Az Azure-beli megtagadási hozzárendelések listázása

A szerepkör-hozzárendeléshez hasonlóan a megtagadási hozzárendelés megtagadási műveletek készletét csatolja egy felhasználóhoz, csoporthoz vagy szolgáltatásnévhez egy adott hatókörben a hozzáférés megtagadása céljából. A megtagadás-hozzárendelések akkor is meggátolják, hogy a felhasználók elvégezzék a megadott Azure-erőforrásműveleteket, ha egy szerepkör-hozzárendelés hozzáférést biztosít számukra.

Ez a cikk azt ismerteti, hogyan listázhatja a megtagadási hozzárendeléseket.

Fontos

Nem hozhat létre közvetlenül saját megtagadási hozzárendeléseket. A megtagadási hozzárendeléseket az Azure hozza létre és felügyeli.

A megtagadási hozzárendelések létrehozása

A megtagadási hozzárendeléseket az Azure az erőforrások védelme érdekében hozza létre és kezeli. Nem hozhat létre közvetlenül saját megtagadási hozzárendeléseket. Az üzembehelyezési verem létrehozásakor azonban megadhatja a megtagadási beállításokat, amelyek az üzembehelyezési verem erőforrásainak tulajdonában lévő megtagadási hozzárendelést hoznak létre. Az üzembehelyezési vermek jelenleg előzetes verzióban érhetőek el. További információ: Felügyelt erőforrások védelme a törlés ellen.

Szerepkör-hozzárendelések összehasonlítása és a hozzárendelések megtagadása

A megtagadási hozzárendelések hasonló mintát követnek, mint a szerepkör-hozzárendelések, de vannak különbségek is.

Funkció	Szerepkör-hozzárendelés	Megtagadás-hozzárendelések
Hozzáférés biztosítása	✅
Hozzáférés megtagadása		✅
Közvetlenül létrehozható	✅
Alkalmazás hatókörben	✅	✅
Tagok kizárása		✅
Gyermekhatókörök öröklésének megakadályozása		✅
Alkalmazás klasszikus előfizetés-rendszergazdai hozzárendelésekre		✅

Hozzárendelés tulajdonságainak megtagadása

A megtagadási hozzárendelések a következő tulajdonságokkal rendelkeznek:

Tulajdonság	Kötelező	Típus	Leírás
DenyAssignmentName	Igen	Sztring	A megtagadási hozzárendelés megjelenítendő neve. A neveknek egyedinek kell lenniük egy adott hatókörhöz.
Description	Nem	Sztring	A megtagadási hozzárendelés leírása.
Permissions.Actions	Legalább egy művelet vagy egy DataActions	Karakterlánc[]	Sztringek tömbje, amelyek meghatározzák azokat a vezérlősík-műveleteket, amelyekhez a megtagadási hozzárendelés letiltja a hozzáférést.
Permissions.NotActions	Nem	Karakterlánc[]	Sztringek tömbje, amelyek meghatározzák a megtagadási hozzárendelésből kizárandó vezérlősík-műveletet.
Permissions.DataActions	Legalább egy művelet vagy egy DataActions	Karakterlánc[]	Sztringek tömbje, amely megadja azokat az adatsík-műveleteket, amelyekhez a megtagadási hozzárendelés letiltja a hozzáférést.
Permissions.NotDataActions	Nem	Karakterlánc[]	Sztringek tömbje, amelyek meghatározzák a megtagadási hozzárendelésből kizárandó adatsík-műveleteket.
Scope	Nem	Sztring	A megtagadási hozzárendelés hatókörét meghatározó sztring.
DoNotApplyToChildScopes	Nem	Logikai	Megadja, hogy a megtagadási hozzárendelés vonatkozik-e a gyermek hatókörökre. Az alapértelmezett érték hamis.
Principals[i].Id	Igen	Karakterlánc[]	A Microsoft Entra egyszerű objektumazonosítóinak (felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás) tömbje, amelyre a megtagadási hozzárendelés vonatkozik. Állítsa üres GUID-ra 00000000-0000-0000-0000-000000000000 az összes tag megjelenítéséhez.
Principals[i].Type	Nem	Karakterlánc[]	A Principals[i].Id. Által képviselt objektumtípusok tömbje. Úgy van beállítva, hogy SystemDefined az összes tagot képviselje.
ExcludePrincipals[i].Id	Nem	Karakterlánc[]	A Microsoft Entra egyszerű objektumazonosítóinak (felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás) tömbje, amelyre a megtagadási hozzárendelés nem vonatkozik.
ExcludePrincipals[i].Type	Nem	Karakterlánc[]	Az ExcludePrincipals[i].Id.
IsSystemProtected	Nem	Logikai	Megadja, hogy ezt a megtagadási hozzárendelést az Azure hozta-e létre, és nem szerkeszthető vagy törölhető. Jelenleg minden megtagadási hozzárendelés rendszervédett.

Az összes egyszerű tag

A megtagadási hozzárendelések támogatásához bevezetésre került egy rendszer által definiált rendszer által definiált, Minden tag nevű rendszer. Ez az egyszerűség egy Microsoft Entra-címtárban lévő összes felhasználót, csoportot, szolgáltatásnevet és felügyelt identitást jelöli. Ha az egyszerű azonosító nulla GUID, 00000000-0000-0000-0000-000000000000 és az egyszerű típus az SystemDefined, az egyszerű az összes tagot jelöli. Az Azure PowerShell-kimenetben az összes egyszerű felhasználó a következőhöz hasonlóan néz ki:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

A rendszerbiztonsági tagok egyesíthetők az összes tag elutasításával ExcludePrincipals , kivéve néhány felhasználót. Minden egyszerű felhasználóra a következő korlátozások vannak hatással:

• Csak a következőben Principals használható, és nem használható a következőben ExcludePrincipals: .
• Principals[i].Type beállításnak a következőre kell állítania: SystemDefined.

Megtagadás-hozzárendelések felsorolása

A megtagadási hozzárendelések listázásához kövesse az alábbi lépéseket.

Fontos

Nem hozhat létre közvetlenül saját megtagadási hozzárendeléseket. A megtagadási hozzárendeléseket az Azure hozza létre és felügyeli. További információ: Felügyelt erőforrások védelme a törlés ellen.

Azure Portalra

Előfeltételek

A megtagadási hozzárendeléssel kapcsolatos információk lekéréséhez a következővel kell rendelkeznie:

• Microsoft.Authorization/denyAssignments/read engedély, amely a legtöbb beépített Azure-szerepkörben megtalálható.

Megtagadási hozzárendelések listázása az Azure Portalon

Az alábbi lépéseket követve listázhatja a megtagadási hozzárendeléseket az előfizetés vagy a felügyeleti csoport hatókörében.

1. Az Azure Portalon nyissa meg a kijelölt hatókört, például az erőforráscsoportot vagy az előfizetést.

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Válassza a Hozzárendelések megtagadása lapot (vagy válassza a Nézet gombot a Megtagadási hozzárendelések megtekintése csempén).

   Ha ebben a hatókörben vannak megtagadási hozzárendelések, vagy öröklődnek ehhez a hatókörhöz, a rendszer felsorolja őket.

   

4. További oszlopok megjelenítéséhez válassza az Oszlopok szerkesztése lehetőséget.

   

   Oszlop	Leírás
   Név	A megtagadási hozzárendelés neve.
   Egyszerű típus	Felhasználó, csoport, rendszer által definiált csoport vagy szolgáltatásnév.
   Tagadás	A megtagadási hozzárendelésben szereplő biztonsági tag neve.
   Azonosító	A megtagadási hozzárendelés egyedi azonosítója.
   Kizárt tagok	Vannak-e olyan biztonsági tagok, amelyek nincsenek kizárva a megtagadási hozzárendelésből.
   Nem vonatkozik a gyermekekre	Azt jelzi, hogy a megtagadási hozzárendelés öröklődik-e a subscopesban.
   Rendszer által védett	Azt, hogy a megtagadási hozzárendelést az Azure kezeli-e. Jelenleg mindig igen.
   Hatókör	Felügyeleti csoport, előfizetés, erőforráscsoport vagy erőforrás.

5. Adjon hozzá pipát bármelyik engedélyezett elemhez, majd a kijelölt oszlopok megjelenítéséhez kattintson az OK gombra .

Megtagadási hozzárendelés részleteinek listázása

A megtagadási hozzárendelés további részleteinek listázásához kövesse az alábbi lépéseket.

1. Nyissa meg a Megtagadás hozzárendelések panelt az előző szakaszban leírtak szerint.

2. Válassza ki a megtagadási hozzárendelés nevét a Felhasználók lap megnyitásához.

   

   A Felhasználók lap a következő két szakaszt tartalmazza.

   Megtagadási beállítás	Leírás
   A megtagadási hozzárendelés a következőkre vonatkozik:	Azokra a biztonsági tagokra, amelyekre a megtagadási hozzárendelés vonatkozik.
   A hozzárendelés megtagadása kizárja	A megtagadási hozzárendelésből kizárt biztonsági tagok.

   A rendszer által definiált egyszerű rendszer egy Azure AD-címtárban lévő összes felhasználót, csoportot, szolgáltatásnevet és felügyelt identitást jelöli.

3. A megtagadott engedélyek listájának megtekintéséhez válassza a Megtagadott engedélyek lehetőséget.

   

   Művelettípus	Leírás
   Műveletek	Megtagadva a vezérlősík műveleteit.
   NotActions	A vezérlősíkok nem engedélyezett vezérlősíkműveletei.
   DataActions	Megtagadott adatsík-műveletek.
   NotDataActions	A megtagadott adatsík-műveletekből kizárt adatsík-műveletek.

   Az előző képernyőképen látható példában a következők az érvényes engedélyek:

   • Az adatsíkon végzett összes tárolási művelet megtagadva, kivéve a számítási műveleteket.

4. A megtagadási hozzárendelés tulajdonságainak megtekintéséhez válassza a Tulajdonságok lehetőséget.

   

   A Tulajdonságok lapon láthatja a megtagadási hozzárendelés nevét, azonosítóját, leírását és hatókörét. A Nem vonatkozik a gyermekekre kapcsoló azt jelzi, hogy a megtagadási hozzárendelés öröklődik-e a subscopesban. A rendszer által védett kapcsoló jelzi, hogy ezt a megtagadási hozzárendelést az Azure kezeli-e. Jelenleg ez minden esetben igen .

Azure PowerShell

Előfeltételek

A megtagadási hozzárendeléssel kapcsolatos információk lekéréséhez a következővel kell rendelkeznie:

• Microsoft.Authorization/denyAssignments/read engedély, amely a legtöbb beépített Azure-szerepkörben megtalálható
• PowerShell az Azure Cloud Shellben vagy az Azure PowerShellben

Az összes megtagadási hozzárendelés listázása

Az aktuális előfizetés összes megtagadási hozzárendelésének listázásához használja a Get-AzDenyAssignment parancsot.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Megtagadási hozzárendelések listázása erőforráscsoport hatókörében

Ha egy erőforráscsoport hatókörében szeretné listázni az összes megtagadási hozzárendelést, használja a Get-AzDenyAssignment parancsot.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Megtagadási hozzárendelések listázása előfizetési hatókörben

Ha egy előfizetés hatókörében szeretné listázni az összes megtagadási hozzárendelést, használja a Get-AzDenyAssignment parancsot. Az előfizetés-azonosító lekéréséhez az Azure Portal Előfizetések lapján, vagy a Get-AzSubscription parancsot használhatja.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Előfeltételek

A megtagadási hozzárendeléssel kapcsolatos információk lekéréséhez a következővel kell rendelkeznie:

• Microsoft.Authorization/denyAssignments/read engedély, amely a legtöbb beépített Azure-szerepkörben megtalálható.

A következő verziót kell használnia:

• 2018-07-01-preview vagy újabb
• 2022-04-01 az első stabil verzió

Egyetlen megtagadási hozzárendelés listázása

Egyetlen megtagadási hozzárendelés listázásához használja a Megtagadási hozzárendelések – REST API lekérése lehetőséget.

1. Kezdje a következő kéréssel:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a megtagadási hozzárendeléseit listázni szeretné.

   Hatókör	Típus
   subscriptions/{subscriptionId}	Előfizetés
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Erőforráscsoport
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Erőforrás

3. Cserélje le a(z) {deny-assignment-id} elemet a lekérni kívánt megtagadási hozzárendelés-azonosítóra.

Több megtagadási hozzárendelés listázása

Ha több megtagadási hozzárendelést szeretne listázni, használja a Feladat megtagadása – REST API listázása lehetőséget.

1. Kezdje a következő kérések egyikével:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Választható paraméterekkel:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a megtagadási hozzárendeléseit listázni szeretné.

   Hatókör	Típus
   subscriptions/{subscriptionId}	Előfizetés
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Erőforráscsoport
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Erőforrás

3. Cserélje le a(z) {filter} elemet arra a feltételre, amelyet alkalmazni szeretne a megtagadási hozzárendelések listájának szűréséhez.

   Szűrő	Leírás
   (nincs szűrő)	Felsorolja az összes megtagadási hozzárendelést a megadott hatókörön felül és alatt.
   $filter=atScope()	Csak a megadott hatókörhöz és a fenti hatókörhöz tartozó megtagadási hozzárendeléseket sorolja fel. Nem tartalmazza a megtagadási hozzárendeléseket a subscopesban.
   $filter=assignedTo('{objectId}')	A megadott felhasználó vagy szolgáltatásnév megtagadási hozzárendeléseinek listája. Ha a felhasználó egy megtagadási hozzárendeléssel rendelkező csoport tagja, akkor a megtagadási hozzárendelés is megjelenik a listában. Ez a szűrő tranzitív a csoportok esetében, ami azt jelenti, hogy ha a felhasználó egy csoport tagja, és ez a csoport egy másik, megtagadási hozzárendeléssel rendelkező csoport tagja, akkor a megtagadási hozzárendelés is megjelenik a listán. Ez a szűrő csak egy felhasználó vagy szolgáltatásnév objektumazonosítóját fogadja el. Csoport objektumazonosítóját nem adhatja át.
   $filter=atScope()+and+assignedTo('{objectId}')	A megadott felhasználó vagy szolgáltatásnév megtagadási hozzárendeléseinek listája a megadott hatókörben.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	A megadott névvel rendelkező megtagadási hozzárendelések listája.
   $filter=principalId+eq+'{objectId}'	A megadott felhasználó, csoport vagy szolgáltatásnév megtagadási hozzárendeléseinek listája.

Megtagadási hozzárendelések listázása a gyökérhatókörben (/)

1. Emelje a hozzáférést az Elevate access (Hozzáférés emelése) című cikkben leírtak szerint az összes Azure-előfizetés és felügyeleti csoport kezeléséhez.

2. Használja a következő kérést:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Cserélje le a(z) {filter} elemet arra a feltételre, amelyet alkalmazni szeretne a megtagadási hozzárendelések listájának szűréséhez. Szűrőre van szükség.

   Szűrő	Leírás
   $filter=atScope()	Csak a gyökértartomány megtagadási hozzárendeléseinek listázása. Nem tartalmazza a megtagadási hozzárendeléseket a subscopesban.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	A megadott névvel rendelkező megtagadási hozzárendelések listázása.

4. Emelt szintű hozzáférés eltávolítása.

Következő lépések

• Üzembehelyezési vermek