委任へのアクセスを削除する

顧客のサブスクリプションまたはリソース グループが、Azure Lighthouse のためにサービス プロバイダーに委任された後、必要に応じて委任を削除できます。 委任が削除されると、サービス プロバイダー テナントのユーザーに以前付与されていた、Azure の委任されたリソース管理アクセスは適用されなくなります。

委任の削除は、ユーザーが適切なアクセス許可を持っている限り、顧客テナントまたはサービス プロバイダー テナントのユーザーが行うことができます。

ヒント

このトピックではサービス プロバイダーと顧客の場合について説明していますが、複数のテナントを管理するエンタープライズも同じプロセスを使用できます。

重要

顧客のサブスクリプションに同じサービス プロバイダーからの複数の委任がある場合、1 つの委任を削除すると、ユーザーは他の委任によって付与されたアクセス権を失う可能性があります。 これは、同じ principalId と roleDefinitionId の組み合わせが複数の委任に含まれていて、いずれかの委任が削除された場合にのみ発生します。 これを解決するには、削除しない委任に対してオンボード プロセスを繰り返します。

顧客

Microsoft.Authorization/roleAssignments/write のアクセス許可を持つ所有者などのロールが割り当てられている、顧客のテナント内のユーザーは、そのサブスクリプション (またはそのサブスクリプション内のリソース グループ) へのサービス プロバイダー アクセスを削除できます。 これを行うには、ユーザーは、Azure portal の [サービス プロバイダー] ページに移動し、 [サービス プロバイダーのオファー] 画面でオファーを見つけ、そのオファーの行のごみ箱アイコンを選択します。

削除を確定すると、サービス プロバイダーのテナント内のユーザーは、以前に委任されたリソースにアクセスできなくなります。

サービス プロバイダー

管理テナントのユーザーは、顧客のリソースについてのマネージド サービスの登録割り当て削除ロールが付与されている場合、委任されたリソースへのアクセスを削除できます。 このロールがサービス プロバイダー ユーザーに割り当てられていない場合は、顧客のテナントのユーザーのみが委任を削除できます。

以下の例は、オンボード プロセス中にパラメーター ファイルに含めることができるマネージド サービスの登録割り当ての削除ロールを付与する割り当てを示しています。

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

このロールは、Azure Marketplace に公開するためのマネージド サービス オファーを作成するときに、承認で選択することもできます。

このアクセス許可を持つユーザーは、次のいずれかの方法で委任を削除できます。

Azure portal

1. [マイ カスタマー] ページに移動します。
2. [委任] を選択します。
3. 削除する委任を見つけ、その行に表示されるごみ箱アイコンを選択します。

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

次のステップ

• Azure Lighthouse のアーキテクチャについて学習してください。
• Azure portal の [マイ カスタマー] に移動して、顧客を表示および管理します。
• 以前の委任を更新する方法について説明します。