Toegang tot een delegatie verwijderen
Nadat het abonnement of de resourcegroep van een klant is gedelegeerd aan een serviceprovider voor Azure Lighthouse, kan de overdracht indien nodig worden verwijderd. Zodra een delegatie is verwijderd, is de gedelegeerde toegang tot Azure-resourcebeheer die eerder is verleend aan gebruikers in de tenant van de serviceprovider niet meer van toepassing.
Het verwijderen van een delegatie kan worden uitgevoerd door een gebruiker in de tenant van de klant of de tenant van de serviceprovider, zolang de gebruiker over de juiste machtigingen beschikt.
Tip
Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren dezelfde processen gebruiken.
Belangrijk
Wanneer een klantabonnement meerdere delegaties van dezelfde serviceprovider heeft, kan het verwijderen van één delegatie ertoe leiden dat gebruikers de toegang verliezen die is verleend via de andere delegaties. Dit gebeurt alleen wanneer dezelfde principalId
combinatie en roleDefinitionId
is opgenomen in meerdere delegaties en vervolgens een van de delegaties wordt verwijderd. U kunt dit oplossen door het onboardingproces te herhalen voor de delegaties die u niet verwijdert.
Customers
Gebruikers in de tenant van de klant die een rol met de Microsoft.Authorization/roleAssignments/write
machtiging hebben, zoals Eigenaar, kunnen serviceprovidertoegang tot dat abonnement (of tot resourcegroepen in dat abonnement) verwijderen. Om dit te doen, kan de gebruiker naar de pagina Serviceproviders van de Azure Portal gaan, de aanbieding zoeken op het scherm Aanbiedingen van serviceprovider en het prullenbakpictogram in de rij voor die aanbieding selecteren.
Nadat de verwijdering is bevestigd, hebben geen gebruikers in de tenant van de serviceprovider toegang tot de resources die eerder zijn gedelegeerd.
Dienstverleners
Gebruikers in een beherende tenant kunnen de toegang tot gedelegeerde resources verwijderen als aan hen de rol Registratietoewijzing voor beheerde services is toegewezen voor de resources van de klant. Als deze rol niet is toegewezen aan gebruikers van serviceproviders, kan de delegatie alleen worden verwijderd door een gebruiker in de tenant van de klant.
In dit voorbeeld ziet u een toewijzing die de verwijderingsrol registratietoewijzing van beheerde services verleent die kan worden opgenomen in een parameterbestand tijdens het onboardingproces:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Deze rol kan ook worden geselecteerd in een autorisatie bij het maken van een beheerde serviceaanbieding om te publiceren naar Azure Marketplace.
Een gebruiker met deze machtiging kan een delegatie op een van de volgende manieren verwijderen.
Azure Portal
- Ga naar de pagina Mijn klanten.
- Selecteer Delegaties.
- Zoek de delegatie die u wilt verwijderen en selecteer vervolgens het prullenbakpictogram dat in de rij wordt weergegeven.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated - or contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated – or contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Volgende stappen
- Meer informatie over Azure Lighthouse-architectuur.
- Bekijk en beheer klanten door naar Mijn klanten te gaan in de Azure Portal.
- Meer informatie over het bijwerken van een eerdere delegatie.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor