天蓝色政策 |拒绝从虚拟机中删除用户分配的身份的操作不起作用

我想创建一个具有拒绝效果的天蓝色策略，以防止从虚拟机中删除用户分配的身份的操作不起作用，但我无法这样做，因为我们正在使用 terraform 创建虚拟机，我将在此处分配身份，这策略正在限制创建，意味着创建虚拟机时拒绝操作生效。这项新策略正在阻止创建 VM。我们需要逻辑，以便它不会阻止创建 VM 并在已存在的 VM 上强制执行，并且应仅在修改或单独 PUT 请求期间触发。 我也尝试过使用 PUT 方法 - 这样我可以通过 terraform 创建虚拟机，但如果我尝试从虚拟机中删除用户分配的身份，它将成功完成此操作。 我想知道这个案例可行吗？

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },      
      {
        "field": "tags['network_environment']",
        "in": "[parameters('allowedEnvironments')]"
      }
      
    ]
  },
  "then": {
    "effect": "deny"
    "details": {
      "type": "Microsoft.Compute/virtualMachines",
      "existenceCondition": {
        "allOf": [
          {
            "not": {
              "field": "identity.type",
              "contains": "UserAssigned"
            }
          },
          {
            "not": {
              "field": "identity.userAssignedIdentities",
              "containsKey": "[parameters('userAssignedIdentityResourceId')]"
            }
          }
        ]
      }
    }
  }
}