Wyświetlanie listy przypisań odmowy platformy Azure

Podobnie jak przypisanie roli, przypisanie odmowy dołącza zestaw akcji odmowy do użytkownika, grupy lub jednostki usługi w określonym zakresie w celu odmowy dostępu. Przypisania odmowy uniemożliwiają użytkownikom wykonywanie określonych akcji na zasobach platformy Azure, nawet jeśli przypisanie roli daje im taki dostęp.

W tym artykule opisano sposób wyświetlania listy przypisań odmowy.

Ważne

Nie można bezpośrednio tworzyć własnych przypisań odmowy. Przypisania odmowy są tworzone i zarządzane przez platformę Azure.

Jak są tworzone przypisania odmowy

Przypisania odmowy są tworzone i zarządzane przez platformę Azure w celu ochrony zasobów. Nie można bezpośrednio tworzyć własnych przypisań odmowy. Można jednak określić ustawienia odmowy podczas tworzenia stosu wdrożenia, co powoduje utworzenie przypisania odmowy należącego do zasobów stosu wdrożenia. Stosy wdrażania są obecnie dostępne w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Ochrona zasobów zarządzanych przed usunięciem.

Porównanie przypisań ról i przypisań odmowy

Przypisania odmowy są zgodne z podobnym wzorcem, jak przypisania ról, ale także mają pewne różnice.

Możliwość	Przypisanie roli	Przypisanie odmowy
Udzielanie dostępu	✅
Odmów dostępu		✅
Można utworzyć bezpośrednio	✅
Stosowanie w zakresie	✅	✅
Wykluczanie podmiotów zabezpieczeń		✅
Zapobieganie dziedziczeniu do zakresów podrzędnych		✅
Zastosuj do klasycznych przypisań administratora subskrypcji		✅

Odmów właściwości przypisania

Przypisanie odmowy ma następujące właściwości:

Właściwości	Wymagania	Type	Opis
DenyAssignmentName	Tak	String	Nazwa wyświetlana przypisania odmowy. Nazwy muszą być unikatowe dla danego zakresu.
Description	Nie.	String	Opis przypisania odmowy.
Permissions.Actions	Co najmniej jedna akcja lub jedna akcja DataActions	Ciąg[]	Tablica ciągów określających akcje płaszczyzny sterowania, do których przypisanie odmowy blokuje dostęp.
Permissions.NotActions	Nie.	Ciąg[]	Tablica ciągów określających akcję płaszczyzny sterowania do wykluczenia z przypisania odmowy.
Permissions.DataActions	Co najmniej jedna akcja lub jedna akcja DataActions	Ciąg[]	Tablica ciągów określających akcje płaszczyzny danych, do których przypisanie odmowy blokuje dostęp.
Permissions.NotDataActions	Nie.	Ciąg[]	Tablica ciągów określających akcje płaszczyzny danych do wykluczenia z przypisania odmowy.
Scope	Nie.	String	Ciąg określający zakres, do którego ma zastosowanie przypisanie odmowy.
DoNotApplyToChildScopes	Nie.	Wartość logiczna	Określa, czy przypisanie odmowy ma zastosowanie do zakresów podrzędnych. Wartość domyślna to false.
Principals[i].Id	Tak	Ciąg[]	Tablica identyfikatorów obiektów głównych firmy Microsoft Entra (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej), do których ma zastosowanie przypisanie odmowy. Ustaw wartość pustego identyfikatora GUID 00000000-0000-0000-0000-000000000000 , aby reprezentować wszystkie podmioty zabezpieczeń.
Principals[i].Type	Nie.	Ciąg[]	Tablica typów obiektów reprezentowanych przez podmioty zabezpieczeń[i].Id. Ustaw na wartość , aby reprezentować SystemDefined wszystkie podmioty zabezpieczeń.
ExcludePrincipals[i].Id	Nie.	Ciąg[]	Tablica identyfikatorów obiektów głównych firmy Microsoft Entra (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej), do których przypisanie odmowy nie ma zastosowania.
ExcludePrincipals[i].Type	Nie.	Ciąg[]	Tablica typów obiektów reprezentowanych przez element ExcludePrincipals[i].Id.
IsSystemProtected	Nie.	Wartość logiczna	Określa, czy to przypisanie odmowy zostało utworzone przez platformę Azure i nie można go edytować ani usunąć. Obecnie wszystkie przypisania odmowy są chronione przez system.

Podmiot zabezpieczeń wszystkich podmiotów zabezpieczeń

Aby obsługiwać przypisania odmowy, wprowadzono podmiot zabezpieczeń zdefiniowany przez system o nazwie Wszystkie podmioty zabezpieczeń . Ten podmiot zabezpieczeń reprezentuje wszystkich użytkowników, grupy, jednostki usługi i tożsamości zarządzane w katalogu firmy Microsoft Entra. Jeśli identyfikator podmiotu zabezpieczeń ma zerowy identyfikator GUID 00000000-0000-0000-0000-000000000000 , a typ podmiotu zabezpieczeń to SystemDefined, podmiot zabezpieczeń reprezentuje wszystkie podmioty zabezpieczeń. W danych wyjściowych programu Azure PowerShell wszystkie podmioty zabezpieczeń wyglądają następująco:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Wszystkie podmioty zabezpieczeń można łączyć w ExcludePrincipals celu odmowy wszystkich podmiotów zabezpieczeń z wyjątkiem niektórych użytkowników. Wszystkie podmioty zabezpieczeń mają następujące ograniczenia:

• Można używać tylko w programie Principals i nie można go używać w programie ExcludePrincipals.
• Principals[i].Type musi być ustawiona na SystemDefined.

Lista przypisań odmowy

Wykonaj następujące kroki, aby wyświetlić listę przypisań odmowy.

Ważne

Nie można bezpośrednio tworzyć własnych przypisań odmowy. Przypisania odmowy są tworzone i zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Ochrona zasobów zarządzanych przed usunięciem.

Azure Portal

Wymagania wstępne

Aby uzyskać informacje o przypisaniu odmowy, musisz mieć następujące elementy:

• Microsoft.Authorization/denyAssignments/read uprawnienie, które jest uwzględniane w większości wbudowanych ról platformy Azure.

Wyświetlanie listy przypisań odmowy w witrynie Azure Portal

Wykonaj następujące kroki, aby wyświetlić listę przypisań odmowy w zakresie subskrypcji lub grupy zarządzania.

1. W witrynie Azure Portal otwórz wybrany zakres, taki jak grupa zasobów lub subskrypcja.

2. Wybierz pozycję Kontrola dostępu (IAM) .

3. Wybierz kartę Odmów przypisań (lub wybierz przycisk Wyświetl przypisania odmowy na kafelku Wyświetl przypisania odmowy).

   Jeśli istnieją jakiekolwiek przypisania odmowy w tym zakresie lub dziedziczone do tego zakresu, zostaną one wyświetlone.

   

4. Aby wyświetlić dodatkowe kolumny, wybierz pozycję Edytuj kolumny.

   

   Kolumna	Opis
   Nazwa/nazwisko	Nazwa przypisania odmowy.
   Typ podmiotu zabezpieczeń	Użytkownik, grupa, grupa zdefiniowana przez system lub jednostka usługi.
   Odmówiony	Nazwa podmiotu zabezpieczeń uwzględnionego w przypisaniu odmowy.
   Id	Unikatowy identyfikator przypisania odmowy.
   Wykluczone podmioty zabezpieczeń	Czy istnieją podmioty zabezpieczeń wykluczone z przypisania odmowy.
   Nie dotyczy elementów podrzędnych	Określa, czy przypisanie odmowy jest dziedziczone do podzakresów.
   Ochrona systemu	Czy przypisanie odmowy jest zarządzane przez platformę Azure. Obecnie zawsze tak.
   Scope	Grupa zarządzania, subskrypcja, grupa zasobów lub zasób.

5. Dodaj znacznik wyboru do dowolnego z włączonych elementów, a następnie wybierz przycisk OK , aby wyświetlić wybrane kolumny.

Wyświetlanie szczegółów dotyczących przypisania odmowy

Wykonaj następujące kroki, aby wyświetlić dodatkowe szczegóły dotyczące przypisania odmowy.

1. Otwórz okienko Odmów przypisań zgodnie z opisem w poprzedniej sekcji.

2. Wybierz nazwę przypisania odmowy, aby otworzyć stronę Użytkownicy .

   

   Strona Użytkownicy zawiera następujące dwie sekcje.

   Ustawienie Odmowy	opis
   Przypisanie odmowy ma zastosowanie do	Podmioty zabezpieczeń, do których ma zastosowanie przypisanie odmowy.
   Wykluczanie przypisania odmowy	Podmioty zabezpieczeń wykluczone z przypisania odmowy.

   Jednostka zdefiniowana przez system reprezentuje wszystkich użytkowników, grupy, jednostki usługi i tożsamości zarządzane w katalogu usługi Azure AD.

3. Aby wyświetlić listę uprawnień, które zostały odrzucone, wybierz pozycję Odmów uprawnień.

   

   Typ akcji	opis
   Akcje	Odrzucone akcje płaszczyzny sterowania.
   NotActions	Akcje płaszczyzny sterowania wykluczone z odrzuconych akcji płaszczyzny sterowania.
   DataActions	Odrzucone akcje płaszczyzny danych.
   NotDataActions	Akcje płaszczyzny danych wykluczone z odrzuconych akcji płaszczyzny danych.

   W przykładzie pokazanym na poprzednim zrzucie ekranu obowiązują następujące uprawnienia:

   • Wszystkie akcje magazynu na płaszczyźnie danych są odrzucane z wyjątkiem akcji obliczeniowych.

4. Aby wyświetlić właściwości przypisania odmowy, wybierz pozycję Właściwości.

   

   Na stronie Właściwości można zobaczyć nazwę przypisania odmowy, identyfikator, opis i zakres. Przełącznik Nie dotyczy elementów podrzędnych wskazuje, czy przypisanie odmowy jest dziedziczone do podzakresów. Przełącznik chroniony przez system wskazuje, czy to przypisanie odmowy jest zarządzane przez platformę Azure. Obecnie jest to wartość Tak we wszystkich przypadkach.

Azure PowerShell

Wymagania wstępne

Aby uzyskać informacje o przypisaniu odmowy, musisz mieć następujące elementy:

• Microsoft.Authorization/denyAssignments/read uprawnienie, które jest uwzględniane w większości wbudowanych ról platformy Azure
• Program PowerShell w usłudze Azure Cloud Shell lub programie Azure PowerShell

Wyświetlanie listy wszystkich przypisań odmowy

Aby wyświetlić listę wszystkich przypisań odmowy dla bieżącej subskrypcji, użyj polecenia Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Wyświetlanie listy przypisań odmowy w zakresie grupy zasobów

Aby wyświetlić listę wszystkich przypisań odmowy w zakresie grupy zasobów, użyj polecenia Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Wyświetlanie listy przypisań odmowy w zakresie subskrypcji

Aby wyświetlić listę wszystkich przypisań odmowy w zakresie subskrypcji, użyj polecenia Get-AzDenyAssignment. Aby uzyskać identyfikator subskrypcji, możesz go znaleźć na stronie Subskrypcje w witrynie Azure Portal lub możesz użyć polecenia Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Interfejs API REST

Wymagania wstępne

Aby uzyskać informacje o przypisaniu odmowy, musisz mieć następujące elementy:

• Microsoft.Authorization/denyAssignments/read uprawnienie, które jest uwzględniane w większości wbudowanych ról platformy Azure.

Należy użyć następującej wersji:

• 2018-07-01-preview lub nowsze
• 2022-04-01 jest pierwszą stabilną wersją

Wyświetlanie listy pojedynczego przypisania odmowy

Aby wyświetlić listę pojedynczego przypisania odmowy, użyj interfejsu API ODMOWY — Pobierz interfejs API REST.

1. Zacznij od następującego żądania:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. W identyfikatorze URI zastąp element {scope} zakresem, dla którego chcesz wyświetlić listę przypisań odmowy.

   Scope	Typ
   subscriptions/{subscriptionId}	Subskrypcja
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grupa zasobów
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Zasób

3. Zastąp element {deny-assignment-id} identyfikatorem przypisania odmowy, który chcesz pobrać.

Wyświetlanie listy wielu przypisań odmowy

Aby wyświetlić listę wielu przypisań odmowy, użyj interfejsu API REST Odmów — lista .

1. Zacznij od jednego z następujących żądań:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Z opcjonalnymi parametrami:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. W identyfikatorze URI zastąp element {scope} zakresem, dla którego chcesz wyświetlić listę przypisań odmowy.

   Scope	Typ
   subscriptions/{subscriptionId}	Subskrypcja
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grupa zasobów
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Zasób

3. Zastąp element {filter} warunkiem, który chcesz zastosować, aby filtrować listę przypisań odmowy.

   Filtr	opis
   (brak filtru)	Wyświetla listę wszystkich przypisań odmowy powyżej i poniżej określonego zakresu.
   $filter=atScope()	Wyświetla listę przypisań odmowy tylko dla określonego zakresu i powyżej. Nie obejmuje przypisań odmowy w podzakresach.
   $filter=assignedTo('{objectId}')	Wyświetla listę przypisań odmowy dla określonego użytkownika lub jednostki usługi. Jeśli użytkownik jest członkiem grupy, która ma przypisanie odmowy, przypisanie odmowy jest również wyświetlane. Ten filtr jest przechodniy dla grup, co oznacza, że jeśli użytkownik jest członkiem grupy, a ta grupa jest członkiem innej grupy, która ma przypisanie odmowy, przypisanie odmowy jest również wymienione. Ten filtr akceptuje tylko identyfikator obiektu dla użytkownika lub jednostki usługi. Nie można przekazać identyfikatora obiektu dla grupy.
   $filter=atScope()+and+assignedTo('{objectId}')	Wyświetla listę przypisań odmowy dla określonego użytkownika lub jednostki usługi i w określonym zakresie.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Wyświetla listę przypisań odmowy o określonej nazwie.
   $filter=principalId+eq+'{objectId}'	Wyświetla listę przypisań odmowy dla określonego użytkownika, grupy lub jednostki usługi.

Wyświetlanie listy przypisań odmowy w zakresie głównym (/)

1. Podnieś poziom dostępu zgodnie z opisem w temacie Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

2. Użyj następującego żądania:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Zastąp element {filter} warunkiem, który chcesz zastosować, aby filtrować listę przypisań odmowy. Wymagany jest filtr.

   Filtr	opis
   $filter=atScope()	Wyświetlanie listy przypisań odmowy tylko dla zakresu głównego. Nie obejmuje przypisań odmowy w podzakresach.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Wyświetl listę przypisań odmowy z określoną nazwą.

4. Usuń podwyższony poziom dostępu.

Następne kroki

• Stosy wdrażania