Seznam přiřazení zamítnutí Azure

Podobně jako přiřazení role připojí přiřazení zamítnutí sadu akcí zamítnutí k uživateli, skupině nebo instančnímu objektu v určitém oboru pro účely odepření přístupu. Přiřazení zamítnutí blokuje uživatelům možnost provádět určité akce s prostředky Azure i v případě, že přiřazení role jim přístup uděluje.

Tento článek popisuje, jak vypsat přiřazení zamítnutí.

Důležité

Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Přiřazení zamítnutí se vytvářejí a spravují v Azure.

Jak se vytvářejí přiřazení zamítnutí

Přiřazení zamítnutí vytváří a spravuje Azure za účelem ochrany prostředků. Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Při vytváření zásobníku nasazení však můžete zadat nastavení zamítnutí, které vytvoří přiřazení zamítnutí, které vlastní prostředky zásobníku nasazení. Zásobníky nasazení jsou aktuálně ve verzi Preview. Další informace naleznete v tématu Ochrana spravovaných prostředků před odstraněním.

Porovnání přiřazení rolí a zamítnutí přiřazení

Přiřazení zamítnutí se řídí podobným vzorem jako přiřazení rolí, ale mají také určité rozdíly.

Schopnost	Přiřazení role	Přiřazení zamítnutí
Udělení přístupu	✅
Odepření přístupu		✅
Lze vytvořit přímo	✅
Použití v oboru	✅	✅
Vyloučení objektů zabezpečení		✅
Zabránění dědičnosti podřízeným oborům		✅
Platí pro přiřazení klasického správce předplatného		✅

Odepřít vlastnosti přiřazení

Přiřazení zamítnutí má následující vlastnosti:

Vlastnost	Požaduje se	Type	Popis
DenyAssignmentName	Ano	String	Zobrazovaný název přiřazení zamítnutí Názvy musí být pro daný obor jedinečné.
Description	No	String	Popis přiřazení zamítnutí
Permissions.Actions	Alespoň jedna akce nebo jedna akce DataActions	Řetězec[]	Pole řetězců, které určují akce řídicí roviny, ke kterým přiřazení zamítnutí blokuje přístup.
Permissions.NotActions	No	Řetězec[]	Pole řetězců, které určují akci řídicí roviny, která se má vyloučit z přiřazení zamítnutí.
Permissions.DataActions	Alespoň jedna akce nebo jedna akce DataActions	Řetězec[]	Pole řetězců, které určují akce roviny dat, ke kterým přiřazení zamítnutí blokuje přístup.
Permissions.NotDataActions	No	Řetězec[]	Pole řetězců, které určují akce roviny dat, které se mají vyloučit z přiřazení zamítnutí.
Scope	No	String	Řetězec, který určuje obor, na který se vztahuje přiřazení zamítnutí.
DoNotApplyToChildScopes	No	Logická hodnota	Určuje, jestli se přiřazení zamítnutí vztahuje na podřízené obory. Výchozí hodnotou je false.
Principals[i].Id	Ano	Řetězec[]	Pole ID objektů instančního objektu Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita), na které se přiřazení zamítnutí vztahuje. Nastavte na prázdný identifikátor GUID 00000000-0000-0000-0000-000000000000 , který bude představovat všechny objekty zabezpečení.
Principals[i].Type	No	Řetězec[]	Pole typů objektů reprezentovaných objekty[i].ID. Je nastaveno tak, aby SystemDefined představovalo všechny objekty zabezpečení.
ExcludePrincipals[i].Id	No	Řetězec[]	Pole ID objektů instančního objektu Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita), na které se přiřazení zamítnutí nevztahuje.
ExcludePrincipals[i].Type	No	Řetězec[]	Pole typů objektů reprezentované funkcí ExcludePrincipals[i].Id.
IsSystemProtected	No	Logická hodnota	Určuje, jestli bylo toto přiřazení zamítnutí vytvořeno v Azure a nelze ho upravit ani odstranit. V současné době jsou všechna přiřazení zamítnutí chráněná systémem.

Všechny objekty zabezpečení

Pro podporu přiřazení zamítnutí byl zaveden objekt zabezpečení definovaný systémem s názvem Všechny objekty zabezpečení. Tento objekt zabezpečení představuje všechny uživatele, skupiny, instanční objekty a spravované identity v adresáři Microsoft Entra. Pokud je ID objektu zabezpečení nula GUID 00000000-0000-0000-0000-000000000000 a typ objektu zabezpečení je SystemDefined, představuje objekt zabezpečení všechny objekty zabezpečení. Ve výstupu Azure PowerShellu vypadají všechny objekty zabezpečení takto:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Všechny objekty zabezpečení se dají kombinovat, ExcludePrincipals aby se odepřely všechny objekty zabezpečení s výjimkou některých uživatelů. Všechny objekty zabezpečení mají následující omezení:

• Lze použít pouze v Principals a nelze jej použít v ExcludePrincipals.
• Principals[i].Type musí být nastavena na SystemDefinedhodnotu .

Zobrazení seznamu zamítnutých přiřazení

Pokud chcete zobrazit seznam odepření přiřazení, postupujte podle těchto kroků.

Důležité

Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Přiřazení zamítnutí se vytvářejí a spravují v Azure. Další informace naleznete v tématu Ochrana spravovaných prostředků před odstraněním.

Azure Portal

Požadavky

Pokud chcete získat informace o přiřazení zamítnutí, musíte mít:

• Microsoft.Authorization/denyAssignments/read oprávnění, která je součástí většiny předdefinovaných rolí Azure.

Výpis přiřazení zamítnutí na webu Azure Portal

Podle těchto kroků vypíšete přiřazení zamítnutí v oboru předplatného nebo skupiny pro správu.

1. Na webu Azure Portal otevřete vybraný obor, například skupinu prostředků nebo předplatné.

2. Vyberte Řízení přístupu (IAM) .

3. Vyberte kartu Odepřít přiřazení (nebo vyberte tlačítko Zobrazit na dlaždici Zobrazit přiřazení zamítnutí).

   Pokud v tomto oboru existují nějaká přiřazení zamítnutí nebo zděděná do tohoto oboru, zobrazí se v seznamu.

   

4. Pokud chcete zobrazit další sloupce, vyberte Upravit sloupce.

   

   Sloupec	Popis
   Jméno	Název přiřazení zamítnutí
   Typ objektu zabezpečení	Uživatel, skupina, systémově definovaná skupina nebo instanční objekt
   Popíral	Název objektu zabezpečení, který je součástí přiřazení zamítnutí.
   Id	Jedinečný identifikátor přiřazení zamítnutí.
   Vyloučené objekty zabezpečení	Zda existují objekty zabezpečení, které jsou vyloučeny z přiřazení zamítnutí.
   Nevztahuje se na podřízené položky.	Určuje, jestli je přiřazení zamítnutí zděděno do dílčích oborů.
   Ochrana systému	Určuje, jestli je přiřazení zamítnutí spravované v Azure. V současné době vždy ano.
   Scope	Skupina pro správu, předplatné, skupina prostředků nebo prostředek

5. Přidejte značku zaškrtnutí do některé z povolených položek a pak vyberte OK , aby se zobrazily vybrané sloupce.

Výpis podrobností o přiřazení zamítnutí

Pokud chcete zobrazit další podrobnosti o přiřazení zamítnutí, postupujte podle těchto kroků.

1. Otevřete podokno Odepřít přiřazení, jak je popsáno v předchozí části.

2. Výběrem názvu přiřazení zamítnutí otevřete stránku Uživatelé .

   

   Stránka Uživatelé obsahuje následující dvě části.

   Odepřít nastavení	Popis
   Zamítnutí přiřazení se vztahuje na	Objekty zabezpečení, na které se přiřazení zamítnutí vztahuje.
   Vyloučení přiřazení zamítnutí	Objekty zabezpečení, které jsou vyloučené z přiřazení zamítnutí.

   Objekt zabezpečení definovaný systémem představuje všechny uživatele, skupiny, instanční objekty a spravované identity v adresáři Azure AD.

3. Pokud chcete zobrazit seznam oprávnění, která jsou odepřena, vyberte Odepřít oprávnění.

   

   Typ akce	Popis
   Akce	Odepření akcí řídicí roviny
   NotActions	Akce roviny řízení vyloučené z odepřených akcí řídicí roviny
   Akce dat	Akce roviny dat byly odepřeny.
   NotDataActions	Akce roviny dat vyloučené z odepřených akcí roviny dat

   V příkladu zobrazeném na předchozím snímku obrazovky jsou platná oprávnění:

   • Všechny akce úložiště v rovině dat jsou odepřeny s výjimkou výpočetních akcí.

4. Pokud chcete zobrazit vlastnosti přiřazení zamítnutí, vyberte Vlastnosti.

   

   Na stránce Vlastnosti uvidíte název přiřazení zamítnutí, ID, popis a obor. Přepínač Nevztahuje se na podřízené položky určuje, zda je přiřazení zamítnutí zděděno do dílčích oborů. Přepínač chráněný systémem označuje, jestli toto přiřazení zamítnutí spravuje Azure. V současné době je to Ano ve všech případech.

Azure PowerShell

Požadavky

Pokud chcete získat informace o přiřazení zamítnutí, musíte mít:

• Microsoft.Authorization/denyAssignments/read oprávnění, která je součástí většiny předdefinovaných rolí Azure
• PowerShell v Azure Cloud Shellu nebo Azure PowerShellu

Výpis všech přiřazení zamítnutí

Pokud chcete vypsat všechna přiřazení zamítnutí pro aktuální předplatné, použijte Rutinu Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Výpis přiřazení zamítnutí v oboru skupiny prostředků

Pokud chcete vypsat všechna přiřazení zamítnutí v oboru skupiny prostředků, použijte Rutinu Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Výpis přiřazení zamítnutí v oboru předplatného

Pokud chcete vypsat všechna přiřazení zamítnutí v oboru předplatného, použijte Rutinu Get-AzDenyAssignment. Pokud chcete získat ID předplatného, najdete ho na stránce Předplatná na webu Azure Portal nebo můžete použít Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Požadavky

Pokud chcete získat informace o přiřazení zamítnutí, musíte mít:

• Microsoft.Authorization/denyAssignments/read oprávnění, která je součástí většiny předdefinovaných rolí Azure.

Musíte použít následující verzi:

• 2018-07-01-preview nebo novější
• 2022-04-01 je první stabilní verze.

Výpis jednoho přiřazení zamítnutí

Pokud chcete vypsat jedno přiřazení zamítnutí, použijte zadání zamítnutí – Získání rozhraní REST API.

1. Začněte následujícím požadavkem:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. V rámci identifikátoru URI nahraďte {scope} oborem, pro který chcete zobrazit seznam přiřazení zamítnutí.

   Obor	Typ
   subscriptions/{subscriptionId}	Předplatné
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Skupina prostředků
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Prostředek

3. Nahraďte {deny-assignment-id} identifikátorem přiřazení zamítnutí, který chcete načíst.

Výpis více přiřazení zamítnutí

Pokud chcete vypsat více přiřazení zamítnutí, použijte rozhraní REST API pro odepření .

1. Začněte jedním z následujících požadavků:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   S volitelnými parametry:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. V rámci identifikátoru URI nahraďte {scope} oborem, pro který chcete zobrazit seznam přiřazení zamítnutí.

   Obor	Typ
   subscriptions/{subscriptionId}	Předplatné
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Skupina prostředků
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Prostředek

3. Nahraďte {filter} podmínkou, kterou chcete použít k filtrování seznamu přiřazení zamítnutí.

   Filtr	Popis
   (bez filtru)	Zobrazí seznam všech přiřazení zamítnutí na výše uvedené a pod zadaný obor.
   $filter=atScope()	Zobrazí seznam odepření přiřazení pouze pro zadaný obor a vyšší. Nezahrnuje přiřazení zamítnutí v podskopech.
   $filter=assignedTo('{objectId}')	Zobrazí seznam odepření přiřazení pro zadaného uživatele nebo instančního objektu. Pokud je uživatel členem skupiny, která má přiřazení zamítnutí, zobrazí se také toto přiřazení zamítnutí. Tento filtr je tranzitivní pro skupiny, což znamená, že pokud je uživatel členem skupiny a tato skupina je členem jiné skupiny, která má přiřazení zamítnutí, je uvedené také toto přiřazení zamítnutí. Tento filtr přijímá pouze ID objektu pro uživatele nebo instanční objekt. Id objektu pro skupinu nelze předat.
   $filter=atScope()+and+assignedTo('{objectId}')	Zobrazí seznam odepření přiřazení pro zadaného uživatele nebo instanční objekt a v zadaném oboru.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Zobrazí seznam odepření přiřazení se zadaným názvem.
   $filter=principalId+eq+'{objectId}'	Zobrazí seznam odepření přiřazení pro zadaného uživatele, skupiny nebo instančního objektu.

Výpis přiřazení zamítnutí v kořenovém oboru (/)

1. Zvyšte úroveň přístupu, jak je popsáno v části Zvýšení úrovně přístupu, abyste mohli spravovat všechna předplatná Azure a skupiny pro správu.

2. Použijte následující požadavek:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Nahraďte {filter} podmínkou, kterou chcete použít k filtrování seznamu přiřazení zamítnutí. Vyžaduje se filtr.

   Filtr	Popis
   $filter=atScope()	Vypsat přiřazení zamítnutí pouze pro kořenový obor. Nezahrnuje přiřazení zamítnutí v podskopech.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Vypsat přiřazení zamítnutí se zadaným názvem

4. Odeberte zvýšený přístup.

Další kroky

• Zásobníky nasazení