Entfernen des Zugriffs auf eine Delegierung

Artikel
03/09/2023

Nachdem das Abonnement oder die Ressourcengruppe eines Kunden an einen Dienstanbieter für Azure Lighthouse delegiert wurde, kann die Delegierung bei Bedarf entfernt werden. Nachdem eine Delegierung entfernt wurde, gilt der Zugriff der delegierten Azure-Ressourcenverwaltung, der den Benutzern im Dienstanbietermandanten zuvor gewährt wurde, nicht mehr.

Das Entfernen einer Delegierung kann durch einem Benutzer entweder im Kundenmandanten oder im Dienstanbietermandanten ausgeführt werden, sofern der Benutzer über die entsprechenden Berechtigungen verfügt.

Tipp

Zwar beziehen wir uns in diesem Thema auf Dienstanbieter und Kunden, doch können Unternehmen, die mehrere Mandanten verwalten, denselben Prozess verwenden.

Wichtig

Wenn ein Kundenabonnement über mehrere Delegierungen vom gleichen Dienstanbieter verfügt, kann das Entfernen einer Delegierung dazu führen, dass Benutzer den über die anderen Delegierungen gewährten Zugriff verlieren. Dies tritt nur auf, wenn die gleiche principalId- und roleDefinitionId-Kombination in mehreren Delegierungen enthalten ist und dann eine der Delegierungen entfernt wird. Um dies zu beheben, wiederholen Sie den Onboardingprozess für die Delegierungen, die Sie nicht entfernen.

Kunden

Benutzer im Mandanten des Kunden, denen eine Rolle mit der Berechtigung Microsoft.Authorization/roleAssignments/write (z. B. Besitzer) zugewiesen ist, können den Dienstanbieterzugriff auf das Abonnement (oder auf Ressourcengruppen in diesem Abonnement) entfernen. Zu diesem Zweck kann ein Benutzer zur Seite Dienstanbieter des Azure-Portals navigieren, auf dem Bildschirm Dienstanbieterangebote nach dem Angebot suchen und das Papierkorbsymbol in der Zeile für das Angebot auswählen.

Nach dem Bestätigten des Löschvorgangs können keine Benutzer im Mandanten des Dienstanbieters auf die zuvor delegierten Ressourcen zugreifen.

Dienstanbieter

Benutzer in einem Mandanten, der verwaltet wird, können den Zugriff auf delegierte Ressourcen entfernen, wenn Ihnen die Rolle zum Löschen der Registrierungszuweisung für verwaltete Dienste für die Ressourcen des Kunden erteilt wurden. Wenn diese Rolle keinem Dienstanbieterbenutzer zugewiesen ist, kann die Delegierung nur durch einen Benutzer im Mandanten des Kunden entfernt werden.

Dieses Beispiel zeigt eine Zuweisung, welche die Rolle zum Löschen der Registrierungszuweisung für verwaltete Dienste erteilt. Diese kann während des Onboardingprozesses in einer Parameterdatei aufgenommen werden:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Diese Rolle kann auch in einer Autorisierung ausgewählt werden, wenn ein Angebot für einen verwalteten Dienst zum Veröffentlichen in Azure Marketplace erstellt wird.

Ein Benutzer mit dieser Berechtigung kann eine Delegierung auf eine der folgenden Arten entfernen.

Azure-Portal

Navigieren Sie zur Seite Meine Kunden.
Wählen Sie Delegierungen aus.
Suchen Sie die Delegierung, die Sie entfernen möchten, und wählen Sie dann das Papierkorbsymbol aus, das in der Zeile angezeigt wird.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Nächste Schritte

Erfahren Sie mehr über Azure Lighthouse-Architektur.
Anzeigen und Verwalten von Kunden, indem sie im Azure-Portal zu Meine Kunden navigieren.
Erfahren Sie, wie Sie eine vorherige Delegierung aktualisieren.