فهم Azure رفض التعيينات
على غرار تعيين الدور، يرفق تعيين الرفض مجموعة من إجراءات الرفض بمستخدم أو مجموعة أو مدير خدمة في نطاق معين لغرض رفض الوصول. يؤدي رفض التعيينات إلى منع المستخدمين من تنفيذ إجراءات موارد Azure محددة حتى إذا كان تعيين الدور يمنحهم حق الوصول.
توضح هذه المقالة كيفية تعريف رفض التعيينات.
كيفية إنشاء رفض المهام
يتم إنشاء مهام الرفض وإدارتها بواسطة Azure لحماية الموارد. تستخدم مخططات Azure وتطبيقات Azure المدارة مهام الرفض لحماية الموارد المدارة بواسطة النظام. تعد مخططات Azure وتطبيقات Azure المدارة هي الطريقة الوحيدة التي يتم بها استخدام رفض المهام داخل Azure. لا يمكنك إنشاء واجبات الرفض الخاصة بك مباشرة. تستخدم Azure Blueprints مهام الرفض لتأمين الموارد، ولكن فقط للموارد التي تم نشرها كجزء من مخطط. لمزيد من المعلومات، راجع فهم تأمين الموارد في مخططات Azure.
ملاحظة
لا يمكنك إنشاء واجبات الرفض الخاصة بك مباشرة.
مقارنة تعيينات الأدوار ورفض التعيينات
يتبع رفض التعيينات نمطا مشابها لتعيينات الأدوار، ولكن له أيضا بعض الاختلافات.
| الإمكانية | تعيين الدور | رفض التعيين |
|---|---|---|
| منح حق الوصول | ✔️ | |
| رفض الوصول | ✔️ | |
| يمكن إنشاؤها مباشرة | ✔️ | |
| التقديم في نطاق | ✔️ | ✔️ |
| استبعاد المدراء | ✔️ | |
| منع الميراث لمناظير الأطفال | ✔️ | |
| تنطبق على تعيينات مسؤول الاشتراك الكلاسيكية | ✔️ |
رفض خصائص التعيين
يحتوي التعيين المرفوض على الخصائص التالية:
| الخاصية | مطلوب | النوع | الوصف |
|---|---|---|---|
DenyAssignmentName |
نعم | سلسلة | اسم العرض الخاص برفض المهمة. يجب أن تكون الأسماء فريدة من نوعها لنطاق معين. |
Description |
لا | سلسلة | وصف رفض التعيين. |
Permissions.Actions |
إجراء واحد على الأقل أو إجراء بيانات واحد | String[] | صفيف من السلاسل التي تحدد إجراءات مستوى التحكم التي يحظر رفض المهمة الوصول إليها. |
Permissions.NotActions |
لا | سلسلة[] | صفيف من السلاسل التي تحدد إجراء مستوى التحكم لاستبعاده من تعيين الرفض. |
Permissions.DataActions |
إجراء واحد على الأقل أو إجراء بيانات واحد | String[] | صفيف من السلاسل التي تحدد إجراءات مستوى البيانات التي يحظر رفض المهمة الوصول إليها. |
Permissions.NotDataActions |
لا | سلسلة[] | صفيف من السلاسل التي تحدد إجراءات مستوى البيانات المراد استبعادها من مهمة الرفض. |
Scope |
لا | سلسلة | سلسلة تحدد النطاق الذي ينطبق عليه رفض التعيين. |
DoNotApplyToChildScopes |
لا | منطقي | يحدد ما إذا كان تعيين الرفض ينطبق على النطاقات الفرعية أم لا. القيمة الافتراضية هي false. |
Principals[i].Id |
نعم | String[] | صفيف من معرفات الكائنات الرئيسية ل Azure AD (المستخدم أو المجموعة أو أصل الخدمة أو الهوية المدارة) التي ينطبق عليها تعيين الرفض. قم بالتعيين إلى GUID 00000000-0000-0000-0000-000000000000 فارغ لتمثيل جميع المبادئ. |
Principals[i].Type |
لا | سلسلة[] | صفيف من أنواع الكائنات التي يمثلها Principals[i].Id. تعيين لتمثيل SystemDefined جميع المبادئ. |
ExcludePrincipals[i].Id |
لا | سلسلة[] | صفيف من معرفات الكائنات الرئيسية ل Azure AD (المستخدم أو المجموعة أو أصل الخدمة أو الهوية المدارة) التي لا ينطبق عليها رفض التعيين. |
ExcludePrincipals[i].Type |
لا | سلسلة[] | صفيف من أنواع الكائنات التي يمثلها ExcludePrincipals[i].Id. |
IsSystemProtected |
لا | منطقي | يحدد ما إذا كان تعيين الرفض هذا قد تم إنشاؤه بواسطة Azure ولا يمكن تحريره أو حذفه. حاليا، جميع المهام المرفوضة محمية من قبل النظام. |
مدير جميع المديرين
لدعم رفض التعيينات، تم إدخال مدير معرف من قبل النظام يسمى جميع المديرين . يمثل هذا المبدأ جميع المستخدمين والمجموعات ومديري الخدمات والهويات المدارة في دليل Azure AD. إذا كان المعرف الأساسي عبارة عن GUID 00000000-0000-0000-0000-000000000000 صفري وكان النوع الأساسي هو ، فإن SystemDefinedالمدير يمثل جميع المبادئ. في إخراج Azure PowerShell، تبدو كافة المدراء كما يلي:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
يمكن دمج جميع المدراء مع ExcludePrincipals رفض جميع المدراء باستثناء بعض المستخدمين. جميع المديرين لديهم القيود التالية:
- يمكن استخدامها فقط في ولا يمكن استخدامها في
PrincipalsExcludePrincipals. - يجب تعيين
Principals[i].Type إلى SystemDefined.