Visa rolltilldelningar i Azure

I likhet med en rolltilldelning bifogar en neka-tilldelning en uppsättning nekandeåtgärder till en användare, grupp eller tjänstens huvudnamn i ett visst omfång i syfte att neka åtkomst. Nekandeåtgärder blockerar användare från att utföra vissa Azure-resursåtgärder, även om en rolltilldelning ger dem åtkomst.

Den här artikeln beskriver hur du listar neka tilldelningar.

Viktigt!

Du kan inte skapa egna nekandeåtgärder direkt. Neka tilldelningar skapas och hanteras av Azure.

Så här skapas nekandetilldelningar

Nekandeåtgärder skapas och hanteras av Azure för att skydda resurser. Du kan inte skapa egna nekandeåtgärder direkt. Du kan dock ange neka-inställningar när du skapar en distributionsstack, vilket skapar en neka-tilldelning som ägs av distributionsstackens resurser. Mer information finns i Skydda hanterade resurser och Azure RBAC-gränser.

Jämför rolltilldelningar och neka tilldelningar

Neka tilldelningar följer ett liknande mönster som rolltilldelningar, men har också vissa skillnader.

Kapacitet	Rolltilldelning	Avvisa tilldelning
Bevilja åtkomst	✅
Neka åtkomst		✅
Kan skapas direkt	✅
Tillämpa i ett omfång	✅	✅
Exkludera huvudkonton		✅
Förhindra arv till underordnade omfång		✅
Tillämpa på klassiska prenumerationsadministratörstilldelningar		✅

Neka tilldelningsegenskaper

En nekandetilldelning har följande egenskaper:

Fastighet	Obligatoriskt	Typ	Beskrivning
DenyAssignmentName	Ja	Sträng	Visningsnamnet för neka-tilldelningen. Namn måste vara unika för ett visst omfång.
Description	Nej	Sträng	Beskrivningen av neka-tilldelningen.
Permissions.Actions	Minst en åtgärd eller en DataActions	Sträng[]	En matris med strängar som anger de kontrollplansåtgärder som nekandetilldelningen blockerar åtkomst till.
Permissions.NotActions	Nej	Sträng[]	En matris med strängar som anger vilken kontrollplansåtgärd som ska undantas från neka-tilldelningen.
Permissions.DataActions	Minst en åtgärd eller en DataActions	Sträng[]	En matris med strängar som anger de dataplansåtgärder som neka tilldelningen blockerar åtkomst till.
Permissions.NotDataActions	Nej	Sträng[]	En matris med strängar som anger de dataplansåtgärder som ska undantas från neka-tilldelningen.
Scope	Nej	Sträng	En sträng som anger omfånget som neka-tilldelningen gäller för.
DoNotApplyToChildScopes	Nej	Booleskt	Anger om neka-tilldelningen gäller för underordnade omfång. Standardvärdet är "falsk".
Principals[i].Id	Ja	Sträng[]	En matris med Objekt-ID för Microsoft Entra-huvudnamn (användare, grupp, tjänstens huvudnamn eller hanterad identitet) som neka tilldelningen gäller för. Ange till ett tomt GUID 00000000-0000-0000-0000-000000000000 för att representera alla huvudnamn.
Principals[i].Type	Nej	Sträng[]	En matris med objekttyper som representeras av Principals[i].Id. Ange till att SystemDefined representera alla huvudnamn.
ExcludePrincipals[i].Id	Nej	Sträng[]	En matris med Objekt-ID för Microsoft Entra-huvudnamn (användare, grupp, tjänstens huvudnamn eller hanterad identitet) som neka tilldelningen inte gäller för.
ExcludePrincipals[i].Type	Nej	Sträng[]	En matris med objekttyper som representeras av ExcludePrincipals[i].Id.
IsSystemProtected	Nej	Booleskt	Anger om den här neka-tilldelningen skapades av Azure och inte kan redigeras eller tas bort. För närvarande är alla nekande tilldelningar systemskyddade.

Huvudkontot alla huvudnamn

För att stödja neka tilldelningar har ett systemdefinierat huvudnamn med namnet Alla huvudnamn introducerats . Det här huvudnamnet representerar alla användare, grupper, tjänstens huvudnamn och hanterade identiteter i en Microsoft Entra-katalog. Om huvudnamns-ID:t är ett guid 00000000-0000-0000-0000-000000000000 utan huvudnamn och huvudnamnstypen är SystemDefinedrepresenterar huvudkontot alla huvudnamn. I Azure PowerShell-utdata ser alla huvudnamn ut så här:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Alla huvudnamn kan kombineras med ExcludePrincipals för att neka alla huvudnamn utom vissa användare. Alla huvudnamn har följande begränsningar:

• Kan endast användas i Principals och kan inte användas i ExcludePrincipals.
• Principals[i].Type måste anges till SystemDefined.

Visa lista över nekade tilldelningar

Följ de här stegen för att lista neka tilldelningar.

Viktigt!

Du kan inte skapa egna nekandeåtgärder direkt. Neka tilldelningar skapas och hanteras av Azure. Mer information finns i Skydda hanterade resurser mot borttagning.

Azure Portal

Förutsättningar

För att få information om en neka-tilldelning måste du ha:

• Microsoft.Authorization/denyAssignments/read behörighet, som ingår i de flesta inbyggda Azure-roller.

Lista neka tilldelningar i Azure Portal

Följ de här stegen för att lista neka tilldelningar i prenumerationen eller hanteringsgruppens omfång.

1. I Azure Portal öppnar du det valda omfånget, till exempel resursgrupp eller prenumeration.

2. Välj Åtkomstkontroll (IAM) .

3. Välj fliken Neka tilldelningar (eller välj knappen Visa på panelen Visa neka tilldelningar).

   Om det finns några nekande tilldelningar i det här omfånget eller ärvda till det här omfånget visas de.

   

4. Om du vill visa ytterligare kolumner väljer du Redigera kolumner.

   

   Kolumn	Beskrivning
   Namn	Namnet på neka-tilldelningen.
   Huvudnamnstyp	Användare, grupp, systemdefinierad grupp eller tjänstens huvudnamn.
   Nekad	Namnet på säkerhetsobjektet som ingår i neka-tilldelningen.
   ID	Unik identifierare för neka-tilldelningen.
   Exkluderade huvudkonton	Om det finns säkerhetsobjekt som undantas från neka-tilldelningen.
   Gäller inte för underordnade	Om neka-tilldelningen ärvs till underscopes.
   Systemskyddad	Om neka-tilldelningen hanteras av Azure. För närvarande alltid Ja.
   Definitionsområde	Hanteringsgrupp, prenumeration, resursgrupp eller resurs.

5. Lägg till en bockmarkering i något av de aktiverade objekten och välj sedan OK för att visa de markerade kolumnerna.

Visa information om en neka-tilldelning

Följ de här stegen om du vill visa ytterligare information om en neka-tilldelning.

1. Öppna fönstret Neka tilldelningar enligt beskrivningen i föregående avsnitt.

2. Välj namnet på neka tilldelning för att öppna sidan Användare .

   

   Sidan Användare innehåller följande två avsnitt.

   Neka inställning	Beskrivning
   Neka tilldelning gäller för	Säkerhetsobjekt som neka-tilldelningen gäller för.
   Neka tilldelning utesluter	Säkerhetsobjekt som undantas från neka-tilldelningen.

   Systemdefinierat huvudnamn representerar alla användare, grupper, tjänstens huvudnamn och hanterade identiteter i en Azure AD-katalog.

3. Om du vill se en lista över de behörigheter som nekas väljer du Nekad behörighet.

   

   Åtgärdstyp	Beskrivning
   Åtgärder	Åtgärder för nekat kontrollplan.
   Inte åtgärder	Kontrollplansåtgärder som undantas från åtgärder för nekat kontrollplan.
   Data-åtgärder	Åtgärder för nekat dataplan.
   NotDataActions (på engelska)	Dataplansåtgärder som undantas från åtgärder för nekat dataplan.

   För exemplet som visades i föregående skärmbild är följande gällande behörigheter:

   • Alla lagringsåtgärder på dataplanet nekas förutom beräkningsåtgärder.

4. Om du vill se egenskaperna för en neka-tilldelning väljer du Egenskaper.

   

   På sidan Egenskaper kan du se neka tilldelningsnamn, ID, beskrivning och omfång. Växeln Gäller inte för underordnade anger om neka-tilldelningen ärvs till underscopes. Systemskyddad växel anger om den här neka-tilldelningen hanteras av Azure. För närvarande är detta Ja i alla fall.

Azure PowerShell

Förutsättningar

För att få information om en neka-tilldelning måste du ha:

• Microsoft.Authorization/denyAssignments/read behörighet, som ingår i de flesta inbyggda Azure-roller
• PowerShell i Azure Cloud Shell eller Azure PowerShell

Visa en lista över alla nekande tilldelningar

Om du vill visa en lista över alla nekande tilldelningar för den aktuella prenumerationen använder du Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Lista neka tilldelningar i ett resursgruppsomfång

Om du vill visa en lista över alla nekande tilldelningar i ett resursgruppsomfång använder du Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Lista neka tilldelningar i ett prenumerationsomfång

Om du vill visa en lista över alla nekande tilldelningar i ett prenumerationsomfång använder du Get-AzDenyAssignment. Om du vill hämta prenumerations-ID:t hittar du det på sidan Prenumerationer i Azure Portal eller så kan du använda Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST-API

Förutsättningar

För att få information om en neka-tilldelning måste du ha:

• Microsoft.Authorization/denyAssignments/read behörighet, som ingår i de flesta inbyggda Azure-roller.

Du måste använda följande version:

• 2018-07-01-preview eller senare
• 2022-04-01 är den första stabila versionen

Visa en lista över en enskild neka-tilldelning

Om du vill visa en enda neka-tilldelning använder du Api:et Neka tilldelningar – Hämta REST.

1. Börja med följande begäran:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. I URI:n ersätter du {scope} med det omfång som du vill visa en lista över neka tilldelningar för.

   Omfattning	Typ
   subscriptions/{subscriptionId}	Prenumeration
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resursgrupp
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resurs

3. Ersätt {deny-assignment-id} med den neka tilldelningsidentifierare som du vill hämta.

Visa en lista över flera nekandetilldelningar

Om du vill visa en lista över flera nekandetilldelningar använder du REST API:et Neka tilldelningar – lista .

1. Börja med någon av följande begäranden:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Med valfria parametrar:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. I URI:n ersätter du {scope} med det omfång som du vill visa en lista över neka tilldelningar för.

   Omfattning	Typ
   subscriptions/{subscriptionId}	Prenumeration
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resursgrupp
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resurs

3. Ersätt {filter} med villkoret som du vill använda för att filtrera listan över nekandetilldelningar.

   Filtrera	Beskrivning
   (inget filter)	Visar en lista över alla nekandetilldelningar i, ovan och under det angivna omfånget.
   $filter=atScope()	Visar listor som nekar tilldelningar för endast det angivna omfånget och ovan. Inkluderar inte neka tilldelningar i underscopes.
   $filter=assignedTo('{objectId}')	Listar neka tilldelningar för den angivna användaren eller tjänstens huvudnamn. Om användaren är medlem i en grupp som har en neka-tilldelning visas även den nekandetilldelningen. Det här filtret är transitivt för grupper, vilket innebär att om användaren är medlem i en grupp och gruppen är medlem i en annan grupp som har en nekandetilldelning visas även den nekandetilldelningen. Det här filtret accepterar endast ett objekt-ID för en användare eller ett huvudnamn för tjänsten. Du kan inte skicka ett objekt-ID för en grupp.
   $filter=atScope()+and+assignedTo('{objectId}')	Listar neka tilldelningar för den angivna användaren eller tjänstens huvudnamn och i det angivna omfånget.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Visar listor som nekar tilldelningar med det angivna namnet.
   $filter=principalId+eq+'{objectId}'	Visar listor som nekar tilldelningar för den angivna användaren, gruppen eller tjänstens huvudnamn.

Lista neka tilldelningar i rotomfånget (/)

1. Utöka din åtkomst enligt beskrivningen i Utöka åtkomsten för att hantera alla Azure-prenumerationer och hanteringsgrupper.

2. Använd följande begäran:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Ersätt {filter} med villkoret som du vill använda för att filtrera listan över nekandetilldelningar. Ett filter krävs.

   Filtrera	Beskrivning
   $filter=atScope()	Lista neka tilldelningar för endast rotomfånget. Inkluderar inte neka tilldelningar i underscopes.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Lista neka tilldelningar med det angivna namnet.

4. Ta bort utökad åtkomst.

Nästa steg

• Distributionsstackar