Informazioni sulle assegnazioni di rifiuto per le risorse di AzureUnderstand deny assignments for Azure resources

Simile a un'assegnazione di ruolo, un'assegnazione di rifiuto allega un set di azioni di rifiuto a un utente, gruppo o entità servizio in un determinato ambito con lo scopo di rifiutare l'accesso.Similar to a role assignment, a deny assignment attaches a set of deny actions to a user, group, or service principal at a particular scope for the purpose of denying access. Le assegnazioni di rifiuto impediscono agli utenti di eseguire azioni specifiche sulle risorse di Azure, anche se un'assegnazione di ruolo concede loro l'accesso.Deny assignments block users from performing specific Azure resource actions even if a role assignment grants them access.

Questo articolo descrive il modo in cui le assegnazioni di rifiuto sono definite.This article describes how deny assignments are defined.

Come vengono create le assegnazioni DenyHow deny assignments are created

Le assegnazioni Deny vengono create e gestite da Azure per proteggere le risorse.Deny assignments are created and managed by Azure to protect resources. I progettisti di Azure e le app gestite di Azure usano le assegnazioni di rifiuto per proteggere le risorse gestite dal sistema.Azure Blueprints and Azure managed apps use deny assignments to protect system-managed resources. I progetti di Azure e le app gestite di Azure sono l'unico modo per creare le assegnazioni di negazione.Azure Blueprints and Azure managed apps are the only way that deny assignments can be created. Non è possibile creare direttamente le assegnazioni di rifiuto.You can't directly create your own deny assignments. Per altre informazioni, vedere Proteggere le nuove risorse con blocchi delle risorse in Azure Blueprints.For more information, see Protect new resources with Azure Blueprints resource locks.

Nota

Non è possibile creare direttamente le assegnazioni di rifiuto.You can't directly create your own deny assignments.

Confrontare le assegnazioni di ruolo e le assegnazioni di rifiutoCompare role assignments and deny assignments

Le assegnazioni di negazione seguono un modello simile a quello delle assegnazioni di ruolo, ma presentano anche alcune differenze.Deny assignments follow a similar pattern as role assignments, but also have some differences.

FunzionalitàCapability Assegnazione di ruoloRole assignment Nega assegnazioneDeny assignment
Concedere l'accessoGrant access ✔️
Rifiutare l'accessoDeny access ✔️
Può essere creato direttamenteCan be directly created ✔️
Applicare a un ambitoApply at a scope ✔️ ✔️
Escludi entitàExclude principals ✔️
Impedisci ereditarietà agli ambiti figlioPrevent inheritance to child scopes ✔️
Si applicano alle assegnazioni di amministratore della sottoscrizione classicaApply to classic subscription administrator assignments ✔️

Proprietà dell'assegnazione di rifiutoDeny assignment properties

Un'assegnazione di rifiuto ha le seguenti proprietà:A deny assignment has the following properties:

ProprietàProperty obbligatoriRequired digitareType DESCRIZIONEDescription
DenyAssignmentName Yes StringString Il nome visualizzato dell'assegnazione di rifiuto.The display name of the deny assignment. I nomi devono essere univoci per un determinato ambito.Names must be unique for a given scope.
Description NoNo StringString La descrizione dell'assegnazione di rifiuto.The description of the deny assignment.
Permissions.Actions Almeno un Actions o un DataActionsAt least one Actions or one DataActions String[]String[] Una matrice di stringhe che specifica le operazioni di gestione a cui l'assegnazione di rifiuto blocca l'accesso.An array of strings that specify the management operations to which the deny assignment blocks access.
Permissions.NotActions NoNo String[]String[] Una matrice di stringhe che specifica le operazioni di gestione da escludere nell'assegnazione di rifiuto.An array of strings that specify the management operations to exclude from the deny assignment.
Permissions.DataActions Almeno un Actions o un DataActionsAt least one Actions or one DataActions String[]String[] Una matrice di stringhe che specifica le operazioni dati a cui l'assegnazione di rifiuto blocca l'accesso.An array of strings that specify the data operations to which the deny assignment blocks access.
Permissions.NotDataActions NoNo String[]String[] Una matrice di stringhe che specifica le operazioni dati da escludere nell'assegnazione di rifiuto.An array of strings that specify the data operations to exclude from the deny assignment.
Scope NoNo StringString Una stringa che specifica l'ambito a cui si applica l'assegnazione di rifiuto.A string that specifies the scope that the deny assignment applies to.
DoNotApplyToChildScopes NoNo BooleanoBoolean Specifica se l'assegnazione di rifiuto è valida per gli ambiti figlio.Specifies whether the deny assignment applies to child scopes. Il valore predefinito è False.Default value is false.
Principals[i].Id Yes String[]String[] Una matrice degli ID oggetto entità di Azure AD (utente, gruppo, entità servizio o identità gestita) a cui si applica l'assegnazione di rifiuto.An array of Azure AD principal object IDs (user, group, service principal, or managed identity) to which the deny assignment applies. Impostare un GUID vuoto 00000000-0000-0000-0000-000000000000 per rappresentare tutte le entità.Set to an empty GUID 00000000-0000-0000-0000-000000000000 to represent all principals.
Principals[i].Type NoNo String[]String[] Matrice di tipi di oggetti rappresentati da entità [i]. ID. impostare su SystemDefined per rappresentare tutte le entità.An array of object types represented by Principals[i].Id. Set to SystemDefined to represent all principals.
ExcludePrincipals[i].Id NoNo String[]String[] Una matrice degli ID oggetto entità di Azure AD (utente, gruppo, entità servizio o identità gestita) a cui non si applica l'assegnazione di rifiuto.An array of Azure AD principal object IDs (user, group, service principal, or managed identity) to which the deny assignment does not apply.
ExcludePrincipals[i].Type NoNo String[]String[] Una matrice di tipi di oggetto rappresentati da ExcludePrincipals[i].Id.An array of object types represented by ExcludePrincipals[i].Id.
IsSystemProtected NoNo BooleanoBoolean Specifica se questa assegnazione di rifiuto è stata creata da Azure e non può essere modificata o eliminata.Specifies whether this deny assignment was created by Azure and cannot be edited or deleted. Attualmente, tutte le assegnazioni di rifiuto sono protette dal sistema.Currently, all deny assignments are system protected.

Entità tutte le entitàThe All Principals principal

Per supportare le assegnazioni di negazione, è stata introdotta un'entità definita dal sistema denominata tutte le entità .To support deny assignments, a system-defined principal named All Principals has been introduced. Quest'entità rappresenta tutti gli utenti, gruppi, entità servizio e identità gestite in una directory di Azure AD.This principal represents all users, groups, service principals, and managed identities in an Azure AD directory. Se l'ID entità è un GUID zero 00000000-0000-0000-0000-000000000000 e il tipo di entità è SystemDefined, l'entità rappresenta tutte le entità.If the principal ID is a zero GUID 00000000-0000-0000-0000-000000000000 and the principal type is SystemDefined, the principal represents all principals. In Azure PowerShell output, tutte le entità hanno un aspetto simile al seguente:In Azure PowerShell output, All Principals looks like the following:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Tutte le entità possono essere combinate con ExcludePrincipals per negare tutte le entità ad eccezione di alcuni utenti.All Principals can be combined with ExcludePrincipals to deny all principals except some users. Per tutte le entità sono presenti i vincoli seguenti:All Principals has the following constraints:

  • Può essere usata solo con Principals e non può essere usata con ExcludePrincipals.Can be used only in Principals and cannot be used in ExcludePrincipals.
  • Principals[i].Type deve essere impostato su SystemDefined.Principals[i].Type must be set to SystemDefined.

Passaggi successiviNext steps