Odebrání přístupu k delegování
Po delegování předplatného nebo skupiny prostředků zákazníka na poskytovatele služeb pro Azure Lighthouse je možné delegování v případě potřeby odebrat. Po odebrání delegování už nebude platit přístup ke správě delegovaných prostředků Azure , který byl dříve udělen uživatelům v tenantovi poskytovatele služeb.
Odebrání delegování může provést uživatel buď v tenantovi zákazníka, nebo v tenantovi poskytovatele služeb, pokud má uživatel příslušná oprávnění.
Tip
I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky spravující více tenantů můžou používat stejné procesy.
Důležité
Pokud má předplatné zákazníka více delegování od stejného poskytovatele služeb, může odebrání jednoho delegování způsobit, že uživatelé ztratí přístup udělený prostřednictvím jiných delegování. K tomu dochází pouze v případě, že je stejná principalId kombinace a roleDefinitionId zahrnuta do více delegování a pak je jedno z delegování odebráno. Tento problém vyřešíte tak, že zopakujete proces onboardingu pro delegování, která neodebrali.
Zákazníci
Uživatelé v tenantovi zákazníka, kteří mají roli s oprávněním Microsoft.Authorization/roleAssignments/write , například Vlastník, můžou odebrat přístup poskytovatele služeb k tomuto předplatnému (nebo ke skupinám prostředků v tomto předplatném). Uživatel tak může přejít na stránku Poskytovatelé služeb v Azure Portal, najít nabídku na obrazovce Nabídky poskytovatele služeb a vybrat ikonu koše v řádku pro danou nabídku.
Po potvrzení odstranění nebudou mít žádní uživatelé v tenantovi poskytovatele služeb přístup k prostředkům, které byly dříve delegovány.
Poskytovatelé služeb
Uživatelé ve spravovaném tenantovi můžou odebrat přístup k delegovaným prostředkům, pokud jim byla udělena role odstranění přiřazení registrace spravovaných služeb pro prostředky zákazníka. Pokud tato role není přiřazená žádnému uživateli poskytovatele služeb, může delegování odebrat jenom uživatel v tenantovi zákazníka.
Tento příklad ukazuje přiřazení, které uděluje roli odstranění přiřazení registrace spravovaných služeb , která může být zahrnuta do souboru parametrů během procesu onboardingu:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Tuto roli je také možné vybrat v autorizaci při vytváření nabídky spravované služby pro publikování do Azure Marketplace.
Uživatel s tímto oprávněním může delegování odebrat jedním z následujících způsobů.
portál Azure
- Přejděte na stránku Mí zákazníci.
- Vyberte Delegování.
- Najděte delegování, které chcete odebrat, a pak vyberte ikonu koše, která se zobrazí na jeho řádku.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated - or contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated – or contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Další kroky
- Přečtěte si o architektuře Azure Lighthouse.
- Zobrazte a spravujte zákazníky v části Moji zákazníci v Azure Portal.
- Zjistěte, jak aktualizovat předchozí delegování.