Compartir por


Quitar el acceso a una delegación

Una vez delegada la suscripción o el grupo de recursos de un cliente a un proveedor de servicios para Azure Lighthouse, la delegación se puede quitar si es necesario. Una vez que se quita una delegación, el acceso a la Administración de recursos delegados de Azure que había sido concedido previamente a los usuarios del inquilino del proveedor de servicios ya no será aplicado.

La eliminación de una delegación puede realizarla un usuario en el inquilino del cliente o el inquilino del proveedor de servicios, siempre y cuando el usuario tenga los permisos adecuados.

Sugerencia

Aunque en este tema hacemos referencia a los proveedores de servicios y clientes, las empresas que administran varios inquilinos pueden usar los mismos procesos.

Importante

Cuando una suscripción de cliente tiene varias delegaciones del mismo proveedor de servicios, la eliminación de una delegación podría provocar que los usuarios pierdan el acceso concedido a través de las demás delegaciones. Esto solo ocurre cuando se incluye la misma combinación principalId y roleDefinitionId en varias delegaciones y, a continuación, se elimina una de las delegaciones. Si esto sucede, puede corregir el problema repitiendo el proceso de incorporación para las delegaciones que no quiera quitar.

Clientes

Los usuarios del inquilino del cliente que tienen un rol con el permiso Microsoft.Authorization/roleAssignments/write, como Propietario, pueden quitar el acceso del proveedor de servicios a esa suscripción (o a los grupos de recursos de esa suscripción). Para ello, el usuario puede ir a la página Proveedores de servicios de Azure Portal, buscar la oferta en la pantalla Ofertas del proveedor de servicios y seleccionar el icono de la papelera en la fila de esa oferta.

Tras confirmar la eliminación, ningún usuario en el inquilino del proveedor de servicios podrá acceder a los recursos que se hayan delegado previamente.

Proveedores de servicios

Los usuarios de un inquilino de administración pueden quitar el acceso a los recursos delegados si se les ha concedido el rol para eliminar la asignación de registros de servicios administrados durante el proceso de incorporación. Si este rol no está asignado a ningún usuario del proveedor de servicios, la delegación solo la puede quitar un usuario del inquilino del cliente.

Este ejemplo muestra una asignación que concede el rol para eliminar la asignación del registro de servicios administrados que se puede incluir en un archivo de parámetros durante el proceso de incorporación:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Este rol también se puede seleccionar en una autorización durante la creación de una oferta de servicio administrado para publicar en Azure Marketplace.

Un usuario con este permiso puede quitar una delegación de una de las siguientes maneras.

Azure portal

  1. Vaya a la página Mis clientes.
  2. Seleccione Delegaciones.
  3. Busque la delegación que desea quitar y seleccione el icono de la papelera que aparece en su fila.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Pasos siguientes