通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Get-AzDenyAssignment

模块:
Az.Resources Module

列出指定范围内的 Azure RBAC 拒绝分配。 默认情况下,它会列出所选 Azure 订阅中的所有拒绝分配。 使用相应的参数列出特定用户的拒绝分配,或列出特定资源组或资源上的拒绝分配。

cmdlet 可以根据输入参数调用以下Microsoft图形 API:

  • 获取 /directoryObjects/{id}
  • 发布 /directoryObjects/getByIds

语法

EmptyParameterSet (默认值) 

Get-AzDenyAssignment
    [-Scope <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ObjectIdParameterSet 

Get-AzDenyAssignment
    -ObjectId <Guid>
    [-ExpandPrincipalGroups]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceGroupWithObjectIdParameterSet 

Get-AzDenyAssignment
    -ObjectId <Guid>
    -ResourceGroupName <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceWithObjectIdParameterSet 

Get-AzDenyAssignment
    -ObjectId <Guid>
    -ResourceGroupName <String>
    -ResourceName <String>
    -ResourceType <String>
    [-ParentResource <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ScopeWithObjectIdParameterSet 

Get-AzDenyAssignment
    -ObjectId <Guid>
    -Scope <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceGroupWithSignInNameParameterSet 

Get-AzDenyAssignment
    -SignInName <String>
    -ResourceGroupName <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceWithSignInNameParameterSet 

Get-AzDenyAssignment
    -SignInName <String>
    -ResourceGroupName <String>
    -ResourceName <String>
    -ResourceType <String>
    [-ParentResource <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ScopeWithSignInNameParameterSet 

Get-AzDenyAssignment
    -SignInName <String>
    -Scope <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

SignInNameParameterSet 

Get-AzDenyAssignment
    -SignInName <String>
    [-ExpandPrincipalGroups]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceGroupWithSPNParameterSet 

Get-AzDenyAssignment
    -ServicePrincipalName <String>
    -ResourceGroupName <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceWithSPNParameterSet 

Get-AzDenyAssignment
    -ServicePrincipalName <String>
    -ResourceGroupName <String>
    -ResourceName <String>
    -ResourceType <String>
    [-ParentResource <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ScopeWithSPNParameterSet 

Get-AzDenyAssignment
    -ServicePrincipalName <String>
    -Scope <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

SPNParameterSet 

Get-AzDenyAssignment
    -ServicePrincipalName <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceGroupParameterSet 

Get-AzDenyAssignment
    -ResourceGroupName <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ResourceParameterSet 

Get-AzDenyAssignment
    -ResourceGroupName <String>
    -ResourceName <String>
    -ResourceType <String>
    [-ParentResource <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

ScopeParameterSet 

Get-AzDenyAssignment
    -Scope <String>
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

DenyAssignmentIdParameterSet 

Get-AzDenyAssignment
    -Id <String>
    [-Scope <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

DenyAssignmentNameParameterSet 

Get-AzDenyAssignment
    -DenyAssignmentName <String>
    [-Scope <String>]
    [-DefaultProfile <IAzureContextContainer>]
    [<CommonParameters>]

说明

使用 Get-AzDenyAssignment 命令列出在范围上生效的所有拒绝分配。 如果没有任何参数,此命令将返回订阅下所做的所有拒绝分配。 可以使用主体、拒绝分配名称和作用域的筛选参数筛选此列表。 若要指定用户,请使用 SignInName 或 Microsoft Entra ObjectId 参数。 若要指定安全组,请使用 Microsoft Entra ObjectId 参数。 若要指定 Microsoft Entra 应用程序,请使用 ServicePrincipalName 或 ObjectId 参数。 可以指定拒绝访问的范围。 默认为所选订阅。 可以使用下列参数组合之一指定拒绝分配的范围。 范围 - 这是从 /subscriptions/<subscriptionId> 开始的完全限定范围。 这将筛选在特定范围生效的拒绝分配,即在该范围及更高范围内的所有拒绝分配。 b. ResourceGroupName - 订阅下的任何资源组的名称。 这将筛选在指定资源组中生效的分配,即该范围及更高级别的所有拒绝分配。 选项c. ResourceName、ResourceType、ResourceGroupName 和 (可选)ParentResource - 标识订阅下的特定资源,并将筛选该资源范围内有效的拒绝分配。 若要确定订阅中特定用户拒绝的访问权限,请使用 ExpandPrincipalGroups 开关。 这会列出分配给用户的所有拒绝分配,以及分配给用户所属的组。

示例

示例 1

列出订阅中的所有拒绝分配

Get-AzDenyAssignment

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/providers/Microsoft.Authorization/denyAssignments/22704996-fbd0-4ab1-8625-722d897825d2
DenyAssignmentName      : Test deny assignment 1
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  testuser
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          }
IsSystemProtected       : True

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName      : Test deny assignment 2
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  testuser
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          ,
                          DisplayName:  PowershellTestingApp
                          ObjectType:   ServicePrincipal
                          ObjectId:     f2dc21ac-702a-4bde-a4ce-146edf751d81
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

示例 2

获取对范围 testRG 及更高版本的用户 john.doe@contoso.com 所做的所有拒绝分配。

Get-AzDenyAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/providers/Microsoft.Authorization/denyAssignments/22704996-fbd0-4ab1-8625-722d897825d2
DenyAssignmentName      : Test deny assignment 1
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  john.doe
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName      : Test deny assignment
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  john.doe
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          ,
                          DisplayName:  PowershellTestingApp
                          ObjectType:   ServicePrincipal
                          ObjectId:     f2dc21ac-702a-4bde-a4ce-146edf751d81
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

示例 3

获取指定服务主体的所有拒绝分配

Get-AzDenyAssignment -ServicePrincipalName 'http://testapp1.com'

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName      : Test deny assignment 1
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  TestApp
                          ObjectType:   ServicePrincipal
                          ObjectId:     f2dc21ac-702a-4bde-a4ce-146edf751d81
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1/providers/Microsoft.Authorization/denyAssignments/94e3d9da-3700-4113-aab4-15f6c173d794
DenyAssignmentName      : Test deny assignment 2
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  testuser
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          ,
                          DisplayName:  TestApp
                          ObjectType:   ServicePrincipal
                          ObjectId:     f2dc21ac-702a-4bde-a4ce-146edf751d81
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

示例 4

获取“site1”网站范围内的拒绝分配。

Get-AzDenyAssignment -Scope '/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/testRG/providers/Microsoft.Web/sites/site1'

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG/providers/Microsoft.Authorization/denyAssignments/43af7d0c-0bf8-407f-96c0-96a29d076431
DenyAssignmentName      : Test deny assignment 1
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourcegroups/testRG
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  testuser
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

Id                      : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1/providers/Microsoft.Authorization/denyAssignments/594e3d9da-3700-4113-aab4-15f6c173d794
DenyAssignmentName      : Test deny assignment 2
Description             : Test deny assignment for PS cmdlets
Actions                 : {foo/*}
NotActions              : {foo/*/read}
DataActions             : {foo/*}
NotDataActions          : {}
Scope                   : /subscriptions/4004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/testRG/providers/Microsoft.Web/sites/site1
DoNotApplyToChildScopes : False
Principals              : {
                          DisplayName:  testuser
                          ObjectType:   User
                          ObjectId:     f8d526a0-54eb-4941-ae69-ebf4a334d0f0
                          ,
                          DisplayName:  TestApp
                          ObjectType:   ServicePrincipal
                          ObjectId:     f2dc21ac-702a-4bde-a4ce-146edf751d81
                          }
ExcludePrincipals       : {}
IsSystemProtected       : True

参数

-DefaultProfile

用于与 azure 通信的凭据、帐户、租户和订阅

参数属性

类型:IAzureContextContainer
默认值:None
支持通配符:False
不显示:False
别名:AzContext, AzureRmContext, AzureCredential

参数集

(All)
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):False
来自剩余参数的值:False

-DenyAssignmentName

拒绝分配的名称。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

DenyAssignmentNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ExpandPrincipalGroups

如果指定,则返回直接分配给用户的拒绝分配,并返回用户所属的组(可传递)。 仅支持用户主体。

参数属性

类型:SwitchParameter
默认值:None
支持通配符:False
不显示:False

参数集

ObjectIdParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):False
来自剩余参数的值:False
SignInNameParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):False
来自剩余参数的值:False

-Id

拒绝分配完全限定的 ID 或 GUID。 当 ID 作为 GUID 提供时,会将当前订阅作为默认范围。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

DenyAssignmentIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ObjectId

用户、组或服务主体的 Microsoft Entra ObjectId。 筛选对指定主体所做的所有拒绝分配。

参数属性

类型:

Nullable<T>[Guid]

默认值:None
支持通配符:False
不显示:False
别名:PrincipalId

参数集

ObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceGroupWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ScopeWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ParentResource

使用 ResourceName 参数指定的资源的层次结构中的父资源。 必须与 ResourceGroupName、ResourceType 和 ResourceName 参数结合使用。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

ResourceWithObjectIdParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSignInNameParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSPNParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ResourceGroupName

资源组名称。 列出在指定资源组中有效的拒绝分配。 当与 ResourceName、ResourceType 和 ParentResource 参数结合使用时,该命令将列出在资源组中的资源上有效的拒绝分配。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

ResourceGroupWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceGroupWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceGroupWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceGroupParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ResourceName

资源名称。 例如 storageaccountprod。 必须与 ResourceGroupName、ResourceType 和 (可选)ParentResource 参数结合使用。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

ResourceWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ResourceType

资源类型。 例如,Microsoft.Network/virtualNetworks。 必须与 ResourceGroupName、ResourceName 和 (可选)ParentResource 参数结合使用。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

ResourceWithObjectIdParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-Scope

角色分配的范围。 相对 URI 的格式。 例如 /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG。 它必须以“/subscriptions/{id}”开头。 该命令会筛选在该范围内生效的所有拒绝分配。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False

参数集

EmptyParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
DenyAssignmentIdParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
DenyAssignmentNameParameterSet
Position:Named
必需:False
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-ServicePrincipalName

服务主体的 ServicePrincipalName。 筛选对指定Microsoft Entra 应用程序所做的所有拒绝分配。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False
别名:SPN

参数集

ResourceGroupWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ScopeWithSPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
SPNParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

-SignInName

用户的电子邮件地址或用户主体名称。 筛选对指定用户所做的所有拒绝分配。

参数属性

类型:String
默认值:None
支持通配符:False
不显示:False
别名:Email, UserPrincipalName

参数集

ResourceGroupWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ResourceWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
ScopeWithSignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False
SignInNameParameterSet
Position:Named
必需:True
来自管道的值:False
来自管道的值(按属性名称):True
来自剩余参数的值:False

CommonParameters

此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters

输入

Guid

String

输出

PSDenyAssignment

备注

关键字:azure, azurerm, arm, 资源, 管理, 经理, 资源组, 模板, 部署