Usuwanie dostępu do delegacji

  • Artykuł

Po delegowaniu subskrypcji lub grupy zasobów klienta do dostawcy usług dla usługi Azure Lighthouse delegowanie można usunąć w razie potrzeby. Po usunięciu delegowania delegowany dostęp do zarządzania zasobami platformy Azure , który został wcześniej przyznany użytkownikom w dzierżawie dostawcy usług, nie będzie już stosowany.

Usunięcie delegowania może odbywać się przez użytkownika w dzierżawie klienta lub dzierżawie dostawcy usług, o ile użytkownik ma odpowiednie uprawnienia.

Porada

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tych samych procesów.

Ważne

Jeśli subskrypcja klienta ma wiele delegacji od tego samego dostawcy usług, usunięcie jednego delegowania może spowodować utratę dostępu przyznanego przez inne delegowanie. Dzieje się tak tylko wtedy, gdy ta sama principalId kombinacja i roleDefinitionId jest uwzględniona w wielu delegowaniach, a następnie jedna z delegacji zostanie usunięta. Aby rozwiązać ten problem, powtórz proces dołączania dla delegowania, które nie są usuwane.

Klienci

Użytkownicy w dzierżawie klienta, którzy mają rolę z Microsoft.Authorization/roleAssignments/write uprawnieniami, takimi jak Właściciel, mogą usunąć dostęp dostawcy usług do tej subskrypcji (lub grup zasobów w tej subskrypcji). W tym celu użytkownik może przejść do strony Dostawcy usług Azure Portal, znaleźć ofertę na ekranie Oferty dostawcy usług i wybrać ikonę kosza w wierszu dla tej oferty.

Po potwierdzeniu usunięcia żaden użytkownik w dzierżawie dostawcy usług nie będzie mógł uzyskać dostępu do zasobów, które zostały wcześniej delegowane.

Usługodawców

Użytkownicy w dzierżawie zarządzającej mogą usunąć dostęp do delegowanych zasobów, jeśli otrzymali rolę usuwania przypisania rejestracji usług zarządzanych dla zasobów klienta. Jeśli ta rola nie jest przypisana do żadnych użytkowników dostawcy usług, delegowanie może zostać usunięte tylko przez użytkownika w dzierżawie klienta.

W tym przykładzie pokazano przypisanie przyznające rolę usuwania przypisania rejestracji usług zarządzanych , które można uwzględnić w pliku parametrów podczas procesu dołączania:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Tę rolę można również wybrać w autoryzacji podczas tworzenia oferty usługi zarządzanej do opublikowania w Azure Marketplace.

Użytkownik z tym uprawnieniem może usunąć delegowanie w jeden z następujących sposobów.

Azure Portal

  1. Przejdź do strony Moi klienci.
  2. Wybierz pozycję Delegowanie.
  3. Znajdź delegowanie, które chcesz usunąć, a następnie wybierz ikonę kosza wyświetlaną w wierszu.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Interfejs wiersza polecenia platformy Azure

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Następne kroki