次の方法で共有

特権を持つ Azure の組み込みロール

この記事では、特権カテゴリの Azure 組み込みロールの一覧を示します。

投稿者

すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。

詳細情報

アクション 説明
* あらゆる種類のリソースの作成と管理
NotActionsの
Microsoft.Authorization/*/Delete ロール、ポリシーの割り当て、ポリシーの定義、ポリシー セットの定義を削除します。
Microsoft.Authorization/*/Write ロール、ロールの割り当て、ポリシーの割り当て、ポリシーの定義、ポリシー セットの定義を作成します。
Microsoft.Authorization/elevateAccess/アクション テナント スコープで、ユーザー アクセス管理者のアクセス権を呼び出し元に付与する
Microsoft.Blueprint/blueprintAssignments/write 任意のブループリント割り当てを作成または更新します
Microsoft.Blueprint/blueprintAssignments/delete 任意のブループリント割り当てを削除します
Microsoft.Compute/galleries/share/action (英語) ギャラリーを別のスコープに共有します
Microsoft.Purview/同意/書き込み 同意のリソースを作成または更新します。
Microsoft.Purview/同意/削除 同意のリソースを削除します。
Microsoft.Resources/deploymentStacks/manageDenySetting/action デプロイ スタックの denySettings プロパティを管理します。
Microsoft.サブスクリプション/キャンセル/アクション サブスクリプションを取り消します。
Microsoft.サブスクリプション/有効化/アクション サブスクリプションを再アクティブ化します
データアクション
なし
NotDataアクション
なし 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [
        "Microsoft.Authorization/*/Delete",
        "Microsoft.Authorization/*/Write",
        "Microsoft.Authorization/elevateAccess/Action",
        "Microsoft.Blueprint/blueprintAssignments/write",
        "Microsoft.Blueprint/blueprintAssignments/delete",
        "Microsoft.Compute/galleries/share/action",
        "Microsoft.Purview/consents/write",
        "Microsoft.Purview/consents/delete",
        "Microsoft.Resources/deploymentStacks/manageDenySetting/action",
        "Microsoft.Subscription/cancel/action",
        "Microsoft.Subscription/enable/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

所有者

Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。

詳細情報

アクション 説明
* あらゆる種類のリソースの作成と管理
NotActionsの
なし
データアクション
なし
NotDataアクション
なし 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

予約管理者

テナント内のすべての予約を表示して管理できます

詳細情報

アクション 説明
Microsoft.Capacity/*/read (英語)
Microsoft.Capacity/*/action
Microsoft.Capacity/*/write
Microsoft.Authorization/roleAssignments/読み取り ロールの割り当てに関する情報を取得します。
Microsoft.Authorization/roleDefinitions/read ロール定義に関する情報を取得します。
Microsoft.Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft.Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。
NotActionsの
なし
データアクション
なし
NotDataアクション
なし 
{
  "assignableScopes": [
    "/providers/Microsoft.Capacity"
  ],
  "description": "Lets one read and manage all the reservations in a tenant",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Capacity/*/read",
        "Microsoft.Capacity/*/action",
        "Microsoft.Capacity/*/write",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleDefinitions/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Reservations Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

ロール ベースのアクセスの制御の管理者

Azure RBACを使用してロールを割り当てることにより、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policy などの他の方法を使用してアクセスを管理することはできません。

このロールには、コントロール プレーンの */read アクションが含まれます。 このロールが割り当てられているユーザーは、すべての Azure リソースの コントロール プレーン 情報を読み取ることができます。

アクション 説明
Microsoft.Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft.Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。
*/読む すべての Azure リソースのコントロール プレーン情報を読み取る。
マイクロソフトサポート/* サポート チケットの作成と更新
NotActionsの
なし
データアクション
なし
NotDataアクション
なし 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Role Based Access Control Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

ユーザーアクセス管理者

Azure リソースに対するユーザー アクセスを管理します。

このロールには、コントロール プレーンの */read アクションが含まれます。 このロールが割り当てられているユーザーは、すべての Azure リソースの コントロール プレーン 情報を読み取ることができます。

詳細情報

アクション 説明
*/読む すべての Azure リソースのコントロール プレーン情報を読み取る。
マイクロソフトの認証/* 承認の管理
マイクロソフトサポート/* サポート チケットの作成と更新
NotActionsの
なし
データアクション
なし
NotDataアクション
なし 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage user access to Azure resources.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "User Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

次のステップ