Lijst met Azure toewijzing weigeren

Net als bij een roltoewijzing koppelt een weigeringstoewijzing een set weigeringsacties aan een gebruiker, groep of service-principal in een bepaald bereik voor het weigeren van toegang. Weigeringstoewijzingen voorkomen dat gebruikers opgegeven Azure-resourceacties uitvoeren, zelfs als een roltoewijzing hen deze toegang verleent.

In dit artikel wordt beschreven hoe u weigeringstoewijzingen kunt vermelden.

Belangrijk

U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. Weigeringstoewijzingen worden gemaakt en beheerd door Azure.

Hoe weigeringstoewijzingen worden gemaakt

Toewijzingen voor weigeren worden gemaakt en beheerd door Azure om resources te beschermen. U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. U kunt echter instellingen voor weigeren opgeven bij het maken van een implementatiestack, waardoor een weigeringstoewijzing wordt gemaakt die eigendom is van de resources van de implementatiestack. Implementatiestacks zijn momenteel beschikbaar als preview-versie. Zie Beheerde resources beschermen tegen verwijdering voor meer informatie.

Roltoewijzingen vergelijken en toewijzingen weigeren

Weigeringstoewijzingen volgen een vergelijkbaar patroon als roltoewijzingen, maar hebben ook enkele verschillen.

Mogelijkheid	Roltoewijzing	Toewijzing weigeren
Toegang verlenen	✅
De toegang weigeren		✅
Kan rechtstreeks worden gemaakt	✅
Toepassen op een bereik	✅	✅
Principals uitsluiten		✅
Overname van onderliggende bereiken voorkomen		✅
Toepassen op klassieke abonnementsbeheerderstoewijzingen		✅

Toewijzingseigenschappen weigeren

Een weigeringstoewijzing heeft de volgende eigenschappen:

Eigenschappen	Vereist	Type	Description
DenyAssignmentName	Ja	String	De weergavenaam van de weigeringstoewijzing. Namen moeten uniek zijn voor een bepaald bereik.
Description	Nee	String	De beschrijving van de weigeringstoewijzing.
Permissions.Actions	Ten minste één acties of één DataActions	Tekenreeks[]	Een matrix met tekenreeksen waarmee de besturingsvlakacties worden opgegeven waarmee de weigeringstoewijzing de toegang blokkeert.
Permissions.NotActions	Nee	Tekenreeks[]	Een matrix met tekenreeksen die de besturingsvlakactie opgeven die moet worden uitgesloten van de weigeringstoewijzing.
Permissions.DataActions	Ten minste één acties of één DataActions	Tekenreeks[]	Een matrix met tekenreeksen waarmee de gegevensvlakacties worden opgegeven waarmee de weigeringstoewijzing de toegang blokkeert.
Permissions.NotDataActions	Nee	Tekenreeks[]	Een matrix met tekenreeksen die de acties voor het gegevensvlak opgeven die moeten worden uitgesloten van de weigeringstoewijzing.
Scope	Nee	String	Een tekenreeks die het bereik aangeeft waarop de weigeringstoewijzing van toepassing is.
DoNotApplyToChildScopes	Nee	Booleaanse waarde	Hiermee geeft u op of de weigeringstoewijzing van toepassing is op onderliggende bereiken. De standaardwaarde is false.
Principals[i].Id	Ja	Tekenreeks[]	Een matrix van Microsoft Entra principal-object-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing van toepassing is. Stel deze in op een lege GUID 00000000-0000-0000-0000-000000000000 om alle principals weer te geven.
Principals[i].Type	Nee	Tekenreeks[]	Een matrix van objecttypen die worden vertegenwoordigd door Principals[i].Id. Ingesteld om SystemDefined alle principals weer te geven.
ExcludePrincipals[i].Id	Nee	Tekenreeks[]	Een matrix van Microsoft Entra principal-object-id's (gebruiker, groep, service-principal of beheerde identiteit) waarop de weigeringstoewijzing niet van toepassing is.
ExcludePrincipals[i].Type	Nee	Tekenreeks[]	Een matrix van objecttypen die worden vertegenwoordigd door ExcludePrincipals[i].Id.
IsSystemProtected	Nee	Booleaanse waarde	Hiermee geeft u op of deze weigeringstoewijzing is gemaakt door Azure en niet kan worden bewerkt of verwijderd. Momenteel zijn alle weigeringstoewijzingen door het systeem beveiligd.

De principal All Principals

Ter ondersteuning van weigeringstoewijzingen is een door het systeem gedefinieerde principal met de naam Alle principals geïntroduceerd. Deze principal vertegenwoordigt alle gebruikers, groepen, service-principals en beheerde identiteiten in een Microsoft Entra-directory. Als de principal-id een nul-GUID 00000000-0000-0000-0000-000000000000 is en het principal-type is SystemDefined, vertegenwoordigt de principal alle principals. In de Uitvoer van Azure PowerShell zien alle principals er als volgt uit:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Alle principals kunnen worden gecombineerd met ExcludePrincipals het weigeren van alle principals, behalve sommige gebruikers. Alle principals hebben de volgende beperkingen:

• Kan alleen worden gebruikt in Principals en kan niet worden gebruikt in ExcludePrincipals.
• Principals[i].Type moet zijn ingesteld op SystemDefined.

Lijst met geweigerde toewijzingen weergeven

Volg deze stappen om weigeringstoewijzingen weer te geven.

Belangrijk

U kunt niet rechtstreeks uw eigen toewijzingen voor weigeren maken. Weigeringstoewijzingen worden gemaakt en beheerd door Azure. Zie Beheerde resources beschermen tegen verwijdering voor meer informatie.

Azure-portal

Vereisten

Als u informatie wilt over een weigeringstoewijzing, hebt u het volgende nodig:

• Microsoft.Authorization/denyAssignments/read machtiging, die is opgenomen in de meeste ingebouwde Azure-rollen.

Weigeringstoewijzingen weergeven in Azure Portal

Volg deze stappen om weigeringstoewijzingen weer te geven in het bereik van het abonnement of de beheergroep.

1. Open in Azure Portal het geselecteerde bereik, zoals de resourcegroep of het abonnement.

2. Klik op Toegangsbeheer (IAM) .

3. Selecteer het tabblad Toewijzingen weigeren (of selecteer de knop Weergave op de tegel Weigeringstoewijzingen weergeven).

   Als er weigeringstoewijzingen zijn voor dit bereik of worden overgenomen voor dit bereik, worden deze weergegeven.

   

4. Als u extra kolommen wilt weergeven, selecteert u Kolommen bewerken.

   

   Kolom	Beschrijving
   Naam	Naam van de weigeringstoewijzing.
   Principal-type	Gebruiker, groep, door het systeem gedefinieerde groep of service-principal.
   Geweigerd	Naam van de beveiligingsprincipaal die is opgenomen in de weigeringstoewijzing.
   Id	Unieke id voor de weigeringstoewijzing.
   Uitgesloten principals	Of er beveiligingsprinciplen zijn die zijn uitgesloten van de weigeringstoewijzing.
   Is niet van toepassing op kinderen	Of de weigeringstoewijzing wordt overgenomen door subscopen.
   Door het systeem beveiligd	Of de weigeringstoewijzing wordt beheerd door Azure. Momenteel, altijd ja.
   Scope	Beheergroep, abonnement, resourcegroep of resource.

5. Voeg een vinkje toe aan een van de ingeschakelde items en selecteer vervolgens OK om de geselecteerde kolommen weer te geven.

Lijst met details over een weigeringstoewijzing

Volg deze stappen om aanvullende informatie over een weigeringstoewijzing weer te geven.

1. Open het deelvenster Weigeringstoewijzingen zoals beschreven in de vorige sectie.

2. Selecteer de naam van de weigeringstoewijzing om de pagina Gebruikers te openen.

   

   De pagina Gebruikers bevat de volgende twee secties.

   Instelling weigeren	Beschrijving
   Weigeringstoewijzing is van toepassing op	Beveiligingsprinciplen waarop de weigeringstoewijzing van toepassing is.
   Toewijzing weigeren is uitgesloten	Beveiligingsprinciplen die zijn uitgesloten van de weigeringstoewijzing.

   Door het systeem gedefinieerde principal vertegenwoordigt alle gebruikers, groepen, service-principals en beheerde identiteiten in een Azure AD-directory.

3. Als u een lijst met de geweigerde machtigingen wilt zien, selecteert u Geweigerde machtigingen.

   

   Actietype	Beschrijving
   Acties	De acties van het besturingsvlak zijn geweigerd.
   NotActions	Besturingsvlakacties uitgesloten van geweigerde besturingsvlakacties.
   DataActions	Acties voor het gegevensvlak zijn geweigerd.
   NotDataActions	Gegevensvlakacties uitgesloten van geweigerde gegevensvlakacties.

   Voor het voorbeeld dat in de vorige schermafbeelding wordt weergegeven, zijn de volgende effectieve machtigingen:

   • Alle opslagacties op het gegevensvlak worden geweigerd, met uitzondering van rekenacties.

4. Als u de eigenschappen voor een weigeringstoewijzing wilt zien, selecteert u Eigenschappen.

   

   Op de pagina Eigenschappen ziet u de naam van de weigeringstoewijzing, id, beschrijving en bereik. De schakeloptie Is niet van toepassing op onderliggende elementen geeft aan of de weigeringstoewijzing wordt overgenomen door subscopen. De door het systeem beveiligde switch geeft aan of deze weigeringstoewijzing wordt beheerd door Azure. Dit is momenteel Ja in alle gevallen.

Azure PowerShell

Vereisten

Als u informatie wilt over een weigeringstoewijzing, hebt u het volgende nodig:

• Microsoft.Authorization/denyAssignments/read machtiging, die is opgenomen in de meeste ingebouwde Azure-rollen
• PowerShell in Azure Cloud Shell of Azure PowerShell

Alle weigeringstoewijzingen weergeven

Als u alle weigeringstoewijzingen voor het huidige abonnement wilt weergeven, gebruikt u Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Weigeringstoewijzingen weergeven op een resourcegroepbereik

Als u alle weigeringstoewijzingen in een resourcegroepbereik wilt weergeven, gebruikt u Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Toewijzingen voor weigeren weergeven in een abonnementsbereik

Als u alle weigeringstoewijzingen in een abonnementsbereik wilt weergeven, gebruikt u Get-AzDenyAssignment. Als u de abonnements-id wilt ophalen, vindt u deze op de pagina Abonnementen in Azure Portal of kunt u Get-AzSubscription gebruiken.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Vereisten

Als u informatie wilt over een weigeringstoewijzing, hebt u het volgende nodig:

• Microsoft.Authorization/denyAssignments/read machtiging, die is opgenomen in de meeste ingebouwde Azure-rollen.

U moet de volgende versie gebruiken:

• 2018-07-01-preview of hoger
• 2022-04-01 is de eerste stabiele versie

Eén weigeringstoewijzing weergeven

Als u één weigeringstoewijzing wilt weergeven, gebruikt u de Weigeringstoewijzingen - REST API ophalen .

1. Begin met de volgende aanvraag:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Vervang {scope} in de URI door het bereik waarvoor u de weigeringstoewijzingen wilt weergeven.

   Bereik	Type
   subscriptions/{subscriptionId}	Abonnement
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resourcegroep
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Bron

3. Vervang {deny-assignment-id} door de weigeringstoewijzings-id die u wilt ophalen.

Meerdere weigeringstoewijzingen weergeven

Gebruik de REST API voor weigeren om meerdere weigeringstoewijzingen weer te geven.

1. Begin met een van de volgende aanvragen:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Met optionele parameters:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Vervang {scope} in de URI door het bereik waarvoor u de weigeringstoewijzingen wilt weergeven.

   Bereik	Type
   subscriptions/{subscriptionId}	Abonnement
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resourcegroep
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Bron

3. Vervang {filter} door de voorwaarde die u wilt toepassen om de lijst met weigeringstoewijzingen te filteren.

   Filteren	Beschrijving
   (geen filter)	Een lijst met alle weigeringstoewijzingen op, boven en onder het opgegeven bereik.
   $filter=atScope()	Hiermee worden weigeringstoewijzingen voor alleen het opgegeven bereik en hoger weergegeven. Bevat niet de weigeringstoewijzingen in subscopen.
   $filter=assignedTo('{objectId}')	Hiermee worden weigeringstoewijzingen voor de opgegeven gebruiker of service-principal weergegeven. Als de gebruiker lid is van een groep met een weigeringstoewijzing, wordt die weigeringstoewijzing ook vermeld. Dit filter is transitief voor groepen, wat betekent dat als de gebruiker lid is van een groep en die groep lid is van een andere groep die een weigeringstoewijzing heeft, die weigeringstoewijzing ook wordt vermeld. Dit filter accepteert alleen een object-id voor een gebruiker of een service-principal. U kunt geen object-id voor een groep doorgeven.
   $filter=atScope()+and+assignedTo('{objectId}')	Een lijst met weigeringstoewijzingen voor de opgegeven gebruiker of service-principal en binnen het opgegeven bereik.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Hiermee worden weigeringstoewijzingen met de opgegeven naam weergegeven.
   $filter=principalId+eq+'{objectId}'	Een lijst met weigeringstoewijzingen voor de opgegeven gebruiker, groep of service-principal.

Toewijzingen voor weigeren weergeven in het hoofdbereik (/)

1. Verhoog uw toegang zoals beschreven in Elevate-toegang voor het beheren van alle Azure-abonnementen en -beheergroepen.

2. Gebruik de volgende aanvraag:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Vervang {filter} door de voorwaarde die u wilt toepassen om de lijst met weigeringstoewijzingen te filteren. Er is een filter vereist.

   Filteren	Beschrijving
   $filter=atScope()	Lijst met weigeringstoewijzingen voor alleen het hoofdbereik. Bevat niet de weigeringstoewijzingen in subscopen.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Weigeringstoewijzingen weergeven met de opgegeven naam.

4. Verhoogde toegang verwijderen.

Volgende stappen

• Implementatiestacks