Usuwanie dostępu do delegacji
Po delegowaniu subskrypcji lub grupy zasobów klienta do dostawcy usług dla usługi Azure Lighthouse delegowanie można usunąć w razie potrzeby. Po usunięciu delegowania delegowany dostęp do zarządzania zasobami platformy Azure , który został wcześniej przyznany użytkownikom w dzierżawie dostawcy usług, nie będzie już stosowany.
Usunięcie delegowania może odbywać się przez użytkownika w dzierżawie klienta lub dzierżawie dostawcy usług, o ile użytkownik ma odpowiednie uprawnienia.
Porada
Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tych samych procesów.
Ważne
Jeśli subskrypcja klienta ma wiele delegacji od tego samego dostawcy usług, usunięcie jednego delegowania może spowodować utratę dostępu przyznanego przez inne delegowanie. Dzieje się tak tylko wtedy, gdy ta sama principalId
kombinacja i roleDefinitionId
jest uwzględniona w wielu delegowaniach, a następnie jedna z delegacji zostanie usunięta. Aby rozwiązać ten problem, powtórz proces dołączania dla delegowania, które nie są usuwane.
Klienci
Użytkownicy w dzierżawie klienta, którzy mają rolę z Microsoft.Authorization/roleAssignments/write
uprawnieniami, takimi jak Właściciel, mogą usunąć dostęp dostawcy usług do tej subskrypcji (lub grup zasobów w tej subskrypcji). W tym celu użytkownik może przejść do strony Dostawcy usług Azure Portal, znaleźć ofertę na ekranie Oferty dostawcy usług i wybrać ikonę kosza w wierszu dla tej oferty.
Po potwierdzeniu usunięcia żaden użytkownik w dzierżawie dostawcy usług nie będzie mógł uzyskać dostępu do zasobów, które zostały wcześniej delegowane.
Usługodawców
Użytkownicy w dzierżawie zarządzającej mogą usunąć dostęp do delegowanych zasobów, jeśli otrzymali rolę usuwania przypisania rejestracji usług zarządzanych dla zasobów klienta. Jeśli ta rola nie jest przypisana do żadnych użytkowników dostawcy usług, delegowanie może zostać usunięte tylko przez użytkownika w dzierżawie klienta.
W tym przykładzie pokazano przypisanie przyznające rolę usuwania przypisania rejestracji usług zarządzanych , które można uwzględnić w pliku parametrów podczas procesu dołączania:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Tę rolę można również wybrać w autoryzacji podczas tworzenia oferty usługi zarządzanej do opublikowania w Azure Marketplace.
Użytkownik z tym uprawnieniem może usunąć delegowanie w jeden z następujących sposobów.
Azure Portal
- Przejdź do strony Moi klienci.
- Wybierz pozycję Delegowanie.
- Znajdź delegowanie, które chcesz usunąć, a następnie wybierz ikonę kosza wyświetlaną w wierszu.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated - or contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Interfejs wiersza polecenia platformy Azure
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated – or contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Następne kroki
- Dowiedz się więcej o architekturze usługi Azure Lighthouse.
- Wyświetlanie klientów i zarządzanie nimi, przechodząc do strony Moi klienci w Azure Portal.
- Dowiedz się, jak zaktualizować poprzednie delegowanie.