Listar as atribuições de negação do Azure

Semelhante a uma atribuição de função, uma negação de atribuição anexa um conjunto de ações de negação a um usuário, grupo ou entidade de serviço em um escopo específico com o objetivo de negar acesso. As atribuições de negação impedem que os usuários executem ações específicas, mesmo que uma atribuição de função conceda o acesso a eles.

Este artigo descreve como listar atribuições de negação.

Importante

Não é possível criar atribuições de negação diretamente. As atribuições de negação são criadas e gerenciadas pelo Azure.

Como as atribuições de negação são criadas

As atribuições de negação são criadas e gerenciadas pelo Azure para proteger recursos. Não é possível criar atribuições de negação diretamente. No entanto, você pode especificar configurações de negação ao criar uma pilha de implantação, que cria uma atribuição de negação que pertence aos recursos da pilha de implantação. As pilhas de implantação estão atualmente em versão prévia. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Comparar atribuições de função e de negação

As atribuições de negação seguem um padrão semelhante ao das atribuições de função, mas elas também têm algumas diferenças.

Funcionalidade	Atribuição de função	Atribuição de negação
Conceder acesso	✅
Negar acesso		✅
Pode ser criado diretamente	✅
Aplicar em um escopo	✅	✅
Excluir entidades		✅
Impedir a herança para escopos filho		✅
Aplicar para atribuições de administrador de assinatura clássica		✅

Propriedades de atribuição de negação

Uma atribuição de negação tem as seguintes propriedades:

Propriedade	Obrigatório	Type	Descrição
DenyAssignmentName	Sim	String	O nome de exibição da atribuição de negação. Os nomes devem ser exclusivos para um determinado escopo.
Description	Não	String	A descrição da atribuição de negação.
Permissions.Actions	Pelo menos um Actions ou um DataActions	String[]	Uma matriz de cadeias de caracteres que especificam as ações do painel de controle para as quais o acesso é bloqueado pela atribuição de negação.
Permissions.NotActions	Não	String[]	Uma matriz de cadeias de caracteres que especificam a ação do painel de controle a excluir da atribuição de negação.
Permissions.DataActions	Pelo menos um Actions ou um DataActions	String[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de dados para as quais o acesso é bloqueado pela atribuição de negação.
Permissions.NotDataActions	Não	String[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de dados a excluir da atribuição de negação.
Scope	Não	String	Uma cadeia de caracteres que especifica o escopo ao qual a atribuição de negação se aplica.
DoNotApplyToChildScopes	Não	Booliano	Especifica se a atribuição de negação se aplica a escopos filho. O valor padrão é falso.
Principals[i].Id	Yes	String[]	Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação se aplica. Defina como um GUID vazio 00000000-0000-0000-0000-000000000000 para representar todos os principais.
Principals[i].Type	Não	String[]	Uma matriz de tipos de objetos representados por Principals[i].Id. Defina como SystemDefined para representar todas as entidades.
ExcludePrincipals[i].Id	Não	String[]	Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação não se aplica.
ExcludePrincipals[i].Type	Não	String[]	Uma matriz de tipos de objeto representados por ExcludePrincipals[i].Id.
IsSystemProtected	Não	Booliano	Especifica se esta atribuição de negação foi ou não criada pelo Azure e não pode ser editada ou excluída. Atualmente, todas as atribuições de negação são protegidas pelo sistema.

A entidade de Todas as entidades

Para dar suporte a atribuições de negação, foi introduzida uma entidade definida pelo sistema e denominada Todas as entidades. Essa entidade de segurança representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um diretório do Microsoft Entra. Se o ID principal for um zero GUID 00000000-0000-0000-0000-000000000000 e o tipo principal for SystemDefined, o principal representará todos os principais. Na saída do Azure PowerShell, Todas as entidades se parece com o seguinte:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Todas as entidades pode ser combinado com ExcludePrincipals para negar todas as entidades, exceto alguns usuários. Todas as entidades tem as seguintes restrições:

• Pode ser usada apenas em Principals e não pode ser usada em ExcludePrincipals.
• Principals[i].Type deve ser definido como SystemDefined.

Listar atribuições de negação

Siga estas etapas para listar atribuições de negação.

Importante

Não é possível criar atribuições de negação diretamente. As atribuições de negação são criadas e gerenciadas pelo Azure. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Azure portal

Pré-requisitos

Para obter informações sobre uma atribuição de negação, você deve ter:

• A permissão Microsoft.Authorization/denyAssignments/read, que está incluída na maioria das funções internas do Azure.

Listar atribuições de negação no portal do Azure

Siga estas etapas para visualizar as atribuições de negação no escopo da assinatura ou do grupo de gerenciamento.

1. No portal do Azure, abra o escopo selecionado, como grupo de recursos ou assinatura.

2. Selecione IAM (Controle de acesso) .

3. Selecione a guia Atribuições de negação (ou selecione o botão Exibir no bloco Exibir atribuições de negação).

   Se houver atribuições de negação nesse escopo ou herdadas para esse escopo, elas serão listadas.

   

4. Para exibir colunas adicionais, selecione Editar Colunas.

   

   Coluna	Descrição
   Nome	Nome da atribuição de negação.
   Tipo de entidade	Usuário, grupo, grupo definido pelo sistema ou principal do serviço.
   Negado	Nome do principal de segurança incluído na atribuição de negação.
   Id	Identificador exclusivo para a atribuição de negação.
   Principais Excluídos	Se existem entidades de segurança que são excluídas da atribuição de negação.
   Não se aplica a crianças	Se a atribuição de negação é herdada para subescópios.
   Protegidos do sistema	Se a atribuição de negação é gerenciada pelo Azure. Atualmente, sempre sim.
   Escopo	Grupo de gerenciamento, assinatura, grupo de recursos ou recurso.

5. Adicione uma marca de seleção a qualquer um dos itens habilitados e selecione OK para exibir as colunas selecionadas.

Listar detalhes sobre uma atribuição de negação

Siga estas etapas para listar detalhes adicionais sobre uma atribuição de negação.

1. Abra o painel Negar atribuições conforme descrito na seção anterior.

2. Selecione o nome da atribuição de negação para abrir a página Usuários.

   

   A página Usuários inclui as duas seções a seguir.

   Configuração de negação	Descrição
   Negar atribuição se aplica a	Entidades de segurança às quais a atribuição de negação se aplica.
   Negar a exclui da atribuição	Entidades de segurança que são excluídas da atribuição de negação.

   A diretiva definida pelo sistema representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um Azure Active Directory.

3. Para ver uma lista das permissões negadas, selecione Permissões Negadas.

   

   Tipo de ação	Descrição
   Ações	Ações do painel de controle negadas.
   NotActions	Ações do painel de controle excluídas das ações do painel de controle negadas.
   DataActions	Ações do plano de dados negadas.
   NotDataActions	Ações do plano de dados excluídas das ações de plano de dados negadas.

   Para o exemplo mostrado na captura de tela anterior, as seguintes são as permissões efetivas:

   • Todas as ações de armazenamento no plano de dados são negadas, exceto para ações de computação.

4. Para ver as propriedades de uma atribuição de negação, selecione Propriedades.

   

   Na página Propriedades, você pode ver o nome da atribuição de negação, a ID, a descrição e o escopo. A opção Não se aplica a filhos indica se a atribuição de negação é herdada para os subescópios. A chave System protected indica se essa atribuição de negação é gerenciada pelo Azure. Atualmente, isso é Sim em todos os casos.

PowerShell do Azure

Pré-requisitos

Para obter informações sobre uma atribuição de negação, você deve ter:

• A permissão Microsoft.Authorization/denyAssignments/read, que está incluída na maioria das funções internas do Azure
• PowerShell no Azure Cloud Shell ou Azure PowerShell

Listar todas as atribuições de negação

Para listar todas as atribuições de negação da assinatura atual, use Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Listar atribuições de negação em um escopo de grupo de recursos

Para listar todas as atribuições de negação em um escopo de grupo de recursos, use Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Listar atribuições de negação em um escopo de assinatura

Para listar todas as atribuições de negação em um escopo de assinatura, use Get-AzDenyAssignment. Para obter a ID da assinatura, você pode encontrá-la na página Assinaturas no portal do Azure ou usar Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Pré-requisitos

Para obter informações sobre uma atribuição de negação, você deve ter:

• A permissão Microsoft.Authorization/denyAssignments/read, que está incluída na maioria das funções internas do Azure.

Você deve usar a seguinte versão:

• 2018-07-01-preview ou posterior
• 2022-04-01 é a primeira versão estável

Lista uma única atribuição de negação

Para listar uma única atribuição de negação, use a API REST de Atribuições de Negação – Get.

1. Comece com a solicitação a seguir:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Dentro do URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de negação.

   Escopo	Tipo
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Recurso

3. Substitua {deny-assignment-id} pelo identificador de atribuição de negação que você deseja recuperar.

Listar várias atribuições de negação

Para listar várias atribuições de negação, use a API REST de Atribuições de Negação – List.

1. Inicie com uma das seguintes solicitações:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Com parâmetros opcionais:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Dentro do URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de negação.

   Escopo	Tipo
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Recurso

3. Substitua {filter} pela condição que você deseja aplicar a fim de filtrar a lista de atribuição de negação.

   Filtro	Descrição
   (sem filtro)	Lista todas as atribuições de negação no escopo especificado, acima e abaixo dele.
   $filter=atScope()	Lista as atribuições de negação apenas para o escopo especificado e acima. Não inclui as atribuições de negação em sub-escopos.
   $filter=assignedTo('{objectId}')	Lista as atribuições de negação para o usuário ou a entidade de serviço especificada. Se o usuário for membro de um grupo que tem uma atribuição de negação, ela também será listada. Esse filtro é transitivo para grupos, o que significa que se o usuário for membro de um grupo e esse grupo for membro de outro grupo que tenha uma atribuição de negação, essa atribuição também será listada. Esse filtro só aceita uma ID de objeto para um usuário ou uma entidade de serviço. Não é possível passar uma ID de objeto para um grupo.
   $filter=atScope()+and+assignedTo('{objectId}')	Lista as atribuições de negação para o usuário ou a entidade de serviço especificada e no escopo especificado.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Lista as atribuições de negação com o nome especificado.
   $filter=principalId+eq+'{objectId}'	Lista as atribuições de negação para o usuário, o grupo ou a entidade de serviço especificada.

Listar atribuições de negação no escopo raiz (/)

1. Eleve seu acesso conforme descrito em Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

2. Envie a seguinte solicitação:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Substitua {filter} pela condição que você deseja aplicar a fim de filtrar a lista de atribuição de negação. Um filtro é exigido.

   Filtro	Descrição
   $filter=atScope()	Listar atribuições de negação apenas no escopo raiz. Não inclui as atribuições de negação em sub-escopos.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Listar atribuições de negação com o nome especificado.

4. Remover acesso elevado.

Próximas etapas

• Pilhas de implantação