Elencare le assegnazioni di ruolo di Azure

Simile a un'assegnazione di ruolo, un'assegnazione di rifiuto allega un set di azioni di rifiuto a un utente, gruppo o entità servizio in un determinato ambito con lo scopo di rifiutare l'accesso. Le assegnazioni di rifiuto impediscono agli utenti di eseguire azioni specifiche sulle risorse di Azure, anche se un'assegnazione di ruolo concede loro l'accesso.

Questo articolo descrive come elencare le assegnazioni di rifiuto.

Importante

Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure.

Come vengono create le assegnazioni di rifiuto

Le assegnazioni di rifiuto vengono create e gestite da Azure per proteggere le risorse. Non è possibile creare direttamente assegnazioni di rifiuto. Tuttavia, è possibile specificare le impostazioni di negazione durante la creazione di uno stack di distribuzione, che crea un'assegnazione di rifiuto di proprietà delle risorse dello stack di distribuzione. Gli stack di distribuzione sono attualmente in anteprima. Per altre informazioni, vedere Proteggere le risorse gestite dall'eliminazione.

Confrontare le assegnazioni di ruolo e negare le assegnazioni

Le assegnazioni di rifiuto seguono un modello simile a quello delle assegnazioni di ruolo, ma presentano anche alcune differenze.

Funzionalità	Assegnazione di ruolo	Assegnazione di rifiuto
Concedi accesso	✅
Rifiutare l'accesso		✅
Può essere creato direttamente	✅
Applicare in un ambito	✅	✅
Escludere le entità		✅
Impedire l'ereditarietà agli ambiti figlio		✅
Applicare alle assegnazioni di amministratore della sottoscrizione classica		✅

Proprietà dell'assegnazione di rifiuto

Un'assegnazione di rifiuto ha le seguenti proprietà:

Proprietà	Richiesto	Type	Descrizione
DenyAssignmentName	Sì	String	Il nome visualizzato dell'assegnazione di rifiuto. I nomi devono essere univoci per un determinato ambito.
Description	No	String	La descrizione dell'assegnazione di rifiuto.
Permissions.Actions	Almeno un Actions o un DataActions	String[]	Matrice di stringhe che specificano le azioni del piano di controllo a cui l'assegnazione deny blocca l'accesso.
Permissions.NotActions	No	String[]	Matrice di stringhe che specificano l'azione del piano di controllo da escludere dall'assegnazione di rifiuto.
Permissions.DataActions	Almeno un Actions o un DataActions	String[]	Matrice di stringhe che specificano le azioni del piano dati a cui l'assegnazione nega blocca l'accesso.
Permissions.NotDataActions	No	String[]	Matrice di stringhe che specificano le azioni del piano dati da escludere dall'assegnazione di rifiuto.
Scope	No	String	Una stringa che specifica l'ambito a cui si applica l'assegnazione di rifiuto.
DoNotApplyToChildScopes	No	Booleano	Specifica se l'assegnazione di rifiuto è valida per gli ambiti figlio. Il valore predefinito è false.
Principals[i].Id	Sì	String[]	Matrice di ID oggetto dell'entità Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui si applica l'assegnazione di rifiuto. Impostare un GUID vuoto 00000000-0000-0000-0000-000000000000 per rappresentare tutte le entità.
Principals[i].Type	No	String[]	Matrice di tipi di oggetto rappresentati da Principals[i].Id. Impostare su SystemDefined per rappresentare tutte le entità.
ExcludePrincipals[i].Id	No	String[]	Matrice di ID oggetto dell'entità Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui l'assegnazione di rifiuto non è applicabile.
ExcludePrincipals[i].Type	No	String[]	Una matrice di tipi di oggetto rappresentati da ExcludePrincipals[i].Id.
IsSystemProtected	No	Booleano	Specifica se questa assegnazione di rifiuto è stata creata da Azure e non può essere modificata o eliminata. Attualmente, tutte le assegnazioni di rifiuto sono protette dal sistema.

Entità tutte le entità

Per supportare le assegnazioni di rifiuto, è stata introdotta un'entità definita dal sistema denominata All Principals . Questa entità rappresenta tutti gli utenti, i gruppi, le entità servizio e le identità gestite in una directory Microsoft Entra. Se l'ID entità è un GUID zero 00000000-0000-0000-0000-000000000000 e il tipo di entità è SystemDefined, l'entità rappresenta tutte le entità. Nell'output di Azure PowerShell tutte le entità sono simili alle seguenti:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Tutte le entità possono essere combinate con ExcludePrincipals per negare tutte le entità ad eccezione di alcuni utenti. Tutte le entità hanno i vincoli seguenti:

• Può essere usata solo con Principals e non può essere usata con ExcludePrincipals.
• Principals[i].Type deve essere impostato su SystemDefined.

Visualizzare le assegnazioni di rifiuto

Seguire questa procedura per elencare le assegnazioni di rifiuto.

Importante

Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure. Per altre informazioni, vedere Proteggere le risorse gestite dall'eliminazione.

Azure portal

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario disporre di:

• Microsoft.Authorization/denyAssignments/read autorizzazione, inclusa nella maggior parte dei ruoli predefiniti di Azure.

Elencare le assegnazioni di rifiuto nel portale di Azure

Seguire questa procedura per elencare le assegnazioni di rifiuto nell'ambito della sottoscrizione o del gruppo di gestione.

1. Nella portale di Azure aprire l'ambito selezionato, ad esempio gruppo di risorse o sottoscrizione.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare la scheda Nega assegnazioni oppure selezionare il pulsante Visualizza nel riquadro Visualizza assegnazioni di rifiuto.

   Se sono presenti assegnazioni di rifiuto in questo ambito o ereditate in questo ambito, verranno elencate.

   

4. Per visualizzare colonne aggiuntive, selezionare Modifica colonne.

   

   Colonna	Descrizione
   Nome	Il nome dell'assegnazione di rifiuto.
   Tipo di entità	Utente, gruppo, gruppo definito dal sistema gruppo o entità servizio.
   Negato	Nome dell'entità di sicurezza che è inclusa nell'assegnazione di rifiuto.
   ID	Identificatore univoco per l'assegnazione di rifiuto.
   Entità di sicurezza escluse	Se sono presenti entità di sicurezza che sono escluse dall'assegnazione di rifiuto.
   Non applicabile agli elementi figlio	Se l'assegnazione di rifiuto è ereditata da ambiti secondari.
   Con protezione sistema	Se l'assegnazione di rifiuto è gestita da Azure. Attualmente, sempre Sì.
   Scope	Gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.

5. Aggiungere un segno di spunta a uno qualsiasi degli elementi abilitati e quindi selezionare OK per visualizzare le colonne selezionate.

Elencare i dettagli relativi a un'assegnazione di rifiuto

Seguire questa procedura per elencare dettagli aggiuntivi su un'assegnazione di rifiuto.

1. Aprire il riquadro Assegnazioni di rifiuto come descritto nella sezione precedente.

2. Selezionare il nome dell'assegnazione di rifiuto per aprire la pagina Utenti .

   

   La pagina Utenti include le due sezioni seguenti.

   Impostazione Nega	Descrizione
   Assegnazione di rifiuto applicabile a	Entità di sicurezza a cui si applica l'assegnazione di rifiuto.
   Elementi esclusi dall'assegnazione di rifiuto	Entità di sicurezza che sono escluse dall'assegnazione di rifiuto.

   L'entità definita dal servizio rappresenta tutti gli utenti, i gruppi, le entità servizio e le identità gestite in una directory di Azure AD.

3. Per visualizzare un elenco delle autorizzazioni negate, selezionare Autorizzazioni negate.

   

   Tipo di azione	Descrizione
   Azioni	Azioni del piano di controllo negato.
   NotActions	Azioni del piano di controllo escluse dalle azioni del piano di controllo negato.
   DataActions	Azioni del piano dati negato.
   NotDataActions	Azioni del piano dati escluse dalle azioni del piano dati negato.

   Nell'esempio illustrato nello screenshot precedente, le autorizzazioni valide sono le seguenti:

   • Tutte le azioni di archiviazione nel piano dati vengono negate, ad eccezione delle azioni di calcolo.

4. Per visualizzare le proprietà per un'assegnazione di rifiuto, selezionare Proprietà.

   

   Nella pagina Proprietà è possibile visualizzare il nome dell'assegnazione di rifiuto, l'ID, la descrizione e l'ambito. Il commutatore Non si applica agli elementi figlio indica se l'assegnazione di rifiuto è ereditata da ambiti secondari. Il commutatore Protette del sistema indica se questo assegnazione di rifiuto viene gestita da Azure. Attualmente, è Sì in tutti i casi.

Azure PowerShell

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario disporre di:

• Microsoft.Authorization/denyAssignments/read autorizzazione, inclusa nella maggior parte dei ruoli predefiniti di Azure
• PowerShell in Azure Cloud Shell o Azure PowerShell

Elencare tutte le assegnazioni di rifiuto

Per elencare tutte le assegnazioni di rifiuto per la sottoscrizione corrente, usare Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Elencare le assegnazioni di rifiuto in un ambito del gruppo di risorse

Per elencare tutte le assegnazioni di rifiuto in un ambito del gruppo di risorse, usare Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Elencare le assegnazioni di rifiuto in un ambito di sottoscrizione

Per elencare tutte le assegnazioni di rifiuto in un ambito di sottoscrizione, usare Get-AzDenyAssignment. Per ottenere l'ID sottoscrizione, è possibile trovarlo nella pagina Sottoscrizioni del portale di Azure oppure usare Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario disporre di:

• Microsoft.Authorization/denyAssignments/read autorizzazione, inclusa nella maggior parte dei ruoli predefiniti di Azure.

È necessario usare la versione seguente:

• 2018-07-01-preview o versioni successive
• 2022-04-01 è la prima versione stabile

Elencare una singola assegnazione di rifiuto

Per elencare una singola assegnazione di rifiuto, usare l'API REST Deny Assignments - Get .

1. Iniziare con la richiesta seguente:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. All'interno dell'URI sostituire {scope} con l'ambito per il quale elencare le assegnazioni di rifiuto.

   Ambito	Type
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Gruppo di risorse
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Conto risorse

3. Sostituire {deny-assignment-id} con l'identificatore dell'assegnazione di rifiuto da recuperare.

Elencare più assegnazioni di rifiuto

Per elencare più assegnazioni di rifiuto, usare l'API REST Deny Assignments - List .

1. Iniziare con una delle richieste seguenti:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Parametri facoltativi:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. All'interno dell'URI sostituire {scope} con l'ambito per il quale elencare le assegnazioni di rifiuto.

   Ambito	Type
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Gruppo di risorse
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Conto risorse

3. Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di rifiuto.

   Filtro	Descrizione
   (nessun filtro)	Elenca tutte le assegnazioni di rifiuto in, sopra e sotto l'ambito specificato.
   $filter=atScope()	Elenca le assegnazioni di rifiuto solo per l'ambito specificato e versioni successive. Le assegnazioni di rifiuto nei sottoambiti non sono incluse.
   $filter=assignedTo('{objectId}')	Elenca le assegnazioni di rifiuto per l'utente o l'entità servizio specificati. Se l'utente è membro di un gruppo con un'assegnazione di rifiuto, viene elencata anche l'assegnazione di rifiuto. Questo filtro è transitivo per i gruppi, ovvero se l'utente è membro di un gruppo e tale gruppo è membro di un altro gruppo con un'assegnazione di rifiuto, viene elencata anche l'assegnazione di rifiuto. Questo filtro accetta solo un ID oggetto per un utente o un'entità servizio. Non è possibile passare un ID oggetto per un gruppo.
   $filter=atScope()+and+assignedTo('{objectId}')	Elenca le assegnazioni di rifiuto per l'utente o l'entità servizio specificati e nell'ambito specificato.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Elenca le assegnazioni di rifiuto con il nome specificato.
   $filter=principalId+eq+'{objectId}'	Elenca le assegnazioni di rifiuto per l'utente, il gruppo o l'entità servizio specificati.

Elenca le assegnazioni di rifiuto all'ambito radice (/)

1. Elevare l'accesso come descritto in Elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

2. Usare la richiesta seguente:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di rifiuto. È obbligatorio applicare un filtro.

   Filtro	Descrizione
   $filter=atScope()	Elenca le assegnazioni di rifiuto per il solo ambito radice. Le assegnazioni di rifiuto nei sottoambiti non sono incluse.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Elenca le assegnazioni di rifiuto con il nome specificato.

4. Rimuove l'accesso con privilegi elevati.

Passaggi successivi

• Stack di distribuzione