Förstå tilldelningar som nekas av Azure

I likhet med en rolltilldelning bifogar en neka-tilldelning en uppsättning nekandeåtgärder till en användare, grupp eller tjänstens huvudnamn i ett visst omfång för att neka åtkomst. Neka tilldelningar blockerar användare från att utföra specifika Azure-resursåtgärder även om en rolltilldelning ger dem åtkomst.

I den här artikeln beskrivs hur tilldelningsnekelse definieras.

Så här skapas nekandetilldelningar

Nekandeåtgärder skapas och hanteras av Azure för att skydda resurser. Azure Blueprints och Azure-hanterade appar använder nekandeåtgärder för att skydda systemhanterade resurser. Azure Blueprints och Azure-hanterade appar är det enda sättet att neka tilldelningar som används i Azure. Du kan inte skapa egna nekandeåtgärder direkt. Azure Blueprints använder nekandetilldelningar för att låsa resurser, men bara för resurser som distribueras som en del av en skiss. Mer information finns i Förstå resurslåsning i Azure Blueprints.

Anteckning

Du kan inte skapa egna nekandeåtgärder direkt.

Jämföra rolltilldelningar och neka tilldelningar

Neka tilldelningar följer ett liknande mönster som rolltilldelningar, men har också vissa skillnader.

Funktion Rolltilldelning Neka tilldelning
Bevilja åtkomst ✔️
Neka åtkomst ✔️
Kan skapas direkt ✔️
Använd i ett omfång ✔️ ✔️
Exkludera huvudkonton ✔️
Förhindra arv till underordnade omfång ✔️
Tillämpa på klassiska prenumerationsadministratörstilldelningar ✔️

Neka tilldelningsegenskaper

En nekandetilldelning har följande egenskaper:

Egenskap Krävs Typ Beskrivning
DenyAssignmentName Ja Sträng Visningsnamnet för neka-tilldelningen. Namn måste vara unika för ett visst omfång.
Description Inga Sträng Beskrivningen av neka-tilldelningen.
Permissions.Actions Minst en åtgärd eller en DataActions Sträng[] En matris med strängar som anger de kontrollplansåtgärder som neka-tilldelningen blockerar åtkomsten till.
Permissions.NotActions Inga Sträng[] En matris med strängar som anger den kontrollplansåtgärd som ska undantas från tilldelningen neka.
Permissions.DataActions Minst en åtgärd eller en DataActions Sträng[] En matris med strängar som anger de dataplansåtgärder som nekandetilldelningen blockerar åtkomst till.
Permissions.NotDataActions Inga Sträng[] En matris med strängar som anger de dataplansåtgärder som ska undantas från tilldelningen neka.
Scope Inga Sträng En sträng som anger det omfång som nekandetilldelningen gäller för.
DoNotApplyToChildScopes Inga Boolesk Anger om neka-tilldelningen gäller för underordnade omfång. Standardvärdet är false.
Principals[i].Id Ja Sträng[] En matris med objekt-ID:t för Azure AD-huvudkontot (användare, grupp, tjänstens huvudnamn eller hanterad identitet) som nekandetilldelningen gäller för. Ange till ett tomt GUID 00000000-0000-0000-0000-000000000000 för att representera alla huvudkonton.
Principals[i].Type Inga Sträng[] En matris med objekttyper som representeras av principals[i].Id. Ange till SystemDefined för att representera alla huvudkonton.
ExcludePrincipals[i].Id Inga Sträng[] En matris med objekt-ID:t för Azure AD-huvudkontot (användare, grupp, tjänstens huvudnamn eller hanterad identitet) som nekandetilldelningen inte gäller för.
ExcludePrincipals[i].Type Inga Sträng[] En matris med objekttyper som representeras av ExcludePrincipals[i].Id.
IsSystemProtected Inga Boolesk Anger om den här nekandetilldelningen har skapats av Azure och inte kan redigeras eller tas bort. För närvarande är alla nekande tilldelningar systemskyddade.

Huvudkontot för alla huvudkonton

För att stödja nekandetilldelningar har ett systemdefinierat huvudnamn med namnet Alla huvudkonton introducerats . Det här huvudkontot representerar alla användare, grupper, tjänstens huvudnamn och hanterade identiteter i en Azure AD-katalog. Om huvudkonto-ID:t är noll GUID 00000000-0000-0000-0000-000000000000 och huvudkontotypen är SystemDefinedrepresenterar huvudkontot alla huvudkonton. I Azure PowerShell utdata ser alla huvudkonton ut så här:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Alla huvudkonton kan kombineras med ExcludePrincipals för att neka alla huvudkonton utom vissa användare. Alla huvudkonton har följande begränsningar:

  • Kan endast användas i Principals och kan inte användas i ExcludePrincipals.
  • Principals[i].Type måste anges till SystemDefined.

Nästa steg