Elencare le assegnazioni di negazione di Azure

Simile a un'assegnazione di ruolo, un'assegnazione di rifiuto allega un set di azioni di rifiuto a un utente, gruppo o entità servizio in un determinato ambito con lo scopo di rifiutare l'accesso. Le assegnazioni di rifiuto impediscono agli utenti di eseguire azioni specifiche sulle risorse di Azure, anche se un'assegnazione di ruolo concede loro l'accesso.

Questo articolo descrive come elencare le assegnazioni di negazione.

Importante

Non è possibile creare assegnazioni di negazione direttamente. Le assegnazioni di negazione vengono create e gestite da Azure.

Come vengono create le assegnazioni di negazione

Le assegnazioni di rifiuto vengono create e gestite da Azure per proteggere le risorse. Non è possibile creare le proprie assegnazioni di negazione direttamente. È tuttavia possibile specificare le impostazioni di rifiuto durante la creazione di uno stack di distribuzione, in modo da creare un'assegnazione di rifiuto di proprietà delle risorse dello stack di distribuzione. Per ulteriori informazioni, vedere Proteggere le risorse gestite e I limiti di Azure RBAC.

Confrontare le assegnazioni di ruolo e le assegnazioni negate

Le assegnazioni di negazione seguono un modello simile a quello delle assegnazioni di ruolo, ma hanno anche alcune differenze.

Capacità	Assegnazione di ruolo	Negare assegnazione
Concedi accesso	✅
Rifiutare l'accesso		✅
Possibilità di creazione diretta	✅
Applicazione a livello di ambito	✅	✅
Escludi i principali		✅
Impedisci l'ereditarietà agli ambiti figlio		✅
Applicazione ad assegnazioni di Amministratore sottoscrizione classico		✅

Proprietà dell'assegnazione vietata

Un'assegnazione di negazione ha le seguenti proprietà:

Proprietà	Richiesto	TIPO	Descrizione
`DenyAssignmentName`	Sì	Stringa	Il nome visualizzato dell'assegnazione di negazione. I nomi devono essere univoci per un determinato ambito.
`Description`	NO	Stringa	La descrizione dell'assegnazione di negazione.
`Permissions.Actions`	Almeno un Actions o un DataActions	String[]	Matrice di stringhe che specificano le azioni del piano di controllo a cui l'assegnazione di rifiuto blocca l'accesso.
`Permissions.NotActions`	NO	String[]	Matrice di stringhe che specificano l'azione del piano di controllo da escludere dall'assegnazione di rifiuto.
`Permissions.DataActions`	Almeno un Actions o un DataActions	String[]	Le azioni del piano dati a cui l'assegnazione di negazione blocca l'accesso sono specificate da una matrice di stringhe.
`Permissions.NotDataActions`	NO	String[]	Array di stringhe che specificano le azioni del piano dati da escludere dall'assegnazione di negazione.
`Scope`	NO	Stringa	Una stringa che specifica l'ambito a cui si applica l'assegnazione di rifiuto.
`DoNotApplyToChildScopes`	NO	Booleano	Specifica se l'assegnazione di rifiuto è valida per gli ambiti figlio. Il valore predefinito è false.
`Principals[i].Id`	Sì	String[]	Un array di ID di oggetto principale di Microsoft Entra (utente, gruppo, servizio principale o identità gestita) a cui si applica l'assegnazione di diniego. Impostare un GUID vuoto `00000000-0000-0000-0000-000000000000` per rappresentare tutte le entità.
`Principals[i].Type`	NO	String[]	Una matrice di tipi di oggetto rappresentati da Principals[i].Id. Impostare `SystemDefined` per rappresentare tutte le entità.
`ExcludePrincipals[i].Id`	NO	String[]	Elenco degli ID degli oggetti principali di Microsoft Entra (utente, gruppo, entità servizio o identità gestita) per cui l'assegnazione di diniego non si applica.
`ExcludePrincipals[i].Type`	NO	String[]	Una matrice di tipi di oggetto rappresentati da ExcludePrincipals[i].Id.
`IsSystemProtected`	NO	Booleano	Specifica se questa assegnazione di rifiuto è stata creata da Azure e non può essere modificata o eliminata. Attualmente, tutte le assegnazioni di negazione sono protette dal sistema.

Il ruolo Tutti i Principali

Per supportare le assegnazioni di negazione, è stato introdotto un principale definito dal sistema denominato Tutti i Principali. Quest'entità rappresenta tutti gli utenti, i gruppi, i principali di servizio e le identità gestite nella directory di Microsoft Entra. Se l'ID principale è un GUID zero 00000000-0000-0000-0000-000000000000 e il tipo di principale è SystemDefined, il principale rappresenta tutti i principali. Nell'output di Azure PowerShell, tutti i Principals sono mostrati nel modo seguente:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

L'opzione Tutte le entità può essere combinata con ExcludePrincipals per rifiutare tutte le entità, ad eccezione di alcuni utenti. L'opzione Tutte le entità comporta i vincoli seguenti:

Può essere usata solo con Principals e non può essere usata con ExcludePrincipals.
Principals[i].TypeDeve essere impostato su SystemDefined.

Elenco delle assegnazioni di negazione

Seguire questa procedura per elencare le assegnazioni di diniego.

Importante

Non è possibile creare le proprie assegnazioni di negazione direttamente. Le assegnazioni di negazione vengono create e gestite da Azure. Per altre informazioni, vedi Proteggere le risorse gestite dall'eliminazione.

Prerequisiti

Per ottenere informazioni su un'assegnazione di negazione, devi possedere quanto segue:

Autorizzazione Microsoft.Authorization/denyAssignments/read, inclusa nella maggior parte dei Ruoli predefiniti di Azure.

Elenca le assegnazioni di negazione nel portale di Azure

Seguire questi passaggi per elencare le assegnazioni di rifiuto nell'ambito della sottoscrizione o del gruppo di gestione.

Nel portale di Azure aprire l'ambito selezionato, ad esempio gruppo di risorse o sottoscrizione.
Seleziona Controllo di accesso (IAM).
Selezionare la scheda Assegnazioni di rifiuto oppure fare clic sul pulsante Visualizza nel riquadro Visualizza assegnazioni di rifiuto.

Se esistono assegnazioni di negazione in questo ambito o ereditate da questo ambito, saranno elencate.

Per visualizzare colonne aggiuntive, selezionare Modifica colonne.

Colonna	Descrizione
Nome	Il nome dell'assegnazione di negazione.
Tipo principale	Utente, gruppo, gruppo definito dal sistema o principale del servizio.
Rifiutato	Nome dell'entità di sicurezza che è inclusa nell'assegnazione di negazione.
id	Identificatore univoco per l'assegnazione di negazione.
Principali esclusi	Se sono presenti entità di sicurezza che sono escluse dall'assegnazione di rifiuto.
Non si applica ai bambini	Se l'assegnazione di negazione è ereditata negli ambiti secondari.
Sistema protetto	Se l'assegnazione di negazione è gestita da Azure. Attualmente, sempre Sì.
Ambito	Gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.

Aggiungere un segno di spunta per gli elementi abilitati e quindi selezionare OK per visualizzare le colonne selezionate.

Elencare i dettagli relativi a un'assegnazione negata

Seguire questi passaggi per elencare dettagli aggiuntivi su un'assegnazione di negazione.

Aprire il riquadro Assegnazioni di rifiuto come descritto nella sezione precedente.

Selezionare il nome dell'assegnazione di negazione per aprire la pagina Utenti.

Screenshot della pagina degli utenti per un'assegnazione di negazione che elenca gli elementi a cui si applica e quelli esclusi.

La pagina Utenti include le due sezioni seguenti.

Impostazione di negazione	Descrizione
Assegnazione di negazione applicabile a	Entità di sicurezza a cui si applica l'assegnazione di negazione.
Elementi esclusi dall'assegnazione di rifiuto	Entità di sicurezza che sono escluse dall'assegnazione di rifiuto.

L'principale definito dal sistema rappresenta tutti gli utenti, i gruppi, i principali del servizio e le identità gestite in una directory di Azure AD.

Per visualizzare un elenco delle autorizzazioni rifiutate, selezionare Autorizzazioni negate.

Tipo di azione	Descrizione
Azioni	Azioni del piano di controllo rifiutate.
NotActions	Azioni del piano di controllo escluse dall'elenco delle azioni rifiutate del piano di controllo.
Azioni dati	Azioni sul piano dati rifiutate.
NotDataActions	Azioni del piano dati escluse dalle azioni del piano dati rifiutate.

Nell'esempio illustrato nello screenshot precedente, le autorizzazioni valide sono le seguenti:

Tutte le azioni di archiviazione nel piano dati vengono rifiutate, ad eccezione delle azioni di calcolo.

Per visualizzare le proprietà per un'assegnazione di rifiuto, selezionare Proprietà.

Nella pagina Proprietà è possibile visualizzare il nome, l'ID, la descrizione e l'ambito dell'assegnazione negata. L'interruttore Non si applica ai bambini indica se l'assegnazione di negazione è ereditata ai sottoambiti. Il commutatore Protetto dal sistema indica se quest'assegnazione di rifiuto viene gestita da Azure. Attualmente, è Sì in tutti i casi.

Prerequisiti

Per ottenere informazioni su un'assegnazione di negazione, devi possedere quanto segue:

Autorizzazione Microsoft.Authorization/denyAssignments/read, inclusa nella maggior parte dei Ruoli predefiniti di Azure
PowerShell in Azure Cloud Shell o Azure PowerShell

Elencare tutte le assegnazioni di negazione

Per elencare tutte le assegnazioni di rifiuto per la sottoscrizione corrente, usare Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Elencare le assegnazioni negate all'ambito del gruppo di risorse

Per elencare tutte le assegnazioni di negazione nell'ambito del gruppo di risorse, usare Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Elencare le assegnazioni di negazione nell'ambito della sottoscrizione

Per elencare tutte le assegnazioni di rifiuto a livello di ambito di sottoscrizione, usare Get-AzDenyAssignment. Per ottenere l'ID sottoscrizione, vedere nella pagina Sottoscrizioni nel portale di Azure oppure usare Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Prerequisiti

Per ottenere informazioni su un'assegnazione di negazione, devi possedere quanto segue:

Autorizzazione Microsoft.Authorization/denyAssignments/read, inclusa nella maggior parte dei Ruoli predefiniti di Azure.

È necessario usare la versione seguente:

2018-07-01-preview o successivo
2022-04-01 è la prima versione stabile

Elenca una singola assegnazione di negazione

Per elencare una singola assegnazione di rifiuto, usare l'API REST Assegnazioni di rifiuto - Get.

Iniziare con la richiesta seguente:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01

All'interno dell'URI sostituire {scope} con l'ambito per il quale desideri elencare le assegnazioni di nega.

Ambito	TIPO
`subscriptions/{subscriptionId}`	Abbonamento
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Gruppo di risorse
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Conto risorse

Sostituire {deny-assignment-id} con l'identificatore dell'assegnazione di rifiuto da recuperare.

Elenco di più assegnazioni di negazione

Per elencare più assegnazioni di rifiuto, usare l'API REST Assegnazioni di rifiuto - List.

Iniziare con una delle richieste seguenti:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01

Parametri facoltativi:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

All'interno dell'URI sostituire {scope} con l'ambito per il quale elencare le assegnazioni di negazione.

Ambito	TIPO
`subscriptions/{subscriptionId}`	Abbonamento
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Gruppo di risorse
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Conto risorse

Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di rifiuto.

Filtro	Descrizione
(nessun filtro)	Elenca tutte le assegnazioni di negazione nell'ambito specificato, superiori e inferiori.
`$filter=atScope()`	Elenca le assegnazioni di rifiuto per il solo ambito specificato e al di sopra di tale ambito. Le assegnazioni di negazione nei sottoambiti non sono incluse.
`$filter=assignedTo('{objectId}')`	Elenca le assegnazioni negate per l'utente o il principale del servizio specificati. Se l'utente è membro di un gruppo con un'assegnazione di negazione, viene elencata anche l'assegnazione di negazione. Questo filtro è transitivo per i gruppi, ovvero se l'utente è membro di un gruppo e tale gruppo è membro di un altro gruppo con un'assegnazione di rifiuto, viene elencata anche l'assegnazione di rifiuto. Questo filtro accetta solo un ID oggetto per un utente o un principale del servizio. Non è possibile passare un ID oggetto per un gruppo.
`$filter=atScope()+and+assignedTo('{objectId}')`	Elenca le assegnazioni di negazione per l'utente o l'entità servizio specificati e nell'ambito specifico.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Elenca le assegnazioni di rifiuto con il nome specificato.
`$filter=principalId+eq+'{objectId}'`	Elenca le assegnazioni di negazione per l'utente, il gruppo o il principale del servizio specificati.

Elenca le assegnazioni di negazione nell'ambito radice (/)

Elevare l'accesso come descritto in Elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

Usare la richiesta seguente:

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di rifiuto. È obbligatorio applicare un filtro.

Filtro	Descrizione
`$filter=atScope()`	Elenca le assegnazioni di negazione per il solo ambito radice. Le assegnazioni di diniego nei sottoambiti non sono incluse.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Elenca le assegnazioni di negazione con il nome specificato.

Rimuove l'accesso con privilegi elevati.

Passaggi successivi

Stack di distribuzione

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-26

Condividi tramite

Elencare le assegnazioni di negazione di Azure

Come vengono create le assegnazioni di negazione

Confrontare le assegnazioni di ruolo e le assegnazioni negate

Proprietà dell'assegnazione vietata

Il ruolo Tutti i Principali

Elenco delle assegnazioni di negazione

Prerequisiti

Elenca le assegnazioni di negazione nel portale di Azure

Elencare i dettagli relativi a un'assegnazione negata

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive