operator Services Hub Operator を使用すると、サービス ハブ コネクタに関連するすべての読み取り、書き込み、削除の操作を実行できます。 82200a5b-e217-47a5-b665-6d8765ee745b

ID

組み込みのロール 説明 ID
ドメイン サービス共同作成者 Azure AD Domain Services と関連ネットワーク構成を管理できます eeaeda52-9324-47f6-8069-5d5bade478b2
ドメイン サービス閲覧者 Azure Active Directory Domain Services と関連ネットワーク構成を表示できます 361898ef-9ed1-48c2-849c-a832951106bb
Managed Identity Contributor ユーザー割り当て ID の作成、読み取り、更新、削除を行います e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
Managed Identity Operator ユーザー割り当て ID の読み取りと割り当てを行います f1a07417-d97a-45cb-824c-7a7467783830

セキュリティ

組み込みのロール 説明 ID
アプリ コンプライアンス オートメーション管理者 レポート オブジェクトおよび関連する他のリソース オブジェクトを作成、読み取り、ダウンロード、変更、および削除します。 0f37683f-2463-46b6-9ce7-9b788b988ba2
アプリ コンプライアンス オートメーション閲覧者 レポート オブジェクトおよび関連する他のリソース オブジェクトを読み取り、ダウンロードします。 ffc6bbe0-e443-4c3b-bf54-26581bb2f78e
Attestation Contributor 構成証明プロバイダー インスタンスの読み取り、書き込み、または削除ができます bbf86eb8-f7b4-4cce-96e4-18cddf81d86e
Attestation Reader 構成証明プロバイダーのプロパティを読み取ることができます fd1bd22b-8476-40bc-a0bc-69b95687b9f3
Key Vault Administrator キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 00482a5a-887f-4fb3-b363-3b7fe8e74483
Key Vault 証明書ユーザー 証明書の内容を読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 db79e9a7-68ee-4b58-9aeb-b90e7c24fcba
Key Vault Certificates Officer キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 a4417e6f-fecd-4de8-b567-7b0420556985
Key Vault Contributor キー コンテナーを管理しますが、Azure RBAC でのロール割り当ては許可されず、シークレット、キー、証明書へのアクセスも許可されません。 f25e0fa2-a7c8-4377-a976-54943a77a395
Key Vault Crypto Officer キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Key Vault Crypto Service Encryption User キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 e147488a-f6f5-4113-8e2d-b22465e65bf6
Key Vault Crypto Service リリース ユーザー リリース キー。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 08bbd89e-9f13-488c-ac41-acfcb10c90ab
Key Vault Crypto User キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 12338af0-0e69-4776-bea7-57ae8d297424
Key Vault Data Access 管理istrator Key Vault 管理者、Key Vault 証明書オフィサー、Key Vault Crypto オフィサー、Key Vault Crypto サービス暗号化ユーザー、Key Vault Crypto ユーザー、Key Vault 閲覧者、Key Vault シークレット オフィサー、または Key Vault シークレット ユーザー ロールのロールを追加または削除して、Azure Key Vault へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。 8b54135c-b56d-4d72-a534-26097cfdc8d8
Key Vault Reader キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 21090545-7ca7-4776-b22c-e363652d74d2
Key Vault Secrets Officer キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Key Vault Secrets User シークレット コンテンツを読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 4633458b-17de-408a-b874-0445c86b69e6
Managed HSM contributor マネージド HSM プールを管理できます。ただし、それらへのアクセスは含まれません。 18500a29-7fe2-46b2-a342-b16a415e101d
Microsoft Sentinel Automation 共同作成者 Microsoft Sentinel Automation 共同作成者 f4c81013-99ee-4d62-a7ee-b3f1f648599a
Microsoft Sentinel 共同作成者 Microsoft Sentinel 共同作成者 ab8e14d6-4a74-4a29-9ba8-549422addade
Microsoft Sentinel プレイブック オペレーター Microsoft Sentinel プレイブック オペレーター 51d6186e-6489-4900-b93f-92e23144cca5
Microsoft Sentinel 閲覧者 Microsoft Sentinel 閲覧者 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Microsoft Sentinel レスポンダー Microsoft Sentinel レスポンダー 3e150937-b8fe-4cfb-8069-0eaf05ecd056
Security Admin Microsoft Defender for Cloud のアクセス許可を表示および更新します。 セキュリティ閲覧者と同じアクセス許可があり、セキュリティ ポリシーの更新、アラートと推奨事項の無視も可能になります。

Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。
fb1c8493-542b-48eb-b624-b4c8fea62acd
Security Assessment Contributor 評価を Microsoft Defender for Cloud にプッシュできます 612c2aa1-cb24-443b-ac28-3ab7272de6f5
セキュリティ マネージャー (レガシ) これは、レガシ ロールです。 代わりに Security Admin を使用してください。 e3d13bf0-dd5a-482e-ba6b-9b8433878d10
Security Reader Microsoft Defender for Cloud のアクセス許可を表示します。 推奨事項、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。

Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。
39bc4728-0917-49c7-9d2c-d95423bc2eb4

DevOps

組み込みのロール 説明 ID
DevTest Labs User Azure DevTest Labs で仮想マシンの接続、起動、再起動、シャットダウンができます。 76283e04-6283-4c54-8f91-bcf1374a3c64
ラボ アシスタント 既存のラボを表示し、ラボ VM でアクションを実行し、ラボへの招待を送信できます。 ce40b423-cede-4313-a93f-9b28290b72e1
ラボ共同作成者 ラボ レベルで適用すると、ラボを管理できます。 リソース グループで適用すると、ラボを作成および管理できます。 5daaa2af-1fe8-407c-9122-bba179798270
Lab Creator Azure ラボ アカウントに新しいラボを作成できます。 b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
ラボ オペレーター 既存のラボを管理する限られた機能を提供します。 a36e6959-b6be-4b12-8e9f-ef4b474d304d
ラボ サービス共同作成者 リソース グループでの、Lab Services のすべてのシナリオを完全に制御できます。 f69b8690-cc87-41d6-b77a-a4bc3c0a966f
ラボ サービス閲覧者 すべてのラボ プランとラボ リソースを表示できますが、変更することはできません。 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc
ロード テスト共同作成者 ロード テストの表示、作成、更新、削除、実行を行います。 ロード テスト リソースを表示および一覧表示できますが、変更することはできません。 749a398d-560b-491b-bb21-08924219302e
ロード テスト所有者 ロード テスト リソースとロード テストのすべての操作を実行します 45bb0b16-2f0c-4e78-afaa-a07599b003f6
ロード テスト閲覧者 すべてのロード テストとロード テスト リソースを表示および一覧表示できますが、変更することはできません 3ae3fb29-0000-4ccd-bf80-542e7b26e081

モニター

組み込みのロール 説明 ID
Application Insights Component Contributor Application Insights コンポーネントを管理できます ae349356-3a1b-4a5e-921d-050484c6347e
Application Insights Snapshot Debugger Application Insights スナップショット デバッガーで収集されたデバック スナップショットの表示とダウンロードを実行できるアクセス許可をユーザーに与えます。 これらのアクセス許可は、所有者ロールまたは共同作成者ロールには含まれないことに注意してください。 ユーザーに Application Insights スナップショット デバッガー ロールを与える場合は、そのロールをユーザーに直接付与する必要があります。 このロールは、カスタム ロールに追加されるときに認識されません。 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Grafana 管理者 データ ソースの管理、ダッシュボードの作成、Grafana 内でのロールの割り当ての管理など、すべての Grafana 操作を実行します。 22926164-76b3-42b3-bc55-97df8dab3e41
Grafana エディター ダッシュボードやアラートなど、Grafana インスタンスを表示および編集します。 a79a5197-3a5c-4973-a920-486035ffd60f
Grafana ビューアー ダッシュボードとアラートを含む Grafana インスタンスを表示します。 60921a7e-fef1-4a43-9b16-a26c52ad4769
Monitoring Contributor すべての監視データを読み取り、監視設定を編集できます。 「Azure Monitor での役割、アクセス許可、およびセキュリティの概要」も参照してください。 749f88d5-cbae-40b8-bcfc-e573ddc772fa
監視メトリック パブリッシャー Azure リソースに対するメトリックの公開を有効にします 3913510d-42f4-4e42-8a64-420c390055eb
Monitoring Reader すべての監視データ (メトリック、ログなど) を読み取ることができます。 「Azure Monitor での役割、アクセス許可、およびセキュリティの概要」も参照してください。 43d0d8ad-25c7-4714-9337-8ba259a9fe05
Workbook Contributor 共有ブックを保存できます。 e8ddcd69-c73f-4f9f-9844-4100522f16ad
Workbook Reader ブックの読み取りが可能です。 b279062a-9be3-42a0-92ae-8b3cf002ec4d

管理とガバナンス

組み込みのロール 説明 ID
オートメーション 共同作成者 Azure Automation を使用して、Azure Automation リソースとその他のリソースを管理します。 f353d9bd-d4a6-484e-a77a-8050b599b867
Automation Job Operator Automation Runbook を使用してジョブを作成および管理します。 4fe576fe-1146-4730-92eb-48519fa6bf9f
Automation Operator Automation オペレーターはジョブを開始、停止、中断、再開することができます d3881f73-407a-4167-8283-e981cbba0404
Automation Runbook Operator Runbook のジョブを作成する方法については、Runbook のプロパティを参照してください。 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Azure Connected Machine のオンボード Azure Connected Machine をオンボードできます。 b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Azure Connected Machine のリソース管理者 Azure Connected Machine の読み取り、書き込み、削除、再オンボードを実行できます。 cd570a14-e51a-42ad-bac8-bafd67325302
Azure Connected Machine Resource Manager リソース グループ内のハイブリッド コンピューティング マシンとハイブリッド接続エンドポイントを管理するための AzureStackHCI RP のカスタム ロール f5819b54-e033-4d82-ac66-4fec3cbf3f4c
Billing Reader 課金データへの読み取りアクセスを許可します fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
ブループリント共同作成者 ブループリントの定義を管理できますが、それらを割り当てることはできません。 41077137-e803-4205-871c-5a86e6a753b4
ブループリント オペレーター 既存の発行済みのブループリントを割り当てることはできますが、ブループリントの新規作成はできません。 これは、ユーザーが割り当てたマネージド ID を使用して割り当てが行われた場合にのみ機能することに注意してください。 437d2ced-4a38-4302-8479-ed2bcb43d090
Cost Management 共同作成者 コストを表示し、コストの構成 (予算、エクスポートなど) を管理することができます。 434105ed-43f6-45c7-a02f-909b2ba83430
Cost Management 閲覧者 コストのデータと構成 (予算、エクスポートなど) を表示することができます。 72fafb9e-0641-4937-9268-a91bfd8191a3
Hierarchy Settings Administrator ユーザーに、階層設定の編集と削除を許可します 350f8d15-c687-4448-8ae1-157740a3936d
Managed Application Contributor Role マネージド アプリケーション リソースの作成を許可します。 641177b8-a67a-45b9-a033-47bc880bb21e
Managed Application Operator Role マネージド アプリケーション リソースに対する読み取りとアクションの実行が可能です。 c7393b34-138c-406f-901b-d8cf2b17e6ae
Managed Applications 閲覧者 マネージド アプリおよび要求 JIT アクセスでリソースを読み取ることができます。 b9331d33-8a36-4f8c-b097-4f54124fdb44
マネージド サービスの登録割り当て削除ロール マネージド サービスの登録割り当て削除ロールを使用すると、テナント管理ユーザーは、テナントに割り当てられている登録割り当てを削除できます。 91c1777a-f3dc-4fae-b103-61d183457e46
管理グループ共同作成者 管理グループ共同作成者ロール 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
管理グループ閲覧者 管理グループ閲覧者ロール ac63b705-f282-497d-ac71-919bf39d939d
New Relic APM Account Contributor New Relic Application Performance Management のアカウントとアプリケーションを管理できます。ただし、それらへのアクセスは含まれません。 5d28c62d-5b37-4476-8438-e587778df237
Policy Insights データ ライター (プレビュー) リソース ポリシーに対する読み取りアクセスとリソース コンポーネント ポリシー イベントへの書き込みアクセスを許可します。 66bb4e9e-b016-4a94-8249-4c0511c2be84
クォータ要求オペレーター クォータ要求の読み取り、作成を行い、クォータ要求の状態を取得して、サポート チケットを作成します。 0e5f05e5-9ab9-446b-b98d-1e2157c94125
Reservation Purchaser 予約を購入できるようになります f7b75c60-3036-4b75-91c3-6b41c27c1689
reservations 管理istrator テナント内のすべての予約を 1 つ読み取って管理できるようにする a8889054-8d42-49c9-bc1c-52486c10e7cd
予約閲覧者 テナント内のすべての予約を 1 つ読み取る 582fc458-8989-419f-a480-75249bc5db7e
リソース ポリシーの共同作成者 リソース ポリシーの作成または変更、サポート チケットの作成、リソースまたは階層の読み取りを行う権限を持つユーザー。 36243c78-bf99-498c-9df9-86d9f8d28608
Site Recovery Contributor 資格情報コンテナーの作成とロールの割り当てを除く、Site Recovery サービスを管理できます 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Site Recovery Operator フェールオーバーとフェールバックを実行できますが、その他の Site Recovery 管理操作は実行しません 494ae006-db33-4328-bf46-533a6560a3ca
Site Recovery Reader Site Recovery の状態を表示できますが、その他の管理操作は実行できません dbaa88c4-0c30-4179-9fb3-46319faa6149
Support Request Contributor Support request を作成して管理できます cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
タグ共同作成者 エンティティ自体へのアクセスを提供することなく、エンティティのタグを管理できます。 4a9ae827-6dc8-4573-8ac7-8239d42aa03f
テンプレート スペック共同作成者 割り当てられたスコープでテンプレート スペック操作へのフル アクセスを許可します。 1c9b6475-caf0-4164-b5a1-2142a7116f4b
テンプレート スペック閲覧者 割り当てられたスコープでテンプレート スペックへの読み取りアクセスを許可します。 392ae280-861d-42bd-9ea5-08ee6d83b80e

ハイブリッドとマルチクラウド

組み込みのロール 説明 ID
Azure Resource Bridge のデプロイ ロール Azure Resource Bridge のデプロイ ロール 7b1f81f9-4196-4058-8aae-762e593270df
Azure Stack HCI 管理istrator Azure Stack HCI を登録し、他のユーザーを Azure Arc HCI VM 共同作成者または Azure Arc HCI VM 閲覧者として割り当てる機能など、クラスターとそのリソースへのフル アクセスを許可します bda0d508-adf1-4af0-9c28-88919fc3ae06
Azure Stack HCI デバイス管理 ロール Microsoft.AzureStackHCI デバイス管理 ロール 865ae368-6a45-4bd1-8fbf-0d5151f56fc1
Azure Stack HCI VM 共同作成者 すべての VM アクションを実行するアクセス許可を付与します 874d1c73-6003-4e60-a13a-cb31ea190a85
Azure Stack HCI VM リーダー VM を表示するためのアクセス許可を付与します 4b3fe76c-f777-4d24-a2d7-b027b0f7b273
Azure Stack Registration Owner Azure Stack の登録を管理できます。 6f12a6df-dd06-4f3e-bcb1-ce8be600526a

次のステップ