Auflisten aller Ablehnungszuweisungen

Artikel
03/15/2024

Ähnlich wie eine Rollenzuweisung verknüpft eine Ablehnungszuweisung in einem bestimmten Bereich einen Satz von Aktionen mit einem Benutzer, einer Gruppe oder einem Dienstprinzipal, um den Zugriff zu verweigern. Ablehnungszuweisungen hindern Benutzer an der Ausführung bestimmter Aktionen für Azure-Ressourcen, auch wenn ihnen über eine Rollenzuweisung Zugriff erteilt wird.

In diesem Artikel wird beschrieben, wie Sie Ablehnungszuweisungen auflisten.

Wichtig

Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Ablehnungszuweisungen werden von Azure erstellt und verwaltet.

Wie werden Ablehnungszuweisungen erstellt?

Ablehnungszuweisungen werden von Azure erstellt und verwaltet, um Ressourcen zu schützen. Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Bei der Erstellung eines Bereitstellungsstapels können Sie jedoch Ablehnungseinstellungen angeben, wodurch eine Ablehnungszuweisung erstellt wird, die zu den Ressourcen des Bereitstellungsstapels gehört. Bereitstellungsstapel befinden sich derzeit in der Vorschau. Weitere Informationen finden Sie unter Schützen verwalteter Ressourcen vor dem Löschen.

Vergleich zwischen Rollenzuweisungen und Ablehnungszuweisungen

Ablehnungszuweisungen folgen einem ähnlichen Muster wie Rollenzuweisungen, weisen aber auch einige Unterschiede auf.

Funktion	Rollenzuweisung	Ablehnungszuweisung
Gewähren von Zugriff	✅
Zugriff verweigern		✅
Kann direkt erstellt werden	✅
Gelten in einem Bereich	✅	✅
Schließen Prinzipale aus		✅
Verhindern die Vererbung auf untergeordnete Bereiche		✅
Werden auch auf Zuweisungen für klassische Abonnementadministratoren angewendet.		✅

Eigenschaften von Ablehnungszuweisungen

Eine Ablehnungszuweisungen hat folgende Eigenschaften:

Eigenschaft	Erforderlich	Type	BESCHREIBUNG
`DenyAssignmentName`	Ja	String	Der Anzeigename der Ablehnungszuweisung. Namen müssen für einen bestimmten Bereich eindeutig sein.
`Description`	No	String	Die Beschreibung der Ablehnungszuweisung.
`Permissions.Actions`	Mindestens ein Actions- oder ein DataActions-Element	String[]	Ein Array von Strings, die die Aktionen der Kontrollebene angeben, auf die durch die Deny-Zuweisung der Zugriff gesperrt wird.
`Permissions.NotActions`	No	String[]	Ein Array von Strings, die angeben, welche Aktion der Kontrollebene von der Deny-Zuweisung ausgeschlossen werden soll.
`Permissions.DataActions`	Mindestens ein Actions- oder ein DataActions-Element	String[]	Ein Array von Strings, die angeben, auf welche Aktionen der Datenebene die Deny-Zuweisung den Zugriff blockiert.
`Permissions.NotDataActions`	No	String[]	Ein Array von Strings, die angeben, welche Datenebenen-Aktionen von der Deny-Zuweisung ausgeschlossen werden sollen.
`Scope`	No	String	Eine Zeichenfolge, die den Bereich festlegt, für den die Ablehnungszuweisung gilt.
`DoNotApplyToChildScopes`	No	Boolean	Gibt an, ob die Ablehnungszuweisung für untergeordnete Bereiche gilt. Der Standardwert ist „falsch“.
`Principals[i].Id`	Ja	String[]	Ein Array aus Microsoft Entra-Prinzipalobjekt-IDs (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität), für die die Ablehnungszuweisung gilt. Die Festlegung einer leeren GUID `00000000-0000-0000-0000-000000000000` repräsentiert alle Prinzipale.
`Principals[i].Type`	No	String[]	Ein Array von Objekttypen, das durch „Principals[i].Id“ dargestellt wird. Eine leere GUID `SystemDefined` repräsentiert alle Prinzipale.
`ExcludePrincipals[i].Id`	No	String[]	Ein Array aus Microsoft Entra-Prinzipalobjekt-IDs (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität), für die die Ablehnungszuweisung nicht gilt.
`ExcludePrincipals[i].Type`	No	String[]	Ein Array von Objekttypen, das durch „ExcludePrincipals[i].Id“ dargestellt wird.
`IsSystemProtected`	No	Boolean	Gibt an, ob diese Ablehnungszuweisung von Azure erstellt wurde und nicht bearbeitet oder gelöscht werden kann. Derzeit sind alle Ablehnungszuweisungen vom System geschützt.

Der Prinzipal „Alle Prinzipale“

Zur Unterstützung von Ablehnungszuweisungen wurde ein systemseitig definierter Prinzipal namens Alle Prinzipale eingeführt. Dieser Prinzipal repräsentiert alle Benutzer, Gruppen, Dienstprinzipale und verwalteten Identitäten in einem Microsoft Entra-Verzeichnis. Wenn die Prinzipal-ID eine aus Nullen bestehende GUID 00000000-0000-0000-0000-000000000000 ist und der Prinzipaltyp SystemDefined lautet, repräsentiert der Prinzipal alle Prinzipale. In der Azure PowerShell-Ausgabe sieht „Alle Prinzipale“ wie folgt aus:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

„Alle Prinzipale“ kann mit ExcludePrincipals kombiniert werden, um den Zugriff für alle Prinzipale mit Ausnahme einiger Benutzer zu verweigern. „Alle Prinzipale“ hat die folgenden Einschränkungen:

Kann nur in Principals verwendet werden, aber nicht in ExcludePrincipals.
Principals[i].Type muss auf SystemDefined festgelegt werden.

Auflisten von Ablehnungszuweisungen

Führen Sie die folgenden Schritte aus, um Ablehnungszuweisungen auflisten.

Wichtig

Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Ablehnungszuweisungen werden von Azure erstellt und verwaltet. Weitere Informationen finden Sie unter Schützen verwalteter Ressourcen vor dem Löschen.

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist.

Auflisten von Ablehnungszuweisungen im Azure-Portal

Führen Sie die folgenden Schritte aus, um Ablehnungszuweisungen für ein Abonnement oder eine Verwaltungsgruppe aufzulisten.

Öffnen Sie im Azure-Portal den ausgewählten Bereich, z. B. Ressourcengruppe oder Abonnement.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie die Registerkarte Ablehnungszuweisungen (oder wählen Sie auf der Kachel „Ablehnungszuweisungen anzeigen“ die Schaltfläche Anzeigen aus).

Wenn Ablehnungszuweisungen für diesen Bereich oder an diesen Bereich vererbte Ablehnungszuweisungen vorhanden sind, werden diese angezeigt.

Um zusätzliche Spalten anzuzeigen, wählen Sie Spalten bearbeiten aus.

Spalte	Beschreibung
Name	Der Name der Ablehnungszuweisung.
Prinzipaltyp	Benutzer, Gruppe, vom System definierte Gruppe oder Dienstprinzipal.
Verweigert	Der Name des Sicherheitsprinzipals, der in der Ablehnungszuweisung enthalten ist.
Id	Eindeutiger Bezeichner für die Ablehnungszuweisung.
Ausgeschlossene Prinzipale	Gibt an, ob Sicherheitsprinzipale von der Ablehnungszuweisung ausgeschlossen sind.
Gilt nicht für untergeordnete Elemente	Gibt an, ob die Ablehnungszuweisung an Unterbereiche vererbt wird.
Durch System geschützt	Gibt an, ob die Ablehnungszuweisung durch Azure verwaltet wird. Aktuell immer „Ja“.
Umfang	Eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource.

Aktivieren Sie das Kontrollkästchen für eines der aktivierten Elemente, und wählen Sie OK aus, um die ausgewählten Spalten anzuzeigen.

Auflisten von Details zu einer Ablehnungszuweisung

Führen Sie die folgenden Schritte aus, um zusätzliche Details zu einer Ablehnungszuweisung aufzulisten.

Öffnen Sie den Bereich Ablehnungszuweisungen, wie im vorherigen Abschnitt beschrieben.

Wählen Sie den Namen der Ablehnungszuweisung aus, um die Seite Benutzer zu öffnen.

Die Seite Benutzer umfasst die folgenden zwei Abschnitte.

Ablehnungseinstellung	Beschreibung
Die Ablehnungszuweisung gilt für	Sicherheitsprinzipale, auf die die Ablehnungszuweisung angewendet wird.
Die Ablehnungszuweisung schließt Folgendes aus	Gibt Sicherheitsprinzipale an, die von der Ablehnungszuweisung ausgeschlossen sind.

Vom System definierter Prinzipal repräsentiert alle Benutzer, Gruppen, Dienstprinzipale und verwalteten Identitäten in einem Azure AD-Verzeichnis.

Um eine Liste der Berechtigungen anzuzeigen, die verweigert wurden, wählen Sie Verweigerte Berechtigungen aus.

Aktionstyp	Beschreibung
Aktionen	Verweigerte Aktionen auf Steuerungsebene
NotActions	Aktionen auf Steuerungsebene, die von verweigerten Aktionen der Steuerungsebene ausgeschlossen sind
DataActions	Verweigerte Aktionen auf Datenebene
NotDataActions	Aktionen auf Datenebene, die von verweigerten Aktionen der Datenebene ausgeschlossen sind

Für das im vorstehenden Screenshot gezeigte Beispiel gelten die folgenden effektiven Berechtigungen:

Alle Speicheraktionen für die Datenebene bis auf Computeaktionen wurden verweigert.

Um die Eigenschaften für eine Ablehnungszuweisung anzuzeigen, wählen Sie Eigenschaften aus.

Auf der Seite Eigenschaften können Sie den Namen, die ID, die Beschreibung und den Bereich für eine Ablehnungszuweisung anzeigen. Die Option Gilt nicht für untergeordnete Elemente gibt an, ob die Ablehnungszuweisung an Unterbereiche vererbt wird. Die Option Vom System definiert gibt an, ob diese Ablehnungszuweisung durch Azure verwaltet wird. Aktuell lautet die Einstellung immer Ja.

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist
PowerShell in Azure Cloud Shell oder Azure PowerShell

Auflisten aller Ablehnungszuweisungen

Um alle Ablehnungszuweisungen für das aktuelle Abonnement aufzulisten, verwenden Sie Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Auflisten von Ablehnungszuweisungen in einem Ressourcengruppenbereich

Um alle Ablehnungszuweisungen in einem Ressourcengruppenbereich aufzulisten, verwenden Sie Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Auflisten von Ablehnungszuweisungen in einem Abonnementbereich

Um alle Ablehnungszuweisungen in einem Abonnementbereich aufzulisten, verwenden Sie Get-AzDenyAssignment. Die Abonnement-ID können Sie über die Seite Abonnements im Azure-Portal oder durch Verwenden von Get-AzSubscription abrufen.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist.

Sie müssen die folgende Version verwenden:

2018-07-01-preview oder höher
2022-04-01 ist die erste stabile Version.

Auflisten einer einzelnen Ablehnungszuweisung

Verwenden Sie zum Auflisten einer einzelnen AblehnungszuweisungAblehnungszuweisungen – Abrufen der REST-API.

Beginnen Sie mit der folgenden Anforderung:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01

Ersetzen Sie innerhalb des URI {scope} durch den Bereich, für den die Ablehnungszuweisungen aufgelistet werden sollen.

`Scope`	type
`subscriptions/{subscriptionId}`	Subscription
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Resource group
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Resource

Ersetzen Sie {deny-assignment-id} durch den Bezeichner für die Ablehnungszuweisung, die Sie abrufen möchten.

Auflisten von mehreren Ablehnungszuweisungen

Verwenden Sie zum Auflisten mehrerer Ablehnungszuweisungen Ablehnungszuweisungen – Auflisten der REST-API.

Beginnen Sie mit einer der folgenden Anforderungen:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01

Mit optionalen Parametern:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Ersetzen Sie innerhalb des URI {scope} durch den Bereich, für den die Ablehnungszuweisungen aufgelistet werden sollen.

`Scope`	type
`subscriptions/{subscriptionId}`	Subscription
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Resource group
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Resource

Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Ablehnungszuweisungen angewendet werden soll.

Filter	Beschreibung
(Kein Filter)	Alle Ablehnungszuweisungen des angegebenen Bereichs (auch ober- und unterhalb) werden aufgelistet.
`$filter=atScope()`	Nur die Ablehnungszuweisungen für den angegebenen Bereich und oberhalb davon werden aufgelistet. Hierin sind nicht die Ablehnungszuweisungen von Unterbereichen enthalten.
`$filter=assignedTo('{objectId}')`	Ablehnungszuweisungen für den angegebenen Benutzer oder Dienstprinzipal werden aufgelistet. Wenn der Benutzer Mitglied einer Gruppe ist, die über eine Ablehnungszuweisung verfügt, wird diese Ablehnungszuweisung ebenfalls aufgeführt. Dieser Filter ist für Gruppen transitiv, das heißt: Wenn der Benutzer Mitglied einer Gruppe und diese Gruppe wiederum Mitglied einer anderen Gruppe ist, die über eine Ablehnungszuweisung verfügt, wird diese Ablehnungszuweisung ebenfalls aufgeführt. Dieser Filter akzeptiert nur eine Objekt-ID für einen Benutzer oder einen Dienstprinzipal. Für eine Gruppe kann keine Objekt-ID übergeben werden.
`$filter=atScope()+and+assignedTo('{objectId}')`	Listet die Ablehnungszuweisungen für bestimmte Benutzer oder Dienstprinzipale sowie im angegebenen Umfang auf.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Ablehnungszuweisungen mit dem angegebenen Namen werden aufgelistet.
`$filter=principalId+eq+'{objectId}'`	Ablehnungszuweisungen für den angegebenen Benutzer, die angegebene Gruppe oder den Dienstprinzipal werden aufgelistet.

Auflisten von Ablehnungszuweisungen im Stammbereich (/)

Erhöhen Sie Ihre Zugriffsrechte wie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen beschrieben.

Verwenden Sie die folgende Anforderung:

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Ablehnungszuweisungen angewendet werden soll. Ein Filter ist erforderlich.

Filter	Beschreibung
`$filter=atScope()`	Nur Ablehnungszuweisungen für den Stammbereich werden aufgelistet. Hierin sind nicht die Ablehnungszuweisungen von Unterbereichen enthalten.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Ablehnungszuweisungen mit dem angegebenen Namen werden aufgelistet.

Entfernen Sie die erhöhten Zugriffsrechte.

Nächste Schritte

Bereitstellungsstapel

Freigeben über

Auflisten aller Ablehnungszuweisungen

Wie werden Ablehnungszuweisungen erstellt?

Vergleich zwischen Rollenzuweisungen und Ablehnungszuweisungen

Eigenschaften von Ablehnungszuweisungen

Der Prinzipal „Alle Prinzipale“

Auflisten von Ablehnungszuweisungen

Voraussetzungen

Auflisten von Ablehnungszuweisungen im Azure-Portal

Auflisten von Details zu einer Ablehnungszuweisung

Voraussetzungen

Auflisten aller Ablehnungszuweisungen

Auflisten von Ablehnungszuweisungen in einem Ressourcengruppenbereich

Auflisten von Ablehnungszuweisungen in einem Abonnementbereich

Voraussetzungen

Auflisten einer einzelnen Ablehnungszuweisung

Auflisten von mehreren Ablehnungszuweisungen

Auflisten von Ablehnungszuweisungen im Stammbereich (/)

Nächste Schritte

Feedback

Zusätzliche Ressourcen