Auflisten aller Ablehnungszuweisungen

Ähnlich wie eine Rollenzuweisung verknüpft eine Ablehnungszuweisung in einem bestimmten Bereich einen Satz von Aktionen mit einem Benutzer, einer Gruppe oder einem Dienstprinzipal, um den Zugriff zu verweigern. Ablehnungszuweisungen hindern Benutzer an der Ausführung bestimmter Aktionen für Azure-Ressourcen, auch wenn ihnen über eine Rollenzuweisung Zugriff erteilt wird.

In diesem Artikel wird beschrieben, wie Sie Ablehnungszuweisungen auflisten.

Wichtig

Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Ablehnungszuweisungen werden von Azure erstellt und verwaltet.

Wie werden Ablehnungszuweisungen erstellt?

Ablehnungszuweisungen werden von Azure erstellt und verwaltet, um Ressourcen zu schützen. Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Bei der Erstellung eines Bereitstellungsstapels können Sie jedoch Ablehnungseinstellungen angeben, wodurch eine Ablehnungszuweisung erstellt wird, die zu den Ressourcen des Bereitstellungsstapels gehört. Bereitstellungsstapel befinden sich derzeit in der Vorschau. Weitere Informationen finden Sie unter Schützen verwalteter Ressourcen vor dem Löschen.

Vergleich zwischen Rollenzuweisungen und Ablehnungszuweisungen

Ablehnungszuweisungen folgen einem ähnlichen Muster wie Rollenzuweisungen, weisen aber auch einige Unterschiede auf.

Funktion	Rollenzuweisung	Ablehnungszuweisung
Gewähren von Zugriff	✅
Zugriff verweigern		✅
Kann direkt erstellt werden	✅
Gelten in einem Bereich	✅	✅
Schließen Prinzipale aus		✅
Verhindern die Vererbung auf untergeordnete Bereiche		✅
Werden auch auf Zuweisungen für klassische Abonnementadministratoren angewendet.		✅

Eigenschaften von Ablehnungszuweisungen

Eine Ablehnungszuweisungen hat folgende Eigenschaften:

Eigenschaft	Erforderlich	Type	BESCHREIBUNG
DenyAssignmentName	Ja	String	Der Anzeigename der Ablehnungszuweisung. Namen müssen für einen bestimmten Bereich eindeutig sein.
Description	No	String	Die Beschreibung der Ablehnungszuweisung.
Permissions.Actions	Mindestens ein Actions- oder ein DataActions-Element	String[]	Ein Array von Strings, die die Aktionen der Kontrollebene angeben, auf die durch die Deny-Zuweisung der Zugriff gesperrt wird.
Permissions.NotActions	No	String[]	Ein Array von Strings, die angeben, welche Aktion der Kontrollebene von der Deny-Zuweisung ausgeschlossen werden soll.
Permissions.DataActions	Mindestens ein Actions- oder ein DataActions-Element	String[]	Ein Array von Strings, die angeben, auf welche Aktionen der Datenebene die Deny-Zuweisung den Zugriff blockiert.
Permissions.NotDataActions	No	String[]	Ein Array von Strings, die angeben, welche Datenebenen-Aktionen von der Deny-Zuweisung ausgeschlossen werden sollen.
Scope	No	String	Eine Zeichenfolge, die den Bereich festlegt, für den die Ablehnungszuweisung gilt.
DoNotApplyToChildScopes	No	Boolean	Gibt an, ob die Ablehnungszuweisung für untergeordnete Bereiche gilt. Der Standardwert ist „falsch“.
Principals[i].Id	Ja	String[]	Ein Array aus Microsoft Entra-Prinzipalobjekt-IDs (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität), für die die Ablehnungszuweisung gilt. Die Festlegung einer leeren GUID 00000000-0000-0000-0000-000000000000 repräsentiert alle Prinzipale.
Principals[i].Type	No	String[]	Ein Array von Objekttypen, das durch „Principals[i].Id“ dargestellt wird. Eine leere GUID SystemDefined repräsentiert alle Prinzipale.
ExcludePrincipals[i].Id	No	String[]	Ein Array aus Microsoft Entra-Prinzipalobjekt-IDs (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität), für die die Ablehnungszuweisung nicht gilt.
ExcludePrincipals[i].Type	No	String[]	Ein Array von Objekttypen, das durch „ExcludePrincipals[i].Id“ dargestellt wird.
IsSystemProtected	No	Boolean	Gibt an, ob diese Ablehnungszuweisung von Azure erstellt wurde und nicht bearbeitet oder gelöscht werden kann. Derzeit sind alle Ablehnungszuweisungen vom System geschützt.

Der Prinzipal „Alle Prinzipale“

Zur Unterstützung von Ablehnungszuweisungen wurde ein systemseitig definierter Prinzipal namens Alle Prinzipale eingeführt. Dieser Prinzipal repräsentiert alle Benutzer, Gruppen, Dienstprinzipale und verwalteten Identitäten in einem Microsoft Entra-Verzeichnis. Wenn die Prinzipal-ID eine aus Nullen bestehende GUID 00000000-0000-0000-0000-000000000000 ist und der Prinzipaltyp SystemDefined lautet, repräsentiert der Prinzipal alle Prinzipale. In der Azure PowerShell-Ausgabe sieht „Alle Prinzipale“ wie folgt aus:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

„Alle Prinzipale“ kann mit ExcludePrincipals kombiniert werden, um den Zugriff für alle Prinzipale mit Ausnahme einiger Benutzer zu verweigern. „Alle Prinzipale“ hat die folgenden Einschränkungen:

• Kann nur in Principals verwendet werden, aber nicht in ExcludePrincipals.
• Principals[i].Type muss auf SystemDefined festgelegt werden.

Auflisten von Ablehnungszuweisungen

Führen Sie die folgenden Schritte aus, um Ablehnungszuweisungen auflisten.

Wichtig

Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Ablehnungszuweisungen werden von Azure erstellt und verwaltet. Weitere Informationen finden Sie unter Schützen verwalteter Ressourcen vor dem Löschen.

Azure portal

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist.

Auflisten von Ablehnungszuweisungen im Azure-Portal

Führen Sie die folgenden Schritte aus, um Ablehnungszuweisungen für ein Abonnement oder eine Verwaltungsgruppe aufzulisten.

1. Öffnen Sie im Azure-Portal den ausgewählten Bereich, z. B. Ressourcengruppe oder Abonnement.

2. Wählen Sie Zugriffssteuerung (IAM) aus.

3. Wählen Sie die Registerkarte Ablehnungszuweisungen (oder wählen Sie auf der Kachel „Ablehnungszuweisungen anzeigen“ die Schaltfläche Anzeigen aus).

   Wenn Ablehnungszuweisungen für diesen Bereich oder an diesen Bereich vererbte Ablehnungszuweisungen vorhanden sind, werden diese angezeigt.

   

4. Um zusätzliche Spalten anzuzeigen, wählen Sie Spalten bearbeiten aus.

   

   Spalte	Beschreibung
   Name	Der Name der Ablehnungszuweisung.
   Prinzipaltyp	Benutzer, Gruppe, vom System definierte Gruppe oder Dienstprinzipal.
   Verweigert	Der Name des Sicherheitsprinzipals, der in der Ablehnungszuweisung enthalten ist.
   Id	Eindeutiger Bezeichner für die Ablehnungszuweisung.
   Ausgeschlossene Prinzipale	Gibt an, ob Sicherheitsprinzipale von der Ablehnungszuweisung ausgeschlossen sind.
   Gilt nicht für untergeordnete Elemente	Gibt an, ob die Ablehnungszuweisung an Unterbereiche vererbt wird.
   Durch System geschützt	Gibt an, ob die Ablehnungszuweisung durch Azure verwaltet wird. Aktuell immer „Ja“.
   Umfang	Eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource.

5. Aktivieren Sie das Kontrollkästchen für eines der aktivierten Elemente, und wählen Sie OK aus, um die ausgewählten Spalten anzuzeigen.

Auflisten von Details zu einer Ablehnungszuweisung

Führen Sie die folgenden Schritte aus, um zusätzliche Details zu einer Ablehnungszuweisung aufzulisten.

1. Öffnen Sie den Bereich Ablehnungszuweisungen, wie im vorherigen Abschnitt beschrieben.

2. Wählen Sie den Namen der Ablehnungszuweisung aus, um die Seite Benutzer zu öffnen.

   

   Die Seite Benutzer umfasst die folgenden zwei Abschnitte.

   Ablehnungseinstellung	Beschreibung
   Die Ablehnungszuweisung gilt für	Sicherheitsprinzipale, auf die die Ablehnungszuweisung angewendet wird.
   Die Ablehnungszuweisung schließt Folgendes aus	Gibt Sicherheitsprinzipale an, die von der Ablehnungszuweisung ausgeschlossen sind.

   Vom System definierter Prinzipal repräsentiert alle Benutzer, Gruppen, Dienstprinzipale und verwalteten Identitäten in einem Azure AD-Verzeichnis.

3. Um eine Liste der Berechtigungen anzuzeigen, die verweigert wurden, wählen Sie Verweigerte Berechtigungen aus.

   

   Aktionstyp	Beschreibung
   Aktionen	Verweigerte Aktionen auf Steuerungsebene
   NotActions	Aktionen auf Steuerungsebene, die von verweigerten Aktionen der Steuerungsebene ausgeschlossen sind
   DataActions	Verweigerte Aktionen auf Datenebene
   NotDataActions	Aktionen auf Datenebene, die von verweigerten Aktionen der Datenebene ausgeschlossen sind

   Für das im vorstehenden Screenshot gezeigte Beispiel gelten die folgenden effektiven Berechtigungen:

   • Alle Speicheraktionen für die Datenebene bis auf Computeaktionen wurden verweigert.

4. Um die Eigenschaften für eine Ablehnungszuweisung anzuzeigen, wählen Sie Eigenschaften aus.

   

   Auf der Seite Eigenschaften können Sie den Namen, die ID, die Beschreibung und den Bereich für eine Ablehnungszuweisung anzeigen. Die Option Gilt nicht für untergeordnete Elemente gibt an, ob die Ablehnungszuweisung an Unterbereiche vererbt wird. Die Option Vom System definiert gibt an, ob diese Ablehnungszuweisung durch Azure verwaltet wird. Aktuell lautet die Einstellung immer Ja.

Azure PowerShell

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist
• PowerShell in Azure Cloud Shell oder Azure PowerShell

Auflisten aller Ablehnungszuweisungen

Um alle Ablehnungszuweisungen für das aktuelle Abonnement aufzulisten, verwenden Sie Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Auflisten von Ablehnungszuweisungen in einem Ressourcengruppenbereich

Um alle Ablehnungszuweisungen in einem Ressourcengruppenbereich aufzulisten, verwenden Sie Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Auflisten von Ablehnungszuweisungen in einem Abonnementbereich

Um alle Ablehnungszuweisungen in einem Abonnementbereich aufzulisten, verwenden Sie Get-AzDenyAssignment. Die Abonnement-ID können Sie über die Seite Abonnements im Azure-Portal oder durch Verwenden von Get-AzSubscription abrufen.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST-API

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist.

Sie müssen die folgende Version verwenden:

• 2018-07-01-preview oder höher
• 2022-04-01 ist die erste stabile Version.

Auflisten einer einzelnen Ablehnungszuweisung

Verwenden Sie zum Auflisten einer einzelnen AblehnungszuweisungAblehnungszuweisungen – Abrufen der REST-API.

1. Beginnen Sie mit der folgenden Anforderung:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Ersetzen Sie innerhalb des URI {scope} durch den Bereich, für den die Ablehnungszuweisungen aufgelistet werden sollen.

   `Scope`	type
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. Ersetzen Sie {deny-assignment-id} durch den Bezeichner für die Ablehnungszuweisung, die Sie abrufen möchten.

Auflisten von mehreren Ablehnungszuweisungen

Verwenden Sie zum Auflisten mehrerer Ablehnungszuweisungen Ablehnungszuweisungen – Auflisten der REST-API.

1. Beginnen Sie mit einer der folgenden Anforderungen:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Mit optionalen Parametern:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Ersetzen Sie innerhalb des URI {scope} durch den Bereich, für den die Ablehnungszuweisungen aufgelistet werden sollen.

   `Scope`	type
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Ablehnungszuweisungen angewendet werden soll.

   Filter	Beschreibung
   (Kein Filter)	Alle Ablehnungszuweisungen des angegebenen Bereichs (auch ober- und unterhalb) werden aufgelistet.
   $filter=atScope()	Nur die Ablehnungszuweisungen für den angegebenen Bereich und oberhalb davon werden aufgelistet. Hierin sind nicht die Ablehnungszuweisungen von Unterbereichen enthalten.
   $filter=assignedTo('{objectId}')	Ablehnungszuweisungen für den angegebenen Benutzer oder Dienstprinzipal werden aufgelistet. Wenn der Benutzer Mitglied einer Gruppe ist, die über eine Ablehnungszuweisung verfügt, wird diese Ablehnungszuweisung ebenfalls aufgeführt. Dieser Filter ist für Gruppen transitiv, das heißt: Wenn der Benutzer Mitglied einer Gruppe und diese Gruppe wiederum Mitglied einer anderen Gruppe ist, die über eine Ablehnungszuweisung verfügt, wird diese Ablehnungszuweisung ebenfalls aufgeführt. Dieser Filter akzeptiert nur eine Objekt-ID für einen Benutzer oder einen Dienstprinzipal. Für eine Gruppe kann keine Objekt-ID übergeben werden.
   $filter=atScope()+and+assignedTo('{objectId}')	Listet die Ablehnungszuweisungen für bestimmte Benutzer oder Dienstprinzipale sowie im angegebenen Umfang auf.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Ablehnungszuweisungen mit dem angegebenen Namen werden aufgelistet.
   $filter=principalId+eq+'{objectId}'	Ablehnungszuweisungen für den angegebenen Benutzer, die angegebene Gruppe oder den Dienstprinzipal werden aufgelistet.

Auflisten von Ablehnungszuweisungen im Stammbereich (/)

1. Erhöhen Sie Ihre Zugriffsrechte wie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen beschrieben.

2. Verwenden Sie die folgende Anforderung:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Ablehnungszuweisungen angewendet werden soll. Ein Filter ist erforderlich.

   Filter	Beschreibung
   $filter=atScope()	Nur Ablehnungszuweisungen für den Stammbereich werden aufgelistet. Hierin sind nicht die Ablehnungszuweisungen von Unterbereichen enthalten.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Ablehnungszuweisungen mit dem angegebenen Namen werden aufgelistet.

4. Entfernen Sie die erhöhten Zugriffsrechte.

Nächste Schritte

• Bereitstellungsstapel