Delegáláshoz való hozzáférés eltávolítása
Miután egy ügyfél előfizetését vagy erőforráscsoportját delegálták egy szolgáltatóhoz az Azure Lighthouse-hoz, a delegálás szükség esetén eltávolítható. A delegálás eltávolítása után az Azure delegált erőforrás-kezelési hozzáférése, amelyet korábban a szolgáltató bérlőjének felhasználói kaptak, többé nem lesz érvényes.
A delegálás eltávolítását az ügyfélbérlőben vagy a szolgáltató bérlőjében lévő felhasználó végezheti el, feltéve, hogy a felhasználó rendelkezik a megfelelő engedélyekkel.
Tipp
Bár ebben a témakörben a szolgáltatókra és az ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják.
Fontos
Ha egy ügyfél-előfizetés több delegálással rendelkezik ugyanabból a szolgáltatóból, az egyik delegálás eltávolítása miatt a felhasználók elveszítik a többi delegáláson keresztül biztosított hozzáférést. Ez csak akkor fordul elő, ha ugyanaz principalId
és roleDefinitionId
a kombináció több delegálásban is szerepel, majd az egyik delegálás el lesz távolítva. A probléma megoldásához ismételje meg az előkészítési folyamatot azoknak a delegálásoknak a esetében, amelyeket nem távolít el.
Ügyfelek
Az ügyfél bérlőjének olyan felhasználói, akik rendelkeznek engedéllyel (például Tulajdonos) szerepkörrel, eltávolíthatják az Microsoft.Authorization/roleAssignments/write
adott előfizetéshez (vagy az adott előfizetés erőforráscsoportjaihoz) való szolgáltatói hozzáférést. Ehhez a felhasználó megnyithatja a Azure Portal Szolgáltatók lapját, megkeresheti az ajánlatot a Szolgáltatói ajánlatok képernyőn, és kiválaszthatja az ajánlat sorában található kuka ikont.
A törlés megerősítése után a szolgáltató bérlőjében lévő felhasználók nem férhetnek hozzá a korábban delegált erőforrásokhoz.
Szolgáltatók
A felügyelt bérlő felhasználói eltávolíthatják a delegált erőforrásokhoz való hozzáférést, ha megkapták a felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörét az ügyfél erőforrásaihoz. Ha ez a szerepkör nincs hozzárendelve egyetlen szolgáltatói felhasználóhoz sem, a delegálást csak az ügyfél bérlőjében lévő felhasználó távolíthatja el.
Ez a példa egy olyan hozzárendelést mutat be, amely megadja a felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörét , amely az előkészítési folyamat során szerepelhet egy paraméterfájlban:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Ezt a szerepkört az Engedélyezés területen is kiválaszthatja, amikor felügyeltszolgáltatás-ajánlatot hoz létre a Azure Marketplace való közzétételhez.
Az ilyen engedéllyel rendelkező felhasználók az alábbi módok egyikével távolíthatják el a delegálást.
Azure Portal
- Lépjen a Saját ügyfelek lapra.
- Válassza a Delegálások lehetőséget.
- Keresse meg az eltávolítani kívánt delegálást, majd válassza ki a sorban megjelenő kuka ikont.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated - or contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated – or contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Következő lépések
- Tudnivalók az Azure Lighthouse architektúrájáról.
- Az ügyfelek megtekintéséhez és kezeléséhez lépjen a Saját ügyfelek elemre a Azure Portal.
- Megtudhatja, hogyan frissíthet egy korábbi delegálást.