Listar atribuições de negação do Azure

Semelhante a uma atribuição de função, uma atribuição de negação anexa um conjunto de ações de negação a um usuário, grupo ou entidade de serviço em um escopo específico com a finalidade de negar acesso. As atribuições de recusa impedem os utilizadores de executarem ações nos recursos do Azure, mesmo que uma atribuição de função lhes conceda acesso.

Este artigo descreve como listar atribuições de negação.

Importante

Não pode criar diretamente as suas próprias atribuições de negação. As atribuições de negação são criadas e gerenciadas pelo Azure.

Como são criadas as atribuições de negação

As atribuições de recusa são criadas e geridas pelo Azure para proteger os recursos. Não pode criar diretamente as suas próprias atribuições de negação. No entanto, você pode especificar configurações de negação ao criar uma pilha de implantação, que cria uma atribuição de negação que pertence aos recursos da pilha de implantação. Para obter mais informações, consulte Proteger recursos gerenciados e limites do RBAC do Azure.

Comparar atribuições de função e atribuições negadas

As atribuições de negação seguem um padrão semelhante às atribuições de função, mas também têm algumas diferenças.

Capacidade	Atribuição de função	Negar atribuições
Conceder acesso	✅
Negar acesso		✅
Pode ser criado diretamente	✅
Aplicar em um escopo	✅	✅
Excluir principais		✅
Impedir a herança para níveis filhos		✅
Candidatar-se a atribuições de administrador clássico de subscrição		✅

Negar propriedades de atribuição

Uma atribuição de negação tem as seguintes propriedades:

Propriedade	Necessário	Tipo	Descrição
`DenyAssignmentName`	Sim	Cadeia	O nome de exibição da atribuição negada. Os nomes devem ser exclusivos para um determinado escopo.
`Description`	Não	Cadeia	A descrição da atribuição negada.
`Permissions.Actions`	Pelo menos uma Actions ou uma DataActions	Cadeia[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de controle às quais a atribuição de negação bloqueia o acesso.
`Permissions.NotActions`	Não	Cadeia[]	Uma matriz de cadeias de caracteres que especificam a ação do plano de controle a ser excluída da atribuição de negação.
`Permissions.DataActions`	Pelo menos uma Actions ou uma DataActions	Cadeia[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de dados às quais a atribuição de negação bloqueia o acesso.
`Permissions.NotDataActions`	Não	Cadeia[]	Uma matriz de cadeias de caracteres que especificam as ações do plano de dados a serem excluídas da atribuição de negação.
`Scope`	Não	Cadeia	Uma cadeia de caracteres que especifica o escopo ao qual a atribuição de negação se aplica.
`DoNotApplyToChildScopes`	Não	Booleano	Especifica se a atribuição de negação se aplica a escopos subordinados. O valor predefinido é falso.
`Principals[i].Id`	Sim	Cadeia[]	Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação se aplica. Defina como um GUID `00000000-0000-0000-0000-000000000000` vazio para representar todos os princípios.
`Principals[i].Type`	Não	Cadeia[]	Uma matriz de tipos de objeto representados por Principals[i].Id. Definido para `SystemDefined` representar todos os principais.
`ExcludePrincipals[i].Id`	Não	Cadeia[]	Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerida) a que a atribuição de negação não se aplica.
`ExcludePrincipals[i].Type`	Não	Cadeia[]	Uma matriz de tipos de objeto representada por ExcludePrincipals[i].Id.
`IsSystemProtected`	Não	Booleano	Especifica se essa atribuição de negação foi criada pelo Azure e não pode ser editada ou excluída. Atualmente, todas as atribuições de negação estão protegidas pelo sistema.

O princípio de Todos os Princípios

Para dar suporte às atribuições de negação, uma entidade definida pelo sistema chamada Todos os Principais foi introduzida. Essa entidade representa todos os utilizadores, grupos, entidades de serviço e identidades geridas num diretório do Microsoft Entra. Se o ID principal for um GUID 00000000-0000-0000-0000-000000000000 zero e o tipo principal for SystemDefined, o principal representará todos os principais. Na saída do Azure PowerShell, Todos os Diretores têm a seguinte aparência:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Todos os principais podem ser combinados com ExcludePrincipals para negar todos os principais, exceto alguns utilizadores. All Principals tem as seguintes restrições:

Pode ser usado apenas em Principals e não pode ser usado em ExcludePrincipals.
Principals[i].Type deve ser definido como SystemDefined.

Listar atribuições negadas

Siga estas etapas para listar atribuições negadas.

Importante

Não pode criar diretamente as suas próprias atribuições de negação. As atribuições de negação são criadas e gerenciadas pelo Azure. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Pré-requisitos

Para obter informações sobre uma atribuição negada, você deve ter:

Microsoft.Authorization/denyAssignments/read permissão, que está incluída na maioria das funções internas do Azure.

Listar atribuições de negação no portal do Azure

Siga estas etapas para listar atribuições de negação no âmbito da assinatura ou do grupo de gerenciamento.

No portal do Azure, abra o escopo selecionado, como grupo de recursos ou assinatura.
Selecione Controle de acesso (IAM).
Selecione a guia Negar atribuições (ou selecione o botão Exibir no bloco Exibir atribuições negadas).

Se houver atribuições de negação neste escopo ou herdadas para esse escopo, elas serão listadas.

Para exibir colunas adicionais, selecione Editar colunas.

Coluna	Descrição
Nome	Nome da atribuição negada.
Tipo principal	Usuário, grupo, grupo definido pelo sistema ou entidade de serviço.
Negado	Nome da entidade de segurança incluída na atribuição de negação.
ID	Identificador exclusivo para a atribuição de negação.
Principais excluídos	Se há entidades de segurança excluídas da atribuição de negação.
Não se aplica a crianças	Se a atribuição de negação é herdada para subescopos.
Sistema protegido	Se a atribuição de negação é gerenciada pelo Azure. Atualmente, sempre sim.
Âmbito de aplicação	Grupo de gestão, subscrição, grupo de recursos ou recurso.

Adicione uma marca de seleção a qualquer um dos itens habilitados e selecione OK para exibir as colunas selecionadas.

Listar detalhes sobre uma atribuição de recusa

Siga estes passos para listar detalhes adicionais sobre uma negação de atribuição.

Abra o painel Negar atribuições , conforme descrito na seção anterior.

Selecione o nome da atribuição de negação para abrir a página Usuários .

A página Usuários inclui as duas seções a seguir.

Negar configuração	Descrição
Negar atribuição aplica-se a	Entidades de segurança às quais a atribuição de negação se aplica.
Negar atribuição exclui	Entidades de segurança excluídas da atribuição de negação.

System-Defined Principal representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um diretório do Azure AD.

Para ver uma lista das permissões negadas, selecione Permissões negadas.

Tipo de ação	Descrição
Ações	Ações do plano de controle negadas.
NotActions	Ações do plano de controle excluídas das ações negadas do plano de controle.
DataActions	Ações de plano de dados negadas.
NotDataActions	Ações do plano de dados que não estão incluídas nas ações negadas do plano de dados.

Para o exemplo mostrado na captura de tela anterior, a seguir estão as permissões efetivas:

Todas as ações de armazenamento no plano de dados são negadas, exceto as ações de computação.

Para ver as propriedades de uma atribuição de negação, selecione Propriedades.

Na página Propriedades , você pode ver o nome, a ID, a descrição e o escopo da atribuição negada. A opção Não se aplica a filhos indica se a atribuição de negação é herdada para subescopos. A opção Protegido pelo sistema indica se essa atribuição de negação é gerenciada pelo Azure. Atualmente, isso é sim em todos os casos.

Pré-requisitos

Para obter informações sobre uma atribuição negada, você deve ter:

Microsoft.Authorization/denyAssignments/read permissão, que está incluída na maioria das funções internas do Azure
PowerShell no Azure Cloud Shell ou Azure PowerShell

Listar todas as atribuições negadas

Para listar todas as atribuições de negação para a assinatura atual, use Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Listar atribuições de negação no âmbito de um grupo de recursos

Para listar todas as atribuições de negação no âmbito de um grupo de recursos, use Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Listar atribuições de recusa no âmbito de uma subscrição

Para listar todas as atribuições negadas no âmbito de uma subscrição, use Get-AzDenyAssignment. Para obter a ID da assinatura, você pode encontrá-la na página Assinaturas no portal do Azure ou usar Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Pré-requisitos

Para obter informações sobre uma atribuição negada, você deve ter:

Microsoft.Authorization/denyAssignments/read permissão, que está incluída na maioria das funções internas do Azure.

Você deve usar a seguinte versão:

2018-07-01-preview ou mais tarde
2022-04-01 é a primeira versão estável

Listar uma única atribuição de negação

Para listar uma única atribuição de negação, utilize a REST API Deny Assignments - Get.

Comece com a seguinte solicitação:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01

No URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de negação.

Âmbito	Tipo
`subscriptions/{subscriptionId}`	Subscrição
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Grupo de recursos
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Recurso

Substitua {deny-assignment-id} pelo identificador de atribuição de negação que você deseja recuperar.

Listar várias atribuições de negação

Para listar várias atribuições de negação, utilize a API REST Deny Assignments - List.

Comece com uma das seguintes solicitações:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01

Com parâmetros opcionais:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

No URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de negação.

Âmbito	Tipo
`subscriptions/{subscriptionId}`	Subscrição
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Grupo de recursos
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Recurso

Substitua {filter} pela condição que você deseja aplicar para filtrar a lista de atribuição negada.

Filtro	Descrição
(sem filtro)	Lista todas as atribuições negadas em, acima e abaixo do escopo especificado.
`$filter=atScope()`	As listas negam atribuições apenas para o escopo especificado e acima. Não inclui as atribuições de negação em subescopos.
`$filter=assignedTo('{objectId}')`	Lista as atribuições negadas para o usuário ou entidade de serviço especificada. Se o usuário for membro de um grupo que tenha uma atribuição de negação, essa atribuição de negação também será listada. Esse filtro é transitivo para grupos, o que significa que, se o usuário for membro de um grupo e esse grupo for membro de outro grupo que tenha uma atribuição de negação, essa atribuição de negação também será listada. Esse filtro só aceita uma ID de objeto para um usuário ou uma entidade de serviço. Não é possível passar uma ID de objeto para um grupo.
`$filter=atScope()+and+assignedTo('{objectId}')`	Lista as atribuições negadas para o utilizador ou entidade de serviço especificada e no escopo especificado.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	As listas negam atribuições com o nome especificado.
`$filter=principalId+eq+'{objectId}'`	Lista as atribuições negadas para o usuário, grupo ou entidade de serviço especificada.

Listar atribuições de negação no escopo raiz (/)

Eleve seu acesso conforme descrito em Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

Use a seguinte solicitação:

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

Substitua {filter} pela condição que você deseja aplicar para filtrar a lista de atribuição negada. É necessário um filtro.

Filtro	Descrição
`$filter=atScope()`	Listar atribuições de negação apenas para o escopo raiz. Não inclui as atribuições de negação em subescopos.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Listar atribuições de negação com o nome especificado.

Remover o acesso elevado.

Próximos passos

Pilhas de implantação

Feedback

Esta página foi útil?

Last updated on 2025-04-24

Partilhar via

Listar atribuições de negação do Azure

Como são criadas as atribuições de negação

Comparar atribuições de função e atribuições negadas

Negar propriedades de atribuição

O princípio de Todos os Princípios

Listar atribuições negadas

Pré-requisitos

Listar atribuições de negação no portal do Azure

Listar detalhes sobre uma atribuição de recusa

Próximos passos

Feedback

Recursos adicionais