Delen via


Lijst met Azure toewijzing weigeren

Net als bij een roltoewijzing koppelt een weigeringstoewijzing een set weigeringsacties aan een gebruiker, groep of service-principal in een bepaald bereik voor het weigeren van toegang. Weigeringstoewijzingen voorkomen dat gebruikers opgegeven Azure-resourceacties uitvoeren, zelfs als een roltoewijzing hen deze toegang verleent.

In dit artikel wordt beschreven hoe u weigeringstoewijzingen kunt vermelden.

Belangrijk

U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. Weigeringstoewijzingen worden gemaakt en beheerd door Azure.

Hoe weigeringstoewijzingen worden gemaakt

Toewijzingen voor weigeren worden gemaakt en beheerd door Azure om resources te beschermen. U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. U kunt echter instellingen voor weigeren opgeven bij het maken van een implementatiestack, waardoor een weigeringstoewijzing wordt gemaakt die eigendom is van de resources van de implementatiestack. Implementatiestacks zijn momenteel beschikbaar als preview-versie. Zie Beheerde resources beschermen tegen verwijdering voor meer informatie.

Roltoewijzingen vergelijken en toewijzingen weigeren

Weigeringstoewijzingen volgen een vergelijkbaar patroon als roltoewijzingen, maar hebben ook enkele verschillen.

Mogelijkheid Roltoewijzing Toewijzing weigeren
Toegang verlenen
De toegang weigeren
Kan rechtstreeks worden gemaakt
Toepassen op een bereik
Principals uitsluiten
Overname van onderliggende bereiken voorkomen
Toepassen op klassieke abonnementsbeheerderstoewijzingen

Toewijzingseigenschappen weigeren

Een weigeringstoewijzing heeft de volgende eigenschappen:

Eigenschappen Vereist Type Description
DenyAssignmentName Ja String De weergavenaam van de weigeringstoewijzing. Namen moeten uniek zijn voor een bepaald bereik.
Description Nee String De beschrijving van de weigeringstoewijzing.
Permissions.Actions Ten minste één acties of één DataActions Tekenreeks[] Een matrix met tekenreeksen waarmee de besturingsvlakacties worden opgegeven waarmee de weigeringstoewijzing de toegang blokkeert.
Permissions.NotActions Nee Tekenreeks[] Een matrix met tekenreeksen die de besturingsvlakactie opgeven die moet worden uitgesloten van de weigeringstoewijzing.
Permissions.DataActions Ten minste één acties of één DataActions Tekenreeks[] Een matrix met tekenreeksen waarmee de gegevensvlakacties worden opgegeven waarmee de weigeringstoewijzing de toegang blokkeert.
Permissions.NotDataActions Nee Tekenreeks[] Een matrix met tekenreeksen die de acties voor het gegevensvlak opgeven die moeten worden uitgesloten van de weigeringstoewijzing.
Scope Nee String Een tekenreeks die het bereik aangeeft waarop de weigeringstoewijzing van toepassing is.
DoNotApplyToChildScopes Nee Booleaanse waarde Hiermee geeft u op of de weigeringstoewijzing van toepassing is op onderliggende bereiken. De standaardwaarde is false.
Principals[i].Id Ja Tekenreeks[] Een matrix van Microsoft Entra principal-object-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing van toepassing is. Stel deze in op een lege GUID 00000000-0000-0000-0000-000000000000 om alle principals weer te geven.
Principals[i].Type Nee Tekenreeks[] Een matrix van objecttypen die worden vertegenwoordigd door Principals[i].Id. Ingesteld om SystemDefined alle principals weer te geven.
ExcludePrincipals[i].Id Nee Tekenreeks[] Een matrix van Microsoft Entra principal-object-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing niet van toepassing is.
ExcludePrincipals[i].Type Nee Tekenreeks[] Een matrix van objecttypen die worden vertegenwoordigd door ExcludePrincipals[i].Id.
IsSystemProtected Nee Booleaanse waarde Hiermee geeft u op of deze weigeringstoewijzing is gemaakt door Azure en niet kan worden bewerkt of verwijderd. Momenteel zijn alle weigeringstoewijzingen door het systeem beveiligd.

De principal All Principals

Ter ondersteuning van weigeringstoewijzingen is een door het systeem gedefinieerde principal met de naam Alle principals geïntroduceerd. Deze principal vertegenwoordigt alle gebruikers, groepen, service-principals en beheerde identiteiten in een Microsoft Entra-directory. Als de principal-id een nul-GUID 00000000-0000-0000-0000-000000000000 is en het principal-type is SystemDefined, vertegenwoordigt de principal alle principals. In de Uitvoer van Azure PowerShell zien alle principals er als volgt uit:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Alle principals kunnen worden gecombineerd met ExcludePrincipals het weigeren van alle principals, behalve sommige gebruikers. Alle principals hebben de volgende beperkingen:

  • Kan alleen worden gebruikt in Principals en kan niet worden gebruikt in ExcludePrincipals.
  • Principals[i].Type moet zijn ingesteld op SystemDefined.

Lijst met geweigerde toewijzingen weergeven

Volg deze stappen om weigeringstoewijzingen weer te geven.

Belangrijk

U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. Weigeringstoewijzingen worden gemaakt en beheerd door Azure. Zie Beheerde resources beschermen tegen verwijdering voor meer informatie.

Vereisten

Als u informatie wilt over een weigeringstoewijzing, hebt u het volgende nodig:

Weigeringstoewijzingen weergeven in Azure Portal

Volg deze stappen om weigeringstoewijzingen weer te geven in het bereik van het abonnement of de beheergroep.

  1. Open in Azure Portal het geselecteerde bereik, zoals de resourcegroep of het abonnement.

  2. Klik op Toegangsbeheer (IAM) .

  3. Selecteer het tabblad Toewijzingen weigeren (of selecteer de knop Weergave op de tegel Weigeringstoewijzingen weergeven).

    Als er weigeringstoewijzingen zijn voor dit bereik of worden overgenomen voor dit bereik, worden deze weergegeven.

    Schermopname van de pagina Toegangsbeheer (IAM) en het tabblad Toewijzingen weigeren met weigeringstoewijzingen in het geselecteerde bereik.

  4. Als u extra kolommen wilt weergeven, selecteert u Kolommen bewerken.

    Schermopname van het deelvenster Kolommen voor weigeringstoewijzingen waarin wordt getoond hoe u kolommen toevoegt aan een lijst met weigeringstoewijzingen.

    Kolom Beschrijving
    Naam Naam van de weigeringstoewijzing.
    Principal-type Gebruiker, groep, door het systeem gedefinieerde groep of service-principal.
    Geweigerd Naam van de beveiligingsprincipaal die is opgenomen in de weigeringstoewijzing.
    Id Unieke id voor de weigeringstoewijzing.
    Uitgesloten principals Of er beveiligingsprinciplen zijn die zijn uitgesloten van de weigeringstoewijzing.
    Is niet van toepassing op kinderen Of de weigeringstoewijzing wordt overgenomen door subscopen.
    Door het systeem beveiligd Of de weigeringstoewijzing wordt beheerd door Azure. Momenteel, altijd ja.
    Scope Beheergroep, abonnement, resourcegroep of resource.
  5. Voeg een vinkje toe aan een van de ingeschakelde items en selecteer vervolgens OK om de geselecteerde kolommen weer te geven.

Lijst met details over een weigeringstoewijzing

Volg deze stappen om aanvullende informatie over een weigeringstoewijzing weer te geven.

  1. Open het deelvenster Weigeringstoewijzingen zoals beschreven in de vorige sectie.

  2. Selecteer de naam van de weigeringstoewijzing om de pagina Gebruikers te openen.

    Schermopname van de pagina Gebruikers voor een weigeringstoewijzing waarin de toepassing en uitsluitingen worden vermeld.

    De pagina Gebruikers bevat de volgende twee secties.

    Instelling weigeren Beschrijving
    Weigeringstoewijzing is van toepassing op Beveiligingsprinciplen waarop de weigeringstoewijzing van toepassing is.
    Toewijzing weigeren is uitgesloten Beveiligingsprinciplen die zijn uitgesloten van de weigeringstoewijzing.

    Door het systeem gedefinieerde principal vertegenwoordigt alle gebruikers, groepen, service-principals en beheerde identiteiten in een Azure AD-directory.

  3. Als u een lijst met de geweigerde machtigingen wilt zien, selecteert u Geweigerde machtigingen.

    Schermopname van de pagina Machtigingen geweigerd voor een weigeringstoewijzing waarin de machtigingen worden vermeld die worden geweigerd.

    Actietype Beschrijving
    Acties De acties van het besturingsvlak zijn geweigerd.
    NotActions Besturingsvlakacties uitgesloten van geweigerde besturingsvlakacties.
    DataActions Acties voor het gegevensvlak zijn geweigerd.
    NotDataActions Gegevensvlakacties uitgesloten van geweigerde gegevensvlakacties.

    Voor het voorbeeld dat in de vorige schermafbeelding wordt weergegeven, zijn de volgende effectieve machtigingen:

    • Alle opslagacties op het gegevensvlak worden geweigerd, met uitzondering van rekenacties.
  4. Als u de eigenschappen voor een weigeringstoewijzing wilt zien, selecteert u Eigenschappen.

    Schermopname van de pagina Eigenschappen voor een weigeringstoewijzing waarin de eigenschappen worden vermeld.

    Op de pagina Eigenschappen ziet u de naam van de weigeringstoewijzing, id, beschrijving en bereik. De schakeloptie Is niet van toepassing op onderliggende elementen geeft aan of de weigeringstoewijzing wordt overgenomen door subscopen. De door het systeem beveiligde switch geeft aan of deze weigeringstoewijzing wordt beheerd door Azure. Dit is momenteel Ja in alle gevallen.

Volgende stappen