Встроенные роли Azure

Управление доступом на основе ролей (Azure RBAC) имеет несколько встроенных ролей Azure, которые можно назначить для пользователей, групп, субъектов-служб и управляемых удостоверений. Назначение ролей является способом управления доступом к ресурсам Azure. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли Azure. Сведения о назначении ролей см. в разделе Действия по назначению роли Azure.

В этой статье перечислены встроенные роли Azure. Если вы ищете роли администратора для идентификатора Microsoft Entra, ознакомьтесь со встроенными ролями Microsoft Entra.

В таблице ниже содержится краткое описание каждой из встроенных ролей. Щелкните имя роли, чтобы просмотреть список Actions, NotActions, DataActions и NotDataActions для каждой роли. Сведения о том, что такое действия означают и как они применяются к плоскостям управления и данных, см. в разделе "Общие сведения об определениях ролей Azure".

Привилегированная

Встроенная роль Description Идентификатор
Участник Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений. b24988ac-6180-42a0-ab88-20f7382dd24c
Ответственное лицо Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Администратор резервирования Позволяет считывать и управлять всеми резервированиями в клиенте a8889054-8d42-49c9-bc1c-52486c10e7cd
Администратор контроль доступа на основе ролей Управление доступом к ресурсам Azure путем назначения ролей с помощью Azure RBAC. Эта роль не позволяет управлять доступом с помощью других способов, таких как Политика Azure. f58310d9-a9f6-439a-9e8d-f62e7b41a168
Администратор доступа пользователей Позволяет управлять доступом пользователей к ресурсам Azure. 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9

Общие

Встроенная роль Description Идентификатор
Читатель Дает возможность просматривать все ресурсы, но не позволяет вносить изменения. acdd72a7-3385-48ef-bd42-f606fba81ae7

Службы вычислений

Встроенная роль Description Идентификатор
Участник виртуальной машины Azure Arc VMware Участник виртуальной машины Arc VMware имеет разрешения на выполнение всех действий виртуальной машины. b748a06d-6150-4f8a-aaa9-ce3940cd96cb
Участник классической виртуальной машины Позволяет управлять классическими виртуальными машинами, но не доступом к ним и не учетной записью виртуальной сети или хранения, к которой они подключены. d73bb868-a0df-4d4d-bd69-98a00b01fccb
Издатель артефактов коллекции вычислений Это роль для артефактов коллекции публикации. 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab
Администратор общего доступа к коллекции вычислений Эта роль позволяет пользователю предоставлять общий доступ к коллекции другим подпискам или арендаторам или предоставлять общий доступ к ней общественности. 1ef6a3be-d0ac-425d-8c01-acb62866290b
Оператор данных для Управляемые диски Предоставляет разрешения на отправку данных на пустые управляемые диски, чтение или экспорт данных управляемых дисков (не подключенных к запущенным виртуальным машинам) и моментальных снимков с помощью URI SAS и проверки подлинности Azure AD. 959f8984-c045-4866-89c7-12bf9737be2e
Участник группы приложений виртуализации рабочих столов Участник группы приложений виртуализации рабочих столов. 86240b0e-9422-4c43-887b-b61143f32ba8
Читатель группы приложений виртуализации рабочих столов Читатель группы приложений виртуализации рабочих столов. aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
Участник виртуализации рабочих столов Участник виртуализации рабочих столов. 082f0a83-3be5-4ba1-904c-961cca79b387
Участник пула узлов виртуализации рабочих столов Участник пула узлов виртуализации рабочих столов. e307426c-f9b6-4e81-87de-d99efb3c32bc
Читатель пула узлов виртуализации рабочих столов Читатель пула узлов виртуализации рабочих столов. ceadfde2-b300-400a-ab7b-6143895aa822
Участник Power On для виртуализации рабочего стола Предоставьте разрешение поставщику ресурсов виртуального рабочего стола Azure для запуска виртуальных машин. 489581de-a3bd-480d-9518-53dea7416b33
Участник Power On Off для виртуализации рабочего стола Предоставьте поставщику ресурсов виртуального рабочего стола Azure разрешение на запуск и остановку виртуальных машин. 40c5ff49-9181-41f8-ae61-143b0e7855e
Читатель виртуализации рабочих столов Читатель виртуализации рабочих столов. 49a72310-ab8d-41df-bbb0-79b649203868
Оператор узла сеансов виртуализации рабочих столов Оператор узла сеансов виртуализации рабочих столов. 2ad6aaab-ead9-4eaa-8ac5-da422f562408
Пользователь виртуализации рабочих столов Позволяет пользователю работать с приложениями в группе приложений. 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
Оператор сеанса пользователей виртуализации рабочих столов Оператор сеанса пользователей виртуализации рабочих столов. ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
Участник виртуальной машины виртуализации рабочего стола Эта роль находится на этапе предварительной версии и может быть изменена. Предоставьте поставщику ресурсов виртуального рабочего стола Azure разрешение на создание, удаление, обновление, запуск и остановку виртуальных машин. a959dbd1-f747-45e3-8ba6-dd80f235f97c
Участник рабочей области виртуализации рабочих столов Участник рабочей области виртуализации рабочих столов. 21efdde3-836f-432b-bf3d-3e8e734d4b2b
Читатель рабочей области виртуализации рабочих столов Читатель рабочей области виртуализации рабочих столов. 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
Читатель резервной копии диска Предоставляет резервному хранилищу разрешение для выполнения архивации диска. 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
Оператор пула дисков Предоставьте разрешение поставщику ресурсов StoragePool для управления дисками, добавленными в пул дисков. 60fc6e62-5479-42d4-8bf4-67625fcc2840
Оператор восстановления дисков Предоставляет резервному хранилищу разрешение на выполнение восстановления диска. b50d9833-a0cb-478e-945f-707fcc997c13
Участник моментальных снимков дисков Предоставляет резервному хранилищу разрешение на управление моментальными снимками дисков. 7efff54f-a5b4-42b5-a1c5-5411624893ce
Администратор виртуальной машины Позволяет просматривать виртуальные машины на портале и входить в систему с правами администратора. 1c0163c0-47e6-4577-8991-ea5c82e286e4
Участник виртуальной машины Создание виртуальных машин и управление ими, управление дисками, установка и запуск программного обеспечения, сброс пароля корневого пользователя виртуальной машины с помощью расширений виртуальной машины и управление учетными записями локальных пользователей с помощью расширений виртуальной машины. Эта роль не предоставляет доступ для управления виртуальной сетью или учетной записью хранения, к которой подключены виртуальные машины. Эта роль не позволяет назначать роли в Azure RBAC. 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Администратор доступа к данным виртуальной машины (предварительная версия) Управление доступом к Виртуальные машины путем добавления или удаления назначений ролей для роли входа администратора виртуальной машины и имени входа пользователя виртуальной машины. Включает условие ABAC для ограничения назначений ролей. 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04
Имя входа локального пользователя виртуальной машины Просмотр Виртуальные машины на портале и вход в качестве локального пользователя, настроенного на сервере arc 602da2ba-a5c2-41da-b01d-5360126ab525
Пользователь виртуальной машины Позволяет просматривать виртуальные машины на портале и входить в систему с правами обычного пользователя. fb879df8-f326-4884-b1cf-06f3ad86be52
Участник сетевого интерфейса Windows 365 Эта роль используется Windows 365 для подготовки необходимых сетевых ресурсов и присоединения виртуальных машин, размещенных корпорацией Майкрософт, к сетевым интерфейсам. 1f135831-5bbe-4924-9016-264044c00788
Сетевой пользователь Windows 365 Эта роль используется Windows 365 для чтения виртуальных сетей и присоединения назначенных виртуальных сетей. 7eabc9a4-85f7-4f71-b8ab-75daaccc1033
Вход администратора Windows Admin Center Давайте управляем ОС ресурса с помощью Windows Admin Center в качестве администратора. a633a3e-0164-44c3-b281-7a577aff287f

Сеть

Встроенная роль Description Идентификатор
Участник домена Azure Front Door Для внутреннего использования в Azure. Может управлять доменами Azure Front Door, но не может предоставлять доступ другим пользователям. 0ab34830-df19-4f8c-b84e-aa85b8afa6e8
Читатель домена Azure Front Door Для внутреннего использования в Azure. Может просматривать домены Azure Front Door, но не может вносить изменения. 0f99d363-226e-4dca-9920-b807cf8e1a5f
Средство чтения профилей Azure Front Door Может просматривать профили AFD уровня "Стандартный" и "Премиум" и их конечные точки, но не могут вносить изменения. 662802e2-50f6-46b0-aed2-e834bacc6d12
Участник секретов Azure Front Door Для внутреннего использования в Azure. Может управлять секретами Azure Front Door, но не может предоставлять доступ другим пользователям. 3f2eb865-5811-4578-b90a-6fc6fa0df8e5
Средство чтения секретов Azure Front Door Для внутреннего использования в Azure. Может просматривать секреты Azure Front Door, но не может вносить изменения. 0db238c4-885e-4c4f-a933-aa2cef684fca
Участник конечных точек CDN Может управлять конечными точками CDN, но не может предоставлять доступ другим пользователям. 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
Читатель конечной точки CDN Может просматривать конечные точки CDN, но не может вносить изменения. 871e35f6-b5c1-49cc-a043-bde969a0f2cd
Участник профиля CDN Может управлять профилями CDN и Azure Front Door уровня "Стандартный" и "Премиум" и их конечными точками, но не может предоставлять доступ другим пользователям. ec156ff8-a8d1-4d15-830c-5b80698ca432
Читатель данных профиля CDN Может просматривать профили CDN и их конечные точки, но не может вносить изменения. 8f96442b-4075-438f-813d-ad51ab4019af
Участник классической сети Позволяет управлять классическими сетями, но не доступом к ним. b34d265f-36f7-4a0d-a4d4-e158ca92e90f
Участник зоны DNS Позволяет управлять зонами DNS и наборами записей в Azure DNS, но не тем, кому они будут доступны. befefa01-2a29-4197-83a8-272ff33ce314
Участник сети Позволяет управлять сетями, но не доступом к ним. Эта роль не предоставляет разрешения на развертывание или управление Виртуальные машины. 4d97b98b-1d4f-4787-a291-c67834d212e7
Участник частной зоны DNS Позволяет управлять ресурсами частной зоны DNS, но не виртуальными сетями, с которыми они связаны. b12aa53e-6015-4669-85d0-8515ebb3ae7f
Участник диспетчера трафика Позволяет управлять профилями диспетчера трафика, но не доступом к ним. a4b10055-b0c7-44c2-b00f-c7b5b3550cf7

Хранилище

Встроенная роль Description Идентификатор
Участник Avere Может создавать и контролировать кластер Avere vFXT. 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Оператор Avere Используется кластером Avere vFXT для управления кластером c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
Участник резервного копирования Позволяет управлять службой архивации, но не разрешает создавать хранилища и предоставлять доступ другим пользователям 5e467623-bb1f-42f4-a55d-6e525e11384b
Администратор MUA резервного копирования Резервное копирование MultiUser-Authorization. Может создать или удалить ResourceGuard c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8
Оператор MUA резервного копирования Резервное копирование MultiUser-Authorization. Позволяет пользователю выполнять критически важные операции, защищенные resourceguard f54b6d04-23c6-443e-b462-9c16ab7b4a52
Оператор резервного копирования Позволяет управлять службами архивации, но не удалять архивные копии, создавать хранилища или предоставлять доступ другим пользователям 00c29273-979b-4161-815c-10b084fb9324
Читатель резервных копий Может просматривать службы резервного копирования, но не может вносить изменения. a795c7a0-d4a2-40c1-ae25-d81f01202912
Участник классической учетной записи хранения Позволяет управлять классическими учетными записями хранения, но не предоставлять доступ к ним. 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
Роль службы оператора ключей классических учетных записей хранения Операторы ключей классических учетных записей хранения могут перечислять и повторно создавать ключи в классических учетных записях хранения. 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Участник Data Box Позволяет управлять всеми данными службы Data Box, кроме предоставления доступа другим пользователям. add466c9-e687-43fc-8d98-dfcf8d720be5
Читатель Data Box Позволяет управлять службой Data Box, но не позволяет создавать заказы и менять их порядок, а также предоставлять доступ другим пользователям. 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Разработчик Data Lake Analytics Позволяет отправлять, отслеживать задания и управлять ими, но не позволяет создавать или удалять учетные записи Data Lake Analytics. 47b7735b-770e-4598-a7da-8b91488b4c88
Защитник для сканера данных хранилища Предоставляет доступ к большим двоичным объектам чтения и обновления тегов индекса. Эта роль используется сканером данных Defender для хранилища. 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40
Администратор эластичной сети SAN Разрешает доступ к созданию частных конечных точек в ресурсах SAN и чтению ресурсов SAN fa6cecf6-5db3-4c43-8470-c540bcb4eafa
Владелец эластичной сети SAN Обеспечивает полный доступ ко всем ресурсам в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути к данным 80dcbedb-47ef-405d-95bd-188a1b4ac406
Средство чтения эластичных SAN Разрешает доступ на чтение пути управления к Azure Elastic SAN af6a70f8-3c9f-4105-acf1-d719e9e9fca4ca
Владелец группы томов Elastic SAN Обеспечивает полный доступ к группе томов в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути к данным a8281131-f312-4f34-8d98-ae12be9f0d23
Модуль чтения и доступ к данным Позволяет просматривать все данные, но не позволит удалить или создать учетную запись хранения или содержащий ресурс. Он также предоставит доступ на чтение и запись для всех данных, содержащихся в учетной записи хранения через доступ к ключам учетной записи хранения. c12c1c16-33a1-487b-954d-41c89c60f349
Участник резервного копирования учетной записи хранения Позволяет выполнять операции резервного копирования и восстановления с помощью Azure Backup в учетной записи хранения. e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1
Участник учетной записи хранения Разрешает управление учетными записями хранения. Предоставляет доступ к ключу учетной записи, который можно использовать для доступа к данным посредством авторизации с использованием общего ключа. 17d1049b-9a84-46fb-8f53-869881c3d3ab
Роль службы оператора ключей учетных записей хранения Разрешает перечисление и повторное создание ключей доступа к учетной записи хранения. 81a9662b-bebf-436f-a333-f67b29880f12
Участник данных хранилища BLOB-объектов Чтение, запись и удаление контейнеров службы хранилища Azure и больших двоичных объектов. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". ba92f5b4-2d11-453d-a403-e96b0029c9fe
владелец данных BLOB-объектов хранилища; Предоставляет полный доступ к контейнерам и данным BLOB-объектов службы хранилища Azure, включая назначение элемента управления доступом POSIX. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". b7e6dc6d-f1e8-4753-8033-0f276bb0955b
читатель данных больших двоичных объектов хранилища. Чтение и перечисление контейнеров и больших двоичных объектов службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
Представитель BLOB-объектов хранилища Получение ключа делегирования пользователя, который затем можно использовать для создания подписи общего доступа для контейнера или большого двоичного объекта, подписанного с помощью учетных данных Azure AD. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя. db58b8e5-c6ad-4a2a-8342-4190687cbf4a
Участник привилегированных данных хранилища Разрешает чтение, запись, удаление и изменение списков управления доступом к файлам и каталогам в общих папках Azure путем переопределения существующих разрешений ACL/NTFS. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. 69566ab7-960f-475b-8e7c-b318f30c6bd
Средство чтения с привилегированными данными файлов хранилища Разрешает доступ на чтение файлов и каталогов в общих папках Azure, переопределяя существующие разрешения ACL/NTFS. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. b8eda974-7b85-4f76-af95-65846b26df6d
Участник общей папки файловых данных хранилища SMB Разрешает доступ на чтение, запись и удаление файлов/каталогов в общих папках Azure. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
Участник общих папок данных SMB службы хранилища с повышенными правами Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для изменения на файловых серверах Windows. a7264617-510b-434b-a828-9731dc254ea7
Читатель общей папки файловых данных хранилища SMB Разрешает доступ на чтение файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для чтения данных на файловых серверах Windows. aba4ae5f-2193-4029-9191-0cb91df5e314
Участник для данных очереди хранилища Чтение, запись и удаление очередей и сообщений в очередях службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". 974c5e8b-45b9-4653-ba55-5f855dd0fb88
Обработчик сообщений данных в очереди хранилища Просмотр, получение и удаление сообщений в очередях службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". 8a0f0c08-91a1-4084-bc3d-661d67233fed
Отправитель сообщений данных в очередь хранилища Добавление сообщений в очередь службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
Читатель данных очереди хранилища Чтение и перечисление очередей и сообщений в очередях службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". 19e7f393-937e-4f77-808e-94535e297925
Участник данных таблицы хранилища Разрешает доступ на чтение, запись и удаление к таблицам и сущностям службы хранилища Azure 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3
Читатель данных таблицы хранилища Разрешает доступ на чтение к таблицам и сущностям службы хранилища Azure 76199698-9eea-4c19-bc75-cec21354c6b6

Интернет и мобильные приложения

Встроенная роль Description Идентификатор
Разработчик данных Azure Maps Предоставляет доступ для чтения, записи и удаления связанных данных карт в учетной записи Azure Maps. 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204
Читатель данных Azure Maps Предоставляет доступ на чтение связанных данных карты в учетной записи Azure Maps. 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Средство "Поиск и отрисовка данных" в Azure Maps Предоставляет доступ к очень ограниченному набору API данных для распространенных сценариев визуального веб-пакета SDK. В частности, api-интерфейсы обработки и поиска данных. 6be48352-4f82-47c9-ad5e-0acacefdb005
Роль средства чтения шаблонов файлов конфигурации приложений Azure Spring Apps Чтение содержимого шаблона файла конфигурации для службы конфигурации приложений в Azure Spring Apps 25211fc6-dc78-40b6-b205-e4ac934fd9fdd
Роль чтения журналов службы конфигурации приложений Azure Spring Apps Чтение журналов в режиме реального времени для службы конфигурации приложений в Azure Spring Apps 6593e776-2a30-40f9-8a32-4fe28b7765d
Роль Azure Spring Apps Connect Роль Azure Spring Apps Connect 80558df3-64f9-4c0f-b32d-e5094b036b0b
Роль читателя журнала заданий Azure Spring Apps Чтение журналов в режиме реального времени для заданий в Azure Spring Apps b459aa1d-e3c8-436f-ae21-c0531140f43e
Роль удаленной отладки Azure Spring Apps Роль удаленной отладки Azure Spring Apps a99b0159-1064-4c22-a57b-c9b3caa1c054
Роль читателя журналов Шлюза Spring Cloud для Azure Spring Apps Чтение журналов в режиме реального времени для Spring Cloud Gateway в Azure Spring Apps 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2
Участник сервера конфигурации Azure Spring Cloud Разрешить доступ для чтения, записи и удаления к серверу конфигурации Azure Spring Cloud a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b
Средство чтения сервера конфигурации Azure Spring Cloud Разрешить доступ на чтение к серверу конфигурации Azure Spring Cloud d04c6db6-4947-4782-9e91-30a88feb7be7
Читатель данных Azure Spring Cloud Разрешает доступ на чтение данных Azure Spring Cloud. b5537268-8956-4941-a8f0-646150406f0c
Участник реестра служб Azure Spring Cloud Разрешить доступ к реестру служб Azure Spring Cloud для чтения, записи и удаления f5880b48-c26d-48be-b172-7927bfa1c8f1
Читатель реестра службы Azure Spring Cloud Разрешить доступ на чтение к реестру служб Azure Spring Cloud cff1b556-2399-4e7e-856d-a8f754be7b65
Администратор учетной записи Служб мультимедиа Создание, чтение, изменение и удаление учетных записей Служб мультимедиа; доступ только на чтение в других ресурсах Служб мультимедиа. 054126f8-9a2b-4f1c-a9ad-eca461f08466
Администратор служб мультимедиа Live Events Создание, чтение, изменение и удаление событий трансляции, ресурсов, фильтров активов и указателей потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. 532bc159-b25e-42c0-969e-a1d439f60d77
Оператор мультимедиа Служб мультимедиа Создание, чтение, изменение и удаление активов, фильтров активов, указателей потоковой передачи и заданий; доступ только на чтение в других ресурсах Служб мультимедиа. e4395492-1534-4db2-bedf-88c14621589c
Администратор политик Служб мультимедиа Создание, чтение, изменение и удаление фильтров учетных записей, политик потоковой передачи, политик ключей содержимого и преобразований; доступ только на чтение в других ресурсах Служб мультимедиа. Нельзя создавать задания, активы или ресурсы потоковой передачи. c4bba371-dacd-4a26-b320-7250bca963ae
Администратор конечных точек потоковой передачи Служб мультимедиа Создание, чтение, изменение и удаление конечных точек потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. 99dba123-b5fe-44d5-874c-ced7199a5804
Читатель AccessKey в SignalR Чтение ключей доступа службы SignalR. 04165923-9d83-45d5-8227-78b77b0a687e
Сервер приложений SignalR Разрешает серверу приложений доступ к службе SignalR с использованием параметров аутентификации AAD. 420fcaa2-552c-430f-98ca-3264be4806c7
Владелец REST API SignalR Полный доступ к интерфейсам REST API службы Azure SignalR. fd53cd77-2268-407a-8f46-7e7863d0f521
Средство чтения REST API SignalR Доступ только для чтения к интерфейсам REST API службы Azure SignalR. ddde6b66-c0df-4114-a159-3618637b3035
Владелец службы SignalR Полный доступ к интерфейсам REST API службы Azure SignalR. 7e4f1700-ea5a-4f59-8f37-079cfe29dce3
Участник SignalR/Web PubSub Создание, чтение, изменение и удаление ресурсов службы SignalR. 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Участник веб-плана Управление веб-планами для веб-сайтов. Не позволяет назначать роли в Azure RBAC. 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Владелец службы Web PubSub Полный доступ к REST API службы Azure Web PubSub 12cf5a90-567b-43ae-8102-96cf46c7d9b4
Средство чтения служб Web PubSub Доступ только для чтения к REST API службы Azure Web PubSub bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf
Участник веб-сайта Управление веб-сайтами, но не веб-планами. Не позволяет назначать роли в Azure RBAC. de139f84-1756-47ae-9be6-808fbbe84772

Контейнеры

Встроенная роль Description Идентификатор
AcrDelete Удаление репозиториев, тегов или манифестов из реестра контейнеров. c2f4ef07-c644-48eb-af81-4b1b4947fb11
AcrImageSigner Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому. 6cef56e8-d556-48e5-a04f-b8e64114680f
AcrPull Извлечение артефактов из реестра контейнеров. 7f951dda-4ed3-4680-a7ca-43fe172d538d
AcrPush Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров. 8311e382-0749-4cb8-b61a-304f252e45ec
AcrQuarantineReader Извлечение помещенных в карантин образов из реестра контейнеров. cdda3590-29a3-44f6-95f2-9f980659eb04
AcrQuarantineWriter Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него. c8d4ff99-41c3-41a8-9f60-21dfdad59608
Роль пользователя кластера Kubernetes с поддержкой Azure Arc Действие вывода учетных данных пользователей кластера. 00493d72-78f6-4148-b6c5-d3ce8e4799dd
Администратор Kubernetes Azure Arc Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. dffb1e0c-446f-4dde-a09f-99eb5cc68b96
Администратор кластера Kubernetes Azure Arc Позволяет управлять всеми ресурсами в кластере. 8393591c-06b9-48a2-a542-1bd6b377f6a2
Зритель Kubernetes Azure Arc Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов. 63f0a09d-1495-4db4-a681-037d84835eb4
Писатель Kubernetes Azure Arc Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера). 5b999177-9696-4545-85c7-50de3797e5a1
Участник службы хранилища контейнеров Azure Установите хранилище контейнеров Azure и управляйте ресурсами хранилища. Включает условие ABAC для ограничения назначений ролей. 95d08a6-00bd-4661-84bf-f6726f83a4d0
Оператор хранилища контейнеров Azure Включите управляемое удостоверение для выполнения операций хранилища контейнеров Azure, таких как управление виртуальными машинами и управление виртуальными сетями. 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619
Владелец хранилища контейнеров Azure Установите хранилище контейнеров Azure, предоставьте доступ к ресурсам хранилища и настройте сеть эластичных хранилищ Azure (SAN). Включает условие ABAC для ограничения назначений ролей. 95de85bd-744d-4664-9dde-11430bc34793
Роль участника Диспетчера флота Azure Kubernetes Предоставляет доступ на чтение и запись к ресурсам Azure, предоставляемым диспетчером флотов Azure Kubernetes, включая флоты, членов флота, стратегии обновления флота, запуски обновлений флота и т. д. 63bb64ad-9799-4770-b5c3-24ed299a07bf
Администратор RBAC диспетчера парка Azure Kubernetes Предоставляет доступ на чтение и запись к ресурсам Kubernetes в пространстве имен в кластере, управляемом флотом, предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. 434fb43a-c01c-447e-9f67-c3ad923cfaba
Администратор кластера RBAC диспетчера парка Azure Kubernetes Предоставляет доступ на чтение и запись ко всем ресурсам Kubernetes в кластере, управляемом флотом. 18ab4d3d-a1bf-4477-8ad9-8359bc988f69
Средство чтения RBAC диспетчера флота Azure Kubernetes Предоставляет доступ только для чтения к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. 30b27cfc-9c84-438e-b0ce-70e35255df80
Модуль записи RBAC диспетчера флота Azure Kubernetes Предоставляет доступ на чтение и запись к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любого ServiceAccount в пространстве имен, поэтому его можно использовать для получения уровней доступа к API любого ServiceAccount в пространстве имен.  Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. 5af6afb3-c06c-4fa4-8848-71a8aee05683
роль администратора кластера Arc Служба Azure Kubernetes Список действий, выполненных с помощью учетных данных администратора кластера. b29efa5f-7782-4dc3-9537-4d5bc70a5e9f
роль пользователя кластера Arc Служба Azure Kubernetes Список действий, выполненных с помощью учетных данных пользователя кластера. 233ca253-b031-42ff-9fba-87ef12d6b55f
Роль участника Служба Azure Kubernetes Arc Предоставляет доступ к гибридным кластерам для чтения и записи Служба Azure Kubernetes 5d3f1697-4507-4d08-bb4a-477695db5f82
Роль администратора кластера в Службе Azure Kubernetes Список действий, выполненных с помощью учетных данных администратора кластера. 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
пользователь мониторинга кластера Служба Azure Kubernetes Действие учетных данных пользователя мониторинга кластера. 1afdec4b-e479-420e-99e7-f82237c7c5e6
Роль пользователя кластера в Службе Azure Kubernetes Список действий, выполненных с помощью учетных данных пользователя кластера. 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Роль участника службы Azure Kubernetes Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes. ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8
Администратор RBAC для службы Azure Kubernetes Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. 3498e952-d568-435e-9b2c-8d77e338d7f7
Администратор кластера RBAC для службы Azure Kubernetes Позволяет управлять всеми ресурсами в кластере. b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b
Читатель RBAC для службы Azure Kubernetes Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. 7f6c6a51-bcf8-42ba-9220-52d62157d7db
Модуль записи RBAC для службы Azure Kubernetes Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb
Средство чтения CheckAccess с управляемым удостоверением подключенного кластера Встроенная роль, которая позволяет управляемому кластеру вызывать API checkAccess. 65a14201-8f6c-4c28-bec4-12619c5a9aaa
Оператор Без агента Kubernetes Предоставляет Microsoft Defender для облака доступ к Служба Azure Kubernetes d5a2ae44-610b-4500-93be-660a0a0c5f5ca6
Кластер Kubernetes — подключение Azure Arc Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters. 34e09817-6cbe-4d01-b1a2-e0eac5743d41
Участник расширения Kubernetes Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений 85cb6faf-e071-4c9b-8136-154b5a04f717
Участник кластера Service Fabric Управление ресурсами кластера Service Fabric. Включает кластеры, типы приложений, версии типов приложений, приложения и службы. Вам потребуются дополнительные разрешения для развертывания базовых ресурсов кластера и управления ими, таких как масштабируемые наборы виртуальных машин, учетные записи хранения, сети и т. д. b6efc156-f0da-4e90-a50a-8c000140b017
Участник управляемого кластера Service Fabric Развертывание ресурсов управляемого кластера Service Fabric и управление ими. Включает управляемые кластеры, типы узлов, типы приложений, версии типов приложений, приложения и службы. 83f80186-3729-438c-ad2d-39e94d718838

Базы данных

Встроенная роль Description Идентификатор
Подключение SQL Server, подключенного к Azure Предоставляет SQL Server доступ для чтения и записи к ресурсам Azure на серверах с поддержкой Arc. e8113dce-c529-4d33-91fa-e9b972617508
Роль читателя учетных записей Cosmos DB Позволяет считывать данные учетных записей Azure Cosmos DB. Сведения об управлении учетными записями Azure Cosmos DB см. в разделе Участник учетной записи DocumentDB. fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Оператор Cosmos DB Позволяет управлять учетными записями Azure Cosmos DB, но не доступом к данным. Предотвращает доступ к ключам учетной записи и строкам подключения. 230815da-be43-4aae-9cb4-875f7bd000aa
CosmosBackupOperator Позволяет отправлять запрос на восстановление контейнера или базы данных Cosmos DB для учетной записи. db7b14f2-5adf-42da-9f96-f2ee17bab5cb
CosmosRestoreOperator Может выполнять действие восстановления для учетной записи базы данных Cosmos DB в режиме непрерывного резервного копирования. 5432c526-bc82-444a-b7ba-57c5b0b5b34f
Участник учетной записи DocumentDB Может управлять учетными записями Azure Cosmos DB Служба Azure Cosmos DB раньше называлась DocumentDB. 5bd9cd88-fe45-4216-938b-f97437e15450
Роль резервного копирования гибкого сервера PostgreSQL с длительным сроком хранения Роль, позволяющая хранилищу резервных копий получать доступ к API гибких ресурсов сервера PostgreSQL для долгосрочного резервного копирования. c088a766-074b-43ba-90d4-1fb21feae531
Участник кэша Redis Позволяет управлять кэшем Redis, но не доступом к нему. e0f68234-74aa-48ed-b826-c38b57376e17
Участник базы данных SQL Позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server. 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
Участник управляемого экземпляра SQL Позволяет управлять управляемыми экземплярами SQL и требуемой конфигурацией сети, но не предоставлять к ним доступ. 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
Диспетчер безопасности SQL Позволяет управлять политиками безопасности серверов SQL Server и баз данных SQL, но не доступом к ним. 056cd41c-7e88-42e1-933e-88ba6a50c9c3
Участник SQL Server Позволяет управлять серверами SQL Server и базами данных SQL, но не доступом к ним и их политиками безопасности. 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437

Аналитика

Встроенная роль Description Идентификатор
Владелец данных Центров событий Azure Разрешает полный доступ к ресурсам Центров событий Azure. f526a384-b230-433a-b45c-95f59c4a2dec
Получатель данных Центров событий Azure Разрешает полный доступ к ресурсам Центров событий Azure. a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Отправитель данных Центров событий Azure Разрешает полный доступ к ресурсам Центров событий Azure. 2b629674-e913-4c01-ae53-ef4638d8f975
Участник фабрики данных Создание фабрик данных и управление ими, а также их дочерними ресурсами. 673868aa-7521-48a0-acc6-0f60742d39f5
Средство очистки данных Удаление личных данных из рабочей области Log Analytics. 150f5e0c-0603-4f03-8c7f-cf70034c4e90
Оператор кластера HDInsight Позволяет считывать и изменять конфигурации кластера HDInsight. 61ed4efc-fab3-44fd-b111-e24485cc132a
Участник доменных служб HDInsight Позволяет читать, создавать, изменять и удалять операции, связанные с доменными службами, необходимыми для Корпоративного пакета безопасности HDInsight 8d8d5a11-05d3-4bda-a417-a08778121c7c
HDInsight в администраторе кластера AKS Предоставляет пользователю или группе возможность создавать, удалять и управлять кластерами в определенном пуле кластеров. Администратор кластера также может запускать рабочие нагрузки, отслеживать и управлять всеми действиями пользователей в этих кластерах. fd036e6b-1266-47a0-b0bb-a05d04831731
HDInsight в администраторе пула кластеров AKS Может читать, создавать, изменять и удалять HDInsight в пулах кластеров AKS и создавать кластеры 7656b436-37d4-490a-a4ab-d39f838f0042
Участник Log Analytics Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, добавление решений и настройку диагностики Azure во всех ресурсах Azure. 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Читатель Log Analytics Читатель Log Analytics может просматривать все данные мониторинга, выполнять по ним поиск и просматривать параметры мониторинга, в том числе конфигурацию системы диагностики Azure для всех ресурсов Azure. 73c42c96-874c-492b-b04d-ab87d138a893
Участник реестра схем (предварительная версия) Чтение, запись и удаление групп и схем реестра схем. 5dffeca3-4936-4216-b2bc-10343a5abb25
Читатель реестра схем (предварительная версия) Чтение и перечисление групп и схем в реестре схем. 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2
Средство тестирования запросов Stream Analytics Позволяет выполнять тестирование запросов без создания задания Stream Analytics в первую очередь 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf

ИИ и машинное обучение

Встроенная роль Description Идентификатор
Участник партнера по датчику платформы AgFood Предоставляет доступ к управлению связанными датчиками сущностями в службе платформы AgFood 6b77f0a0-0d89-41cc-acd1-579c2c17a67
Администратор службы платформы AgFood Предоставляет администратору доступ к службе платформы AgFood f8da80de-1ff9-4747-ad80-a19b7f6079e3
Участник службы платформы AgFood Предоставляет доступ к службе платформы AgFood 8508508a-4469-4e45-963b-2518ee0bb728
Средство чтения служб платформы AgFood Предоставляет доступ на чтение к службе платформы AgFood 7ec7ccdc-f61e-41fe-9aaf-980df00a44eba
Разработчик ИИ Azure Может выполнять все действия в ресурсе ИИ Azure, помимо управления самим ресурсом. 64702f94-c441-49e6-a78b-ef80e0188fee
Утверждающий сетевое подключение Azure AI Enterprise Может утвердить подключения частной конечной точки к общим ресурсам зависимостей Azure ИИ b556d68e-0be0-4f35-a33-ad7ee1ce1ce17ea
Оператор развертывания вывода искусственного интеллекта Azure Может выполнять все действия, необходимые для создания развертывания ресурсов в группе ресурсов. 3afb7f49-54cb-416e-8c09-6dc049efa503
Оператор вычислений AzureML Может получить доступ к управляемым вычислительным ресурсам служб Машинное обучение (включая виртуальные машины записной книжки) и выполнять операции CRUD. e503ece1-11d0-4e8e-8e2c-7a6c3bf38815
Специалист по обработке и анализу данных AzureML Может выполнять все действия в рабочем пространстве Машинного обучения Azure, кроме создания и удаления вычислительных ресурсов и изменения самого рабочего пространства. f6c7c914-8db3-469d-8ca1-694a8f32e121
Модуль записи метрик AzureML (предварительная версия) Позволяет записывать метрики в рабочую область AzureML 635ddd51f-9968-44d3-b7fb-6d9a6bd613ae
Пользователь реестра AzureML Может выполнять все действия по ресурсам реестра служб Машинное обучение, а также получать ресурсы реестра. 1823dd4f-9b8c-4ab6-ab4e-7397a3684615
Участник служб Cognitive Services Позволяет создавать, читать, обновлять, удалять ключи служб Cognitive Services и управлять ими. 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
Участник Пользовательского визуального распознавания Cognitive Services Полный доступ к проектам, включая возможность создавать, редактировать или удалять проекты. c1ff6cc2-c111-46fe-8896-e0ef812ad9f3
Развертывание Пользовательского визуального распознавания Cognitive Services Публикация, отмена публикации или экспорт моделей. Роль развертывания дает возможность просматривать проект, но не позволяет выполнять обновления. 5c4089e1-6d96-4d2f-b296-c1bc7137275f
Разработчик тегов Пользовательского визуального распознавания Cognitive Services Просмотр и изменение обучающих изображений, а также создание, добавление и удаление тегов изображений. Разработчики тегов могут просматривать проекты, но не могут изменять ничего, кроме обучающих изображений и тегов. 88424f51-ebe7-446f-bc41-7fa16989e96c
Читатель Пользовательского визуального распознавания Cognitive Services Действия с доступом только для чтения в проекте. Читатели не могут создавать или обновлять проекты. 93586559-c37d-4a6b-ba08-b9f0940c2d73
Средство обучения Пользовательского визуального распознавания Cognitive Services Просмотр, изменение проектов и обучение моделей, включая возможность публикации, отмены публикации и экспорта моделей. Средства обучения не могут создать или удалять проекты. 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b
Средство чтения данных Cognitive Services Позволяет считывать данные Cognitive Services. b59867f0-fa02-499b-be73-45a86b5b3e1c
Распознаватель лиц Cognitive Services Позволяет выполнять обнаружение, проверку, идентификацию, группирование, а также поиск аналогичных операций в API Распознавания лиц. Эта роль не разрешает операции создания и удаления, что делает ее подходящей для конечных точек, которым требуются только возможности вывода в соответствии с рекомендациями "минимальных привилегий". 9894cab4-e18a-44aa-828b-cb588cd6f2d7
Пользователь Иммерсивное средство чтения Cognitive Services Предоставляет доступ к созданию сеансов Иммерсивное средство чтения и api вызовов b2de6794-95db-4659-8781-7e080d3f2b9d
Владелец языка Cognitive Services Имеет доступ ко всем функциям чтения, тестирования, записи, развертывания и удаления на портале языка f07fe-79bc-46b1-8b37-790e26e6e498
Читатель языка Cognitive Services Доступ к функциям чтения и тестирования на портале языка 7628b7b8-a8b2-4cdc-b46f-e9b35248918e
Модуль записи языка Cognitive Services Имеет доступ ко всем функциям чтения, тестирования и записи на портале языка f2310ca1-dc64-4889-bb49-c8e0fa3d47a8
Владелец LUIS в Cognitive Services Имеет доступ ко всем функциям чтения, тестирования, записи, развертывания и удаления в LUIS f72c8140-2111-481c-87ff-72b910f6e3f8
Средство чтения LUIS в Cognitive Services Имеет доступ к функциям чтения и тестирования в LUIS. 18e81cdc-4e98-4e29-a639-e7d10c5a6226
Модуль записи LUIS в Cognitive Services Имеет доступ ко всем функциям чтения, тестирования и записи в LUIS 632a993-d5c9-4bed-b113-e49bbea25b27
Администратор Помощника по метрикам Cognitive Services Полный доступ к проекту, включая конфигурацию уровня системы. cb43c632-a144-4ec5-977c-e80c4affc34a
Пользователь Помощника по метрикам Cognitive Services Доступ к проекту. 3b20f47b-3825-43cb-8114-4bd220156a8
Участник службы OpenAI в Cognitive Services Полный доступ, включая возможность точной настройки, развертывания и создания текста a001fd3d-188f-4b5d-821b-7da978bf7442
Пользователь службы OpenAI в Cognitive Services Доступ на чтение для просмотра файлов, моделей, развертываний. Возможность создавать вызовы завершения и внедрения. 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd
Редактор Cognitive Services QnA Maker Позволяет создавать, изменять, импортировать и экспортировать базу знаний. Публикация или удаление базы знаний не поддерживается. f4cc2bf9-21be-47a1-bdf1-5c5804381025
Читатель Cognitive Services QnA Maker Позволяет только читать и проверять базу знаний. 466ccd10-b268-4a11-b098-b4849f024126
Участник службы "Речь" в Cognitive Services Полный доступ к проектам распознавания речи, включая чтение, запись и удаление всех сущностей, для задач распознавания речи в режиме реального времени и пакетной транскрибирования, синтеза речи в режиме реального времени и длительных задач аудио, пользовательской речи и пользовательского голоса. 0e75ca1e-0464-4b4d-8b93-68208a576181
Пользователь службы "Речь" в Cognitive Services Доступ к API распознавания речи в режиме реального времени и пакетной транскрибирования, синтеза речи в режиме реального времени и длинных API аудио, а также для чтения данных/ тестирования/модели/конечной точки для пользовательских моделей, но не может создавать, удалять или изменять данные/ тест/модель/конечную точку для пользовательских моделей. f2dc8367-1007-4938-bd23-fe263f013447
Читатель использования Cognitive Services Минимальное разрешение на просмотр использования Cognitive Services. bba48692-92b0-4667-a9ad-c31c7b334ac2
Пользователь служб Cognitive Services Позволяет создавать и читать список ключей служб Cognitive Services. a97b65f3-24c7-4388-baec-2e87135dc908
Администратор Health Bot Пользователи с правами администратора могут выполнять вход, просматривать и изменять все ресурсы бота, сценарии и параметры конфигурации, включая ключи экземпляра бота и секреты. f1082fec-a70f-419f-9230-885d250fb38
Редактор Health Bot Пользователи с доступом к редактору могут входить, просматривать и изменять все ресурсы бота, сценарии и параметры конфигурации, за исключением ключей экземпляра бота и секретов и входных данных конечных пользователей (включая отзывы, нераспознанные речевые фрагменты и журналы бесед). Доступ только для чтения к навыкам и каналам бота. af854a69-80ce-4ff7-8447-f118a2e0ca8
Читатель health Bot Пользователи с доступом для чтения могут войти, иметь доступ только для чтения к ресурсам бота, сценариям и параметрам конфигурации, кроме ключей экземпляра бота (включая ключи проверки подлинности, подключения к данным и каналам) и входных данных конечных пользователей (включая отзывы, нераспознанные речевые фрагменты и журналы бесед). eb5a76d5-50e7-4c33-a449-070e7c9c9c4cf2
Участник данных индекса поиска Предоставляет полный доступ к данным индекса службы "Когнитивный поиск Azure". 8ebe5a00-799e-43f5-93ac-243d3dce84a7
Читатель данных индекса поиска Предоставляет доступ на чтение к данным индекса службы "Когнитивный поиск Azure". 1407120a-92aa-4202-b7e9-c0e197c71c8f
Участник службы поиска Позволяет управлять службами поиска, но не доступом к ним. 7ca78c08-252a-4471-8644-bb5ff32d4ba0

Интернет вещей

Встроенная роль Description Идентификатор
Владелец данных Azure Digital Twins Роль с полным доступом для плоскости данных Digital Twins. bcd981a7-7f74-457b-83e1-cceb9e632ffe
Читатель данных Azure Digital Twins Роль только для чтения свойств плоскости данных Digital Twins. d57506d4-4c8d-48b1-8587-93c323f6a5a3
Участник данных службы подготовки устройств Обеспечивает полный доступ к операциям службы подготовки устройств. dfce44e4-17b7-4bd1-a6d1-04996ec95633
Средство чтения данных службы подготовки устройств Обеспечивает полный доступ на чтение к свойствам уровня данных службы подготовки устройств. 10745317-c249-44a1-a5ce-3a4353c0bbd8
Администратор обновлений устройств Предоставляет полный доступ к операциям управления и операциям с содержимым. 02ca0879-e8e4-47a5-a61e-5c618b76e64a
Администратор содержимого обновлений устройств Предоставляет полный доступ к операциям с содержимым. 0378884a-3af5-44ab-8323-f5b22f9f3c98
Читатель содержимого обновлений устройств Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения d1ee9a80-8b14-47f0-bdc2-f4a351625a7b
Администратор развертывания обновлений устройств Предоставляет полный доступ к операциям управления. e4237640-0e3d-4a46-8fda-70bc94856432
Читатель развертывания обновлений устройств Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. 49e2f5d2-7741-4835-8efa-19e1fe35e47f
Читатель обновлений устройств Предоставляет доступ на чтение к операциям управления и операциям с содержимым, но не позволяет вносить изменения. e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f
Администратор анализа встроенного ПО Отправка и анализ образов встроенного ПО в Defender для Интернета вещей 9c1607d1-791d-4c68-885d-c7b7aaff7c8a
Участник данных Центра Интернета вещей Обеспечивает полный доступ к операциям плоскости данных Центра Интернета вещей. 4fc6c259-987e-4a07-842e-c321cc9d413f
Читатель данных Центра Интернета вещей Обеспечивает полный доступ на чтение свойств плоскости данных Центра Интернета вещей b447c946-2db7-41ec-983d-d8bf3b1c77e3
Участник реестра Центра Интернета вещей Обеспечивает полный доступ к реестру устройств Центра Интернета вещей. 4ea46cd5-c1b2-4a8e-910b-273211f9ce47
Участник цифрового двойника Центра Интернета вещей Разрешает доступ на чтение и запись ко всем двойникам устройств и модулей Центра Интернета вещей. 494bdba2-168f-4f31-a0a1-191d2f7c028c

Смешанная реальность

Встроенная роль Description Идентификатор
Администратор Удаленной отрисовки Предоставляет пользователю возможности преобразования, управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. 3df8b902-2a6f-47c7-8cc5-360e9b272a7e
Клиент Удаленной отрисовки Предоставляет пользователю возможности управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. d39065c4-c120-43c9-ab0a-63eed9795f0a
Участник учетной записи пространственных привязок Позволяет управлять пространственными привязками в вашей учетной записи, но не удалять их. 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827
Владелец учетной записи пространственных привязок Позволяет управлять пространственными привязками в вашей учетной записи, в том числе удалять их. 70bbe301-9835-447d-afdd-19eb3167307c
Читатель учетной записи пространственных привязок Позволяет найти и прочитать свойства пространственных привязок в вашей учетной записи. 5d51204f-eb77-4b1c-b86a-2ec626c49413

Интеграция

Встроенная роль Description Идентификатор
редактор содержимого портала разработчика Управление API Может настроить портал разработчика, изменить его содержимое и опубликовать его. c031e6a8-4391-4de0-8d69-4706a7ed3729
Участник службы управления API Может управлять службой и интерфейсами API. 312a565d-c81f-4fd8-895a-4e21e48d571c
Роль оператора службы управления API Может управлять службой, но не интерфейсами API. e022efe7-f5ba-4159-bbe4-b44f577e9b61
Роль читателя данных службы управления API Доступ к службе и интерфейсам API в режиме "только для чтения". 71522526-b88f-4d52-b57f-d31fc3546d0d
Разработчик API рабочей области службы Управление API Имеет доступ на чтение к тегам и продуктам и доступ на запись, чтобы разрешить: назначение API продуктам, назначение тегов продуктам и API. Эта роль должна быть назначена в области службы. 9565a273-41b9-4368-97d2-aeb0c976a9b3
Управление API API рабочей области службы Product Manager Имеет тот же доступ, что и Управление API разработчик API рабочей области службы, а также доступ на чтение к пользователям и доступ на запись, чтобы разрешить назначение пользователей группам. Эта роль должна быть назначена в области службы. d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da
Разработчик API рабочей области Управление API Имеет доступ на чтение к сущностям в рабочей области и доступ на чтение и запись к сущностям для редактирования API. Эта роль должна быть назначена в области рабочей области. 56328988-075d-4c6a-8766-d93edd6725b6
Управление API API рабочей области Product Manager Имеет доступ на чтение к сущностям в рабочей области и доступ на чтение и запись к сущностям для публикации API. Эта роль должна быть назначена в области рабочей области. 73c2c328-d004-4c5e-938c-35c6f5679a1f
Участник рабочей области Управление API Может управлять рабочей областью и представлением, но не изменять ее члены. Эта роль должна быть назначена в области рабочей области. 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799
средство чтения рабочей области Управление API Имеет доступ только для чтения к сущностям в рабочей области. Эта роль должна быть назначена в области рабочей области. ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2fd2
участник Конфигурация приложений Предоставляет разрешение для всех операций управления, кроме очистки, для Конфигурация приложений ресурсов. fe86443c-f201-4fc4-9d2a-ac61149fbda0
Владелец данных Конфигурации приложений Предоставляет полный доступ к данным Конфигурации приложений. 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
Читатель данных Конфигурации приложений Предоставляет доступ на чтение данных Конфигурации приложений. 516239f1-63e1-4d78-a4de-a74fb236a071
средство чтения Конфигурация приложений Предоставляет разрешение на чтение для Конфигурация приложений ресурсов. 175b81b9-6e0d-490a-85e4-0d4222273c10c
Диспетчер соответствия требованиям Центра API Azure Позволяет управлять соответствием API в службе Центра API Azure. ede9aaa3-4627-494e-be13-4aa7c256148d
Средство чтения данных Центра API Azure Разрешает доступ к операциям чтения плоскости данных Центра API Azure. c724dfb-f447-457d-b2ba-3999044d1706
Участник службы Центра API Azure Позволяет управлять службой Центра API Azure. dd24193f-ef65-44e5-8a7e-6fa6e03f7713
Средство чтения служб Центра API Azure Разрешает доступ только для чтения к службе Центра API Azure. 6cba8790-29c5-48e5-bab1-c7541b01cb04
Прослушиватель Azure Relay Разрешает доступ на прослушивание к ресурсам Azure Relay. 26e0b698-aa6d-4085-9386-aadae190014d
Владелец Azure Relay Разрешает полный доступ к ресурсам Azure Relay. 2787bf04-f1f5-4bfe-8383-c8a24483ee38
Отправитель Azure Relay Разрешает доступ на отправку к ресурсам Azure Relay. 26baccc8-eea7-41f1-98f4-1762cc7f685d
Подписчик системных разделов уведомлений о ресурсах Azure Позволяет создавать системные разделы и подписки на события во всех системных разделах, предоставляемых в настоящее время и в будущем уведомлениями о ресурсах Azure 0b962ed2ed2-6d56-471c-bd5f-3477d83a7ba4
Владелец данных служебной шины Azure Разрешает полный доступ к ресурсам служебной шины Azure. 090c5cfd-751d-490a-894a-3ce6f1109419
Получатель данных Служебной шины Azure Разрешает полный доступ к ресурсам служебной шины Azure. 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Отправитель данных Служебной шины Azure Разрешает полный доступ к ресурсам служебной шины Azure. 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
Участник BizTalk Позволяет управлять службами BizTalk, но не доступом к ним. 5e3c6656-6cfa-4708-81fe-0de47ac73342
Администратор камеры Позволяет управлять всем в камере "Моделирование и имитация Workbench". 4e9b8407-af2e-495b-ae54-bb60a55b1b5a
Пользователь Камеры Позволяет просматривать все данные в камере "Моделирование и моделирование Workbench", но не вносить никаких изменений. 4447db05-44ed-4da3-ae60-6cbece780e32
Владелец пакетных данных DeID Создание пакетных заданий DeID и управление ими. Эта роль находится на этапе предварительной версии и может быть изменена. 8a90fa6b-6997-4a07-8a95-3063a7c97b9
Средство чтения пакетных данных DeID Чтение заданий пакетной службы DeID. Эта роль находится на этапе предварительной версии и может быть изменена. b73a14ee-91f5-41b7-bd81-920e12466be9
Владелец данных DeID Полный доступ к данным DeID. Эта роль находится в предварительной версии и подлежит изменению 78e4b983-1a0b-472e-8b7d-8d770f7c5890
Пользователь данных DeID в режиме реального времени Выполнение запросов к конечной точке DeID в режиме реального времени. Эта роль находится на этапе предварительной версии и может быть изменена. bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e
Владелец данных DICOM Полный доступ к данным DICOM. 58a3b984-7adf-4c20-983a-32417c86fbc8
Средство чтения данных DICOM Чтение и поиск данных DICOM. e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a
Участник EventGrid Позволяет управлять операциями EventGrid. 1e241071-0855-49ea-94dc-649edcd759de
Отправитель данных Сетки событий Разрешает доступ на отправку к событиям сетки событий. d5a91429-5739-47e2-a06b-3470a27159e7
Участник EventGrid EventSubscription Позволяет управлять операциями с подписками на события Сетки событий. 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
Читатель EventGrid EventSubscription Позволяет получить доступ на чтение к подпискам на события Сетки событий. 2414bbcf-6497-4faf-8c65-045460748405
Издатель EventGrid TopicSpaces Позволяет публиковать сообщения в пространствах тем. a12b0b94-b317-4dcd-84a8-502ce99884c6
Подписчик EventGrid TopicSpaces Позволяет подписываться на сообщения в пространствах тем. 4b0f2fd7-60b4-4eca-896f-4435034f8bf5
Разработчик данных FHIR Эта роль предоставляет пользователю или субъекту полный доступ к данным FHIR. 5a1fc7df-4bf1-4951-a576-89034ee01acd
Преобразователь данных FHIR Роль позволяет пользователю или субъекту преобразовывать данные из устаревшего формата в FHIR a1705bd2-3a8f-45a5-8683-466fcfd5cc24
Средство экспорта данных FHIR Эта роль позволяет пользователю или субъекту читать и экспортировать данные FHIR. 3db33094-8700-4567-8da5-1501d4e7e843
Импорт данных FHIR Роль позволяет пользователю или субъекту считывать и импортировать данные FHIR 4465e953-8ced-4406-a58e-0f6e3f3b530b
Читатель данных FHIR Эта роль позволяет пользователю или субъекту читать данные FHIR. 4c8d0bbc-75d3-4935-991f-5f3c56d81508
Модуль записи данных FHIR Эта роль позволяет пользователю или субъекту читать и записывать данные FHIR. 3f88fce4-5892-4214-ae73-ba5294559913
FHIR SMART User Роль позволяет пользователю получить доступ к службе FHIR в соответствии со спецификацией SMART в FHIR 4ba50f17-9666-485c-a643-ff00808643f0
Участник среды службы интеграции Позволяет вам управлять средами службы интеграции, но не доступом к ним. a41e2c5b-bd99-4a07-88f4-9bf657a760b8
Разработчик среды службы интеграции Позволяет разработчикам создавать и изменять рабочие процессы, учетные записи интеграции и подключения API в средах службы интеграции. c7aa55d3-1abb-444a-a5ca-5e51e485d6ec
Участник учетной записи интеллектуальных систем Позволяет управлять учетными записями интеллектуальных систем, но не доступом к ним. 03a6d094-3444-4b3d-88af-7477090a9e5e
Создатель приложений логики Позволяет управлять приложениями логики, но не доступом к ним. 87a39d53-fc1b-424a-814c-f7e04687dc9e
Оператор приложений логики Позволяет читать, включать и отключать приложения логики, но не изменять и не обновлять их. 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
Участник Logic Apps уровня "Стандартный" (предварительная версия) Вы можете управлять всеми аспектами стандартного приложения логики и рабочих процессов. Невозможно изменить доступ или владение. ad710c24-b039-4e85-a019-deb4a06e8570
Разработчик Logic Apps уровня "Стандартный" (предварительная версия) Вы можете создавать и изменять рабочие процессы, подключения и параметры для приложения логики "Стандартный". Вы не можете вносить изменения за пределами области рабочего процесса. 523776ba-4eb2-4600-a3c8-f2dc93da4bdb
Оператор Logic Apps standard (предварительная версия) Вы можете включить и отключить приложение логики, повторно отправить рабочий процесс, а также создать подключения. Нельзя изменять рабочие процессы или параметры. b70c96e9-66fe-4c09-b6e7-c98e69c9855
Средство чтения "Стандартный" Logic Apps (предварительная версия) У вас есть доступ только для чтения ко всем ресурсам в приложении логики "Стандартный" и рабочих процессах, включая запуски рабочего процесса и их журнал. 4accf36b-2c05-432f-91c8-5c532dff4c73
Участник коллекции заданий планировщика Позволяет управлять коллекциями заданий планировщика, но не доступом к ним. 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
Оператор центра служб Роль оператора центра служб позволяет выполнять все операции чтения, записи и удаления, которые относятся к соединителям центра служб. 82200a5b-e217-47a5-b665-6d8765ee745b

Идентификация

Встроенная роль Description Идентификатор
Участник доменных служб Может управлять доменными службами Azure AD и связанными конфигурациями сети eeaeda52-9324-47f6-8069-5d5bade478b2
Читатель доменных служб Может просматривать доменные службы Azure AD и связанные конфигурации сети 361898ef-9ed1-48c2-849c-a832951106bb
Участник управляемого удостоверения Создание, чтение, обновление и удаление пользовательских удостоверений. e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
Оператор управляемого удостоверения Чтение и назначение пользовательских удостоверений. f1a07417-d97a-45cb-824c-7a7467783830

Безопасность

Встроенная роль Description Идентификатор
Администратор службы автоматизации соответствия приложений Создание, чтение, скачивание, изменение и удаление объектов отчетов и связанных с ними объектов ресурсов. 0f37683f-2463-46b6-9ce7-9b788b98ba2
Средство чтения автоматизации соответствия приложений Чтение, скачивание объектов отчетов и связанных с ними объектов ресурсов. ffc6bbe0-e443-4c3b-bf54-26581bb2f78e
Участник аттестации Может читать, записывать или удалять экземпляр поставщика аттестации. bbf86eb8-f7b4-4cce-96e4-18cddf81d86e
Читатель аттестации Может считывать свойства поставщика аттестации. fd1bd22b-8476-40bc-a0bc-69b95687b9f3
Администратор хранилища ключей Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 00482a5a-887f-4fb3-b363-3b7fe8e74483
Пользователь сертификата Key Vault Чтение содержимого сертификата. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". db79e9a7-68ee-4b58-9aeb-b90e7c24fcba
Специалист по сертификатам хранилища ключей Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". a4417e6f-fecd-4de8-b567-7b0420556985
Участник Key Vault Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам. f25e0fa2-a7c8-4377-a976-54943a77a395
Специалист по шифрованию хранилища ключей Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Пользователь службы шифрования хранилища ключей Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". e147488a-f6f5-4113-8e2d-b22465e65bf6
Пользователь выпуска службы шифрования Key Vault Ключи выпуска. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 08bbd89e-9f13-488c-ac41-acfcb10c90ab
Пользователь шифрования хранилища ключей Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 12338af0-0e69-4776-bea7-57ae8d297424
Администратор доступа к данным Key Vault Управление доступом к Azure Key Vault путем добавления или удаления назначений ролей администратора Key Vault, сотрудника по сертификатам Key Vault, офицера шифрования key Vault, пользователя шифрования шифрования key Vault, пользователя шифрования key Vault, средства чтения ключей, сотрудника секретов Key Vault или роли пользователя секретов Key Vault. Включает условие ABAC для ограничения назначений ролей. 8b54135c-b56d-4d72-a534-26097cfdc8d8
Читатель Key Vault Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 21090545-7ca7-4776-b22c-e363652d74d2
Специалист по секретам хранилища ключей Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Пользователь секретов хранилища ключей Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 4633458b-17de-408a-b874-0445c86b69e6
Участник управляемого устройства HSM Позволяет управлять управляемыми модулями HSM, но не доступом к ним. 18500a29-7fe2-46b2-a342-b16a415e101d
Участник службы автоматизации Microsoft Sentinel Участник службы автоматизации Microsoft Sentinel f4c81013-99ee-4d62-a7ee-b3f1f648599a
Участник Microsoft Sentinel Участник Microsoft Sentinel ab8e14d6-4a74-4a29-9ba8-549422addade
Оператор сборника схем Microsoft Sentinel Оператор сборника схем Microsoft Sentinel 51d6186e-6489-4900-b93f-92e23144cca5
Средство чтения Microsoft Sentinel Читатель Microsoft Sentinel 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Microsoft Sentinel Responder Респондент Microsoft Sentinel 3e150937-b8fe-4cfb-8069-0eaf05ecd056
Администратор безопасности Просмотр и обновление разрешений для Microsoft Defender для облака. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения.

Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT.
fb1c8493-542b-48eb-b624-b4c8fea62acd
Участник оценки безопасности Позволяет отправлять оценки в Microsoft Defender для облака 612c2aa1-cb24-443b-ac28-3ab7272de6f5
Диспетчер безопасности (устаревший) Это устаревшая роль. Используйте вместо нее роль администратора безопасности. e3d13bf0-dd5a-482e-ba6b-9b8433878d10
читатель сведений о безопасности; Просмотр разрешений для Microsoft Defender для облака. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения.

Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT.
39bc4728-0917-49c7-9d2c-d95423bc2eb4

DevOps

Встроенная роль Description Идентификатор
Средство чтения сред развертывания Предоставляет доступ на чтение к ресурсам среды. eb960402-bf75-4cc3-8d68-35b34f960f72
Пользователь сред развертывания Предоставляет доступ к управлению ресурсами среды. 18e40d4e-8d2e-438d-97e1-9528336e149c
Пользователь DevCenter Dev Box Предоставляет доступ к созданию и управлению полями разработки. 45d50f46-0b78-4001-a660-4198cbe8cd05
Администратор проекта DevCenter Предоставляет доступ к управлению ресурсами проекта. 331c37c6-af14-46d9-b9f4-e1909e1b95a0
Пользователь DevTest Labs Позволяет подключать, запускать, перезапускать виртуальные машины и завершать их работу в Azure DevTest Labs. 76283e04-6283-4c54-8f91-bcf1374a3c64
Помощник по лаборатории Позволяет просматривать существующую лабораторию, выполнять действия на виртуальных машинах лаборатории и отправлять приглашения в лабораторию. ce40b423-cede-4313-a93f-9b28290b72e1
Участник лаборатории Применяется на уровне лаборатории, позволяет управлять лабораторией. Применяется в группе ресурсов, позволяет создавать лаборатории и управлять ими. 5daaa2af-1fe8-407c-9122-bba179798270
Создатель лаборатории Позволяет создавать лаборатории в учетных записях лабораторий Azure. b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
Оператор лаборатории Предоставляет ограниченную возможность управления существующими лабораториями. a36e6959-b6be-4b12-8e9f-ef4b474d304d
Участник служб лабораторий Позволяет полностью контролировать все сценарии служб лабораторий в группе ресурсов. f69b8690-cc87-41d6-b77a-a4bc3c0a966f
Средство чтения служб лабораторий Позволяет просматривать, но не изменять все планы лаборатории и ресурсы лаборатории. 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc
Участник нагрузочного теста Просмотр, создание, обновление, удаление и выполнение нагрузочных тестов. Просмотр и перечисление ресурсов нагрузочного теста, но не может вносить никаких изменений. 749a398d-560b-491b-bb21-08924219302e
Владелец нагрузочного теста Выполнение всех операций с ресурсами нагрузочного теста и нагрузочных тестов 45bb0b16-2f0c-4e78-afaa-a07599b003f6
Средство чтения нагрузочных тестов Просмотр и перечисление всех нагрузочных тестов и ресурсов нагрузочного теста, но не может вносить изменения. 3ae3fb29-0000-4ccd-bf80-542e7b26e081

Azure Monitor

Встроенная роль Description Идентификатор
Участник компонента Application Insights Может управлять компонентами Application Insights ae349356-3a1b-4a5e-921d-050484c6347e
Отладчик моментальных снимков Application Insights Пользователю предоставляется разрешение на просмотр и загрузку моментальных снимков отладки, собранных с помощью Application Insights Snapshot Debugger. Обратите внимание, что эти разрешения не включены в роли Владелец или Участник. При предоставлении пользователям роли Application Insights Snapshot Debugger необходимо предоставить роль непосредственно пользователю. Роль не распознается при добавлении в настраиваемую роль. 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Администратор Grafana Управление параметрами на уровне сервера и управление доступом к таким ресурсам, как организации, пользователи и лицензии. 22926164-76b3-42b3-bc55-97df8dab3e41
Редактор Grafana Создание, изменение, удаление или просмотр панелей мониторинга; создание, изменение и удаление папок; и изменение или просмотр списков воспроизведения. a79a5197-3a5c-4973-a920-486035ffd60f
Grafana Limited Viewer Просмотр домашней страницы. 41e04612-9dac-4699-a02b-c82ff2cc3fb5
Средство просмотра Grafana Просмотр панелей мониторинга, списков воспроизведения и источников данных запросов. 60921a7e-fef1-4a43-9b16-a26c52ad4769
Monitoring Contributor (Участник мониторинга) Может читать все данные мониторинга и изменять параметры мониторинга. Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. 749f88d5-cbae-40b8-bcfc-e573ddc772fa
Издатель метрик мониторинга Разрешает публикацию метрик по ресурсам Azure. 3913510d-42f4-4e42-8a64-420c390055eb
Monitoring Reader (Читатель данных мониторинга) Может читать все данные мониторинга (метрики, журналы и т. д.). Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. 43d0d8ad-25c7-4714-9337-8ba259a9fe05
Участник для книг Может сохранять общие книги. e8ddcd69-c73f-4f9f-9844-4100522f16ad
Читатель книг Может читать книги. b279062a-9be3-42a0-92ae-8b3cf002ec4d

Менеджмент и управление

Встроенная роль Description Идентификатор
Участник рекомендаций помощника (оценки и проверки) Просмотр рекомендаций по оценке, принятых рекомендаций и управление жизненным циклом рекомендаций (пометьте рекомендации как завершенные, отложенные или отклоненные, запущенные или не запущенные). 6b534d80-e337-47c4-864f-140f5c7f593d
Участник проверки помощника Просмотрите отзывы о рабочей нагрузке и рекомендации по обработке, связанные с ними. 8aac15f0-d885-4138-8afa-bfb5872f7d13
Читатель отзывов помощника Просмотр проверок рабочей нагрузки и рекомендаций, связанных с ними. c64499e0-74c3-47ad-921c-13865957895c
Участник службы автоматизации Управление ресурсами служба автоматизации Azure и другими ресурсами с помощью служба автоматизации Azure. f353d9bd-d4a6-484e-a77a-8050b599b867
Оператор задания автоматизации Создание заданий и управление ими с помощью модулей Runbook службы автоматизации. 4fe576fe-1146-4730-92eb-48519fa6bf9f
Оператор службы автоматизации Операторы автоматизации могут запускать, останавливать, приостанавливать и возобновлять задания. d3881f73-407a-4167-8283-e981cbba0404
Оператор Runbook автоматизации Чтение свойств Runbook, позволяющее создавать задания Runbook. 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Администратор решений SAP Для Центра Azure Эта роль предоставляет доступ для чтения и записи ко всем возможностям Центра Azure для решений SAP. 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7
Читатель решений SAP Для Центра Azure Эта роль предоставляет доступ на чтение ко всем возможностям Центра Azure для решений SAP. 05352d14-a920-4328-a0de-4cbe7430e26b
Роль службы решений SAP в Центре Azure Роль службы решений SAP в Центре Azure. Эта роль предназначена для предоставления разрешений на назначенное пользователем управляемое удостоверение. Центр Azure для решений SAP будет использовать это удостоверение для развертывания систем SAP и управления ими. aabbc5dd-1af0-458b-a942-81af88f9c138
Подключение Azure Connected Machine Может подключать компьютеры Azure Connected Machine. b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Администратор ресурсов Azure Connected Machine Может считывать, записывать, удалять и повторно подключать компьютеры Azure Connected Machine. cd570a14-e51a-42ad-bac8-bafd67325302
Диспетчер подключенных компьютеров Azure Пользовательская роль для AzureStackHCI RP для управления гибридными вычислительными машинами и конечными точками гибридного подключения в группе ресурсов f5819b54-e033-4d82-ac66-4fec3cbf3f4c
Утверждающий агент блокировки клиента Azure для подписки Может утверждать запросы на поддержку Майкрософт для доступа к определенным ресурсам, содержащимся в подписке, или самой подписке, если в клиенте включена блокировка для Microsoft Azure в клиенте, где находится подписка. 4dae6930-7baf-46f5-909e-0383bc931c46
Читатель счетов Разрешает читать данные выставления счетов. fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
Участник схемы Позволяет управлять определениями схем, но не назначать их. 41077137-e803-4205-871c-5a86e6a753b4
Оператор схемы Может назначать существующие опубликованные схемы, но не создавать новые схемы. Обратите внимание, это нужно выполнять только с использованием управляемого удостоверения, назначаемого пользователем. 437d2ced-4a38-4302-8479-ed2bcb43d090
Средство чтения оптимизации углерода Разрешить доступ на чтение к данным оптимизации углерода Azure fa0d39e6-28e5-40cf-8521-1eb320653a4c
Участник службы "Управление затратами" Позволяет просматривать расходы и управлять конфигурацией затрат (например, бюджеты, экспорты) 434105ed-43f6-45c7-a02f-909b2ba83430
Читатель службы "Управление затратами" Позволяет просматривать данные о расходах и конфигурации (например, бюджеты, экспорты) 72fafb9e-0641-4937-9268-a91bfd8191a3
Администратор параметров иерархии Позволяет пользователям изменять и удалять параметры иерархии. 350f8d15-c687-4448-8ae1-157740a3936d
Роль участника для управляемых приложений Позволяет создавать ресурсы управляемых приложений. 641177b8-a67a-45b9-a033-47bc880bb21e
Роль оператора управляемого приложения Разрешает чтение и выполнение действий с ресурсами управляемого приложения. c7393b34-138c-406f-901b-d8cf2b17e6ae
Читатель Управляемых приложений Позволяет выполнять чтение ресурсов в управляемом приложении и запрашивать JIT-доступ. b9331d33-8a36-4f8c-b097-4f54124fdb44
Роль для удаления назначения регистрации управляемых служб Роль для удаления назначения регистрации управляемых служб позволяет пользователям удалять регистрации, назначенные их клиенту управляемых служб. 91c1777a-f3dc-4fae-b103-61d183457e46
Участник группы управления Роль участника группы управления 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
Читатель группы управления Роль читателя группы управления ac63b705-f282-497d-ac71-919bf39d939d
Участник учетной записи New Relic APM Позволяет управлять учетными записями и приложениями New Relic Application Performance Management, но не доступом к ним. 5d28c62d-5b37-4476-8438-e587778df237
Редактор данных анализа политик (предварительная версия) Предоставляет доступ на чтение политик ресурсов и доступ на запись событий политики компонентов ресурсов. 66bb4e9e-b016-4a94-8249-4c0511c2be84
Оператор запросов квоты Чтение и создание запросов квоты, получение сведений о состоянии запроса квоты и создание запросов в службу поддержки. 0e5f05e5-9ab9-446b-b98d-1e2157c94125
Покупатель резервирований Позволяет покупать резервирования. f7b75c60-3036-4b75-91c3-6b41c27c1689
Средство чтения резервирований Позволяет считывать все резервирования в клиенте 582fc458-8989-419f-a480-75249bc5db7e
Участник политики ресурсов Предоставляет права на создание или изменение политики ресурсов, создание запросов в службу поддержки и чтение ресурсов и иерархий. 36243c78-bf99-498c-9df9-86d9f8d28608
Покупатель плана экономии Позволяет приобрести планы экономии 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74
Участник запланированного исправления Предоставляет доступ к управлению конфигурациями обслуживания с помощью области обслуживания InGuestPatch и соответствующих назначений конфигурации cd08ab90-6b14-449c-ad9a-8f8e549482c6
Участник Site Recovery Позволяет управлять службой Site Recovery, за исключением создания хранилищ и назначения ролей. 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Оператор Site Recovery Позволяет выполнять отработку отказа и восстановление размещения, но не другие операции управления Site Recovery. 494ae006-db33-4328-bf46-533a6560a3ca
Читатель Site Recovery Позволяет просматривать состояние Site Recovery без выполнения других операций управления. dbaa88c4-0c30-4179-9fb3-46319faa6149
Support Request Contributor (Участник с правом создавать запросы на поддержку) Позволяет создавать запросы в службу поддержки и управлять ими. cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
Участник по тегам Позволяет вам управлять тегами в сущностях, не предоставляя доступ к самим сущностям. 4a9ae827-6dc8-4573-8ac7-8239d42aa03f
Участник спецификации шаблона Предоставляет полный доступ к операциям спецификации шаблона в назначенной области. 1c9b6475-caf0-4164-b5a1-2142a7116f4b
Средство чтения спецификаций шаблонов Разрешает доступ на чтение к спецификациям шаблонов в назначенной области. 392ae280-861d-42bd-9ea5-08ee6d83b80e

Гибридные и многооблачные среды

Встроенная роль Description Идентификатор
Роль развертывания моста ресурсов Azure Роль развертывания моста ресурсов Azure 7b1f81f9-4196-4058-8aae-762e593270df
Администратор Azure Stack HCI Предоставляет полный доступ к кластеру и его ресурсам, включая возможность зарегистрировать Azure Stack HCI и назначить других пользователей участником виртуальной машины Azure Arc HCI и (или) читателем виртуальных машин Azure Arc HCI bda0d508-adf1-4af0-9c28-88919fc3ae06
Роль Управление устройствами Azure Stack HCI Роль Управление устройствами Microsoft.AzureStackHCI 865ae368-6a45-4bd1-8fbf-0d5151f56fc1
Участник виртуальной машины Azure Stack HCI Предоставляет разрешения на выполнение всех действий виртуальной машины 874d1c73-6003-4e60-a13a-cb31ea190a85
Средство чтения виртуальных машин Azure Stack HCI Предоставляет разрешения на просмотр виртуальных машин 4b3fe76c-f777-4d24-a2d7-b027b0f7b273
Владелец регистрации Azure Stack Позволяет управлять регистрациями Azure Stack. 6f12a6df-dd06-4f3e-bcb1-ce8be600526a
Администратор ресурсов гибридного сервера Может читать, записывать, удалять и повторно подключить гибридные серверы к поставщику гибридных ресурсов. 48b40c6e-82e0-4eb3-90d5-19e40f49b624

Следующие шаги