Inzicht in Azure-weigeringstoewijzingen

Net als bij een roltoewijzing koppelt een weigeringstoewijzing een set weigeringsacties aan een gebruiker, groep of service-principal in een bepaald bereik om toegang te weigeren. Weigeringstoewijzingen blokkeren dat gebruikers specifieke Azure-resourceacties uitvoeren, zelfs als een roltoewijzing hen toegang verleent.

In dit artikel wordt beschreven hoe weigeringstoewijzingen worden gedefinieerd.

Hoe weigeringstoewijzingen worden gemaakt

Toewijzingen voor weigeren worden gemaakt en beheerd door Azure om resources te beschermen. Azure Blueprints en door Azure beheerde apps maken gebruik van toewijzingen voor weigeren om door het systeem beheerde resources te beschermen. Azure Blueprints en door Azure beheerde apps zijn de enige manier waarop weigeringstoewijzingen worden gebruikt in Azure. U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. Azure Blueprints maakt gebruik van weigeringstoewijzingen om resources te vergrendelen, maar alleen voor resources die zijn geïmplementeerd als onderdeel van een blauwdruk. Zie Inzicht in resourcevergrendeling in Azure Blueprints voor meer informatie.

Notitie

U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken.

Roltoewijzingen vergelijken en toewijzingen weigeren

Weigeringstoewijzingen volgen een vergelijkbaar patroon als roltoewijzingen, maar hebben ook enkele verschillen.

Mogelijkheid Roltoewijzing Toewijzing weigeren
Toegang verlenen ✔️
Toegang weigeren ✔️
Kan rechtstreeks worden gemaakt ✔️
Toepassen op een bereik ✔️ ✔️
Principals uitsluiten ✔️
Overname van onderliggende bereiken voorkomen ✔️
Toepassen op klassieke abonnementsbeheerderstoewijzingen ✔️

Toewijzingseigenschappen weigeren

Een weigeringstoewijzing heeft de volgende eigenschappen:

Eigenschap Vereist Type Beschrijving
DenyAssignmentName Ja Tekenreeks De weergavenaam van de weigeringstoewijzing. Namen moeten uniek zijn voor een bepaald bereik.
Description Nee Tekenreeks De beschrijving van de weigeringstoewijzing.
Permissions.Actions Ten minste één actie of één DataActions Tekenreeks[] Een matrix met tekenreeksen waarmee de besturingsvlakacties worden opgegeven waarmee de weigeringstoewijzing de toegang blokkeert.
Permissions.NotActions No Tekenreeks[] Een matrix met tekenreeksen die de actie besturingsvlak opgeven die moet worden uitgesloten van de weigeringstoewijzing.
Permissions.DataActions Ten minste één actie of één DataActions Tekenreeks[] Een matrix met tekenreeksen die de acties voor het gegevensvlak opgeven waarmee de weigeringstoewijzing de toegang blokkeert.
Permissions.NotDataActions No Tekenreeks[] Een matrix met tekenreeksen die de acties voor het gegevensvlak opgeven die moeten worden uitgesloten van de weigeringstoewijzing.
Scope Nee Tekenreeks Een tekenreeks die het bereik aangeeft waarop de weigeringstoewijzing van toepassing is.
DoNotApplyToChildScopes No Booleaans Hiermee geeft u op of de weigeringstoewijzing van toepassing is op onderliggende bereiken. De standaardwaarde is onwaar.
Principals[i].Id Yes Tekenreeks[] Een matrix van Azure AD-principalobject-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing van toepassing is. Ingesteld op een lege GUID 00000000-0000-0000-0000-000000000000 om alle principals weer te geven.
Principals[i].Type No Tekenreeks[] Een matrix van objecttypen die worden vertegenwoordigd door Principals[i].Id. Ingesteld op SystemDefined vertegenwoordiging van alle principals.
ExcludePrincipals[i].Id No Tekenreeks[] Een matrix van Azure AD-principalobject-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing niet van toepassing is.
ExcludePrincipals[i].Type No Tekenreeks[] Een matrix van objecttypen die worden vertegenwoordigd door ExcludePrincipals[i].Id.
IsSystemProtected No Booleaans Hiermee geeft u op of deze weigeringstoewijzing is gemaakt door Azure en niet kan worden bewerkt of verwijderd. Op dit moment zijn alle weigeringstoewijzingen door het systeem beveiligd.

De principal All Principals

Ter ondersteuning van weigeringstoewijzingen is een door het systeem gedefinieerde principal met de naam Alle principals geïntroduceerd. Deze principal vertegenwoordigt alle gebruikers, groepen, service-principals en beheerde identiteiten in een Azure AD-directory. Als de principal-id een nul-GUID 00000000-0000-0000-0000-000000000000 is en het principal-type is SystemDefined, vertegenwoordigt de principal alle principals. In Azure PowerShell uitvoer ziet alle principals er als volgt uit:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Alle principals kunnen worden gecombineerd met ExcludePrincipals het weigeren van alle principals, met uitzondering van sommige gebruikers. Alle principals hebben de volgende beperkingen:

  • Kan alleen worden gebruikt in Principals en kan niet worden gebruikt in ExcludePrincipals.
  • Principals[i].Type moet zijn ingesteld op SystemDefined.

Volgende stappen