Delegáláshoz való hozzáférés eltávolítása

  • Cikk

Miután egy ügyfél előfizetését vagy erőforráscsoportját delegálták egy szolgáltatóhoz az Azure Lighthouse-hoz, a delegálás szükség esetén eltávolítható. A delegálás eltávolítása után az Azure delegált erőforrás-kezelési hozzáférése, amelyet korábban a szolgáltató bérlőjének felhasználói kaptak, többé nem lesz érvényes.

A delegálás eltávolítását az ügyfélbérlőben vagy a szolgáltató bérlőjében lévő felhasználó végezheti el, feltéve, hogy a felhasználó rendelkezik a megfelelő engedélyekkel.

Tipp

Bár ebben a témakörben a szolgáltatókra és az ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják.

Fontos

Ha egy ügyfél-előfizetés több delegálással rendelkezik ugyanabból a szolgáltatóból, az egyik delegálás eltávolítása miatt a felhasználók elveszítik a többi delegáláson keresztül biztosított hozzáférést. Ez csak akkor fordul elő, ha ugyanaz principalId és roleDefinitionId a kombináció több delegálásban is szerepel, majd az egyik delegálás el lesz távolítva. A probléma megoldásához ismételje meg az előkészítési folyamatot azoknak a delegálásoknak a esetében, amelyeket nem távolít el.

Ügyfelek

Az ügyfél bérlőjének olyan felhasználói, akik rendelkeznek engedéllyel (például Tulajdonos) szerepkörrel, eltávolíthatják az Microsoft.Authorization/roleAssignments/write adott előfizetéshez (vagy az adott előfizetés erőforráscsoportjaihoz) való szolgáltatói hozzáférést. Ehhez a felhasználó megnyithatja a Azure Portal Szolgáltatók lapját, megkeresheti az ajánlatot a Szolgáltatói ajánlatok képernyőn, és kiválaszthatja az ajánlat sorában található kuka ikont.

A törlés megerősítése után a szolgáltató bérlőjében lévő felhasználók nem férhetnek hozzá a korábban delegált erőforrásokhoz.

Szolgáltatók

A felügyelt bérlő felhasználói eltávolíthatják a delegált erőforrásokhoz való hozzáférést, ha megkapták a felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörét az ügyfél erőforrásaihoz. Ha ez a szerepkör nincs hozzárendelve egyetlen szolgáltatói felhasználóhoz sem, a delegálást csak az ügyfél bérlőjében lévő felhasználó távolíthatja el.

Ez a példa egy olyan hozzárendelést mutat be, amely megadja a felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörét , amely az előkészítési folyamat során szerepelhet egy paraméterfájlban:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Ezt a szerepkört az Engedélyezés területen is kiválaszthatja, amikor felügyeltszolgáltatás-ajánlatot hoz létre a Azure Marketplace való közzétételhez.

Az ilyen engedéllyel rendelkező felhasználók az alábbi módok egyikével távolíthatják el a delegálást.

Azure Portal

  1. Lépjen a Saját ügyfelek lapra.
  2. Válassza a Delegálások lehetőséget.
  3. Keresse meg az eltávolítani kívánt delegálást, majd válassza ki a sorban megjelenő kuka ikont.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Következő lépések