Rimuovere l'accesso a una delega
Quando la sottoscrizione o il gruppo di risorse di un cliente è stato delegato a un provider di servizi per Azure Lighthouse, tale delega può essere rimossa, se necessario. Dopo aver rimosso una delega, l'accesso alla Gestione risorse delegate di Azure precedentemente concesso agli utenti nel tenant del provider di servizi non verrà più applicato.
La rimozione di una delega può essere eseguita da un utente nel tenant del cliente o nel tenant del provider di servizi, purché l'utente disponga delle autorizzazioni appropriate.
Suggerimento
Anche se in questo articolo si fa riferimento a provider di servizi e clienti, le aziende che gestiscono più tenant possono usare gli stessi processi.
Importante
Quando una sottoscrizione di un cliente ha più deleghe dallo stesso provider di servizi, la rimozione di una delega potrebbe causare la perdita dell'accesso concesso agli utenti tramite le altre deleghe. Ciò si verifica solo quando la stessa combinazione di principalId e roleDefinitionId viene inclusa in più deleghe e quindi una delle deleghe viene rimossa. In questo caso, è possibile risolvere il problema ripetendo il processo di onboarding per le deleghe che non si intende rimuovere.
Clienti
Gli utenti nel tenant del cliente che dispongono di un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario, possono rimuovere l'accesso del provider di servizi a tale sottoscrizione (o ai gruppi di risorse in tale sottoscrizione). A tale scopo, l'utente può passare alla pagina Provider di servizi del portale di Azure, individuare l'offerta nella schermata Offerte del provider di servizi e selezionare l'icona del cestino nella riga dell'offerta.
Dopo aver confermato l'eliminazione, nessun utente nel tenant del provider di servizi potrà accedere alle risorse precedentemente delegate.
Provider di servizi
Gli utenti di un tenant di gestione possono rimuovere l'accesso alle risorse delegate se è stato loro concesso il ruolo con autorizzazioni di eliminazione assegnazioni di registrazione dei servizi gestiti durante il processo di onboarding. Se questo ruolo non è assegnato ad alcun utente del provider di servizi, la delega può essere rimossa solo da un utente nel tenant del cliente.
In questo esempio viene illustrata un'assegnazione che concede il ruolo di eliminazione dell'assegnazione della registrazione di servizi gestiti che può essere inclusa nel file dei parametri durante il processo di onboarding:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Questo ruolo può essere selezionato anche in un'Autorizzazione durante la creazione di un'offerta di servizio gestito da pubblicare in Azure Marketplace.
Un utente con questa autorizzazione può rimuovere una delega in uno dei modi seguenti.
Azure portal
- Passare alla pagina Clienti personali.
- Selezionare Deleghe.
- Trovare la delega da rimuovere, quindi selezionare l'icona del cestino visualizzata nella relativa riga.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated or that contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Interfaccia della riga di comando di Azure
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated or that contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Passaggi successivi
- Informazioni sull'architettura di Azure Lighthouse.
- Visualizzare e gestire i clienti passando a Clienti personali nel portale di Azure.
- Informazioni su come aggiornare una delega precedente.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per