Aracılığıyla paylaş


Azure reddetme atamalarını listeleme

Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcı, grup veya hizmet sorumlusuna bir dizi reddetme eylemi ekler. Reddetme atamaları kullanıcıların belirli Azure kaynağı eylemlerini gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller.

Bu makalede reddetme atamalarının nasıl listelediği açıklanır.

Önemli

Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Reddetme atamaları Azure tarafından oluşturulur ve yönetilir.

Reddetme atamaları nasıl oluşturulur?

Reddetme atamaları, kaynakları korumak amacıyla Azure tarafından oluşturulur ve yönetilir. Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Ancak, dağıtım yığını oluştururken reddetme ayarlarını belirtebilirsiniz ve bu da dağıtım yığını kaynaklarına ait bir reddetme ataması oluşturur. Dağıtım yığınları şu anda önizleme aşamasındadır. Daha fazla bilgi için bkz . Yönetilen kaynakları silinmeye karşı koruma.

Rol atamalarını karşılaştırma ve atamaları reddetme

Reddetme atamaları, rol atamalarıyla benzer bir desen izler, ancak bazı farklılıklar da vardır.

Özellik Rol ataması Reddetme ataması
Erişim verme
Erişimi engelleme
Doğrudan oluşturulabilir
Bir kapsamda uygulama
Sorumluları dışla
Alt kapsamlara devralmayı engelleme
Klasik abonelik yöneticisi atamalarına uygula

Atama özelliklerini reddet

Reddetme ataması aşağıdaki özelliklere sahiptir:

Özellik Zorunlu Türü Açıklama
DenyAssignmentName Yes String Reddetme atamasının görünen adı. Adların belirli bir kapsam için benzersiz olması gerekir.
Description Hayır String Reddetme atamasının açıklaması.
Permissions.Actions En az bir Eylem veya bir DataActions Dize[] Reddetme atamasının erişimi engellediği denetim düzlemi eylemlerini belirten dize dizisi.
Permissions.NotActions Hayır Dize[] Reddetme atamasının dışında tutulacak denetim düzlemi eylemini belirten dize dizisi.
Permissions.DataActions En az bir Eylem veya bir DataActions Dize[] Reddetme atamasının erişimi engellediği veri düzlemi eylemlerini belirten dize dizisi.
Permissions.NotDataActions Hayır Dize[] Reddetme atamasının dışında tutulacak veri düzlemi eylemlerini belirten dize dizisi.
Scope Hayır String Reddetme atamasının uygulanacağı kapsamı belirten bir dize.
DoNotApplyToChildScopes Hayır Boolean Reddetme atamasının alt kapsamlara uygulanıp uygulanmayacağını belirtir. Varsayılan değer yanlış'tır.
Principals[i].Id Yes Dize[] Reddetme atamasının geçerli olduğu bir Microsoft Entra asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik). Tüm sorumluları temsil etmek için boş bir GUID 00000000-0000-0000-0000-000000000000 olarak ayarlayın.
Principals[i].Type Hayır Dize[] Principals[i].Id tarafından temsil edilen nesne türleri dizisi. Tüm sorumluları temsil etmek için olarak SystemDefined ayarlayın.
ExcludePrincipals[i].Id Hayır Dize[] Reddetme atamasının uygulanmadığı bir Microsoft Entra asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik).
ExcludePrincipals[i].Type Hayır Dize[] ExcludePrincipals[i].Id tarafından temsil edilen nesne türleri dizisi.
IsSystemProtected Hayır Boolean Bu reddetme atamanın Azure tarafından oluşturulup oluşturulmadığını ve düzenlenemeyeceğini veya silinemeyeceğini belirtir. Şu anda tüm reddetme atamaları sistem korumalıdır.

Tüm Sorumlular sorumlusu

Reddetme atamalarını desteklemek için Tüm Sorumlular adlı sistem tanımlı bir sorumlu kullanıma sunulmuştur. Bu sorumlu, bir Microsoft Entra dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder. Asıl kimlik sıfır GUID 00000000-0000-0000-0000-000000000000 ise ve asıl tür ise SystemDefined, sorumlu tüm sorumluları temsil eder. Azure PowerShell çıkışında Tüm Sorumlular aşağıdaki gibi görünür:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Bazı kullanıcılar dışındaki tüm sorumluları reddetmek için tüm Sorumlular ile ExcludePrincipals birleştirilebilir. Tüm Sorumlular aşağıdaki kısıtlamalara sahiptir:

  • Yalnızca içinde Principals kullanılabilir ve içinde ExcludePrincipalskullanılamaz.
  • Principals[i].Type olarak ayarlanmalıdır SystemDefined.

Ret atamalarını listeleme

Reddetme atamalarını listelemek için bu adımları izleyin.

Önemli

Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Reddetme atamaları Azure tarafından oluşturulur ve yönetilir. Daha fazla bilgi için bkz . Yönetilen kaynakları silinmeye karşı koruma.

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

  • Microsoft.Authorization/denyAssignments/readazure yerleşik rollerinin çoğuna dahil edilen izin.

Azure portalında reddetme atamalarını listeleme

Abonelik veya yönetim grubu kapsamında reddetme atamalarını listelemek için bu adımları izleyin.

  1. Azure portalında, kaynak grubu veya abonelik gibi seçili kapsamı açın.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. Atamaları reddet sekmesini seçin (veya Reddetme atamalarını görüntüle kutucuğundaki Görünüm düğmesini seçin).

    Bu kapsamda veya bu kapsamda devralınan reddetme atamaları varsa, bunlar listelenir.

    Seçili kapsamda reddetme atamalarını listeleyen Erişim denetimi (IAM) sayfasının ve Atamaları reddet sekmesinin ekran görüntüsü.

  4. Ek sütunları görüntülemek için Sütunları Düzenle'yi seçin.

    Reddetme atamaları listesine sütun eklemeyi gösteren reddetme atamaları sütunları bölmesinin ekran görüntüsü.

    Sütun Veri Akışı Açıklaması
    Adı Reddetme atamasının adı.
    Asıl tür Kullanıcı, grup, sistem tanımlı grup veya hizmet sorumlusu.
    Redd -edildi Reddetme atamasına dahil edilen güvenlik sorumlusunun adı.
    Kimlik Reddetme ataması için benzersiz tanımlayıcı.
    Dışlanan sorumlular Reddetme atamasının dışında tutulan güvenlik sorumluları olup olmadığı.
    Çocuklar için geçerli değildir Reddetme atamasının alt kapsamlara devralınıp devralınmadığı.
    Sistem korumalı Reddetme atamasının Azure tarafından yönetilip yönetilmediği. Şu anda her zaman Evet.
    Scope Yönetim grubu, abonelik, kaynak grubu veya kaynak.
  5. Etkin öğelerden herhangi birine onay işareti ekleyin ve ardından seçili sütunları görüntülemek için Tamam'ı seçin.

Reddetme ataması hakkındaki ayrıntıları listeleme

Reddetme ataması hakkında ek ayrıntıları listelemek için bu adımları izleyin.

  1. Önceki bölümde açıklandığı gibi Atamaları reddet bölmesini açın.

  2. Kullanıcılar sayfasını açmak için reddetme ataması adını seçin.

    Geçerli ve dışlananları listeleyen reddetme ataması için Kullanıcılar sayfasının ekran görüntüsü.

    Kullanıcılar sayfası aşağıdaki iki bölümü içerir.

    Reddetme ayarı Açıklama
    Reddetme ataması şunlar için geçerlidir: Reddetme atamasının uygulandığı güvenlik sorumluları.
    Atamayı reddet dışlar Reddetme atamasının dışında tutulan güvenlik sorumluları.

    Sistem Tanımlı Sorumlu bir Azure AD dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder.

  3. Reddedilen izinlerin listesini görmek için Reddedilen İzinler'i seçin.

    Reddedilen izinleri listeleyen reddetme ataması için Reddedilen İzinler sayfasının ekran görüntüsü.

    Eylem türü Açıklama
    Eylemler Kontrol düzlemi eylemleri reddedildi.
    NotActions Kontrol düzlemi eylemleri reddedilen kontrol düzlemi eylemlerinden dışlanır.
    DataActions Veri düzlemi eylemleri reddedildi.
    NotDataActions Reddedilen veri düzlemi eylemlerinin dışında tutulan veri düzlemi eylemleri.

    Önceki ekran görüntüsünde gösterilen örnek için geçerli izinler şunlardır:

    • İşlem eylemleri dışında veri düzlemi üzerindeki tüm depolama eylemleri reddedilir.
  4. Reddetme atamasının özelliklerini görmek için Özellikler'i seçin.

    Özellikleri listeleyen reddetme ataması için Özellikler sayfasının ekran görüntüsü.

    Özellikler sayfasında reddetme ataması adını, kimliğini, açıklamasını ve kapsamını görebilirsiniz. Alt öğelere uygulanmaz anahtarı, reddetme atamasının alt kapsamlara devralınıp devralınmadığını gösterir. Sistem korumalı anahtar, bu reddetme atamasının Azure tarafından yönetilip yönetilmediğini gösterir. Şu anda bu, her durumda Evet'tir.

Sonraki adımlar