Listar atribuições de recusa do Azure

Semelhante a uma atribuição de função, uma atribuição de negação anexa um conjunto de ações de negação a um usuário, grupo ou entidade de serviço em um escopo específico com a finalidade de negar acesso. As atribuições de recusa impedem os utilizadores de executarem ações nos recursos do Azure, mesmo que uma atribuição de função lhes conceda acesso.

Este artigo descreve como listar atribuições de negação.

Importante

Não pode criar diretamente as suas próprias atribuições de recusa. As atribuições de negação são criadas e gerenciadas pelo Azure.

Como as atribuições de negação são criadas

As atribuições de recusa são criadas e geridas pelo Azure para proteger os recursos. Não pode criar diretamente as suas próprias atribuições de recusa. No entanto, você pode especificar configurações de negação ao criar uma pilha de implantação, que cria uma atribuição de negação que pertence aos recursos da pilha de implantação. As pilhas de implantação estão atualmente em visualização. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Comparar atribuições de função e negar atribuições

As atribuições de negação seguem um padrão semelhante às atribuições de função, mas também têm algumas diferenças.

Funcionalidade	Atribuição de função	Negar atribuições
Conceder acesso	✅
Negar acesso		✅
Pode ser criado diretamente	✅
Aplicar em um escopo	✅	✅
Excluir entidades		✅
Impedir herança para escopos filho		✅
Aplicar a atribuições clássicas de administrador de subscrição		✅

Negar propriedades de atribuição

Uma atribuição de negação tem as seguintes propriedades:

Property	Necessário	Type	Description
DenyAssignmentName	Sim	String	O nome para exibição da atribuição de negação. Os nomes devem ser exclusivos para um determinado escopo.
Description	Não	String	A descrição da atribuição negada.
Permissions.Actions	Pelo menos uma Actions ou uma DataActions	String[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de controle às quais a atribuição de negação bloqueia o acesso.
Permissions.NotActions	Não	String[]	Uma matriz de cadeias de caracteres que especificam a ação do plano de controle a ser excluída da atribuição de negação.
Permissions.DataActions	Pelo menos uma Actions ou uma DataActions	String[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de dados às quais a atribuição de negação bloqueia o acesso.
Permissions.NotDataActions	Não	String[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de dados a serem excluídas da atribuição de negação.
Scope	Não	String	Uma cadeia de caracteres que especifica o escopo ao qual a atribuição de negação se aplica.
DoNotApplyToChildScopes	Não	Boolean	Especifica se a atribuição de negação se aplica a escopos filho. O valor predefinido é falso.
Principals[i].Id	Sim	String[]	Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação se aplica. Defina como um GUID 00000000-0000-0000-0000-000000000000 vazio para representar todas as entidades de segurança.
Principals[i].Type	Não	String[]	Uma matriz de tipos de objeto representados por Principals[i].Id. Definido para SystemDefined representar todos os principais.
ExcludePrincipals[i].Id	Não	String[]	Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação não se aplica.
ExcludePrincipals[i].Type	Não	String[]	Uma matriz de tipos de objeto representada por ExcludePrincipals[i].Id.
IsSystemProtected	Não	Boolean	Especifica se essa atribuição de negação foi criada pelo Azure e não pode ser editada ou excluída. Atualmente, todas as atribuições de negação estão protegidas pelo sistema.

O princípio de Todos os Princípios

Para dar suporte a atribuições de negação, uma entidade definida pelo sistema chamada Todas as entidades foi introduzida. Essa entidade representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um diretório do Microsoft Entra. Se o ID principal for um GUID 00000000-0000-0000-0000-000000000000 zero e o tipo principal for SystemDefined, o principal representará todos os principais. Na saída do Azure PowerShell, Todos os Diretores têm a seguinte aparência:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Todas as entidades podem ser combinadas para ExcludePrincipals negar todas as entidades de segurança, exceto alguns usuários. All Principals tem as seguintes restrições:

• Pode ser usado apenas em Principals e não pode ser usado em ExcludePrincipals.
• Principals[i].Type deve ser definido como SystemDefined.

Listar atribuições de negação

Siga estas etapas para listar atribuições negadas.

Importante

Não pode criar diretamente as suas próprias atribuições de recusa. As atribuições de negação são criadas e gerenciadas pelo Azure. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Portal do Azure

Pré-requisitos

Para obter informações sobre uma atribuição negada, você deve ter:

• Microsoft.Authorization/denyAssignments/read permissão, que está incluída na maioria das funções internas do Azure.

Listar atribuições de negação no portal do Azure

Siga estas etapas para listar atribuições de negação no escopo da assinatura ou do grupo de gerenciamento.

1. No portal do Azure, abra o escopo selecionado, como grupo de recursos ou assinatura.

2. Selecione Controlo de acesso (IAM) .

3. Selecione a guia Negar atribuições (ou selecione o botão Exibir no bloco Exibir atribuições negadas).

   Se houver atribuições de negação neste escopo ou herdadas para esse escopo, elas serão listadas.

   

4. Para exibir colunas adicionais, selecione Editar colunas.

   

   Coluna	Descrição
   Nome	Nome da atribuição negada.
   Tipo principal	Usuário, grupo, grupo definido pelo sistema ou entidade de serviço.
   Negado	Nome da entidade de segurança incluída na atribuição de negação.
   ID	Identificador exclusivo para a atribuição de negação.
   Principais excluídos	Se há entidades de segurança excluídas da atribuição de negação.
   Não se aplica a crianças	Se a atribuição de negação é herdada para subescopos.
   Sistema protegido	Se a atribuição de negação é gerenciada pelo Azure. Atualmente, sempre sim.
   Scope	Grupo de gerenciamento, assinatura, grupo de recursos ou recurso.

5. Adicione uma marca de seleção a qualquer um dos itens habilitados e selecione OK para exibir as colunas selecionadas.

Listar detalhes sobre uma atribuição de negação

Siga estas etapas para listar detalhes adicionais sobre uma atribuição de negação.

1. Abra o painel Negar atribuições, conforme descrito na seção anterior.

2. Selecione o nome da atribuição de negação para abrir a página Usuários .

   

   A página Usuários inclui as duas seções a seguir.

   Negar configuração	Description
   Negar atribuição aplica-se a	Entidades de segurança às quais a atribuição de negação se aplica.
   Negar atribuição exclui	Entidades de segurança excluídas da atribuição de negação.

   A entidade de segurança definida pelo sistema representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um diretório do Azure AD.

3. Para ver uma lista das permissões negadas, selecione Permissões negadas.

   

   Tipo de ação	Description
   Ações	Ações do plano de controle negadas.
   NotActions	Ações do plano de controle excluídas das ações negadas do plano de controle.
   DataActions	Ações de plano de dados negadas.
   NotDataActions	Ações do plano de dados excluídas das ações negadas do plano de dados.

   Para o exemplo mostrado na captura de tela anterior, a seguir estão as permissões efetivas:

   • Todas as ações de armazenamento no plano de dados são negadas, exceto as ações de computação.

4. Para ver as propriedades de uma atribuição de negação, selecione Propriedades.

   

   Na página Propriedades, você pode ver o nome, a ID, a descrição e o escopo da atribuição negada. A opção Não se aplica a filhos indica se a atribuição de negação é herdada para subescopos. A opção Protegido pelo sistema indica se essa atribuição de negação é gerenciada pelo Azure. Atualmente, isso é sim em todos os casos.

Azure PowerShell

Pré-requisitos

Para obter informações sobre uma atribuição negada, você deve ter:

• Microsoft.Authorization/denyAssignments/read permissão, que está incluída na maioria das funções internas do Azure
• PowerShell no Azure Cloud Shell ou Azure PowerShell

Listar todas as atribuições negadas

Para listar todas as atribuições negadas para a assinatura atual, use Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Listar atribuições de negação em um escopo de grupo de recursos

Para listar todas as atribuições negadas em um escopo de grupo de recursos, use Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Listar atribuições de negação em um escopo de assinatura

Para listar todas as atribuições negadas em um escopo de assinatura, use Get-AzDenyAssignment. Para obter a ID da assinatura, você pode encontrá-la na página Assinaturas no portal do Azure ou usar Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

API REST

Pré-requisitos

Para obter informações sobre uma atribuição negada, você deve ter:

• Microsoft.Authorization/denyAssignments/read permissão, que está incluída na maioria das funções internas do Azure.

Você deve usar a seguinte versão:

• 2018-07-01-preview ou mais tarde
• 2022-04-01 é a primeira versão estável

Listar uma única atribuição de negação

Para listar uma única atribuição de negação, use a API Deny Assignments - Get REST.

1. Comece com a seguinte solicitação:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. No URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de negação.

   Âmbito	Type
   subscriptions/{subscriptionId}	Subscrição
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grupo de recursos
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Recurso

3. Substitua {deny-assignment-id} pelo identificador de atribuição de negação que você deseja recuperar.

Listar várias atribuições de negação

Para listar várias atribuições de negação, use a API REST Negar atribuições - Listar .

1. Comece com uma das seguintes solicitações:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Com parâmetros opcionais:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. No URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de negação.

   Âmbito	Type
   subscriptions/{subscriptionId}	Subscrição
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grupo de recursos
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Recurso

3. Substitua {filter} pela condição que você deseja aplicar para filtrar a lista de atribuição negada.

   Filtro	Description
   (sem filtro)	Lista todas as atribuições negadas em, acima e abaixo do escopo especificado.
   $filter=atScope()	As listas negam atribuições apenas para o escopo especificado e acima. Não inclui as atribuições de negação em subescopos.
   $filter=assignedTo('{objectId}')	Lista as atribuições negadas para o usuário ou entidade de serviço especificada. Se o usuário for membro de um grupo que tenha uma atribuição de negação, essa atribuição de negação também será listada. Esse filtro é transitivo para grupos, o que significa que, se o usuário for membro de um grupo e esse grupo for membro de outro grupo que tenha uma atribuição de negação, essa atribuição de negação também será listada. Esse filtro só aceita uma ID de objeto para um usuário ou uma entidade de serviço. Não é possível passar uma ID de objeto para um grupo.
   $filter=atScope()+and+assignedTo('{objectId}')	Lista as atribuições negadas para o usuário ou entidade de serviço especificada e no escopo especificado.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	As listas negam atribuições com o nome especificado.
   $filter=principalId+eq+'{objectId}'	Lista as atribuições negadas para o usuário, grupo ou entidade de serviço especificada.

Listar atribuições de negação no escopo raiz (/)

1. Eleve seu acesso conforme descrito em Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

2. Use a seguinte solicitação:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Substitua {filter} pela condição que você deseja aplicar para filtrar a lista de atribuição negada. É necessário um filtro.

   Filtro	Description
   $filter=atScope()	Listar atribuições de negação apenas para o escopo raiz. Não inclui as atribuições de negação em subescopos.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Listar atribuições de negação com o nome especificado.

4. Remova o acesso elevado.

Próximos passos

• Pilhas de implantação