Mencantumkan penugasan penolakan Azure

Mirip dengan penetapan peran, penetapan penolakan melampirkan serangkaian tindakan penolakan kepada pengguna, grup, atau perwakilan layanan pada lingkup tertentu untuk tujuan menolak akses. Penetapan penolakan memblokir pengguna dari melakukan tindakan sumber daya Azure tertentu meskipun penetapan peran memberinya akses.

Artikel ini menjelaskan cara mencantumkan penugasan penolakan.

Penting

Anda tidak bisa langsung membuat tugas penolakan Anda sendiri. Penugasan penolakan dibuat dan dikelola oleh Azure.

Bagaimana penetapan penolakan dibuat

Penetapan penolakan dibuat dan dikelola oleh Azure untuk melindungi sumber daya. Anda tidak bisa langsung membuat tugas penolakan Anda sendiri. Namun, Anda dapat menentukan pengaturan tolak saat membuat tumpukan penyebaran, yang membuat penetapan penolakan yang dimiliki oleh sumber daya tumpukan penyebaran. Tumpukan penyebaran saat ini dalam pratinjau. Untuk informasi selengkapnya, lihat Melindungi sumber daya terkelola dari penghapusan.

Membandingkan penetapan peran dan penetapan penolakan

Penetapan penolakan mengikuti pola yang sama dengan penetapan peran, tetapi juga memiliki beberapa perbedaan.

Kemampuan	Penetapan peran	Penetapan penolakan
Memberikan akses	✅
Menolak akses		✅
Dapat langsung dibuat	✅
Menerapkan di cakupan	✅	✅
Mengecualikan utama		✅
Mencegah pewarisan ke cakupan anak		✅
Berlaku untuk penetapan administrator langganan klasik		✅

Properti penetapan penolakan

Penetapan penolakan memiliki properti berikut:

Properti	Wajib	Tipe	Deskripsi
DenyAssignmentName	Ya	String	Nama tampilan penetapan penolakan. Nama harus unik untuk cakupan tertentu.
Description	No	String	Deskripsi penetapan penolakan.
Permissions.Actions	Setidaknya satu Tindakan atau satu DataActions	Tali[]	Array dari untai (karakter) yang menentukan operasi data yang aksesnya diblokir oleh penetapan penolakan.
Permissions.NotActions	No	Tali[]	Array dari untai (karakter) yang menentukan tindakan bidang kontrol untuk dikecualikan dari penetapan penolakan.
Permissions.DataActions	Setidaknya satu Tindakan atau satu DataActions	Tali[]	Array dari untai (karakter) yang menentukan tindakan bidang data yang aksesnya diblokir oleh penetapan blok.
Permissions.NotDataActions	No	Tali[]	Array dari untai (karakter) yang menentukan tindakan bidang data yang akan dikecualikan dari penetapan penolakan.
Scope	No	String	Untai (karakter) yang menentukan cakupan yang mana penetapan penolakan berlaku.
DoNotApplyToChildScopes	No	Boolean	Menentukan apakah penetapan penolakan berlaku untuk cakupan anak. Nilai defaultnya adalah false.
Principals[i].Id	Ya	Tali[]	Array ID objek utama Microsoft Entra (pengguna, grup, perwakilan layanan, atau identitas terkelola) tempat penetapan penolakan berlaku. Atur ke GUID kosong 00000000-0000-0000-0000-000000000000 untuk mewakili semua perwakilan.
Principals[i].Type	No	Tali[]	Array dari jenis objek yang diwakili oleh Principals[i].Id. Diatur ke SystemDefined untuk mewakili semua perwakilan.
ExcludePrincipals[i].Id	No	Tali[]	Array ID objek utama Microsoft Entra (pengguna, grup, perwakilan layanan, atau identitas terkelola) tempat penetapan penolakan tidak berlaku.
ExcludePrincipals[i].Type	No	Tali[]	Array dari jenis objek yang diwakili oleh ExcludePrincipals[i].Id.
IsSystemProtected	No	Boolean	Menentukan apakah penetapan penolakan ini dibuat oleh Azure dan tidak dapat diedit atau dihapus. Saat ini, semua penetapan penolakan dilindungi sistem.

Perwakilan All Principals

Untuk mendukung penetapan penolakan, perwakilan yang ditentukan sistem bernama All Principals telah diperkenalkan. Perwakilan ini mewakili semua pengguna, grup, perwakilan layanan, dan identitas terkelola dalam direktori Microsoft Entra. Jika ID perwakilan adalah GUID nol 00000000-0000-0000-0000-000000000000 dan jenis perwakilan adalah SystemDefined, perwakilan mewakili semua perwakilan. Di output Azure PowerShell, All Principals terlihat seperti berikut:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

All Principals dapat digabungkan dengan ExcludePrincipals untuk menolak semua perwakilan kecuali beberapa pengguna. All Principals memiliki kendala berikut:

• Hanya dapat digunakan dalam Principals dan tidak dapat digunakan dalam ExcludePrincipals.
• Principals[i].Type harus diatur ke SystemDefined.

Mencantumkan penetapan tolakan

Ikuti langkah-langkah ini untuk mencantumkan penugasan penolakan.

Penting

Anda tidak bisa langsung membuat tugas penolakan Anda sendiri. Penugasan penolakan dibuat dan dikelola oleh Azure. Untuk informasi selengkapnya, lihat Melindungi sumber daya terkelola dari penghapusan.

Portal Azure

Prasyarat

Untuk mendapatkan informasi tentang penolakan tugas, Anda harus memiliki:

• Microsoft.Authorization/denyAssignments/read izin, yang disertakan dalam sebagian besar peran bawaan Azure.

Mencantumkan penetapan penolakan di portal Azure

Ikuti langkah-langkah ini untuk mencantumkan penugasan penolakan pada cakupan langganan atau grup pengelolaan.

1. Di portal Azure, buka cakupan yang dipilih, seperti grup sumber daya atau langganan.

2. Pilih Kontrol Akses (IAM) .

3. Pilih tab Tolak penugasan (atau pilih tombol Tampilan pada petak Tampilkan penugasan penolakan).

   Jika ada penugasan penolakan pada cakupan ini atau diwarisi ke cakupan ini, tugas tersebut akan dicantumkan.

   

4. Untuk menampilkan kolom tambahan, pilih Edit Kolom.

   

   Kolom	Deskripsi
   Nama	Nama penugasan penolakan.
   Jenis perwakilan	Pengguna, grup, grup yang ditentukan sistem, atau perwakilan layanan.
   Ditolak	Nama perwakilan keamanan yang termasuk dalam penugasan penolakan.
   Id	Pengidentifikasi unik untuk penugasan penolakan.
   Perwakilan yang dikecualikan	Apakah ada perwakilan keamanan yang dikecualikan dari penugasan penolakan.
   Tidak berlaku untuk anak-anak	Apakah penugasan penolakan diwariskan ke sub-cakupan.
   Sistem dilindungi	Apakah penugasan penolakan dikelola oleh Azure. Saat ini, selalu Ya.
   Cakupan	Grup manajemen, langganan, grup sumber daya, atau sumber daya.

5. Tambahkan tanda centang ke salah satu item yang diaktifkan lalu pilih OK untuk menampilkan kolom yang dipilih.

Mencantumkan detail tentang penugasan penolakan

Ikuti langkah-langkah ini untuk mencantumkan detail tambahan tentang penugasan penolakan.

1. Buka panel Penugasan penolakan seperti yang dijelaskan di bagian sebelumnya.

2. Pilih nama penugasan tolak untuk membuka halaman Pengguna .

   

   Halaman Pengguna menyertakan dua bagian berikut.

   Pengaturan penolakan	Deskripsi
   Penugasan penolakan berlaku untuk	Perwakilan keamanan yang berlaku untuk penugasan penolakan.
   Penugasan penolakan mengecualikan	Perwakilan keamanan yang dikecualikan dari penugasan penolakan.

   Perwakilan yang Ditentukan Sistem mewakili semua pengguna, grup, perwakilan layanan, dan identitas terkelola dalam direktori Azure Active Directory.

3. Untuk melihat daftar izin yang ditolak, pilih Izin Ditolak.

   

   Jenis tindakan	Deskripsi
   Tindakan	Tindakan sarana kontrol ditolak.
   NotActions	Tindakan sarana kontrol dikecualikan dari tindakan sarana kontrol yang ditolak.
   DataActions	Menolak tindakan data plane.
   NotDataActions	Tindakan data plane dikecualikan dari tindakan data plane yang ditolak.

   Untuk contoh yang ditampilkan dalam cuplikan layar sebelumnya, berikut ini adalah izin yang efektif:

   • Semua tindakan penyimpanan pada bidang data ditolak kecuali untuk tindakan komputasi.

4. Untuk melihat properti untuk penugasan penolakan, pilih Properti.

   

   Pada halaman Properti , Anda dapat melihat nama, ID, deskripsi, dan cakupan penetapan penolakan. Tombol Tidak berlaku untuk anak-anak menunjukkan apakah penugasan penolakan diwariskan ke sub-cakupan. Tombol Dilindungi sistem menunjukkan apakah penugasan penolakan ini dikelola oleh Azure. Saat ini, jawabannya Ya untuk semua kasus.

Azure PowerShell

Prasyarat

Untuk mendapatkan informasi tentang penolakan tugas, Anda harus memiliki:

• Microsoft.Authorization/denyAssignments/read izin, yang disertakan dalam sebagian besar peran bawaan Azure
• PowerShell di Azure Cloud Shell atau Azure PowerShell

Mencantumkan semua penetapan tolakan

Untuk mencantumkan semua penetapan tolakan untuk langganan saat ini, gunakan Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Mencantumkan penetapan tolakan pada cakupan grup sumber daya

Untuk mencantumkan semua penetapan tolakan pada cakupan grup sumber daya, gunakan Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Mencantumkan penetapan tolakan pada cakupan langganan

Untuk mencantumkan penetapan tolakan pada cakupan langganan, gunakan Get-AzDenyAssignment. Untuk mendapatkan ID langganan, Anda bisa menemukannya di halaman Langganan di portal Azure atau Anda bisa menggunakan Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Prasyarat

Untuk mendapatkan informasi tentang penolakan tugas, Anda harus memiliki:

• Microsoft.Authorization/denyAssignments/read izin, yang disertakan dalam sebagian besar peran bawaan Azure.

Anda harus menggunakan versi berikut:

• 2018-07-01-preview atau yang lebih baru
• 2022-04-01 adalah versi stabil pertama

Mencantumkan satu tugas penolakan

Untuk mencantumkan satu penetapan penolakan, gunakan Tolak Penugasan - Dapatkan REST API.

1. Mulai dengan permintaan berikut:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Di dalam URI, ganti {scope} dengan lingkup yang ingin Anda daftarkan tugas penolakannya.

   Cakupan	Jenis
   subscriptions/{subscriptionId}	Langganan
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grup sumber daya
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Sumber daya

3. Ganti {deny-assignment-id} dengan pengidentifikasi tugas penolakan yang ingin Anda ambil.

Daftar beberapa tugas penolakan

Untuk mencantumkan beberapa penetapan penolakan, gunakan Tolak Tugas - Daftar REST API.

1. Silakan mulai dengan salah satu permintaan berikut:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Dengan parameter opsional:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Di dalam URI, ganti {scope} dengan lingkup yang ingin Anda daftarkan tugas penolakannya.

   Cakupan	Jenis
   subscriptions/{subscriptionId}	Langganan
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grup sumber daya
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Sumber daya

3. Ganti {filter} dengan kondisi yang ingin Anda terapkan untuk memfilter daftar penetapan penolakan.

   Filter	Deskripsi
   (tanpa filter)	Mencantumkan semua tugas penolakan pada, di atas, serta di bawah lingkup yang ditentukan.
   $filter=atScope()	Daftar tugas penolakan hanya untuk lingkup yang ditentukan serta ke atasnya. Tidak menyertakan tugas penolakan di sub-lingkup.
   $filter=assignedTo('{objectId}')	Daftar tugas penolakan untuk pengguna atau prinsipal layanan yang ditentukan. Jika pengguna adalah anggota grup yang memiliki tugas penolakan, tugas penolakan tersebut juga akan dicantumkan. Filter ini bersifat transitif untuk grup yang berarti bahwa jika pengguna adalah anggota grup serta grup tersebut adalah anggota grup lain yang memiliki tugas penolakan, tugas yang menolak juga tercantum. Filter ini hanya dapat menerima ID objek untuk pengguna atau prinsipal layanan. Anda tidak bisa meneruskan ID objek bagi grup.
   $filter=atScope()+and+assignedTo('{objectId}')	Cantumkan tugas penolakan untuk prinsipal pengguna atau layanan yang ditentukan serta pada lingkup yang ditentukan.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Cantumkan tugas penolakan dengan nama yang ditentukan.
   $filter=principalId+eq+'{objectId}'	Cantumkan tugas penolakan untuk pengguna, grup, atau prinsipal layanan yang ditentukan.

Cantumkan tugas penolakan pada lingkup akar (/)

1. Tingkatkan akses Anda seperti yang dijelaskan dalam Tingkatkan akses untuk mengelola semua langganan serta grup pengelolaan Azure.

2. Gunakan permintaan berikut:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Ganti {filter} dengan kondisi yang ingin Anda terapkan untuk memfilter daftar penetapan penolakan. Filter dibutuhkan.

   Filter	Deskripsi
   $filter=atScope()	Cantumkan tugas penolakan hanya untuk lingkup akar. Tidak menyertakan tugas penolakan di sub-lingkup.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Cantumkan tugas penolakan dengan nama yang ditentukan.

4. Hapus akses yang ditingkatkan.

Langkah berikutnya

• Tumpukan penyebaran