إزالة الوصول إلى تفويض

بعد تفويض اشتراك العميل أو مجموعة الموارد إلى موفر خدمة لـ Azure Lighthouse، يمكن إزالة التفويض إذا لزم الأمر. بمجرد إزالة التفويض، لن يتم تطبيق الوصول إلى إدارة موارد Azure المفوضة الذي تم منحه مسبقاً للمستخدمين في مستأجر موفر الخدمة.

يمكن أن تتم إزالة التفويض من قِبَل المستخدم في مستأجر العميل أو مستأجر مزود الخدمة، ما دام أن المستخدم لديه الأذونات المناسبة.

تلميح

على الرغم من أننا نشير إلى موفري الخدمات والعملاء في هذا الموضوع، يمكن لـ المؤسسات التي تُدير مستأجرين متعددين استخدام العمليات نفسها.

هام

عندما يحتوي اشتراك العميل على تفويضات متعددة من نفس موفر الخدمة، قد تتسبب إزالة تفويض واحد في فقدان المستخدمين للوصول الممنوح عبر الوفود الأخرى. يحدث هذا فقط عندما يتم تضمين نفس principalId والجمع roleDefinitionId في تفويضات متعددة ثم تتم إزالة أحد الوفود. لإصلاح ذلك، كرر عملية الإلحاق للوفود التي لا تقوم بإزالتها.

العملاء

يمكن للمستخدمين في مستأجر العميل الذين لديهم دور له إذن Microsoft.Authorization/roleAssignments/write، مثل المالك، إزالة وصول مقدم الخدمة إلى ذلك الاشتراك (أو إلى مجموعات الموارد في ذلك الاشتراك). للقيام بذلك، يمكن للمستخدم الانتقال إلى صفحة موفري الخدمة في مدخل Microsoft Azure، والعثور على العرض في شاشة عروض موفر الخدمة، وتحديد رمز سلة المهملات في صف هذا العرض.

بعد تأكيد الحذف، لن يتمكن أي مستخدم في مستأجر مزود الخدمة من الوصول إلى الموارد التي تم تفويضها مسبقاً.

مقدمو الخدمات

يمكن للمستخدمين في المستأجر الإداري إزالة الوصول إلى الموارد المفوَّضة إذا تم منحهم دور حذف تعيين تسجيل الخدمات المُدارة لموارد العميل. إذا لم يتم تعيين هذا الدور لأي مستخدم موفر خدمة، فلا يمكن إزالة التفويض إلا من قبل مستخدم في مستأجر العميل.

يوضح هذا المثال تعيينا يمنح دور حذف تعيين تسجيل الخدمات المدارة الذي يمكن تضمينه في ملف معلمة أثناء عملية الإعداد:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

يمكن أيضاً تحديد هذا الدور في Authorization عند إنشاء عرض خدمة مُدارة للنشر في Azure Marketplace.

يمكن للمستخدم الذي لديه هذا الإذن إزالة التفويض بإحدى الطرق التالية.

مدخل Microsoft Azure

1. انتقل إلى صفحة My customers.
2. حدد Delegations.
3. ابحث عن التفويض الذي تريد إزالته، ثم حدد رمز سلة المهملات الذي يظهر في صفه.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

الخطوات التالية

• تعرف على معلومات حول بنية Azure Lighthouse.
• عرض العملاء وإدارتهم بالانتقال إلى عملائي في مدخل Microsoft Azure.
• تعرف على كيفية تحديث تفويض سابق.