Get-AzDenyAssignment
Geeft een lijst weer van Azure RBAC-weigeringstoewijzingen in het opgegeven bereik. Standaard worden alle weigeringstoewijzingen in het geselecteerde Azure-abonnement weergegeven. Gebruik respectieve parameters om weigeringstoewijzingen weer te geven aan een specifieke gebruiker of om weigeringstoewijzingen voor een specifieke resourcegroep of resource weer te geven.
De cmdlet kan onderstaande Microsoft Graph API aanroepen op basis van invoerparameters:
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Syntaxis
Get-AzDenyAssignment
[-Scope <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ObjectId <Guid>
[-ExpandPrincipalGroups]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ObjectId <Guid>
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-SignInName <String>
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-SignInName <String>
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-SignInName <String>
[-ExpandPrincipalGroups]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ServicePrincipalName <String>
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ServicePrincipalName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ResourceGroupName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
-Scope <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
[-Scope <String>]
-Id <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzDenyAssignment
[-Scope <String>]
-DenyAssignmentName <String>
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Gebruik de opdracht Get-AzDenyAssignment om alle weigeringstoewijzingen weer te geven die effectief zijn voor een bereik. Zonder parameters retourneert deze opdracht alle weigeringstoewijzingen die zijn gemaakt onder het abonnement. Deze lijst kan worden gefilterd met behulp van filterparameters voor principal, naam van weigeringstoewijzing en bereik. Als u een gebruiker wilt opgeven, gebruikt u de parameters SignInName of Microsoft Entra ObjectId. Als u een beveiligingsgroep wilt opgeven, gebruikt u de parameter Microsoft Entra ObjectId. En als u een Microsoft Entra-toepassing wilt opgeven, gebruikt u De parameters ServicePrincipalName of ObjectId. Het bereik waarop de toegang wordt geweigerd, kan worden opgegeven. Het is standaard ingesteld op het geselecteerde abonnement. Het bereik van de weigeringstoewijzing kan worden opgegeven met behulp van een van de volgende parametercombinaties a. Bereik: dit is het volledig gekwalificeerde bereik dat begint met /subscriptions/<subscriptionId>. Hiermee filtert u weigeringstoewijzingen die van kracht zijn op dat specifieke bereik, d.w. alle weigeringstoewijzingen in dat bereik en hoger. b. ResourceGroupName: de naam van een resourcegroep onder het abonnement. Hiermee worden toewijzingen gefilterd die van kracht zijn bij de opgegeven resourcegroep, d.w. alle weigeringstoewijzingen in dat bereik en hoger. c. ResourceName, ResourceType, ResourceGroupName en (optioneel) ParentResource : identificeert een bepaalde resource onder het abonnement en filtert toewijzingen die effectief zijn voor dat resourcebereik. Als u wilt bepalen welke toegang wordt geweigerd voor een bepaalde gebruiker in het abonnement, gebruikt u de switch ExpandPrincipalGroups. Hiermee worden alle weigeringstoewijzingen vermeld die zijn toegewezen aan de gebruiker en aan de groepen waarvan de gebruiker lid is.
Voorbeelden
Voorbeeld 1
Alle weigeringstoewijzingen in het abonnement weergeven
Get-AzDenyAssignment
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/providers/Microsoft.Authorization/denyAssignments/22704996-fbd0-4ab1-8625-722d897825d2
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f
DoNotApplyToChildScopes : False
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
ExcludePrincipals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment 2
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: PowershellTestingApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : TrueVoorbeeld 2
Hiermee worden alle weigeringstoewijzingen opgehaald die zijn gemaakt aan de gebruiker john.doe@contoso.com op de scope testRG en hoger.
Get-AzDenyAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/providers/Microsoft.Authorization/denyAssignments/22704996-fbd0-4ab1-8625-722d897825d2
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f
DoNotApplyToChildScopes : False
Principals : {
DisplayName: john.doe
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
}
ExcludePrincipals : {}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: john.doe
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: PowershellTestingApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : TrueVoorbeeld 3
Hiermee worden alle weigeringstoewijzingen van de opgegeven service-principal opgehaald
Get-AzDenyAssignment -ServicePrincipalName 'http://testapp1.com'
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: TestApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1/providers/Microsoft.Authorization/denyAssignments/94e3d9da-3700-4113-aab4-15f6c173d794
DenyAssignmentName : Test deny assignment 2
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: TestApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : TrueVoorbeeld 4
Hiermee worden weigeringstoewijzingen opgehaald op het websitebereik 'site1'.
Get-AzDenyAssignment -Scope '/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/testRG/providers/Microsoft.Web/sites/site1'
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName : Test deny assignment 1
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
}
ExcludePrincipals : {}
IsSystemProtected : True
Id : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1/providers/Microsoft.Authorization/denyAssignments/594e3d9da-3700-4113-aab4-15f6c173d794
DenyAssignmentName : Test deny assignment 2
Description : Test deny assignment for PS cmdlets
Actions : {foo/*}
NotActions : {foo/*/read}
DataActions : {foo/*}
NotDataActions : {}
Scope : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1
DoNotApplyToChildScopes : False
Principals : {
DisplayName: testuser
ObjectType: User
ObjectId: f8d526a0-54eb-4941-ae69-ebf4a334d0f0
,
DisplayName: TestApp
ObjectType: ServicePrincipal
ObjectId: f2dc21ac-702a-4bde-a4ce-146edf751d81
}
ExcludePrincipals : {}
IsSystemProtected : TrueParameters
-DefaultProfile
De referenties, het account, de tenant en het abonnement dat wordt gebruikt voor communicatie met Azure
| Type: | IAzureContextContainer |
| Aliassen: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Vereist: | False |
| Pijplijninvoer accepteren: | False |
| Jokertekens accepteren: | False |
-DenyAssignmentName
Naam van de weigeringstoewijzing.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ExpandPrincipalGroups
Indien opgegeven, worden weigeringstoewijzingen geretourneerd die rechtstreeks aan de gebruiker zijn toegewezen en aan de groepen waarvan de gebruiker lid is (transitief). Alleen ondersteund voor een gebruikersprincipaal.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Vereist: | False |
| Pijplijninvoer accepteren: | False |
| Jokertekens accepteren: | False |
-Id
Toewijzing volledig gekwalificeerde id of GUID weigeren. Wanneer de id wordt opgegeven als een GUID, wordt het huidige abonnement als standaardbereik gebruikt.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ObjectId
De Microsoft Entra ObjectId van de gebruiker, groep of service-principal. Hiermee filtert u alle weigeringstoewijzingen die zijn gemaakt naar de opgegeven principal.
| Type: | Nullable<T>[Guid] |
| Aliassen: | PrincipalId |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ParentResource
De bovenliggende resource in de hiƫrarchie van de opgegeven resource met de parameter ResourceName. Moet worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceType en ResourceName.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | False |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ResourceGroupName
De naam van de resourcegroep. Hiermee worden weigeringstoewijzingen weergegeven die van kracht zijn bij de opgegeven resourcegroep. Wanneer deze worden gebruikt in combinatie met de parameters ResourceName, ResourceType en ParentResource, worden met de opdracht toewijzingen geweigerd die effectief zijn voor resources binnen de resourcegroep.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ResourceName
De resourcenaam. Voor bijvoorbeeld storageaccountprod. Moet worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceType en (optioneel)ParentResource.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ResourceType
Het type van de resource. Voor bijvoorbeeld Microsoft.Network/virtualNetworks. Moet worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceName en (optioneel)ParentResource.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-Scope
Het bereik van de roltoewijzing. In de indeling van relatieve URI. Bijvoorbeeld /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Het moet beginnen met '/subscriptions/{id}'. Met de opdracht worden alle weigeringstoewijzingen gefilterd die van kracht zijn op dat bereik.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-ServicePrincipalName
De ServicePrincipalName van de service-principal. Hiermee filtert u alle weigeringstoewijzingen die zijn aangebracht in de opgegeven Microsoft Entra-toepassing.
| Type: | String |
| Aliassen: | SPN |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
-SignInName
Het e-mailadres of de principal-naam van de gebruiker. Hiermee filtert u alle weigeringstoewijzingen die zijn gemaakt voor de opgegeven gebruiker.
| Type: | String |
| Aliassen: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | True |
| Jokertekens accepteren: | False |
Invoerwaarden
Uitvoerwaarden
Notities
Trefwoorden: azure, azurerm, arm, resource, beheer, manager, resource, groep, sjabloon, implementatie