Rimuovere l'accesso a una delega

Articolo
05/24/2023

Dopo che la sottoscrizione o il gruppo di risorse di un cliente è stato delegato a un provider di servizi per Azure Lighthouse, la delega può essere rimossa, se necessario. Dopo la rimozione di una delega, l'accesso di gestione delle risorse delegate di Azure precedentemente concesso agli utenti nel tenant del provider di servizi non verrà più applicato.

La rimozione di una delega può essere eseguita da un utente nel tenant del cliente o nel tenant del provider di servizi, purché l'utente disponga delle autorizzazioni appropriate.

Suggerimento

Anche se in questo argomento si fa riferimento a provider di servizi e clienti, le aziende che gestiscono più tenant possono usare gli stessi processi.

Importante

Quando una sottoscrizione di un cliente ha più deleghe dallo stesso provider di servizi, la rimozione di una delega potrebbe causare la perdita dell'accesso concesso agli utenti tramite le altre deleghe. Ciò si verifica solo quando la stessa principalId combinazione e roleDefinitionId viene inclusa in più deleghe e quindi viene rimossa una delle deleghe. Per risolvere questo problema, ripetere il processo di onboarding per le deleghe che non vengono rimosse.

Clienti

Gli utenti nel tenant del cliente che dispongono di un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write , ad esempio Proprietario, possono rimuovere l'accesso del provider di servizi a tale sottoscrizione (o ai gruppi di risorse nella sottoscrizione). A tale scopo, l'utente può passare alla pagina Provider di servizi della portale di Azure, trovare l'offerta nella schermata Offerte provider di servizi e selezionare l'icona del cestino nella riga per tale offerta.

Dopo aver confermato l'eliminazione, nessun utente nel tenant del provider di servizi sarà in grado di accedere alle risorse precedentemente delegate.

Provider di servizi

Gli utenti di un tenant di gestione possono rimuovere l'accesso alle risorse delegate se sono state concesse al ruolo di eliminazione dell'assegnazione di registrazione dei servizi gestiti per le risorse del cliente. Se questo ruolo non è assegnato ad alcun utente del provider di servizi, la delega può essere rimossa solo da un utente nel tenant del cliente.

Questo esempio mostra un'assegnazione che concede il ruolo di eliminazione dell'assegnazione di registrazione dei servizi gestiti che può essere incluso in un file di parametri durante il processo di onboarding:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Questo ruolo può essere selezionato anche in un'autorizzazione durante la creazione di un'offerta di servizio gestito da pubblicare in Azure Marketplace.

Un utente con questa autorizzazione può rimuovere una delega in uno dei modi seguenti.

Portale di Azure

Passare alla pagina Clienti personali.
Selezionare Deleghe.
Trovare la delega che si vuole rimuovere, quindi selezionare l'icona del cestino visualizzata nella riga.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Interfaccia della riga di comando di Azure

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Passaggi successivi

Informazioni sull'architettura di Azure Lighthouse.
Visualizzare e gestire i clienti passando a Clienti personali nel portale di Azure.
Informazioni su come aggiornare una delega precedente.