Azure reddetme atamalarını anlama

Bir rol atamasına benzer şekilde, reddetme atama , erişimi reddetmek amacıyla belirli bir kapsamdaki bir Kullanıcı, Grup veya hizmet sorumlusu için bir reddetme eylemleri kümesi iliştirir. Bir rol ataması erişime izin verirse, atamaları Reddet, kullanıcıların belirli Azure Kaynak eylemlerini gerçekleştirmesini engeller.

Bu makalede, reddetme atamalarının nasıl tanımlandığı açıklanır.

Reddetme atamaları nasıl oluşturulur

Reddetme atamaları, kaynakları korumak için Azure tarafından oluşturulur ve yönetilir. Azure şemaları ve Azure yönetilen uygulamalar, sistem tarafından yönetilen kaynakları korumak için reddetme atamalarını kullanır. Azure şemaları ve Azure yönetilen uygulamalar, atamaları reddetme için tek yoldur. Kendi reddetme atamalarınızı doğrudan oluşturamazsınız. Planların kaynakları kilitlemek için atamaları reddetme kullanımı hakkında daha fazla bilgi için bkz. Azure 'da kaynak kilitlemeyi anlama.

Not

Kendi reddetme atamalarınızı doğrudan oluşturamazsınız.

Rol atamalarını karşılaştırma ve atamaları reddetme

Atamaları Reddet, benzer bir kalıbı rol atamaları olarak izler, ancak bazı farklılıklar da vardır.

Özellik Rol ataması Atamayı Reddet
Erişim verme ✔️
Erişimi engelleme ✔️
Doğrudan oluşturulabilir ✔️
Bir kapsamda Uygula ✔️ ✔️
Sorumluları hariç tut ✔️
Alt kapsamlar devralınmasını engelle ✔️
Klasik abonelik Yöneticisi atamalarına Uygula ✔️

Atama özelliklerini Reddet

Reddetme atama aşağıdaki özelliklere sahiptir:

Özellik Gerekli Tür Açıklama
DenyAssignmentName Evet Dize Reddetme atamasının görünen adı. Adlar, belirli bir kapsam için benzersiz olmalıdır.
Description Hayır Dize Reddetme atamasının açıklaması.
Permissions.Actions En az bir eylem veya bir veri eylemi String [] Reddetme atamasının erişimi engellediği denetim düzlemi eylemlerini belirten dizeler dizisi.
Permissions.NotActions No String [] Reddetme atamasından çıkarılacak denetim düzlemi eylemini belirten dizeler dizisi.
Permissions.DataActions En az bir eylem veya bir veri eylemi String [] Reddetme atamasının erişimi engellediği veri düzlemi eylemlerini belirten dizeler dizisi.
Permissions.NotDataActions No String [] Reddetme atamasından çıkarılacak veri düzlemi eylemlerini belirten dizeler dizisi.
Scope Hayır Dize Reddetme atamasının geçerli olduğu kapsamı belirten bir dize.
DoNotApplyToChildScopes No Boole Reddetme atamasının alt kapsamlar için geçerli olup olmadığını belirtir. Varsayılan değer false 'dur.
Principals[i].Id Yes String [] Reddetme atamasının uygulandığı Azure AD Principal nesne kimliklerinin (Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimlik) bir dizisi. 00000000-0000-0000-0000-000000000000Tüm sorumluları temsil etmek için boş BIR GUID olarak ayarlayın.
Principals[i].Type No String [] Sorumlular tarafından temsil edilen nesne türleri dizisi [i]. ID. SystemDefined tüm sorumluları temsil edecek şekilde ayarlanır.
ExcludePrincipals[i].Id No String [] Reddetme atamasının uygulanmadığından, Azure AD sorumlusu nesne kimliklerinin (Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimlik) bir dizisi.
ExcludePrincipals[i].Type No String [] Excludesorumlularını [i]. ID tarafından temsil edilen nesne türleri dizisi.
IsSystemProtected No Boole Bu reddetme atamasının Azure tarafından oluşturulup oluşturulmayacağını veya silinemeyeceğini belirtir. Şu anda tüm reddetme atamaları sistem korumalıdır.

Tüm asıl adlar

Reddedilen atamaları desteklemek için, Tüm sorumlular adlı sistem tanımlı bir sorumlu tanıtılmıştır. Bu sorumlu, bir Azure AD dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder. Asıl KIMLIK sıfır bir GUID ise 00000000-0000-0000-0000-000000000000 ve asıl tür ise SystemDefined , sorumlu tüm sorumluları temsil eder. Azure PowerShell çıktısında, tüm sorumlular aşağıdaki gibi görünür:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Tüm sorumlular, ExcludePrincipals bazı kullanıcılar hariç tüm sorumluları reddedecek şekilde birleştirilebilir. Tüm sorumlular aşağıdaki kısıtlamalara sahiptir:

  • Yalnızca içinde kullanılabilir ve ' Principals de kullanılamaz ExcludePrincipals .
  • Principals[i].Type olarak ayarlanmalıdır SystemDefined .

Sonraki adımlar