我已尝试在我的环境中重现相同内容，以阻止Azure AD用户访问自定义角色：

我创建了自定义角色，如下所示。

Azure门户〉订阅〉你的订阅〉访问控制（IAM）〉添加〉添加自定义角色：

已创建自定义角色。

创建阻止向Azure AD用户分配访问权限的策略。
Azure门户〉Azure策略〉定义〉策略定义〉

政策代码：

添加自定义重定义ID以仅阻止自定义角色。

{
  "mode": "All",
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "Microsoft.Authorization/roleAssignments/roleDefinitionId",
          "contains": "XXXXXX-29dd-4688-8c34-9d035095c507"
        },
        {
          "field": "type",
          "equals": "Microsoft.Authorization/roleAssignments"
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {}
}

将策略分配到范围级别，如下所示。

Azure策略〉定义〉选择策略〉分配

如果我尝试在订阅级别上分配自定义角色，则在用户具有所有者角色的情况下出现以下错误。

用户对订阅具有所有者角色访问权限

参考：Azure custom role: authorize role assignment for a specific set of roles：随后：用户2761155。