Elencare le assegnazioni di ruolo di Azure

Simile a un'assegnazione di ruolo, un'assegnazione di rifiuto allega un set di azioni di rifiuto a un utente, gruppo o entità servizio in un determinato ambito con lo scopo di rifiutare l'accesso. Le assegnazioni di rifiuto impediscono agli utenti di eseguire azioni specifiche sulle risorse di Azure, anche se un'assegnazione di ruolo concede loro l'accesso.

Questo articolo descrive come elencare le assegnazioni di rifiuto.

Importante

Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure.

Come vengono create le assegnazioni di rifiuto

Le assegnazioni di rifiuto vengono create e gestite da Azure per proteggere le risorse. Non è possibile creare direttamente assegnazioni di rifiuto. È tuttavia possibile specificare le impostazioni di rifiuto durante la creazione di uno stack di distribuzione, in modo da creare un'assegnazione di rifiuto di proprietà delle risorse dello stack di distribuzione. Gli stack di distribuzione sono attualmente in anteprima. Per altre informazioni, vedi Proteggere le risorse gestite dall'eliminazione.

Confrontare le assegnazioni di ruolo e le assegnazioni di rifiuto

Le assegnazioni di rifiuto seguono un modello simile a quello delle assegnazioni di ruolo, ma presentano anche alcune differenze.

Funzionalità Assegnazione di ruolo Assegnazione di rifiuto
Concedi accesso
Rifiutare l'accesso
Possibilità di creazione diretta
Applicazione a livello di ambito
Esclusione delle entità
Ereditarietà agli ambiti figlio non consentita
Applicazione ad assegnazioni di Amministratore sottoscrizione classico

Proprietà dell'assegnazione di rifiuto

Un'assegnazione di rifiuto ha le seguenti proprietà:

Proprietà Richiesto Type Descrizione
DenyAssignmentName String Il nome visualizzato dell'assegnazione di rifiuto. I nomi devono essere univoci per un determinato ambito.
Description No String La descrizione dell'assegnazione di rifiuto.
Permissions.Actions Almeno un Actions o un DataActions String[] Matrice di stringhe che specificano le azioni del piano di controllo a cui l'assegnazione di rifiuto blocca l'accesso.
Permissions.NotActions No String[] Matrice di stringhe che specificano l'azione del piano di controllo da escludere dall'assegnazione di rifiuto.
Permissions.DataActions Almeno un Actions o un DataActions String[] Matrice di stringhe che specificano le azioni del piano dati a cui l'assegnazione di rifiuto blocca l'accesso.
Permissions.NotDataActions No String[] Matrice di stringhe che specificano le azioni del piano dati da escludere dall'assegnazione di rifiuto.
Scope No String Una stringa che specifica l'ambito a cui si applica l'assegnazione di rifiuto.
DoNotApplyToChildScopes No Booleano Specifica se l'assegnazione di rifiuto è valida per gli ambiti figlio. Il valore predefinito è false.
Principals[i].Id String[] Matrice degli ID oggetto entità di Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui si applica l'assegnazione di rifiuto. Impostare un GUID vuoto 00000000-0000-0000-0000-000000000000 per rappresentare tutte le entità.
Principals[i].Type No String[] Una matrice di tipi di oggetto rappresentati da Principals[i].Id. Impostare SystemDefined per rappresentare tutte le entità.
ExcludePrincipals[i].Id No String[] Matrice degli ID oggetto entità di Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui non si applica l'assegnazione di rifiuto.
ExcludePrincipals[i].Type No String[] Una matrice di tipi di oggetto rappresentati da ExcludePrincipals[i].Id.
IsSystemProtected No Booleano Specifica se questa assegnazione di rifiuto è stata creata da Azure e non può essere modificata o eliminata. Attualmente, tutte le assegnazioni di rifiuto sono protette dal sistema.

Entità Tutte le entità

Per supportare le assegnazioni di rifiuto, è stata introdotta un'entità definita dal sistema denominata Tutte le entità. Quest'entità rappresenta tutti gli utenti, gruppi, entità servizio e identità gestite in una directory di Microsoft Entra. Se l'ID entità è un GUID zero 00000000-0000-0000-0000-000000000000 e il tipo di entità è SystemDefined, l'entità rappresenta tutte le entità. Nell'output di Azure PowerShell tutte le entità sono simili alle seguenti:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

L'opzione Tutte le entità può essere combinata con ExcludePrincipals per rifiutare tutte le entità, ad eccezione di alcuni utenti. L'opzione Tutte le entità comporta i vincoli seguenti:

  • Può essere usata solo con Principals e non può essere usata con ExcludePrincipals.
  • Principals[i].TypeDeve essere impostato su SystemDefined.

Visualizzare le assegnazioni di rifiuto

Seguire questa procedura per elencare le assegnazioni di rifiuto.

Importante

Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure. Per altre informazioni, vedi Proteggere le risorse gestite dall'eliminazione.

Prerequisiti

Per ottenere informazioni su un'assegnazione di rifiuto, è necessario avere quanto segue:

Elencare le assegnazioni di rifiuto nel portale di Azure

Seguire questa procedura per elencare le assegnazioni nell'ambito del gruppo di gestione o di sottoscrizione.

  1. Nel portale di Azure aprire l'ambito selezionato, ad esempio gruppo di risorse o sottoscrizione.

  2. Seleziona Controllo di accesso (IAM).

  3. Selezionare la scheda Assegnazioni di rifiuto oppure fare clic sul pulsante Visualizza nel riquadro Visualizza assegnazioni di rifiuto.

    Se sono presenti assegnazioni di rifiuto in questo ambito o vengono ereditate in questo ambito, saranno elencate.

    Screenshot della pagina Controllo di accesso (IAM) e della scheda Assegnazioni di rifiuto che elenca le assegnazioni di rifiuto nell'ambito selezionato.

  4. Per visualizzare colonne aggiuntive, selezionare Modifica colonne.

    Screenshot del riquadro delle colonne delle assegnazioni di rifiuto che mostra come aggiungere colonne all'elenco di assegnazioni di rifiuto.

    Colonna Descrizione
    Nome Il nome dell'assegnazione di rifiuto.
    Tipo di entità Utente, gruppo, gruppo definito dal sistema gruppo o entità servizio.
    Negato Nome dell'entità di sicurezza che è inclusa nell'assegnazione di rifiuto.
    Id Identificatore univoco per l'assegnazione di rifiuto.
    Entità di sicurezza escluse Se sono presenti entità di sicurezza che sono escluse dall'assegnazione di rifiuto.
    Non applicabile agli elementi figlio Se l'assegnazione di rifiuto è ereditata da ambiti secondari.
    Con protezione sistema Se l'assegnazione di rifiuto è gestita da Azure. Attualmente, sempre Sì.
    Scope Gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.
  5. Aggiungere un segno di spunta per gli elementi abilitati e quindi selezionare OK per visualizzare le colonne selezionate.

Elencare i dettagli relativi a un'assegnazione di rifiuto

Seguire questa procedura per elencare dettagli aggiuntivi su un'assegnazione di rifiuto.

  1. Aprire il riquadro Assegnazioni di rifiuto come descritto nella sezione precedente.

  2. Selezionare l'assegnazione di rifiuto per aprire la pagina Utenti.

    Screenshot della pagina Utenti per un'assegnazione di rifiuto che elenca gli elementi a cui si applica ed esclusi.

    La pagina Utenti include le due sezioni seguenti.

    Impostazione di rifiuto Descrizione
    Assegnazione di rifiuto applicabile a Entità di sicurezza a cui si applica l'assegnazione di rifiuto.
    Elementi esclusi dall'assegnazione di rifiuto Entità di sicurezza che sono escluse dall'assegnazione di rifiuto.

    L'entità definita dal servizio rappresenta tutti gli utenti, i gruppi, le entità servizio e le identità gestite in una directory di Azure AD.

  3. Per visualizzare un elenco delle autorizzazioni rifiutate, selezionare Autorizzazioni negate.

    Screenshot della pagina Autorizzazioni negate per un'assegnazione di rifiuto che elenca le autorizzazioni negate.

    Tipo di azione Descrizione
    Azioni Azioni del piano di controllo rifiutate.
    NotActions Azioni del piano di controllo escluse dalle azioni del piano di controllo rifiutate.
    DataActions Azioni del piano dati rifiutate.
    NotDataActions Azioni del piano dati escluse dalle azioni del piano dati rifiutate.

    Nell'esempio illustrato nello screenshot precedente, le autorizzazioni valide sono le seguenti:

    • Tutte le azioni di archiviazione nel piano dati vengono rifiutate, ad eccezione delle azioni di calcolo.
  4. Per visualizzare le proprietà per un'assegnazione di rifiuto, selezionare Proprietà.

    Screenshot della pagina Proprietà per un'assegnazione di rifiuto che elenca le proprietà.

    Nella pagina Proprietà è possibile visualizzare il nome, l'ID, la descrizione e l'ambito dell'assegnazione di rifiuto. Il commutatore Non si applica agli elementi figlio indica se l'assegnazione di rifiuto è ereditata da ambiti secondari. Il commutatore Protette del sistema indica se questo assegnazione di rifiuto viene gestita da Azure. Attualmente, è in tutti i casi.

Passaggi successivi