سرد تعيينات رفض Azure

على غرار تعيين دور، يرفق تعيين الرفض مجموعة من إجراءات الرفض بمستخدم أو مجموعة أو كيان خدمة في نطاق معين لغرض رفض الوصول. يمنع رفض التعيينات المستخدمين من تنفيذ إجراءات موارد Azure معينة حتى إذا منحهم تعيين الدور حق الوصول.

توضح هذه المقالة كيفية سرد تعيينات الرفض.

هام

لا يمكنك إنشاء تعيينات الرفض الخاصة بك مباشرة. يتم إنشاء تعيينات الرفض وإدارتها بواسطة Azure.

كيفية إنشاء تعيينات الرفض

يتم إنشاء تعيينات الرفض وإدارتها بواسطة Azure لحماية الموارد. لا يمكنك إنشاء تعيينات الرفض الخاصة بك مباشرة. ومع ذلك، يمكنك تحديد إعدادات الرفض عند إنشاء مكدس توزيع، والذي ينشئ تعيين رفض مملوك لموارد مكدس التوزيع. مكدسات التوزيع قيد المعاينة حاليا. لمزيد من المعلومات، راجع حماية الموارد المدارة من الحذف.

مقارنة تعيينات الأدوار ورفض التعيينات

يتبع رفض التعيينات نمطا مشابها لتعيينات الأدوار، ولكن لديها أيضا بعض الاختلافات.

الإمكانية	تعيين الدور	رفض التعيين
منح حق الوصول	✅
رفض الوصول		✅
يمكن إنشاؤه مباشرة	✅
تطبيق في نطاق	✅	✅
استبعاد الأساسيات		✅
منع التوريث إلى النطاقات التابعة		✅
تطبيق على تعيينات مسؤول الاشتراك الكلاسيكية		✅

رفض خصائص التعيين

يحتوي تعيين الرفض على الخصائص التالية:

الخاصية	المطلوب	نوع	‏‏الوصف
DenyAssignmentName	‏‏نعم‬	السلسلة‬	اسم العرض لتعيين الرفض. يجب أن تكون الأسماء فريدة لنطاق معين.
Description	لا	السلسلة‬	وصف رفض التعيين.
Permissions.Actions	إجراء واحد على الأقل أو إجراء بيانات واحد على الأقل	سلسلة[]	صفيف من السلاسل التي تحدد إجراءات مستوى التحكم التي يحظر تعيين الرفض الوصول إليها.
Permissions.NotActions	لا	سلسلة[]	صفيف من السلاسل التي تحدد إجراء مستوى التحكم لاستبعاده من تعيين الرفض.
Permissions.DataActions	إجراء واحد على الأقل أو إجراء بيانات واحد على الأقل	سلسلة[]	صفيف من السلاسل التي تحدد إجراءات مستوى البيانات التي يحظر تعيين الرفض الوصول إليها.
Permissions.NotDataActions	لا	سلسلة[]	صفيف من السلاسل التي تحدد إجراءات مستوى البيانات لاستبعادها من تعيين الرفض.
Scope	لا	السلسلة‬	سلسلة تحدد النطاق الذي ينطبق عليه تعيين الرفض.
DoNotApplyToChildScopes	لا	Boolean	تحديد ما إذا كان تعيين الرفض ينطبق على النطاقات التابعة. القيمة الافتراضية هي خطأ.
Principals[i].Id	‏‏نعم‬	سلسلة[]	صفيف من معرفات الكائن الأساسي ل Microsoft Entra (المستخدم أو المجموعة أو كيان الخدمة أو الهوية المدارة) التي ينطبق عليها تعيين الرفض. تعيين إلى GUID 00000000-0000-0000-0000-000000000000 فارغ لتمثيل جميع الأساسيات.
Principals[i].Type	لا	سلسلة[]	صفيف من أنواع الكائنات ممثلة ب Principals[i].Id. قم بتعيين إلى SystemDefined لتمثيل كافة الأساسيات.
ExcludePrincipals[i].Id	لا	سلسلة[]	صفيف من معرفات الكائنات الأساسية ل Microsoft Entra (المستخدم أو المجموعة أو كيان الخدمة أو الهوية المدارة) التي لا ينطبق عليها تعيين الرفض.
ExcludePrincipals[i].Type	لا	سلسلة[]	صفيف من أنواع الكائنات ممثلة ب ExcludePrincipals[i].Id.
IsSystemProtected	لا	Boolean	يحدد ما إذا كان تم إنشاء تعيين الرفض هذا بواسطة Azure ولا يمكن تحريره أو حذفه. حاليا، جميع تعيينات الرفض محمية من قبل النظام.

كيان جميع الأساسيات

لدعم رفض التعيينات، تم تقديم كيان معرف من قبل النظام يسمى All Principals . يمثل هذا الأساسي جميع المستخدمين والمجموعات وأساسيات الخدمة والهويات المدارة في دليل Microsoft Entra. إذا كان المعرف الأساسي هو معرف GUID 00000000-0000-0000-0000-000000000000 صفري وكان النوع الأساسي هو SystemDefined، فإن الأساسي يمثل جميع الأساسيات. في إخراج Azure PowerShell، تبدو جميع الأساسيات كما يلي:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

يمكن دمج جميع الأساسيات مع ExcludePrincipals لرفض جميع الأساسيات باستثناء بعض المستخدمين. جميع الأساسيات لها القيود التالية:

• يمكن استخدامها فقط في Principals ولا يمكن استخدامها في ExcludePrincipals.
• Principals[i].Type يجب تعيين إلى SystemDefined.

إدراج رفض التعيينات

اتبع هذه الخطوات لسرد رفض التعيينات.

هام

لا يمكنك إنشاء تعيينات الرفض الخاصة بك مباشرة. يتم إنشاء تعيينات الرفض وإدارتها بواسطة Azure. لمزيد من المعلومات، راجع حماية الموارد المدارة من الحذف.

مدخل Microsoft Azure

المتطلبات الأساسية

للحصول على معلومات حول رفض التعيين، يجب أن يكون لديك:

• Microsoft.Authorization/denyAssignments/read الإذن، المضمن في معظم الأدوار المضمنة في Azure.

سرد تعيينات الرفض في مدخل Microsoft Azure

اتبع هذه الخطوات لسرد رفض التعيينات في نطاق الاشتراك أو مجموعة الإدارة.

1. في مدخل Microsoft Azure، افتح النطاق المحدد، مثل مجموعة الموارد أو الاشتراك.

2. حدد Access control (IAM).

3. حدد علامة التبويب رفض التعيينات (أو حدد الزر عرض في لوحة عرض رفض التعيينات).

   إذا كانت هناك أي تعيينات رفض في هذا النطاق أو موروثة إلى هذا النطاق، سردها.

   

4. لعرض أعمدة إضافية، حدد تحرير الأعمدة.

   

   العمود	الوصف
   الاسم	اسم رفض التعيين.
   النوع الأساسي	المستخدم أو المجموعة أو المجموعة المعرفة من قبل النظام أو كيان الخدمة.
   نفي	اسم أساس الأمان المضمن في تعيين الرفض.
   معرّف	معرف فريد لتعيين الرفض.
   الأساسيات المستبعدة	ما إذا كانت هناك أساسيات أمان مستبعدة من تعيين الرفض.
   لا ينطبق على الأطفال	ما إذا كان تعيين الرفض موروثا إلى نطاقات فرعية.
   حماية النظام	ما إذا كان يتم إدارة تعيين الرفض بواسطة Azure. حاليا، دائما نعم.
   النطاق	مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد.

5. أضف علامة اختيار إلى أي من العناصر الممكنة ثم حدد موافق لعرض الأعمدة المحددة.

سرد تفاصيل حول رفض التعيين

اتبع هذه الخطوات لسرد تفاصيل إضافية حول رفض التعيين.

1. افتح جزء رفض التعيينات كما هو موضح في القسم السابق.

2. حدد اسم رفض التعيين لفتح صفحة المستخدمين .

   

   تتضمن صفحة المستخدمين المقطعين التاليين.

   رفض الإعداد	‏‏الوصف
   ينطبق رفض التعيين على	أساسيات الأمان التي ينطبق عليها تعيين الرفض.
   استبعاد رفض التعيين	أساسيات الأمان المستبعدة من تعيين الرفض.

   يمثل System-Defined Principal جميع المستخدمين والمجموعات وأساسيات الخدمة والهويات المدارة في دليل Azure AD.

3. للاطلاع على قائمة بالأذونات التي تم رفضها، حدد الأذونات التي تم رفضها.

   

   نوع الإجراء	‏‏الوصف
   إجراءات	رفض إجراءات وحدة التحكم.
   NotActions	إجراءات وحدة التحكم المستبعدة من إجراءات وحدة التحكم التي تم رفضها.
   عمليات البيانات	إجراءات مستوى البيانات التي تم رفضها.
   NotDataActions	إجراءات مستوى البيانات المستبعدة من إجراءات مستوى البيانات التي تم رفضها.

   بالنسبة للمثال الموضح في لقطة الشاشة السابقة، فيما يلي الأذونات الفعالة:

   • يتم رفض جميع إجراءات التخزين على مستوى البيانات باستثناء إجراءات الحوسبة.

4. لمشاهدة خصائص تعيين الرفض، حدد خصائص.

   

   في صفحة Properties، يمكنك مشاهدة رفض اسم التعيين والمعرف والوصف والنطاق. يشير رمز التبديل لا ينطبق على التوابع إلى ما إذا كان تعيين الرفض موروثا إلى نطاقات فرعية. يشير رمز التبديل المحمي بالنظام إلى ما إذا كان تعيين الرفض هذا مدارا بواسطة Azure. حاليا، هذا هو نعم في جميع الحالات.

Azure PowerShell

المتطلبات الأساسية

للحصول على معلومات حول رفض التعيين، يجب أن يكون لديك:

• Microsoft.Authorization/denyAssignments/read الإذن، المضمن في معظم الأدوار المضمنة في Azure
• PowerShell في Azure Cloud Shell أو Azure PowerShell

سرد كافة تعيينات الرفض

لسرد كافة تعيينات الرفض للاشتراك الحالي، استخدم Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

سرد رفض التعيينات في نطاق مجموعة موارد

لسرد كافة تعيينات الرفض في نطاق مجموعة موارد، استخدم Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

سرد رفض التعيينات في نطاق اشتراك

لسرد كافة تعيينات الرفض في نطاق اشتراك، استخدم Get-AzDenyAssignment. للحصول على معرف الاشتراك، يمكنك العثور عليه في صفحة الاشتراكات في مدخل Microsoft Azure أو يمكنك استخدام Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

واجهة برمجة التطبيقات REST

المتطلبات الأساسية

للحصول على معلومات حول رفض التعيين، يجب أن يكون لديك:

• Microsoft.Authorization/denyAssignments/read الإذن، المضمن في معظم الأدوار المضمنة في Azure.

يجب استخدام الإصدار التالي:

• 2018-07-01-preview أو أحدث
• 2022-04-01 هو أول إصدار مستقر

سرد واجب رفض واحد

لسرد تعيين رفض واحد، استخدم رفض التعيينات - الحصول على واجهة برمجة تطبيقات REST.

1. ابدأ بالطلب التالي:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. ضمن URI، استبدل {scope} بالنطاق الذي تريد سرد تعيينات الرفض له.

   النطاق	نوع
   subscriptions/{subscriptionId}	الاشتراك
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	مجموعة الموارد
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. استبدل {deny-assignment-id} بمعرف رفض التعيين الذي تريد استرداده.

سرد تعيينات رفض متعددة

لسرد العديد من تعيينات الرفض، استخدم واجهة برمجة تطبيقات رفض التعيينات - قائمة REST.

1. ابدأ بأحد الطلبات التالية:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   باستخدام المعلمات الاختيارية:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. ضمن URI، استبدل {scope} بالنطاق الذي تريد سرد تعيينات الرفض له.

   النطاق	نوع
   subscriptions/{subscriptionId}	الاشتراك
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	مجموعة الموارد
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. استبدل {filter} بالشرط الذي تريد تطبيقه لتصفية قائمة تعيين الرفض.

   تصفية	‏‏الوصف
   (بدون عامل تصفية)	يسرد كافة تعيينات الرفض في النطاق المحدد وأعلىه وأسفلا منه.
   $filter=atScope()	يسرد رفض التعيينات للنطاق المحدد وما فوق فقط. لا يتضمن رفض التعيينات في النطاقات الفرعية.
   $filter=assignedTo('{objectId}')	يسرد رفض التعيينات للمستخدم المحدد أو كيان الخدمة المحدد. إذا كان المستخدم عضوا في مجموعة لديها تعيين رفض، يتم أيضا سرد رفض التعيين هذا. عامل التصفية هذا عابر للمجموعات مما يعني أنه إذا كان المستخدم عضوا في مجموعة وكانت تلك المجموعة عضوا في مجموعة أخرى لديها تعيين رفض، يتم أيضا سرد رفض التعيين. يقبل عامل التصفية هذا معرف كائن فقط لمستخدم أو كيان خدمة. لا يمكنك تمرير معرف كائن لمجموعة.
   $filter=atScope()+and+assignedTo('{objectId}')	يسرد رفض التعيينات للمستخدم المحدد أو كيان الخدمة المحدد وفي النطاق المحدد.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	يسرد رفض التعيينات بالاسم المحدد.
   $filter=principalId+eq+'{objectId}'	يسرد رفض التعيينات للمستخدم أو المجموعة أو كيان الخدمة المحدد.

سرد تعيينات الرفض في نطاق الجذر (/)

1. رفع مستوى وصولك كما هو موضح في رفع مستوى الوصول لإدارة جميع اشتراكات Azure ومجموعات الإدارة.

2. استخدم الطلب التالي:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. استبدل {filter} بالشرط الذي تريد تطبيقه لتصفية قائمة تعيين الرفض. مطلوب عامل تصفية.

   تصفية	‏‏الوصف
   $filter=atScope()	سرد تعيينات الرفض لنطاق الجذر فقط. لا يتضمن رفض التعيينات في النطاقات الفرعية.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	سرد رفض التعيينات بالاسم المحدد.

4. إزالة الوصول المرتفع.

الخطوات التالية

• مكدسات التوزيع