Azure-Ablehnungszuweisungen auflisten

Ähnlich wie eine Rollenzuweisung verknüpft eine Ablehnungszuweisung in einem bestimmten Bereich einen Satz von Aktionen mit einem Benutzer, einer Gruppe oder einem Dienstprinzipal, um den Zugriff zu verweigern. Ablehnungszuweisungen hindern Benutzer an der Ausführung bestimmter Aktionen für Azure-Ressourcen, auch wenn ihnen über eine Rollenzuweisung Zugriff erteilt wird.

In diesem Artikel erfahren Sie, wie Sie Deny-Zuweisungen auflisten.

Wichtig

Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Deny-Zuweisungen werden von Azure erstellt und verwaltet.

Wie werden Ablehnungszuweisungen erstellt?

Ablehnungszuweisungen werden von Azure erstellt und verwaltet, um Ressourcen zu schützen. Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Bei der Erstellung eines Bereitstellungsstapels können Sie jedoch Ablehnungseinstellungen angeben, wodurch eine Ablehnungszuweisung erstellt wird, die zu den Ressourcen des Bereitstellungsstapels gehört. Weitere Informationen finden Sie unter Schützen verwalteter Ressourcen und Azure RBAC-Grenzwerte.

Vergleich zwischen Rollenzuweisungen und Ablehnungszuweisungen

Ablehnungszuweisungen folgen einem ähnlichen Muster wie Rollenzuweisungen, unterscheiden sich jedoch in einigen Punkten.

Fähigkeit	Rollenzuweisung	Zuweisung verweigern
Gewähren von Zugriff	✅
Zugriff verweigern		✅
Kann direkt erstellt werden	✅
Auf einen Bereich anwenden	✅	✅
Schließen Hauptakteure aus		✅
Verhindern die Vererbung auf untergeordnete Bereiche		✅
Werden auch auf Zuweisungen für klassische Abonnementadministratoren angewendet.		✅

Eigenschaften von Ablehnungszuweisungen

Eine Ablehnungszuweisung hat folgende Eigenschaften:

Eigenschaft	Erforderlich	Typ	BESCHREIBUNG
`DenyAssignmentName`	Ja	Schnur	Der Anzeigename der Ablehnungszuweisung. Namen müssen für einen bestimmten Bereich eindeutig sein.
`Description`	Nein	Schnur	Die Beschreibung der Zuweisungsverweigerung.
`Permissions.Actions`	Mindestens ein Actions- oder ein DataActions-Element	String[]	Ein Array von Strings, die die Aktionen der Kontrollebene angeben, auf die durch die Deny-Zuweisung der Zugriff gesperrt wird.
`Permissions.NotActions`	Nein	String[]	Ein Array von Strings, die angeben, welche Aktion der Kontrollebene von der Deny-Zuweisung ausgeschlossen werden soll.
`Permissions.DataActions`	Mindestens ein Actions- oder ein DataActions-Element	Zeichenfolge[]	Ein Array von Strings, die angeben, auf welche Aktionen der Datenebene die Deny-Zuweisung den Zugriff blockiert.
`Permissions.NotDataActions`	Nein	String[]	Ein Array von Strings, die angeben, welche Datenebenen-Aktionen von der Deny-Zuweisung ausgeschlossen werden sollen.
`Scope`	Nein	Schnur	Eine Zeichenfolge, die den Bereich festlegt, für den die Ablehnungszuweisung gilt.
`DoNotApplyToChildScopes`	Nein	Boolescher Typ (Boolean)	Gibt an, ob die Rollenverweigerung für untergeordnete Bereiche Anwendung findet. Der Standardwert ist „falsch“.
`Principals[i].Id`	Ja	String[]	Ein Array aus Microsoft Entra-Prinzipalobjekt-IDs (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität), für die die Ablehnungszuweisung gilt. Auf eine leere GUID `00000000-0000-0000-0000-000000000000` festlegen, um alle Hauptbenutzer zu repräsentieren.
`Principals[i].Type`	Nein	String[]	Ein Array von Objekttypen, das durch Principals[i].Id dargestellt wird. Setzen Sie `SystemDefined` um alle Prinzipale darzustellen.
`ExcludePrincipals[i].Id`	Nein	Zeichenfolge[]	Ein Array aus Microsoft Entra-Prinzipalobjekt-IDs (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität), für die die Ablehnungszuweisung nicht gilt.
`ExcludePrincipals[i].Type`	Nein	Zeichenfolge[]	Ein Array von Objekttypen, das durch „ExcludePrincipals[i].Id“ dargestellt wird.
`IsSystemProtected`	Nein	Boolescher Typ (Boolean)	Gibt an, ob diese Ablehnungszuweisung von Azure erstellt wurde und nicht bearbeitet oder gelöscht werden kann. Derzeit sind alle Ablehnungszuweisungen vom System geschützt.

Der Prinzipal „Alle Prinzipale“

Zur Unterstützung von Ablehnungszuweisungen wurde ein systemseitig definierter Prinzipal namens Alle Prinzipale eingeführt. Diese Entität repräsentiert alle Benutzer, Gruppen, Dienstprinzipale und verwalteten Identitäten in einem Microsoft Entra-Verzeichnis. Wenn die Prinzipal-ID eine aus Nullen bestehende GUID 00000000-0000-0000-0000-000000000000 ist und der Prinzipaltyp SystemDefined lautet, repräsentiert der Prinzipal alle Prinzipale. In der Azure PowerShell-Ausgabe sieht „Alle Prinzipale“ wie folgt aus:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

„Alle Prinzipale“ kann mit ExcludePrincipals kombiniert werden, um den Zugriff für alle Prinzipale mit Ausnahme einiger Benutzer zu verweigern. „Alle Prinzipale“ hat die folgenden Einschränkungen:

Kann nur in Principals verwendet werden, aber nicht in ExcludePrincipals.
Principals[i].Type muss auf SystemDefined festgelegt werden.

Auflisten von Ablehnungszuweisungen

Führen Sie die folgenden Schritte aus, um Ablehnungszuweisungen auflisten.

Wichtig

Sie können Ihre eigenen Ablehnungszuweisungen nicht direkt erstellen. Ablehnungszuweisungen werden von Azure erstellt und verwaltet. Weitere Informationen finden Sie unter Schützen verwalteter Ressourcen vor dem Löschen.

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten Azure-integrierten Rollen enthalten ist.

Auflisten von Ablehnungszuweisungen im Azure-Portal

Führen Sie die folgenden Schritte aus, um Ablehnungszuweisungen für ein Abonnement oder eine Verwaltungsgruppe aufzulisten.

Öffnen Sie im Azure-Portal den ausgewählten Bereich, z. B. Ressourcengruppe oder Abonnement.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie die Registerkarte Ablehnungszuweisungen (oder wählen Sie auf der Kachel „Ablehnungszuweisungen anzeigen“ die Schaltfläche Anzeigen aus).

Wenn Ablehnungszuweisungen für diesen Bereich oder an diesen Bereich vererbte Ablehnungszuweisungen vorhanden sind, werden diese angezeigt.

Um zusätzliche Spalten anzuzeigen, wählen Sie Spalten bearbeiten aus.

Spalte	BESCHREIBUNG
Name	Der Name der Deny-Zuweisung.
Prinzipaltyp	Benutzer, Gruppe, vom System definierte Gruppe oder Dienstprinzipal.
Verweigert	Der Name des Sicherheitsprinzipals, der in der Ablehnungszuweisung enthalten ist.
Id	Eindeutige Kennung für die Ablehnungszuweisung.
Ausgeschlossene Prinzipale	Gibt an, ob Sicherheitsprinzipale von der Ausschlussregelung ausgenommen sind.
Gilt nicht für Kinder	Gibt an, ob die Ablehnungszuweisung an Unterbereiche vererbt wird.
Systemgeschützt	Gibt an, ob die Ablehnungszuweisung durch Azure verwaltet wird. Aktuell immer „Ja“.
Umfang	Eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource.

Aktivieren Sie das Kontrollkästchen für eines der aktivierten Elemente, und wählen Sie OK aus, um die ausgewählten Spalten anzuzeigen.

Details zu einer Ablehnungszuweisung auflisten

Führen Sie die folgenden Schritte aus, um zusätzliche Einzelheiten zu einer Ablehnungszuweisung anzugeben.

Öffnen Sie den Bereich Ablehnungszuweisungen, wie im vorherigen Abschnitt beschrieben.

Wählen Sie den Namen der Ablehnungszuweisung aus, um die Seite Benutzer zu öffnen.

Die Seite Benutzer umfasst die folgenden zwei Abschnitte.

Verweigerungseinstellung	BESCHREIBUNG
Die Ablehnungszuweisung gilt für	Sicherheitsprinzipale, auf die die Ablehnungszuweisung angewendet wird.
Die Ablehnungszuweisung schließt Folgendes aus	Gibt Sicherheitsprinzipale an, die von der Ablehnungszuweisung ausgeschlossen sind.

Vom System definierter Prinzipal repräsentiert alle Benutzer, Gruppen, Dienstprinzipale und verwalteten Identitäten in einem Azure AD-Verzeichnis.

Um eine Liste der Berechtigungen anzuzeigen, die verweigert wurden, wählen Sie Verweigerte Berechtigungen aus.

Aktionstyp	BESCHREIBUNG
Aktionen	Verweigerte Aktionen auf Steuerungsebene
NotActions	Aktionen auf Steuerungsebene, die von verweigerten Aktionen der Steuerungsebene ausgeschlossen sind
DatenAktionen	Verweigerte Aktionen auf Datenebene
NotDataActions	Aktionen auf der Datenebene, die nicht zu den verweigerten Aktionen der Datenebene gehören.

Für das im vorstehenden Screenshot gezeigte Beispiel gelten die folgenden effektiven Berechtigungen:

Alle Speicheraktionen auf der Datenebene werden verweigert, außer Berechnungsaktionen.

Um die Eigenschaften für eine Ablehnungszuweisung anzuzeigen, wählen Sie Eigenschaften aus.

Auf der Seite Eigenschaften können Sie den Namen, die ID, die Beschreibung und den Geltungsbereich der Verweigerungszuweisung anzeigen. Die Option Gilt nicht für untergeordnete Elemente gibt an, ob die Ablehnungszuweisung an Unterbereiche vererbt wird. Die Option Vom System definiert gibt an, ob diese Ablehnungszuweisung durch Azure verwaltet wird. Aktuell lautet die Einstellung immer Ja.

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten integrierten Azure-Rollen enthalten ist
PowerShell in Azure Cloud Shell oder Azure PowerShell

Auflisten aller Ablehnungszuweisungen

Um alle Ablehnungszuweisungen für das aktuelle Abonnement aufzulisten, verwenden Sie Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Auflisten von Ablehnungszuweisungen im Bereich einer Ressourcengruppe

Um alle Ablehnungszuweisungen in einem Ressourcengruppenbereich aufzulisten, verwenden Sie Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Auflisten von Ablehnungszuweisungen in einem Abonnementbereich

Um alle Ablehnungszuweisungen in einem Abonnementbereich aufzulisten, verwenden Sie Get-AzDenyAssignment. Die Abonnement-ID können Sie über die Seite Abonnements im Azure-Portal oder durch Verwenden von Get-AzSubscription abrufen.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Voraussetzungen

Um Informationen zu einer Ablehnungszuweisung abzurufen, müssen Sie über Folgendes verfügen:

Microsoft.Authorization/denyAssignments/read-Berechtigung, die in den meisten Azure-integrierten Rollen enthalten ist.

Sie müssen die folgende Version verwenden:

2018-07-01-preview oder höher
2022-04-01 ist die erste stabile Version.

Eine einzelne Ablehnungszuweisung auflisten

Verwenden Sie die REST-API „Deny Assignments – Get“, um eine einzelne Ablehnungszuweisung aufzulisten.

Beginnen Sie mit der folgenden Anforderung:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01

Ersetzen Sie innerhalb des URI {scope} durch den Bereich, für den die Ablehnungszuweisungen aufgelistet werden sollen.

Umfang	Typ
`subscriptions/{subscriptionId}`	Abonnement
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Ressourcengruppe
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Ressource

Ersetzen Sie {deny-assignment-id} durch den Bezeichner der Ablehnungszuweisung, die Sie abrufen möchten.

Auflisten von mehreren Ablehnungszuweisungen

Verwenden Sie zum Auflisten mehrerer Ablehnungszuweisungen die Deny Assignments - List REST-API.

Beginnen Sie mit einer der folgenden Anforderungen:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01

Mit optionalen Parametern:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Ersetzen Sie in der URI {scope} durch den Bereich, für den die Ablehnungszuweisungen aufgelistet werden sollen.

Umfang	Typ
`subscriptions/{subscriptionId}`	Abonnement
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Ressourcengruppe
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Ressource

Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Ablehnungszuweisungen angewendet werden soll.

Filter	BESCHREIBUNG
(Kein Filter)	Alle Abweisungszuweisungen werden für den angegebenen Bereich sowie darüber und darunter aufgelistet.
`$filter=atScope()`	Die Ablehnungszuweisungen werden nur für den angegebenen Bereich und darüber aufgelistet. Nicht enthalten sind die Ausschlusszuweisungen in Unterbereichen.
`$filter=assignedTo('{objectId}')`	Auflistung der Ablehnungszuweisungen für den angegebenen Benutzer oder Dienstprinzipal. Wenn der Benutzer Mitglied einer Gruppe ist, die über eine Ablehnungszuweisung verfügt, wird diese Ablehnungszuweisung ebenfalls aufgeführt. Dieser Filter ist für Gruppen transitiv, das heißt: Wenn der Benutzer Mitglied einer Gruppe und diese Gruppe wiederum Mitglied einer anderen Gruppe ist, die über eine Ablehnungszuweisung verfügt, wird diese Ablehnungszuweisung ebenfalls aufgeführt. Dieser Filter akzeptiert nur eine Objekt-ID für einen Benutzer oder einen Dienstprinzipal. Für eine Gruppe kann keine Objekt-ID übergeben werden.
`$filter=atScope()+and+assignedTo('{objectId}')`	Listet die Ablehnungszuweisungen für bestimmte Benutzer oder Dienstprinzipale sowie im angegebenen Umfang auf.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Listen der Ablehnungszuweisungen mit dem angegebenen Namen.
`$filter=principalId+eq+'{objectId}'`	Listet Ablehnungszuweisungen für den angegebenen Benutzer, die angegebene Gruppe oder den Service Principal auf.

Verweigerungszuweisungen im Stammbereich (/) auflisten

Erhöhen Sie Ihre Zugriffsrechte wie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen beschrieben.

Verwenden Sie die folgende Anforderung:

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Ablehnungszuweisungen angewendet werden soll. Ein Filter ist erforderlich.

Filter	BESCHREIBUNG
`$filter=atScope()`	Auflistung von Ablehnungszuweisungen nur für den Stammbereich. Hier sind die Verweigerungszuweisungen in Unterbereichen nicht enthalten.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Listen Sie Ablehnungszuweisungen mit dem angegebenen Namen auf.

Entfernen Sie die erhöhten Zugriffsrechte.

Nächste Schritte

Bereitstellungsstapel

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-26

Freigeben über

Azure-Ablehnungszuweisungen auflisten

Wie werden Ablehnungszuweisungen erstellt?

Vergleich zwischen Rollenzuweisungen und Ablehnungszuweisungen

Eigenschaften von Ablehnungszuweisungen

Der Prinzipal „Alle Prinzipale“

Auflisten von Ablehnungszuweisungen

Voraussetzungen

Auflisten von Ablehnungszuweisungen im Azure-Portal

Details zu einer Ablehnungszuweisung auflisten

Nächste Schritte

Feedback

Zusätzliche Ressourcen