共用方式為


列出 Azure 否定性指派

與角色指派相同,「拒絕指派」也會基於拒絕存取權的目的來附加一組在特定範圍內拒絕使用者、群組或服務主體的動作。 拒絕指派會封鎖使用者執行指定的 Azure 資源動作,即使角色指派授予他們存取權也一樣。

本文說明如何列出拒絕指派清單。

重要

您無法直接建立自己的否定性指派。 拒絕指派會由 Azure 建立及管理。

否定性指派的建立方式

拒絕指派會由 Azure 建立及管理,目的是保護資源。 您無法直接建立自己的否定性指派。 不過,您可以在建立部署堆疊時指定拒絕設定,這會建立部署堆疊資源所擁有的拒絕指派。 部署堆疊目前為預覽狀態。 如需詳細資訊,請參閱保護受控資源免於遭到刪除 (部分機器翻譯)。

角色指派和否定性指派的比較

否定性指派與角色指派的模式類似,但還是有一些差異。

功能 角色指派 拒絕指派
授予存取權
拒絕存取
可以直接建立
在特定範圍套用
排除主體
防止子範圍繼承
套用至傳統訂用帳戶管理員指派

拒絕指派屬性

拒絕指派有下列屬性:

屬性 必要 類型​ 描述
DenyAssignmentName Yes String 拒絕指派的顯示名稱。 名稱在指定範圍內必須是唯一的。
Description No String 拒絕指派的描述。
Permissions.Actions 至少一個 Actions 或一個 DataActions String[] 字串陣列,用於指定否定性指派要封鎖存取權的控制平面動作。
Permissions.NotActions No String[] 字串陣列,用於指定要從否定性指派排除的控制平面動作。
Permissions.DataActions 至少一個 Actions 或一個 DataActions String[] 字串陣列,用於指定否定性指派要封鎖存取權的資料平面動作。
Permissions.NotDataActions No String[] 字串陣列,用於指定要從否定性指派排除的資料平面動作。
Scope No String 一個字串, 指定拒絕指派要套用的範圍。
DoNotApplyToChildScopes No 布林值 指定拒絕指派是否要套用到子範圍。 預設值為 False。
Principals[i].Id Yes String[] 套用拒絕指派的 Microsoft Entra 主體物件識別碼陣列 (使用者、群組、服務主體或受控識別)。 設定為空 GUID 00000000-0000-0000-0000-000000000000 以代表所有主體。
Principals[i].Type No String[] 由 Principals[i].Id 代表的物件類型陣列。設定為 SystemDefined 以代表所有主體。
ExcludePrincipals[i].Id No String[] 無法套用拒絕指派的 Microsoft Entra 主體物件識別碼陣列 (使用者、群組、服務主體或受控識別)。
ExcludePrincipals[i].Type No String[] 由 ExcludePrincipals[i].Id 代表的物件類型陣列。
IsSystemProtected No 布林值 指定此拒絕指派是否由 Azure 建立且無法編輯或刪除。 目前,所有拒絕指派都受系統保護。

「所有主體」主體

為了支援否定性指派,導入了名為「所有主體」的系統定義主體。 此主體代表 Microsoft Entra 目錄中的所有使用者、群組、服務主體和受控識別。 若主體識別碼是零值 GUID 00000000-0000-0000-0000-000000000000 且主體類型是 SystemDefined,則主體代表所有主體。 在 Azure PowerShell 輸出中,「所有主體」如下所示:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

「所有主體」可與 ExcludePrincipals 合併,以拒絕特定使用者以外的所有主體。 「所有主體」受到下列條件約束:

  • 只能在 Principals 中使用,而無法在 ExcludePrincipals 中使用。
  • Principals[i].Type 必須設定為 SystemDefined

列出拒絕指派

請遵循下列步驟來列出拒絕指派清單。

重要

您無法直接建立自己的否定性指派。 拒絕指派會由 Azure 建立及管理。 如需詳細資訊,請參閱保護受控資源免於遭到刪除 (部分機器翻譯)。

必要條件

若要取得否定性指派的相關資訊,您必須具備:

  • Microsoft.Authorization/denyAssignments/read 權限,大多數 Azure 內建角色都具有這項權限。

使用 Azure 入口網站列出拒絕指派清單

請遵循下列步驟來列出訂用帳戶或管理群組範圍的拒絕指派。

  1. 在 Azure 入口網站中,開啟選取的範圍,例如:資源群組或訂用帳戶。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [拒絕指派] 索引標籤 (或是選取 [檢視拒絕指派] 圖格上的 [檢視] 按鈕)。

    若此範圍中有任何拒絕指派,或有任何拒絕指派繼承到此範圍,將會列出它們。

    螢幕擷取畫面顯示存取控制 (IAM) 頁面和 [拒絕指派] 索引標籤,其中列出所選範圍中的拒絕指派。

  4. 若要顯示其他資料行,請選取 [編輯資料行]

    螢幕擷取畫面顯示拒絕指派資料行窗格,其中顯示如何將資料行新增至拒絕指派清單。

    資料行 描述
    名稱 拒絕指派的名稱。
    主體類型 使用者、群組、系統定義的群組或服務主體。
    拒絕 拒絕指派中涵蓋的安全性主體名稱。
    Id 拒絕指派的唯一識別碼。
    已排除主體 是否有拒絕指派排除在外的安全性主體。
    不會套用至子系 拒絕指派是否已繼承到子範圍內。
    受保護的系統 拒絕指派是否由 Azure 管理。 目前都是。
    Scope 管理群組、訂用帳戶、資源群組或資源。
  5. 新增核取記號至任何已啟用的項目,然後選取 [確定] 以顯示選取的資料行。

列出否定性指派的相關詳細資料

請遵循下列步驟來列出否定性指派的其他相關詳細資料。

  1. 如上一節所述,開啟 [拒絕指派] 窗格。

  2. 選取拒絕指派的名稱以開啟 [使用者] 頁面。

    螢幕擷取畫面顯示 [使用者] 頁面,其中列出套用和排除的拒絕指派。

    [使用者] 頁面包含下列兩個區段。

    拒絕設定 描述
    拒絕指派會套用到 拒絕指派套用的安全性主體。
    拒絕指派不包括 拒絕指派排除在外的安全性主體。

    系統定義的主體代表 Azure AD 目錄中的所有使用者、群組、服務主體及受控身分識別。

  3. 若要查看被拒絕的權限清單,請選取 [拒絕的權限]

    螢幕擷取畫面顯示拒絕指派的拒絕權限頁面,其中列出拒絕的權限。

    動作類型 描述
    動作 已拒絕的控制平面動作。
    NotActions 從拒絕的控制平面動作排除的控制平面動作。
    DataActions 已拒絕的資料平面動作。
    NotDataActions 從拒絕的資料平面動作排除的資料平面動作。

    若是先前螢幕擷取畫面所顯示的範例中,以下為有效的權限:

    • 資料平面的所有儲存動作都會遭到拒絕,但計算動作除外。
  4. 若要查看拒絕指派的屬性,請選取 [屬性]

    螢幕擷取畫面顯示列出屬性之拒絕指派的 [屬性] 頁面。

    在 [屬性] 頁面中,您可以看到拒絕指派名稱、ID、說明及範圍。 不會套用至子系參數會指示拒絕指派是否已繼承到子範圍內。 受保護的系統參數會指示此拒絕指派是否由 Azure 管理。 目前在所有情況下都

下一步