Répertorier les affectations de refus pour les ressources Azure à l’aide du portail AzureList deny assignments for Azure resources using the Azure portal

Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure, même si une attribution de rôle leur confère un accès.Deny assignments block users from performing specific Azure resource actions even if a role assignment grants them access. Cet article décrit comment lister les affectations de refus existantes à l’aide du portail Azure.This article describes how to list deny assignments using the Azure portal.

Notes

Vous ne pouvez pas directement créer vos propres affectations de refus.You can't directly create your own deny assignments. Pour en savoir sur la création des affectations de refus, consultez Affectations de refus.For information about how deny assignments are created, see Deny assignments.

PrérequisPrerequisites

Pour obtenir des informations sur une affectation de refus, vous devez disposer de :To get information about a deny assignment, you must have:

Répertorier les affectations de refusList deny assignments

Effectuez ces étapes pour répertorier les affectations de refus au niveau de l’abonnement ou de l’étendue du groupe d’administration.Follow these steps to list deny assignments at the subscription or management group scope.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sur Groupes d’administration ou sur Abonnements.In the Azure portal, click All services and then Management groups or Subscriptions.

  2. Cliquez sur le groupe d’administration ou sur l’abonnement que vous souhaitez répertorier.Click the management group or subscription you want to list.

  3. Cliquez sur Contrôle d’accès (IAM) .Click Access control (IAM).

  4. Cliquez sur l’onglet Affectations de refus (ou cliquez sur le bouton Afficher dans la mosaïque Afficher les affectations de refus).Click the Deny assignments tab (or click the View button on the View deny assignments tile).

    S’il existe des affectations de refus dans cette étendue, ou transmises à cette étendue, elles sont listées.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

    Contrôle d’accès - Onglet Affectations de refus

  5. Pour afficher des colonnes supplémentaires, cliquez sur Modifier les colonnes.To display additional columns, click Edit Columns.

    Affectations de refus - Colonnes

    NomName Nom de l’affectation de refus.Name of the deny assignment.
    Type de principalPrincipal type Utilisateur, groupe, groupe défini par le système ou principal du service.User, group, system-defined group, or service principal.
    RefuséDenied Nom du principal de sécurité qui est inclus dans l’affectation de refus.Name of the security principal that is included in the deny assignment.
    IdId Identificateur unique pour l’affectation de refus.Unique identifier for the deny assignment.
    Principaux exclusExcluded principals Indique s’il existe des principaux de sécurité qui sont exclus de l’affectation de refus.Whether there are security principals that are excluded from the deny assignment.
    Ne s’applique pas aux enfantsDoes not apply to children Indique si l’affectation de refus est transmise à des étendues secondaires.Whether the deny assignment is inherited to subscopes.
    Système protégéSystem protected Indique si l’affectation de refus est managée par Azure.Whether the deny assignment is managed by Azure. Actuellement, toujours Oui.Currently, always Yes.
    PortéeScope Groupe d’administration, abonnement, groupe de ressources ou ressource.Management group, subscription, resource group, or resource.
  6. Ajoutez une coche aux éléments activés de votre choix, puis cliquez sur OK pour afficher les colonnes sélectionnées.Add a checkmark to any of the enabled items and then click OK to display the selected columns.

Répertorier les détails d’une affectation de refusList details about a deny assignment

Suivez ces étapes pour répertorier des détails supplémentaires sur une affectation de refus.Follow these steps to list additional details about a deny assignment.

  1. Ouvrez le volet Affectations de refus, comme décrit à la section précédente.Open the Deny assignments pane as described in the previous section.

  2. Cliquez sur le nom de l’affectation de refus pour ouvrir le panneau Utilisateurs.Click the deny assignment name to open the Users blade.

    Affectation de refus - Utilisateurs

    Le panneau Utilisateurs comprend les deux sections suivantes.The Users blade includes the following two sections.

    L’affectation de refus s’applique àDeny assignment applies to Principaux de sécurité auxquels l’affectation de refus s’applique.Security principals that the deny assignment applies to.
    L’affectation de refus exclutDeny assignment excludes Principaux de sécurité qui sont exclus de l’affectation de refus.Security principals that are excluded from the deny assignment.

    Le principal défini par le système représente tous les utilisateurs, groupes, principaux de service et identités managées figurant dans un annuaire Azure AD.System-Defined Principal represents all users, groups, service principals, and managed identities in an Azure AD directory.

  3. Pour afficher la liste des autorisations qui sont refusées, cliquez sur Autorisations refusées.To see a list of the permissions that are denied, click Denied Permissions.

    Affectation de refus - Autorisations refusées

    Type d’actionAction type DescriptionDescription
    ActionsActions Opérations de gestion refusées.Denied management operations.
    NotActionsNotActions Opérations de gestion exclues de l’opération de gestion refusée.Management operations excluded from denied management operation.
    DataActionsDataActions Opérations refusées sur des données.Denied data operations.
    NotDataActionsNotDataActions Opérations sur des données, exclues de l’opération refusée sur des données.Data operations excluded from denied data operation.

    Pour l’exemple illustré dans la capture d’écran précédente, les éléments suivants sont les autorisations effectives :For the example shown in the previous screenshot, the following are the effective permissions:

    • Toutes les opérations de stockage sur le plan de données sont refusées à l’exception des opérations de calcul.All storage operations on the data plane are denied except for compute operations.
  4. Pour voir les propriétés d’une affectation de refus, cliquez sur Propriétés.To see the properties for a deny assignment, click Properties.

    Affectation de refus - Propriétés

    Dans le panneau Propriétés, vous pouvez voir le nom, l’ID, la description et l’étendue de l’affectation de refus.On the Properties blade, you can see the deny assignment name, ID, description, and scope. Le commutateur Ne s’applique pas aux enfants indique si l’affectation de refus est transmise à des étendues secondaires.The Does not apply to children switch indicates whether the deny assignment is inherited to subscopes. Le commutateur Système protégé indique si cette affectation de refus est managée par Azure.The System protected switch indicates whether this deny assignment is managed by Azure. Actuellement, c’est Oui dans tous les cas.Currently, this is Yes in all cases.

Étapes suivantesNext steps