Inzicht in Azure-weigeringstoewijzingen
Net als bij een roltoewijzing koppelt een weigeringstoewijzing een set weigeringsacties aan een gebruiker, groep of service-principal in een bepaald bereik om toegang te weigeren. Weigeringstoewijzingen blokkeren dat gebruikers specifieke Azure-resourceacties uitvoeren, zelfs als een roltoewijzing hen toegang verleent.
In dit artikel wordt beschreven hoe weigeringstoewijzingen worden gedefinieerd.
Hoe weigeringstoewijzingen worden gemaakt
Toewijzingen voor weigeren worden gemaakt en beheerd door Azure om resources te beschermen. Azure Blueprints en door Azure beheerde apps maken gebruik van toewijzingen voor weigeren om door het systeem beheerde resources te beschermen. Azure Blueprints en door Azure beheerde apps zijn de enige manier waarop weigeringstoewijzingen worden gebruikt in Azure. U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. Azure Blueprints maakt gebruik van weigeringstoewijzingen om resources te vergrendelen, maar alleen voor resources die zijn geïmplementeerd als onderdeel van een blauwdruk. Zie Inzicht in resourcevergrendeling in Azure Blueprints voor meer informatie.
Notitie
U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken.
Roltoewijzingen vergelijken en toewijzingen weigeren
Weigeringstoewijzingen volgen een vergelijkbaar patroon als roltoewijzingen, maar hebben ook enkele verschillen.
| Mogelijkheid | Roltoewijzing | Toewijzing weigeren |
|---|---|---|
| Toegang verlenen | ✔️ | |
| Toegang weigeren | ✔️ | |
| Kan rechtstreeks worden gemaakt | ✔️ | |
| Toepassen op een bereik | ✔️ | ✔️ |
| Principals uitsluiten | ✔️ | |
| Overname van onderliggende bereiken voorkomen | ✔️ | |
| Toepassen op klassieke abonnementsbeheerderstoewijzingen | ✔️ |
Toewijzingseigenschappen weigeren
Een weigeringstoewijzing heeft de volgende eigenschappen:
| Eigenschap | Vereist | Type | Beschrijving |
|---|---|---|---|
DenyAssignmentName |
Ja | Tekenreeks | De weergavenaam van de weigeringstoewijzing. Namen moeten uniek zijn voor een bepaald bereik. |
Description |
Nee | Tekenreeks | De beschrijving van de weigeringstoewijzing. |
Permissions.Actions |
Ten minste één actie of één DataActions | Tekenreeks[] | Een matrix met tekenreeksen waarmee de besturingsvlakacties worden opgegeven waarmee de weigeringstoewijzing de toegang blokkeert. |
Permissions.NotActions |
No | Tekenreeks[] | Een matrix met tekenreeksen die de actie besturingsvlak opgeven die moet worden uitgesloten van de weigeringstoewijzing. |
Permissions.DataActions |
Ten minste één actie of één DataActions | Tekenreeks[] | Een matrix met tekenreeksen die de acties voor het gegevensvlak opgeven waarmee de weigeringstoewijzing de toegang blokkeert. |
Permissions.NotDataActions |
No | Tekenreeks[] | Een matrix met tekenreeksen die de acties voor het gegevensvlak opgeven die moeten worden uitgesloten van de weigeringstoewijzing. |
Scope |
Nee | Tekenreeks | Een tekenreeks die het bereik aangeeft waarop de weigeringstoewijzing van toepassing is. |
DoNotApplyToChildScopes |
No | Booleaans | Hiermee geeft u op of de weigeringstoewijzing van toepassing is op onderliggende bereiken. De standaardwaarde is onwaar. |
Principals[i].Id |
Yes | Tekenreeks[] | Een matrix van Azure AD-principalobject-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing van toepassing is. Ingesteld op een lege GUID 00000000-0000-0000-0000-000000000000 om alle principals weer te geven. |
Principals[i].Type |
No | Tekenreeks[] | Een matrix van objecttypen die worden vertegenwoordigd door Principals[i].Id. Ingesteld op SystemDefined vertegenwoordiging van alle principals. |
ExcludePrincipals[i].Id |
No | Tekenreeks[] | Een matrix van Azure AD-principalobject-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing niet van toepassing is. |
ExcludePrincipals[i].Type |
No | Tekenreeks[] | Een matrix van objecttypen die worden vertegenwoordigd door ExcludePrincipals[i].Id. |
IsSystemProtected |
No | Booleaans | Hiermee geeft u op of deze weigeringstoewijzing is gemaakt door Azure en niet kan worden bewerkt of verwijderd. Op dit moment zijn alle weigeringstoewijzingen door het systeem beveiligd. |
De principal All Principals
Ter ondersteuning van weigeringstoewijzingen is een door het systeem gedefinieerde principal met de naam Alle principals geïntroduceerd. Deze principal vertegenwoordigt alle gebruikers, groepen, service-principals en beheerde identiteiten in een Azure AD-directory. Als de principal-id een nul-GUID 00000000-0000-0000-0000-000000000000 is en het principal-type is SystemDefined, vertegenwoordigt de principal alle principals. In Azure PowerShell uitvoer ziet alle principals er als volgt uit:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Alle principals kunnen worden gecombineerd met ExcludePrincipals het weigeren van alle principals, met uitzondering van sommige gebruikers. Alle principals hebben de volgende beperkingen:
- Kan alleen worden gebruikt in
Principalsen kan niet worden gebruikt inExcludePrincipals. Principals[i].Typemoet zijn ingesteld opSystemDefined.