Förstå tilldelningar som nekas av Azure
I likhet med en rolltilldelning bifogar en neka-tilldelning en uppsättning nekandeåtgärder till en användare, grupp eller tjänstens huvudnamn i ett visst omfång för att neka åtkomst. Neka tilldelningar blockerar användare från att utföra specifika Azure-resursåtgärder även om en rolltilldelning ger dem åtkomst.
I den här artikeln beskrivs hur tilldelningsnekelse definieras.
Så här skapas nekandetilldelningar
Nekandeåtgärder skapas och hanteras av Azure för att skydda resurser. Azure Blueprints och Azure-hanterade appar använder nekandeåtgärder för att skydda systemhanterade resurser. Azure Blueprints och Azure-hanterade appar är det enda sättet att neka tilldelningar som används i Azure. Du kan inte skapa egna nekandeåtgärder direkt. Azure Blueprints använder nekandetilldelningar för att låsa resurser, men bara för resurser som distribueras som en del av en skiss. Mer information finns i Förstå resurslåsning i Azure Blueprints.
Anteckning
Du kan inte skapa egna nekandeåtgärder direkt.
Jämföra rolltilldelningar och neka tilldelningar
Neka tilldelningar följer ett liknande mönster som rolltilldelningar, men har också vissa skillnader.
Funktion | Rolltilldelning | Neka tilldelning |
---|---|---|
Bevilja åtkomst | ✔️ | |
Neka åtkomst | ✔️ | |
Kan skapas direkt | ✔️ | |
Använd i ett omfång | ✔️ | ✔️ |
Exkludera huvudkonton | ✔️ | |
Förhindra arv till underordnade omfång | ✔️ | |
Tillämpa på klassiska prenumerationsadministratörstilldelningar | ✔️ |
Neka tilldelningsegenskaper
En nekandetilldelning har följande egenskaper:
Egenskap | Krävs | Typ | Beskrivning |
---|---|---|---|
DenyAssignmentName |
Ja | Sträng | Visningsnamnet för neka-tilldelningen. Namn måste vara unika för ett visst omfång. |
Description |
Inga | Sträng | Beskrivningen av neka-tilldelningen. |
Permissions.Actions |
Minst en åtgärd eller en DataActions | Sträng[] | En matris med strängar som anger de kontrollplansåtgärder som neka-tilldelningen blockerar åtkomsten till. |
Permissions.NotActions |
Inga | Sträng[] | En matris med strängar som anger den kontrollplansåtgärd som ska undantas från tilldelningen neka. |
Permissions.DataActions |
Minst en åtgärd eller en DataActions | Sträng[] | En matris med strängar som anger de dataplansåtgärder som nekandetilldelningen blockerar åtkomst till. |
Permissions.NotDataActions |
Inga | Sträng[] | En matris med strängar som anger de dataplansåtgärder som ska undantas från tilldelningen neka. |
Scope |
Inga | Sträng | En sträng som anger det omfång som nekandetilldelningen gäller för. |
DoNotApplyToChildScopes |
Inga | Boolesk | Anger om neka-tilldelningen gäller för underordnade omfång. Standardvärdet är false. |
Principals[i].Id |
Ja | Sträng[] | En matris med objekt-ID:t för Azure AD-huvudkontot (användare, grupp, tjänstens huvudnamn eller hanterad identitet) som nekandetilldelningen gäller för. Ange till ett tomt GUID 00000000-0000-0000-0000-000000000000 för att representera alla huvudkonton. |
Principals[i].Type |
Inga | Sträng[] | En matris med objekttyper som representeras av principals[i].Id. Ange till SystemDefined för att representera alla huvudkonton. |
ExcludePrincipals[i].Id |
Inga | Sträng[] | En matris med objekt-ID:t för Azure AD-huvudkontot (användare, grupp, tjänstens huvudnamn eller hanterad identitet) som nekandetilldelningen inte gäller för. |
ExcludePrincipals[i].Type |
Inga | Sträng[] | En matris med objekttyper som representeras av ExcludePrincipals[i].Id. |
IsSystemProtected |
Inga | Boolesk | Anger om den här nekandetilldelningen har skapats av Azure och inte kan redigeras eller tas bort. För närvarande är alla nekande tilldelningar systemskyddade. |
Huvudkontot för alla huvudkonton
För att stödja nekandetilldelningar har ett systemdefinierat huvudnamn med namnet Alla huvudkonton introducerats . Det här huvudkontot representerar alla användare, grupper, tjänstens huvudnamn och hanterade identiteter i en Azure AD-katalog. Om huvudkonto-ID:t är noll GUID 00000000-0000-0000-0000-000000000000
och huvudkontotypen är SystemDefined
representerar huvudkontot alla huvudkonton. I Azure PowerShell utdata ser alla huvudkonton ut så här:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Alla huvudkonton kan kombineras med ExcludePrincipals
för att neka alla huvudkonton utom vissa användare. Alla huvudkonton har följande begränsningar:
- Kan endast användas i
Principals
och kan inte användas iExcludePrincipals
. Principals[i].Type
måste anges tillSystemDefined
.