Condividi tramite


Ruoli predefiniti di Azure per gli utenti con privilegi

Questo articolo elenca i ruoli predefiniti di Azure nella categoria Privileged.

Collaboratore

Concede l'accesso completo per la gestione di tutte le risorse, ma non consente di assegnare ruoli in Controllo degli accessi in base al ruolo Azure, gestire le assegnazioni in Azure Blueprints o condividere raccolte di immagini.

Ulteriori informazioni

Azioni Descrizione
* È in grado di creare e gestire ogni tipo di risorsa
NotActions
Microsoft.Authorization/*/Delete Eliminazione di ruoli, assegnazioni di criteri, definizioni dei criteri e definizioni dei set di criteri
Microsoft.Authorization/*/Write Creazione di ruoli, assegnazioni di ruoli, assegnazioni di criteri, definizioni dei criteri e definizioni dei set di criteri
Microsoft.Authorization/elevateAccess/Action Concede al chiamante l'accesso di tipo Amministratore Accesso utenti a livello dell'ambito del tenant
Microsoft.Blueprint/blueprintAssignments/write Crea o aggiorna eventuali assegnazioni del progetto
Microsoft.Blueprint/blueprintAssignments/delete Elimina eventuali assegnazioni del progetto
Microsoft.Compute/galleries/share/action Condivide una raccolta con ambiti diversi
Microsoft.Purview/consents/write Creare o aggiornare una risorsa di consenso.
Microsoft.Purview/consents/delete Eliminare la risorsa di consenso.
Microsoft.Resources/deploymentStacks/manageDenySetting/action Gestire la proprietà denySettings di uno stack di distribuzione.
Microsoft.Subscription/cancel/action Annulla la sottoscrizione
Microsoft.Subscription/enable/action Riattiva la sottoscrizione
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [
        "Microsoft.Authorization/*/Delete",
        "Microsoft.Authorization/*/Write",
        "Microsoft.Authorization/elevateAccess/Action",
        "Microsoft.Blueprint/blueprintAssignments/write",
        "Microsoft.Blueprint/blueprintAssignments/delete",
        "Microsoft.Compute/galleries/share/action",
        "Microsoft.Purview/consents/write",
        "Microsoft.Purview/consents/delete",
        "Microsoft.Resources/deploymentStacks/manageDenySetting/action",
        "Microsoft.Subscription/cancel/action",
        "Microsoft.Subscription/enable/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Proprietario

Concede l'accesso completo per la gestione di tutte le risorse, inclusa la possibilità di assegnare ruoli in Controllo degli accessi in base al ruolo di Azure.

Ulteriori informazioni

Azioni Descrizione
* È in grado di creare e gestire ogni tipo di risorsa
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore prenotazioni

Consente di leggere e gestire tutte le prenotazioni in un tenant

Ulteriori informazioni

Azioni Descrizione
Microsoft.Capacity/*/read
Microsoft.Capacity/*/action
Microsoft.Capacity/*/write
Microsoft.Authorization/roleAssignments/read Ottiene informazioni su un'assegnazione di ruolo.
Microsoft.Authorization/roleDefinitions/read Ottiene informazioni su una definizione di ruolo.
Microsoft.Authorization/roleAssignments/write Crea un'assegnazione di ruolo per l'ambito specificato.
Microsoft.Authorization/roleAssignments/delete È possibile eliminare un'assegnazione di ruolo nell'ambito specificato.
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/providers/Microsoft.Capacity"
  ],
  "description": "Lets one read and manage all the reservations in a tenant",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Capacity/*/read",
        "Microsoft.Capacity/*/action",
        "Microsoft.Capacity/*/write",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleDefinitions/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Reservations Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore controllo degli accessi in base al ruolo

Consente di gestire l'accesso alle risorse di Azure assegnando ruoli con il controllo degli accessi in base al ruolo di Azure. Questo ruolo non consente di gestire l'accesso in altri modi, ad esempio con Criteri di Azure.

Azioni Descrizione
Microsoft.Authorization/roleAssignments/write Crea un'assegnazione di ruolo per l'ambito specificato.
Microsoft.Authorization/roleAssignments/delete È possibile eliminare un'assegnazione di ruolo nell'ambito specificato.
*/lettura Legge risorse di tutti i tipi, eccetto i segreti.
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Role Based Access Control Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore accessi utente

Consente di gestire gli accessi utente alle risorse di Azure.

Ulteriori informazioni

Azioni Descrizione
*/lettura Legge risorse di tutti i tipi, eccetto i segreti.
Microsoft.Authorization/* Gestire l'autorizzazione
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage user access to Azure resources.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "User Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Passaggi successivi