Get-AzDenyAssignment
Listet Azure RBAC-Verweigerungszuweisungen auf dem angegebenen Bereich auf. Standardmäßig werden alle Verweigerungszuweisungen im ausgewählten Azure-Abonnement aufgelistet. Verwenden Sie die entsprechenden Parameter, um Zuordnungen für einen bestimmten Benutzer auflisten oder Verweigerungszuweisungen für eine bestimmte Ressourcengruppe oder Ressource auflisten.
Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Syntax
Get-AzDenyAssignment
[-Scope <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ObjectId <Guid>
[-ExpandPrincipalGroups]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ObjectId <Guid>
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-SignInName <String>
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-SignInName <String>
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-SignInName <String>
[-ExpandPrincipalGroups]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ServicePrincipalName <String>
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ServicePrincipalName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
[-Scope <String>]
-Id <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzDenyAssignment
[-Scope <String>]
-DenyAssignmentName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Beschreibung
Verwenden Sie den Befehl "Get-AzDenyAssignment", um alle Verweigerungszuweisungen auflisten, die für einen Bereich wirksam sind. Ohne Parameter gibt dieser Befehl alle Verweigerungszuweisungen zurück, die unter dem Abonnement vorgenommen wurden. Diese Liste kann mithilfe von Filterparametern für Prinzipal, Zuordnungsname und Bereich verweigert werden. Verwenden Sie zum Angeben eines Benutzers die Parameter "SignInName" oder "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Sicherheitsgruppe den Parameter "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Microsoft Entra-Anwendung die Parameter ServicePrincipalName oder ObjectId. Der Bereich, in dem der Zugriff verweigert wird, kann angegeben werden. Standardmäßig wird das ausgewählte Abonnement verwendet. Der Gültigkeitsbereich der Verweigerungszuweisung kann mithilfe einer der folgenden Parameterkombinationen angegeben werden: Bereich – Dies ist der vollqualifizierte Bereich, der mit /subscriptions/<subscriptionId> beginnt. Dadurch werden Verweigerungszuweisungen gefiltert, die in diesem bestimmten Bereich wirksam sind, d. h. alle Zuordnungen zu diesem Bereich und höher verweigern. b. ResourceGroupName – Name einer beliebigen Ressourcengruppe unter dem Abonnement. Dadurch werden Zuordnungen gefiltert, die bei der angegebenen Ressourcengruppe wirksam sind, d. h. alle Zuordnungen zu diesem Bereich und höher verweigern. c. ResourceName, ResourceType, ResourceGroupName und (optional) ParentResource – Identifiziert eine bestimmte Ressource unter dem Abonnement und filtert Verweigerungszuordnungen, die für diesen Ressourcenbereich wirksam sind. Um zu bestimmen, welcher Zugriff für einen bestimmten Benutzer im Abonnement verweigert wird, verwenden Sie die Option "ExpandPrincipalGroups". Dadurch werden alle dem Benutzer zugewiesenen Verweigerungszuweisungen sowie die Gruppen aufgelistet, in denen der Benutzer Mitglied ist.
Beispiele
Beispiel 1
Alle Verweigerungszuweisungen im Abonnement auflisten
Get-AzDenyAssignment
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/providers/Microsoft.Authorization/denyAssignments/22704996-fbd0-4ab1-8625-722d897825d2
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f
DoNotApplyToChildScopes : False
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
ExcludePrincipals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment 2
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: PowershellTestingApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : True
Beispiel 2
Ruft alle Verweigerungszuweisungen an den Benutzer john.doe@contoso.com im Bereich TestRG und höher.
Get-AzDenyAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/providers/Microsoft.Authorization/denyAssignments/22704996-fbd0-4ab1-8625-722d897825d2
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f
DoNotApplyToChildScopes : False
Principals : {
DisplayName: john.doe
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
}
ExcludePrincipals : {}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: john.doe
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: PowershellTestingApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : True
Beispiel 3
Ruft alle Verweigerungszuweisungen des angegebenen Dienstprinzipals ab.
Get-AzDenyAssignment -ServicePrincipalName 'http://testapp1.com'
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: TestApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1/providers/Microsoft.Authorization/denyAssignments/94e3d9da-3700-4113-aab4-15f6c173d794
DenyAssignmentName : Test deny assignment 2
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: TestApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : True
Beispiel 4
Ruft Verweigerungszuweisungen im Bereich der Website "site1" ab.
Get-AzDenyAssignment -Scope '/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/testRG/providers/Microsoft.Web/sites/site1'
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
}
ExcludePrincipals : {}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1/providers/Microsoft.Authorization/denyAssignments/594e3d9da-3700-4113-aab4-15f6c173d794
DenyAssignmentName : Test deny assignment 2
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: TestApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : True
Parameter
-DefaultProfile
Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure
Typ: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-DenyAssignmentName
Der Name der Ablehnungszuweisung.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ExpandPrincipalGroups
Wenn angegeben, werden Verweigerungszuweisungen zurückgegeben, die dem Benutzer direkt zugewiesen wurden, und an die Gruppen, deren Mitglied der Benutzer ist (transitiv). Wird nur für einen Benutzerprinzipal unterstützt.
Typ: | SwitchParameter |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Id
Zuweisung vollqualifizierte ID oder GUID verweigern. Wenn die ID als GUID bereitgestellt wird, wird das aktuelle Abonnement als Standardbereich verwendet.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectId
Die Microsoft Entra-Objekt-ID des Benutzers, der Gruppe oder des Dienstprinzipals. Filtert alle Verweigerungszuweisungen, die an den angegebenen Prinzipal vorgenommen werden.
Typ: | Nullable<T>[Guid] |
Aliases: | PrincipalId |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Die übergeordnete Ressource in der Hierarchie der ressource, die mit dem Parameter ResourceName angegeben wurde. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceType und ResourceName verwendet werden.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Der Name der Ressourcengruppe. Listet Zuweisungen auf, die bei der angegebenen Ressourcengruppe wirksam sind. Bei Verwendung in Verbindung mit den Parametern "ResourceName", "ResourceType" und "ParentResource" listet der Befehl die Zuordnungen auf, die für Ressourcen innerhalb der Ressourcengruppe wirksam sind.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Der Name der Ressource. Für z.B. storageaccountprod. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceType und (optional)ParentResource verwendet werden.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Der Ressurcentyp. Für z.B. Microsoft.Network/virtualNetworks. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceName und (optional)ParentResource verwendet werden.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Der Bereich der Rollenzuweisung. Im Format des relativen URI. Zum Beispiel /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Er muss mit "/subscriptions/{id}" beginnen. Der Befehl filtert alle Verweigerungszuweisungen, die in diesem Bereich wirksam sind.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ServicePrincipalName
Der ServicePrincipalName des Dienstprinzipals. Filtert alle Verweigerungszuweisungen, die an der angegebenen Microsoft Entra-Anwendung vorgenommen werden.
Typ: | String |
Aliases: | SPN |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers. Filtert alle Verweigerungszuweisungen, die an den angegebenen Benutzer vorgenommen werden.
Typ: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Eingaben
Ausgaben
Hinweise
Schlüsselwörter: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment