Freigeben über

Integrierte Azure-Rollen für Privileged

In diesem Artikel werden die integrierten Azure-Rollen in der Kategorie „Privileged“ aufgeführt.

Mitwirkender

Hiermit wird Vollzugriff zum Verwalten aller Ressourcen gewährt, allerdings nicht zum Zuweisen von Rollen in Azure RBAC, zum Verwalten von Zuweisungen in Azure Blueprints oder zum Teilen von Imagekatalogen.

Weitere Informationen

Aktionen BESCHREIBUNG
* Erstellen und Verwalten von Ressourcen aller Typen
NotActions
Microsoft.Authorization/*/Delete Löschen von Rollen, Richtlinienzuweisungen, Richtliniendefinitionen und Richtliniensatzdefinitionen
Microsoft.Authorization/*/Write Erstellen von Rollen, Rollenzuweisungen, Richtlinienzuweisungen, Richtliniendefinitionen und Richtliniensatzdefinitionen
Microsoft.Authorization/elevateAccess/Action Gewährt dem Aufrufer Zugriff vom Typ „Benutzerzugriffsadministrator“ auf der Mandantenebene.
Microsoft.Blueprint/blueprintAssignments/write Erstellt oder aktualisiert alle Blaupausenzuweisungen
Microsoft.Blueprint/blueprintAssignments/delete Löscht alle Blaupausenzuweisungen
Microsoft.Compute/Galerien/share/action Gibt einen Katalog in verschiedenen Bereichen frei.
Microsoft.Purview/consents/write Erstellen oder Aktualisieren einer Einwilligungsressource
Microsoft.Purview/consents/delete Löschen der Einwilligungsressource
Microsoft.Resources/deploymentStacks/manageDenySetting/action Verwalten der Eigenschaft „denySettings“ eines Bereitstellungsstapels
Microsoft.Subscription/cancel/action Kündigt das Abonnement.
Microsoft.Subscription/enable/action Reaktiviert das Abonnement.
DataActions
keine
NotDataActions
keine 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [
        "Microsoft.Authorization/*/Delete",
        "Microsoft.Authorization/*/Write",
        "Microsoft.Authorization/elevateAccess/Action",
        "Microsoft.Blueprint/blueprintAssignments/write",
        "Microsoft.Blueprint/blueprintAssignments/delete",
        "Microsoft.Compute/galleries/share/action",
        "Microsoft.Purview/consents/write",
        "Microsoft.Purview/consents/delete",
        "Microsoft.Resources/deploymentStacks/manageDenySetting/action",
        "Microsoft.Subscription/cancel/action",
        "Microsoft.Subscription/enable/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Besitzer

Hiermit wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen.

Weitere Informationen

Aktionen BESCHREIBUNG
* Erstellen und Verwalten von Ressourcen aller Typen
NotActions
keine
DataActions
keine
NotDataActions
keine 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Für Reservierungsadministration zuständige Person

Ermöglicht das Lesen und Verwalten aller Reservierungen in einem Mandanten.

Weitere Informationen

Aktionen BESCHREIBUNG
Microsoft.Capacity/*/read
Microsoft.Capacity/*/action
Microsoft.Capacity/*/write
Microsoft.Authorization/roleAssignments/read Dient zum Abrufen von Informationen zu einer Rollenzuweisung.
Microsoft.Authorization/roleDefinitions/read Dient zum Abrufen von Informationen zu einer Rollendefinition.
Microsoft.Authorization/roleAssignments/write Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich.
Microsoft.Authorization/roleAssignments/delete Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich.
NotActions
keine
DataActions
keine
NotDataActions
keine 
{
  "assignableScopes": [
    "/providers/Microsoft.Capacity"
  ],
  "description": "Lets one read and manage all the reservations in a tenant",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Capacity/*/read",
        "Microsoft.Capacity/*/action",
        "Microsoft.Capacity/*/write",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleDefinitions/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Reservations Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Für rollenbasierte Zugriffssteuerungsadministration verantwortliche Person

Verwalten Sie den Zugriff auf Azure-Ressourcen durch Zuweisung von Rollen mit Azure RBAC. Mit dieser Rolle können Sie den Zugriff nicht auf andere Arten verwalten, wie etwa Azure Policy.

Hinweis

Diese Rolle umfasst die Aktion */read für die Steuerungsebene. Benutzende, denen diese Rolle zugewiesen ist, können Informationen auf Steuerungsebene für alle Azure-Ressourcen lesen.

Aktionen BESCHREIBUNG
Microsoft.Authorization/roleAssignments/write Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich.
Microsoft.Authorization/roleAssignments/delete Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich.
*/Lesen Lesen von Informationen auf Steuerungsebene für alle Azure-Ressourcen.
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
keine
DataActions
keine
NotDataActions
keine 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Role Based Access Control Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Benutzerzugriffsadministrator

Ermöglicht Ihnen die Verwaltung von Benutzerzugriffen auf Azure-Ressourcen.

Hinweis

Diese Rolle umfasst die Aktion */read für die Steuerungsebene. Benutzende, denen diese Rolle zugewiesen ist, können Informationen auf Steuerungsebene für alle Azure-Ressourcen lesen.

Weitere Informationen

Aktionen BESCHREIBUNG
*/Lesen Lesen von Informationen auf Steuerungsebene für alle Azure-Ressourcen.
Microsoft.Authorization/* Verwalten der Autorisierung
Microsoft.Support/* Erstellen und Aktualisieren eines Supporttickets
NotActions
keine
DataActions
keine
NotDataActions
keine 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage user access to Azure resources.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "User Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Nächste Schritte

  • Last updated on