Список назначений запретов Azure

2025-04-24

Как и назначение роли, назначение запрета прикрепляет набор действий, направленных на запрет, к пользователю, группе или прикладному субъекту в определенной сфере с целью запрета доступа. Запрещающие назначения блокируют выполнение определенных действий ресурсов Azure пользователями, даже если назначение роли предоставляет им доступ.

В этой статье описывается, как составить список отказанных назначений.

Внимание

Вы не можете создавать собственные назначения отказа напрямую. Назначения типа "запрет" создаются и управляются Azure.

Как создаются задания на отказ

Назначения с запретом создаются и управляются в Azure для защиты ресурсов. Вы не можете создавать собственные назначения отказа напрямую. Однако при создании стека развертывания можно указать параметры запрета, которое создает назначение запрета, принадлежащее ресурсам стека развертывания. Дополнительные сведения см. в разделе "Защита управляемых ресурсов " и ограничений Azure RBAC.

Сравнительное описание назначений ролей и назначений запретов

Назначения запретов похожи на назначения ролей, но имеют некоторые отличия.

Возможность	Назначение ролей	Отказ от назначения
Предоставление доступа	✅
Запрет доступа		✅
Может быть создано напрямую	✅
Применить в определённой области	✅	✅
Исключение основных участников		✅
Предотвращение наследования в дочерние области		✅
Подать заявку на назначения администраторов классических подписок		✅

Свойства отказов в назначении

Отказ в назначении имеет следующие свойства:

Свойство	Обязательное поле	Тип	Описание
`DenyAssignmentName`	Да	Строка	Отображаемое имя отказа в назначении. Имена должны быть уникальными в заданной области.
`Description`	Нет	Строка	Описание запрета назначения.
`Permissions.Actions`	Минимум один Actions или один DataActions.	String[]	Массив строк, определяющих действия в плоскости управления, на которые распространяется запрещение доступа на уровне назначения.
`Permissions.NotActions`	Нет	String[]	Массив строк, указывающих действие уровня управления, которое следует исключить из назначения запрета.
`Permissions.DataActions`	Минимум один Actions или один DataActions.	String[]	Массив строк, указывающих действия на плоскости данных, доступ к которым блокируется через отказ в назначении.
`Permissions.NotDataActions`	Нет	String[]	Массив строк, указывающих действия плоскости данных, которые следует исключить из назначения запрета.
`Scope`	Нет	Строка	Строка, определяющая область, к которой применяется запрет назначения.
`DoNotApplyToChildScopes`	Нет	Логический	Указывает, применяется ли отказ в назначении к дочерним областям. По умолчанию используется значение false.
`Principals[i].Id`	Да	String[]	Массив идентификаторов основного объекта Microsoft Entra (пользователя, группы, субъекта-службы или управляемого удостоверения), к которым применяется отказ в назначении. Установите пустой GUID (`00000000-0000-0000-0000-000000000000`) для представления всех участников.
`Principals[i].Type`	Нет	String[]	Массив типов объектов, представленных значениями Principals[i].Id. Установите значение `SystemDefined`, чтобы представить всех субъектов.
`ExcludePrincipals[i].Id`	Нет	String[]	Массив идентификаторов основных объектов Microsoft Entra (пользователь, группа, субъект-службы или управляемое удостоверение), к которому запретное назначение не применяется.
`ExcludePrincipals[i].Type`	Нет	String[]	Массив типов объектов, представленный ExcludePrincipals[i].Id.
`IsSystemProtected`	Нет	Логический	Определяет, было ли назначение запрета создано Microsoft Azure и, следовательно, не может быть изменено или удалено. В настоящее время все запретные назначения защищены системой.

Главный субъект "Все субъекты"

Для поддержки отказа в назначениях был представлен системно определенный субъект с именем All Principals. Этот объект представляет всех пользователей, группы, служебные субъекты и управляемые удостоверения в каталоге Microsoft Entra. Если идентификатор субъекта имеет нулевое значение GUID (00000000-0000-0000-0000-000000000000), а тип субъекта — SystemDefined, субъект представляет все субъекты. В выходных данных Azure PowerShell объект "Все участники" выглядит следующим образом:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Все принципы можно сочетать с ExcludePrincipals, чтобы запретить всем субъектам, кроме некоторых пользователей. Все главные субъекты имеют следующие ограничения:

Может использоваться только в Principals и не может использоваться в ExcludePrincipals.
Для параметра Principals[i].Type нужно задать значение SystemDefined.

Перечислить запрещённые назначения

Выполните следующие действия, чтобы получить список отказов в назначениях.

Внимание

Вы не можете создавать собственные назначения отказа напрямую. Назначения типа "запрет" создаются и управляются Azure. Дополнительные сведения см. в разделе "Защита управляемых ресурсов от удаления".

Предварительные условия

Чтобы получить сведения о назначении запрета, вам потребуется:

Разрешение Microsoft.Authorization/denyAssignments/read, входящее в большинство встроенных ролей Azure.

Список назначений с запретом на портале Azure

Следуйте следующим шагам, чтобы перечислить отклоненные назначения в области группы управления или подписки.

В портал Azure откройте выбранную область, например группу ресурсов или подписку.
Выберите Управление доступом (IAM).
Выберите вкладку "Запретить назначения" (или нажмите кнопку "Просмотр" на плитке "Запретить назначения").

Если в этой области или наследуются какие-либо запретные назначения, они будут перечислены.

Чтобы отобразить дополнительные столбцы, выберите "Изменить столбцы".

Столбец	Описание
Имя	Имя отклоненного назначения.
Основной тип	Пользователь, группа, группа, определяемая системой, или служебный субъект.
Отказано	Имя субъекта безопасности, который содержится в отказе в назначении.
Идентификатор	Уникальный идентификатор запрещающего назначения.
Исключенные субъекты	Субъекты безопасности (если есть), для которых действуют исключения из этого запрещающего назначения.
Не применяется к детям	Определяет, распространяется ли запрещающее назначение на вложенные области.
Система защищена	Управляется ли запрещающее назначение платформой Azure. В настоящее время всегда "Да".
Объем	Группа управления, подписка, группа ресурсов или ресурс.

Добавьте флажок в любой из включенных элементов и нажмите кнопку "ОК ", чтобы отобразить выбранные столбцы.

Перечислить сведения о назначении запрета

Выполните следующие действия, чтобы перечислить дополнительные детали о назначении запрета.

Откройте область "Запретить назначения", как описано в предыдущем разделе.

Выберите имя запрета назначения, чтобы открыть страницу "Пользователи ".

Страница "Пользователи" содержит следующие два раздела.

Отклонить настройку	Описание
Запрет назначения применяется к	Список субъектов безопасности, для которых действует это запрещающее назначение.
Исключения для запрещения назначения	Субъекты безопасности, для которых действуют исключения из этого запрещающего назначения.

System-Defined Principal представляет всех пользователей, группы, сервисные принципы и управляемые удостоверения в каталоге Azure AD.

Чтобы просмотреть список запрещенных разрешений, выберите " Отказано в разрешениях".

Тип действия	Описание
Действия	Отказано в действиях уровня управления.
NotActions	Действия плоскости управления являются исключением из списка запрещённых действий уровня управления.
Действия с данными	Отказ в действиях плоскости передачи данных.
NotDataActions	Действия плоскости данных не включены в список запрещенных действий плоскости данных.

В примере на предыдущем снимке экрана действуют следующие разрешения.

Все операции хранения на уровне данных запрещены, за исключением операций вычисления.

Чтобы просмотреть свойства для назначения запрета, выберите "Свойства".

На странице Свойства можно увидеть имя отказа в назначении, идентификатор, описание и область. Параметр "Не применяется к детям" указывает, наследуется ли назначение запрета к подобластям. Системная защита переключатель указывает, управляется ли это назначение запрета через Azure. В настоящее время это да во всех случаях.

Предварительные условия

Чтобы получить сведения о назначении запрета, вам потребуется:

Microsoft.Authorization/denyAssignments/read разрешение, которое входит в большинство встроенных ролей Azure
PowerShell в Azure Cloud Shell или Azure PowerShell

Отображение списка всех назначений запретов

Чтобы вывести список всех запрещенных назначений для текущей подписки, используйте Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Список назначений запретов для группы ресурсов

Чтобы вывести список всех запрещенных назначений в области группы ресурсов, используйте Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Список запретных назначений на уровне подписки

Чтобы вывести список всех запрещенных назначений в области подписки, используйте Get-AzDenyAssignment. Чтобы получить идентификатор подписки, его можно найти на странице "Подписки " на портале Azure или с помощью Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Предварительные условия

Чтобы получить сведения о назначении запрета, вам потребуется:

Разрешение Microsoft.Authorization/denyAssignments/read, входящее в большинство встроенных ролей Azure.

Необходимо использовать следующую версию:

2018-07-01-preview или более поздней версии.
2022-04-01 является первой стабильной версией

Список единственного запрета доступа

Чтобы перечислить одно запретное назначение, используйте REST API Deny Assignments - Get.

Можете начать со следующего запроса:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01

В URI замените {scope} областью, для которой нужно перечислить назначения запрета.

Область	Тип
`subscriptions/{subscriptionId}`	Подписка
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Группа ресурсов
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Ресурс

Замените {deny-assignment-id} идентификатором запрета, который требуется получить.

Список нескольких запретительных назначений

Чтобы вывести список нескольких назначений запрета, используйте REST API Deny Assignments - List.

Начните работу с любого из следующих запросов.

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01

С использованием необязательных параметров:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

В URI замените {scope} областью, для которой нужно перечислить назначения запрета.

Область	Тип
`subscriptions/{subscriptionId}`	Подписка
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Группа ресурсов
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Ресурс

Замените {filter} условием, которое необходимо применить для фильтрации списка запретов.

Фильтр	Описание
(без фильтра)	Вывод списка всех запретов назначений, находящихся выше и ниже заданной области.
`$filter=atScope()`	Списки отказов в назначении только для указанной области и выше. Не включаются запреты назначений во внутренних областях.
`$filter=assignedTo('{objectId}')`	Перечисляет запрещения назначений для указанного пользователя или представителя службы. Если пользователь является членом группы, для которой указано ограничение на доступ, это ограничение также будет перечислено. Этот фильтр транзитивен для групп, что означает: если пользователь является членом группы, а эта группа состоит в другой группе с назначением, запрещающим доступ, то это назначение также будет указано. Этот фильтр принимает только ID объекта для пользователя или главного субъекта службы. Невозможно передать идентификатор объекта для группы.
`$filter=atScope()+and+assignedTo('{objectId}')`	Перечисляет назначения запретов для указанного пользователя или учетной записи службы и в специфицированной области.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Список запретов назначения с указанным именем.
`$filter=principalId+eq+'{objectId}'`	Списки отказов в назначении для указанного пользователя, группы или служебного принципала.

Вывод списка запретов назначений в корневой области (/)

Повышение уровня доступа, как описано в разделе "Повышение доступа" для управления всеми подписками Azure и группами управления.

Используйте следующий запрос:

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Замените {filter} условием, которое необходимо применить для фильтрации списка запретов. Фильтр обязателен.

Фильтр	Описание
`$filter=atScope()`	Список запретов назначений только на корневом уровне. Не включаются запреты назначений во внутренних областях.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Получите список отказов в назначении с заданным именем.

Удалите повышенный уровень доступа.

Следующие шаги

Стеки развертывания

Поделиться через

Список назначений запретов Azure

Как создаются задания на отказ

Сравнительное описание назначений ролей и назначений запретов

Свойства отказов в назначении

Главный субъект "Все субъекты"

Перечислить запрещённые назначения

Предварительные условия

Список назначений с запретом на портале Azure

Перечислить сведения о назначении запрета

Следующие шаги

Обратная связь

Дополнительные ресурсы