Répertorier toutes les affectations de refus

À l’instar d’une attribution de rôle, une affectation de refus associe un ensemble d’actions de refus à un utilisateur, un groupe ou un principal de service, sur une étendue spécifique, afin de refuser l’accès. Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure, même si une attribution de rôle leur confère un accès.

Cet article explique comment répertorier les affectations de refus.

Important

Vous ne pouvez pas directement créer vos propres affectations de refus. Les affectations de refus sont créées et gérées par Azure.

Création des affectations de refus

Les affectations de refus sont créées et gérées par Azure pour protéger les ressources. Vous ne pouvez pas directement créer vos propres affectations de refus. Toutefois, vous pouvez spécifier des paramètres de refus lors de la création d’une pile de déploiement, ce qui crée une attribution de refus appartenant aux ressources de la pile de déploiement. Les piles de déploiement sont actuellement en préversion. Pour plus d’informations, consultez Protéger les ressources managées contre la suppression.

Comparer les attributions de rôles et les affectations de refus

Les affectations de refus suivent un modèle similaire à celui des affectations de rôles, mais présentent également certaines différences.

Fonctionnalité	Attribution de rôle	Affectation de refus
Accorder l'accès	✅
Accès refusé		✅
Peut être créé directement	✅
Appliquer à une étendue	✅	✅
Exclure les principaux		✅
Empêcher l’héritage pour les étendues enfants		✅
S’applique aux affectations d’administrateurs d’abonnements classiques		✅

Propriétés des attributions de refus

Une attribution de refus possède les propriétés suivantes :

Propriété	Obligatoire	Type	Description
DenyAssignmentName	Oui	Chaîne	Nom d'affichage de l’attribution de refus. Les noms doivent être uniques pour une étendue donnée.
Description	Non	Chaîne	Description de l’attribution de refus.
Permissions.Actions	Au moins un élément Actions ou DataActions	String[]	Tableau de chaînes qui spécifient les actions du plan de contrôle auxquelles l’attribution de refus bloque l’accès.
Permissions.NotActions	Non	String[]	Tableau de chaînes qui spécifient les actions du plan de contrôle à exclure de l’attribution de refus.
Permissions.DataActions	Au moins un élément Actions ou DataActions	String[]	Tableau de chaînes qui spécifient les actions du plan de contrôle auxquelles l’attribution de refus bloque l’accès.
Permissions.NotDataActions	Non	String[]	Tableau de chaînes qui spécifient les actions du plan de contrôle à exclure de l’attribution de refus.
Scope	Non	Chaîne	Chaîne qui spécifie l’étendue à laquelle l’attribution de refus s’applique.
DoNotApplyToChildScopes	Non	Boolean	Spécifie si l’attribution de refus s’applique aux étendues enfants. La valeur par défaut est False.
Principals[i].Id	Oui	String[]	Tableau d’ID d’objet principal Microsoft Entra (utilisateur, groupe, principal de service ou identité managée) auquel l’attribution de refus s’applique. Définie sur un GUID vide 00000000-0000-0000-0000-000000000000 pour représenter tous les principaux.
Principals[i].Type	Non	String[]	Tableau de types d’objet représentés par Principals[i].Id. Définie sur SystemDefined pour représenter tous les principaux.
ExcludePrincipals[i].Id	Non	String[]	Tableau d’ID d’objet principal Microsoft Entra (utilisateur, groupe, principal de service ou identité managée) auquel l’attribution de refus ne s’applique pas.
ExcludePrincipals[i].Type	Non	String[]	Tableau de types d’objet représentés par ExcludePrincipals[i].Id.
IsSystemProtected	Non	Boolean	Spécifie si cette attribution de refus a été créée par Azure et ne peut pas être modifiée ou supprimée. Actuellement, toutes les attributions de refus sont protégées par le système.

Le principal Tous les principaux

Un principal défini par le système nommé Tous les principaux a été introduit pour prendre en charge les affectations de refus. Ce principal représente tous les utilisateurs, groupes, principaux de service et identités managées dans un annuaire Microsoft Entra. Si l’ID du principal est un GUID nul 00000000-0000-0000-0000-000000000000, et le type de principal SystemDefined, le principal représente tous les principaux. Dans la sortie d’Azure PowerShell, Tous les principaux se présente comme suit :

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Tous les principaux peut être combiné avec ExcludePrincipals pour refuser tous les principaux, à l’exception de certains utilisateurs. Tous les principaux présente les contraintes suivantes :

• Il peut être utilisé uniquement dans Principals et ne peut pas être utilisé dans ExcludePrincipals.
• Principals[i].Type doit être défini sur SystemDefined.

Répertorier les affectations de refus

Suivez ces étapes pour répertorier les affectations de refus.

Important

Vous ne pouvez pas directement créer vos propres affectations de refus. Les affectations de refus sont créées et gérées par Azure. Pour plus d’informations, consultez Protéger les ressources managées contre la suppression.

Azure portal

Prérequis

Pour obtenir des informations sur une affectation de refus, vous devez disposer de :

• l’autorisation Microsoft.Authorization/denyAssignments/read, qui est incluse dans la plupart des rôles intégrés Azure.

Répertorier les affectations de refus dans le portail Azure

Effectuez ces étapes pour répertorier les affectations de refus au niveau de l’abonnement ou de l’étendue du groupe d’administration.

1. Dans le portail Azure, ouvrez l’étendue sélectionnée, telle que le groupe de ressources ou l’abonnement.

2. Sélectionnez Contrôle d’accès (IAM) .

3. Sélectionnez l’onglet Refuser les affectations (ou sélectionnez le bouton Afficher sur la vignette Afficher les affectations de refus).

   S’il existe des affectations de refus à cette étendue ou héritées à cette étendue, elles sont répertoriées.

   

4. Pour afficher des colonnes supplémentaires, sélectionnez Modifier les colonnes.

   

   Colonne	Description
   Nom	Nom de l’affectation de refus.
   Type de principal	Utilisateur, groupe, groupe défini par le système ou principal du service.
   Refusé	Nom du principal de sécurité qui est inclus dans l’affectation de refus.
   Id	Identificateur unique pour l’affectation de refus.
   Principaux exclus	Indique s’il existe des principaux de sécurité qui sont exclus de l’affectation de refus.
   Ne s’applique pas aux enfants	Indique si l’affectation de refus est transmise à des étendues secondaires.
   Système protégé	Indique si l’affectation de refus est managée par Azure. Actuellement, toujours Oui.
   Portée	Groupe d’administration, abonnement, groupe de ressources ou ressource.

5. Ajoutez une coche à l’un des éléments activés, puis sélectionnez OK pour afficher les colonnes sélectionnées.

Répertorier les détails d’une affectation de refus

Suivez ces étapes pour répertorier des détails supplémentaires sur une affectation de refus.

1. Ouvrez le volet Affectations de refus, comme décrit à la section précédente.

2. Sélectionnez le nom de l’affectation de refus pour ouvrir la page Utilisateurs.

   

   La page Utilisateurs comprend les deux sections suivantes.

   Paramètre de refus	Description
   L’affectation de refus s’applique à	Principaux de sécurité auxquels l’affectation de refus s’applique.
   L’affectation de refus exclut	Principaux de sécurité qui sont exclus de l’affectation de refus.

   Le principal défini par le système représente tous les utilisateurs, groupes, principaux de service et identités managées figurant dans un annuaire Azure AD.

3. Pour afficher la liste des autorisations refusées, sélectionnez Autorisations refusées.

   

   Type d’action	Description
   Actions	Actions refusées du plan de contrôle.
   NotActions	Actions du plan de contrôle exclues des actions refusées du plan de contrôle.
   DataActions	Actions refusées du plan de données.
   NotDataActions	Actions du plan de données exclues des actions refusées du plan de données.

   Pour l’exemple illustré dans la capture d’écran précédente, les éléments suivants sont les autorisations effectives :

   • Toutes les actions de stockage sur le plan de données sont refusées à l’exception des actions de calcul.

4. Pour afficher les propriétés d’une affectation de refus, sélectionnez Propriétés.

   

   Dans la page Propriétés , vous pouvez voir le nom d’affectation de refus, l’ID, la description et l’étendue. Le commutateur Ne s’applique pas aux enfants indique si l’affectation de refus est transmise à des étendues secondaires. Le commutateur Système protégé indique si cette affectation de refus est managée par Azure. Actuellement, c’est Oui dans tous les cas.

Azure PowerShell

Prérequis

Pour obtenir des informations sur une affectation de refus, vous devez disposer de :

• l’autorisation Microsoft.Authorization/denyAssignments/read, qui est incluse dans la plupart des rôles intégrés Azure
• PowerShell dans Azure Cloud Shell ou Azure PowerShell

Répertorier toutes les affectations de refus

Pour répertorier toutes les affectations de refus pour l’abonnement actuel, utilisez Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Répertorier les affectations de refus dans l’étendue d’un groupe de ressources

Pour répertorier toutes les affectations de refus dans l’étendue d’un groupe de ressources, utilisez Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Répertorier les affectations de refus dans l’étendue d’un abonnement

Pour répertorier toutes les affectations de refus dans l’étendue d’un abonnement, utilisez Get-AzDenyAssignment. Pour obtenir l’ID d’abonnement, vous pouvez le trouver dans la page Abonnements dans le portail Azure ou utiliser Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Prérequis

Pour obtenir des informations sur une affectation de refus, vous devez disposer de :

• l’autorisation Microsoft.Authorization/denyAssignments/read, qui est incluse dans la plupart des rôles intégrés Azure.

Vous devez utiliser la version suivante :

• 2018-07-01-preview ou ultérieur
• 2022-04-01 est la première version stable

Lister une seule affectation de refus

Pour lister une affectation de refus unique, utilisez l’API REST Deny Assignments - Get.

1. Commencez par la requête suivante :

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les affectations de refus.

   Étendue	Type
   subscriptions/{subscriptionId}	Abonnement
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Ressource

3. Remplacez {deny-assignment-id} par l’identificateur de l’affectation de refus à récupérer.

Lister plusieurs affectations de refus

Pour lister plusieurs affectations de refus, utilisez l’API REST Deny Assignments - List.

1. Commencez par l’une des requêtes suivantes :

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Avec des paramètres facultatifs :

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les affectations de refus.

   Étendue	Type
   subscriptions/{subscriptionId}	Abonnement
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Ressource

3. Remplacez {filter} par la condition que vous voulez appliquer pour filtrer la liste des affectations de refus.

   Filter	Description
   (aucun filtre)	Répertorie toutes les affectations de refus dans l’étendue spécifiée, mais aussi dans les étendues au-dessus et en dessous.
   $filter=atScope()	Répertorie les affectations de refus uniquement dans la portée spécifiée et dans les étendues au-dessus. N’inclut pas les affectations de refus dans les étendues en dessous.
   $filter=assignedTo('{objectId}')	Répertorie les affectations de refus pour l’utilisateur ou le principal de service spécifié. Si l’utilisateur est membre d’un groupe auquel un rôle a été attribué, cette affectation de refus est également répertoriée. Ce filtre est transitif pour les groupes, ce qui signifie que si l’utilisateur est membre d’un groupe et que ce groupe est membre d’un autre groupe auquel un refus a été affecté, cette affectation de refus est également répertoriée. Ce filtre accepte uniquement un ID d’objet pour un utilisateur ou principal de service. Vous ne pouvez pas transmettre un ID d’objet pour un groupe.
   $filter=atScope()+and+assignedTo('{objectId}')	Répertorie les affectations de refus pour l’utilisateur ou le principal de service spécifié, et au niveau de l’étendue spécifiée.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Répertorie les affectations de refus avec le nom spécifié.
   $filter=principalId+eq+'{objectId}'	Répertorie les affectations de refus pour l’utilisateur, le groupe ou le principal de service spécifié.

Lister les affectations de refus dans l’étendue racine (/)

1. Élevez votre accès comme cela est décrit dans Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure.

2. Utilisez la requête suivante :

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Remplacez {filter} par la condition que vous voulez appliquer pour filtrer la liste des affectations de refus. Un filtre est obligatoire.

   Filter	Description
   $filter=atScope()	Liste les affectations de refus dans l’étendue racine uniquement. N’inclut pas les affectations de refus dans les étendues en dessous.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Liste les affectations de refus avec le nom spécifié.

4. Supprimez l’accès avec élévation des privilèges.

Étapes suivantes

• Piles de déploiement