使用 Azure 门户列出 Azure 拒绝分配

即使角色分配向用户授予了访问权限,Azure 拒绝分配也会阻止用户执行特定的 Azure 资源操作。 本文介绍如何使用 Azure 门户列出拒绝分配。

注意

不能直接创建自己的拒绝分配。 有关详细信息,请参阅 Azure 拒绝分配

先决条件

如要获取拒绝分配的相关信息,必须具有:

  • Microsoft.Authorization/denyAssignments/read 权限,大多数 Azure 内置角色都包含该权限。

列出拒绝分配

请执行以下步骤,在订阅或管理组范围列出拒绝分配。

  1. 在 Azure 门户中单击“所有服务”,然后选择“管理组”或“订阅”。

  2. 单击要列出的管理组或订阅。

  3. 单击“访问控制(IAM)”。

  4. 单击“拒绝分配”选项卡(或单击“查看拒绝分配”磁贴上的“视图”按钮) 。

    如果此范围内有任何拒绝分配或继承到此范围的角色,则会将其列出。

    Access control - Deny assignments tab

  5. 若要显示其他列,请单击“编辑列”。

    Deny assignments - Columns

    说明
    名称 拒绝分配的名称。
    主体类型 用户、组、系统定义的组或服务主体。
    拒绝 包括在拒绝分配中的安全主体的名称。
    Id 拒绝分配的唯一标识符。
    排除的主体 是否有排除在拒绝分配之外的安全主体。
    不适用于儿童 是否已将拒绝分配继承到子范围。
    受系统保护 拒绝分配是否由 Azure 托管。 当前始终为“是”。
    范围 管理组、订阅、资源组或资源。
  6. 将一个复选标记添加到任何已启用的项,然后单击“确定”以显示所选列。

列出有关拒绝分配的详细信息

执行以下步骤,以便列出有关拒绝分配的更多详细信息。

  1. 按照上一部分的说明打开“拒绝分配”窗格。

  2. 单击拒绝分配名称,打开“用户”边栏选项卡。

    Deny assignment - Users

    “用户”边栏选项卡包括下述两个部分。

    拒绝设置 说明
    拒绝分配适用于 拒绝分配应用到的安全主体。
    拒绝分配排除 排除在拒绝分配之外的安全主体。

    系统定义的主体表示 Microsoft Entra 目录中的所有用户、组、服务主体和托管标识

  3. 若要查看已拒绝权限的列表,请单击“已拒绝权限”。

    Deny assignment - Denied Permissions

    操作类型 说明
    操作 拒绝控制平面操作。
    不操作 从拒绝控制平面操作中排除的控制平面操作。
    DataActions 拒绝数据平面操作。
    NotDataActions 从拒绝数据平面操作中排除的数据平面操作。

    就上一屏幕截图中显示的示例来说,下面是有效的权限:

    • 数据平面上的所有存储操作都已拒绝,计算操作除外。
  4. 若要查看拒绝分配的属性,请单击“属性”。

    Deny assignment - Properties

    在“属性”边栏选项卡上,可以看到拒绝分配名称、ID、说明和范围。 “不适用于儿童”开关指示是否已将拒绝分配继承到子范围。 “受系统保护”开关指示此拒绝分配是否由 Azure 托管。 当前,所有情况下此项均为“是”。

后续步骤