Elencare le assegnazioni di ruolo di Azure

Simile a un'assegnazione di ruolo, un'assegnazione di rifiuto allega un set di azioni di rifiuto a un utente, gruppo o entità servizio in un determinato ambito con lo scopo di rifiutare l'accesso. Le assegnazioni di rifiuto impediscono agli utenti di eseguire azioni specifiche sulle risorse di Azure, anche se un'assegnazione di ruolo concede loro l'accesso.

Questo articolo descrive come elencare le assegnazioni di rifiuto.

Importante

Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure.

Come vengono create le assegnazioni di rifiuto

Le assegnazioni di rifiuto vengono create e gestite da Azure per proteggere le risorse. Non è possibile creare direttamente assegnazioni di rifiuto. È tuttavia possibile specificare le impostazioni di rifiuto durante la creazione di uno stack di distribuzione, in modo da creare un'assegnazione di rifiuto di proprietà delle risorse dello stack di distribuzione. Gli stack di distribuzione sono attualmente in anteprima. Per altre informazioni, vedi Proteggere le risorse gestite dall'eliminazione.

Confrontare le assegnazioni di ruolo e le assegnazioni di rifiuto

Le assegnazioni di rifiuto seguono un modello simile a quello delle assegnazioni di ruolo, ma presentano anche alcune differenze.

Funzionalità	Assegnazione di ruolo	Assegnazione di rifiuto
Concedi accesso	✅
Rifiutare l'accesso		✅
Possibilità di creazione diretta	✅
Applicazione a livello di ambito	✅	✅
Esclusione delle entità		✅
Ereditarietà agli ambiti figlio non consentita		✅
Applicazione ad assegnazioni di Amministratore sottoscrizione classico		✅

Proprietà dell'assegnazione di rifiuto

Un'assegnazione di rifiuto ha le seguenti proprietà:

Proprietà	Richiesto	Type	Descrizione
DenyAssignmentName	Sì	String	Il nome visualizzato dell'assegnazione di rifiuto. I nomi devono essere univoci per un determinato ambito.
Description	No	String	La descrizione dell'assegnazione di rifiuto.
Permissions.Actions	Almeno un Actions o un DataActions	String[]	Matrice di stringhe che specificano le azioni del piano di controllo a cui l'assegnazione di rifiuto blocca l'accesso.
Permissions.NotActions	No	String[]	Matrice di stringhe che specificano l'azione del piano di controllo da escludere dall'assegnazione di rifiuto.
Permissions.DataActions	Almeno un Actions o un DataActions	String[]	Matrice di stringhe che specificano le azioni del piano dati a cui l'assegnazione di rifiuto blocca l'accesso.
Permissions.NotDataActions	No	String[]	Matrice di stringhe che specificano le azioni del piano dati da escludere dall'assegnazione di rifiuto.
Scope	No	String	Una stringa che specifica l'ambito a cui si applica l'assegnazione di rifiuto.
DoNotApplyToChildScopes	No	Booleano	Specifica se l'assegnazione di rifiuto è valida per gli ambiti figlio. Il valore predefinito è false.
Principals[i].Id	Sì	String[]	Matrice degli ID oggetto entità di Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui si applica l'assegnazione di rifiuto. Impostare un GUID vuoto 00000000-0000-0000-0000-000000000000 per rappresentare tutte le entità.
Principals[i].Type	No	String[]	Una matrice di tipi di oggetto rappresentati da Principals[i].Id. Impostare SystemDefined per rappresentare tutte le entità.
ExcludePrincipals[i].Id	No	String[]	Matrice degli ID oggetto entità di Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui non si applica l'assegnazione di rifiuto.
ExcludePrincipals[i].Type	No	String[]	Una matrice di tipi di oggetto rappresentati da ExcludePrincipals[i].Id.
IsSystemProtected	No	Booleano	Specifica se questa assegnazione di rifiuto è stata creata da Azure e non può essere modificata o eliminata. Attualmente, tutte le assegnazioni di rifiuto sono protette dal sistema.

Entità Tutte le entità

Per supportare le assegnazioni di rifiuto, è stata introdotta un'entità definita dal sistema denominata Tutte le entità. Quest'entità rappresenta tutti gli utenti, gruppi, entità servizio e identità gestite in una directory di Microsoft Entra. Se l'ID entità è un GUID zero 00000000-0000-0000-0000-000000000000 e il tipo di entità è SystemDefined, l'entità rappresenta tutte le entità. Nell'output di Azure PowerShell tutte le entità sono simili alle seguenti:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

L'opzione Tutte le entità può essere combinata con ExcludePrincipals per rifiutare tutte le entità, ad eccezione di alcuni utenti. L'opzione Tutte le entità comporta i vincoli seguenti:

• Può essere usata solo con Principals e non può essere usata con ExcludePrincipals.
• Principals[i].TypeDeve essere impostato su SystemDefined.

Visualizzare le assegnazioni di rifiuto

Seguire questa procedura per elencare le assegnazioni di rifiuto.

Importante

Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure. Per altre informazioni, vedi Proteggere le risorse gestite dall'eliminazione.

Azure portal

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario avere quanto segue:

• Autorizzazione Microsoft.Authorization/denyAssignments/read, inclusa nella maggior parte dei Ruoli predefiniti di Azure.

Elencare le assegnazioni di rifiuto nel portale di Azure

Seguire questa procedura per elencare le assegnazioni nell'ambito del gruppo di gestione o di sottoscrizione.

1. Nel portale di Azure aprire l'ambito selezionato, ad esempio gruppo di risorse o sottoscrizione.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare la scheda Assegnazioni di rifiuto oppure fare clic sul pulsante Visualizza nel riquadro Visualizza assegnazioni di rifiuto.

   Se sono presenti assegnazioni di rifiuto in questo ambito o vengono ereditate in questo ambito, saranno elencate.

   

4. Per visualizzare colonne aggiuntive, selezionare Modifica colonne.

   

   Colonna	Descrizione
   Nome	Il nome dell'assegnazione di rifiuto.
   Tipo di entità	Utente, gruppo, gruppo definito dal sistema gruppo o entità servizio.
   Negato	Nome dell'entità di sicurezza che è inclusa nell'assegnazione di rifiuto.
   Id	Identificatore univoco per l'assegnazione di rifiuto.
   Entità di sicurezza escluse	Se sono presenti entità di sicurezza che sono escluse dall'assegnazione di rifiuto.
   Non applicabile agli elementi figlio	Se l'assegnazione di rifiuto è ereditata da ambiti secondari.
   Con protezione sistema	Se l'assegnazione di rifiuto è gestita da Azure. Attualmente, sempre Sì.
   Scope	Gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.

5. Aggiungere un segno di spunta per gli elementi abilitati e quindi selezionare OK per visualizzare le colonne selezionate.

Elencare i dettagli relativi a un'assegnazione di rifiuto

Seguire questa procedura per elencare dettagli aggiuntivi su un'assegnazione di rifiuto.

1. Aprire il riquadro Assegnazioni di rifiuto come descritto nella sezione precedente.

2. Selezionare l'assegnazione di rifiuto per aprire la pagina Utenti.

   

   La pagina Utenti include le due sezioni seguenti.

   Impostazione di rifiuto	Descrizione
   Assegnazione di rifiuto applicabile a	Entità di sicurezza a cui si applica l'assegnazione di rifiuto.
   Elementi esclusi dall'assegnazione di rifiuto	Entità di sicurezza che sono escluse dall'assegnazione di rifiuto.

   L'entità definita dal servizio rappresenta tutti gli utenti, i gruppi, le entità servizio e le identità gestite in una directory di Azure AD.

3. Per visualizzare un elenco delle autorizzazioni rifiutate, selezionare Autorizzazioni negate.

   

   Tipo di azione	Descrizione
   Azioni	Azioni del piano di controllo rifiutate.
   NotActions	Azioni del piano di controllo escluse dalle azioni del piano di controllo rifiutate.
   DataActions	Azioni del piano dati rifiutate.
   NotDataActions	Azioni del piano dati escluse dalle azioni del piano dati rifiutate.

   Nell'esempio illustrato nello screenshot precedente, le autorizzazioni valide sono le seguenti:

   • Tutte le azioni di archiviazione nel piano dati vengono rifiutate, ad eccezione delle azioni di calcolo.

4. Per visualizzare le proprietà per un'assegnazione di rifiuto, selezionare Proprietà.

   

   Nella pagina Proprietà è possibile visualizzare il nome, l'ID, la descrizione e l'ambito dell'assegnazione di rifiuto. Il commutatore Non si applica agli elementi figlio indica se l'assegnazione di rifiuto è ereditata da ambiti secondari. Il commutatore Protette del sistema indica se questo assegnazione di rifiuto viene gestita da Azure. Attualmente, è Sì in tutti i casi.

Azure PowerShell

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario avere quanto segue:

• Autorizzazione Microsoft.Authorization/denyAssignments/read, inclusa nella maggior parte dei Ruoli predefiniti di Azure
• PowerShell in Azure Cloud Shell o Azure PowerShell

Elencare tutte le assegnazioni di rifiuto

Per elencare tutte le assegnazioni di rifiuto per la sottoscrizione corrente, usare Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Elencare le assegnazioni di rifiuto a livello di ambito del gruppo di risorse

Per elencare tutte le assegnazioni di rifiuto a livello di ambito del gruppo di risorse, usare Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Elencare le assegnazioni di rifiuto a livello di ambito di sottoscrizione

Per elencare tutte le assegnazioni di rifiuto a livello di ambito di sottoscrizione, usare Get-AzDenyAssignment. Per ottenere l'ID sottoscrizione, vedere nella pagina Sottoscrizioni nel portale di Azure oppure usare Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario avere quanto segue:

• Autorizzazione Microsoft.Authorization/denyAssignments/read, inclusa nella maggior parte dei Ruoli predefiniti di Azure.

È necessario usare la versione seguente:

• 2018-07-01-preview o versioni successive
• 2022-04-01 è la prima versione stabile

Elencare una singola assegnazione di rifiuto

Per elencare una singola assegnazione di rifiuto, usare l'API REST Assegnazioni di rifiuto - Get.

1. Iniziare con la richiesta seguente:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. All'interno dell'URI sostituire {scope} con l'ambito per il quale elencare le assegnazioni di rifiuto.

   Ambito	Type
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Gruppo di risorse
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Conto risorse

3. Sostituire {deny-assignment-id} con l'identificatore dell'assegnazione di rifiuto da recuperare.

Elencare più assegnazioni di rifiuto

Per elencare più assegnazioni di rifiuto, usare l'API REST Assegnazioni di rifiuto - List.

1. Iniziare con una delle richieste seguenti:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Parametri facoltativi:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. All'interno dell'URI sostituire {scope} con l'ambito per il quale elencare le assegnazioni di rifiuto.

   Ambito	Type
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Gruppo di risorse
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Conto risorse

3. Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di rifiuto.

   Filtro	Descrizione
   (nessun filtro)	Elenca tutte le assegnazioni di ruolo in corrispondenza, al di sopra e al di sotto dell'ambito specificato.
   $filter=atScope()	Elenca le assegnazioni di rifiuto per il solo ambito specificato e al di sopra di tale ambito. Le assegnazioni di rifiuto nei sottoambiti non sono incluse.
   $filter=assignedTo('{objectId}')	Elenca le assegnazioni di rifiuto per l'utente o l'entità servizio specificati. Se l'utente è membro di un gruppo con un'assegnazione di rifiuto, viene elencata anche l'assegnazione di rifiuto. Questo filtro è transitivo per i gruppi, ovvero se l'utente è membro di un gruppo e tale gruppo è membro di un altro gruppo con un'assegnazione di rifiuto, viene elencata anche l'assegnazione di rifiuto. Questo filtro accetta solo un ID oggetto per un utente o un'entità servizio. Non è possibile passare un ID oggetto per un gruppo.
   $filter=atScope()+and+assignedTo('{objectId}')	Elenca le assegnazioni di rifiuto per l'utente o l'entità servizio specificati e nell'ambito specificato.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Elenca le assegnazioni di rifiuto con il nome specificato.
   $filter=principalId+eq+'{objectId}'	Elenca le assegnazioni di rifiuto per l'utente, il gruppo o l'entità servizio specificati.

Elenca le assegnazioni di rifiuto all'ambito radice (/)

1. Elevare l'accesso come descritto in Elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

2. Usare la richiesta seguente:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di rifiuto. È obbligatorio applicare un filtro.

   Filtro	Descrizione
   $filter=atScope()	Elenca le assegnazioni di rifiuto per il solo ambito radice. Le assegnazioni di rifiuto nei sottoambiti non sono incluse.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Elenca le assegnazioni di rifiuto con il nome specificato.

4. Rimuove l'accesso con privilegi elevati.

Passaggi successivi

• Stack di distribuzione