Menghapus akses ke delegasi

  • Artikel

Setelah langganan atau grup sumber daya pelanggan didelegasikan ke penyedia layanan untuk Azure Lighthouse, delegasi dapat dihapus jika diperlukan. Setelah delegasi dihapus, akses manajemen sumber daya delegasi Azure yang sebelumnya diberikan kepada pengguna di penyewa penyedia layanan tidak akan berlaku lagi.

Menghapus delegasi dapat dilakukan oleh pengguna baik di penyewa pelanggan atau penyewa penyedia layanan, selama pengguna memiliki izin yang sesuai.

Tip

Meskipun kami mengacu pada penyedia layanan dan pelanggan dalam topik ini, perusahaan yang mengelola banyak penyewa dapat menggunakan proses yang sama.

Penting

Ketika langganan pelanggan memiliki beberapa delegasi dari penyedia layanan yang sama, menghapus satu delegasi dapat menyebabkan pengguna kehilangan akses yang diberikan melalui delegasi lain. Ini hanya terjadi ketika kombinasi dan roleDefinitionId yang sama principalId disertakan dalam beberapa delegasi dan kemudian salah satu delegasi dihapus. Untuk memperbaikinya, ulangi proses onboarding untuk delegasi yang tidak Anda hapus.

Pelanggan

Pengguna di penyewa pelanggan yang memiliki peran dengan Microsoft.Authorization/roleAssignments/write izin, seperti Pemilik, dapat menghapus akses penyedia layanan ke langganan tersebut (atau ke grup sumber daya dalam langganan tersebut). Untuk melakukannya, pengguna dapat masuk ke halaman Penyedia layanan portal Microsoft Azure, menemukan penawaran pada layar penawaran penyedia layanan, dan memilih ikon tempat sampah di baris untuk penawaran tersebut.

Setelah mengonfirmasi penghapusan, tidak ada pengguna di penyewa penyedia layanan yang dapat mengakses sumber daya yang telah didelegasikan sebelumnya.

Penyedia layanan

Pengguna dalam penyewa pengelola dapat menghapus akses ke sumber daya yang didelegasikan jika mereka diberi Peran Hapus Penetapan Pendaftaran Layanan Terkelola untuk sumber daya pelanggan. Jika peran ini tidak ditetapkan untuk pengguna penyedia layanan apa pun, delegasi hanya dapat dihapus oleh pengguna di penyewa pelanggan.

Contoh ini menunjukkan penugasan yang memberikan Peran Penghapusan Penetapan Pendaftaran Layanan Terkelola yang dapat disertakan dalam file parameter selama proses onboarding:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Peran ini juga dapat dipilih dalam Otorisasi saat membuat penawaran Layanan Terkelola untuk dipublikasikan ke Azure Marketplace.

Pengguna dengan izin ini bisa menghapus delegasi dengan salah satu cara berikut.

Portal Azure

  1. Navigasi ke halaman Pelanggan saya.
  2. Pilih Delegasi.
  3. Temukan delegasi yang ingin Anda hapus, lalu pilih ikon tempat sampah yang muncul di barisnya.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Langkah berikutnya