Udostępnij za pośrednictwem

Usuwanie dostępu do delegacji

  • Artykuł

Jeśli subskrypcja lub grupa zasobów klienta została delegowana do dostawcy usług dla usługi Azure Lighthouse, delegowanie można usunąć w razie potrzeby. Po usunięciu delegowania delegowany dostęp do zarządzania zasobami platformy Azure, który został wcześniej przyznany użytkownikom w dzierżawie dostawcy usług, nie będzie już stosowany.

Usunięcie delegowania może być wykonywane przez użytkownika w dzierżawie klienta lub dzierżawie dostawcy usług, o ile użytkownik ma odpowiednie uprawnienia.

Napiwek

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą używać tych samych procesów.

Ważne

Jeśli subskrypcja klienta ma wiele delegowania od tego samego dostawcy usług, usunięcie jednego delegowania może spowodować utratę dostępu przyznanego przez inne delegowanie. Dzieje się tak tylko wtedy, gdy ta sama principalId kombinacja i roleDefinitionId jest uwzględniona w wielu delegowaniach, a następnie jedna z delegacji zostanie usunięta. Jeśli tak się stanie, możesz rozwiązać ten problem, powtarzając proces dołączania dla delegowania, których nie chcesz usuwać.

Odbiorcy

Użytkownicy w dzierżawie klienta, którzy mają rolę z Microsoft.Authorization/roleAssignments/write uprawnieniami, takimi jak Właściciel, mogą usunąć dostęp dostawcy usług do tej subskrypcji (lub grup zasobów w tej subskrypcji). W tym celu użytkownik może przejść do strony Dostawcy usług w witrynie Azure Portal, znaleźć ofertę na ekranie Oferty dostawcy usług i wybrać ikonę kosza w wierszu dla tej oferty.

Po potwierdzeniu usunięcia żaden użytkownik w dzierżawie dostawcy usług nie będzie mógł uzyskać dostępu do zasobów, które zostały wcześniej delegowane.

Dostawcy usług

Użytkownicy w dzierżawie zarządzającej mogą usunąć dostęp do delegowanych zasobów, jeśli otrzymali rolę usuwania przypisania rejestracji usług zarządzanych podczas procesu dołączania. Jeśli ta rola nie jest przypisana do żadnych użytkowników dostawcy usług, delegowanie może zostać usunięte tylko przez użytkownika w dzierżawie klienta.

W tym przykładzie pokazano przypisanie udzielające roli usuwania przypisania rejestracji usług zarządzanych, które można uwzględnić w pliku parametrów podczas procesu dołączania:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Tę rolę można również wybrać w ramach autoryzacji podczas tworzenia oferty usługi zarządzanej do publikowania w witrynie Azure Marketplace.

Użytkownik z tym uprawnieniem może usunąć delegowanie w jeden z następujących sposobów.

Azure Portal

  1. Przejdź do strony Moje klienci.
  2. Wybierz pozycję Delegowanie.
  3. Znajdź delegowanie, które chcesz usunąć, a następnie wybierz ikonę kosza wyświetlaną w wierszu.

Program PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Interfejs wiersza polecenia platformy Azure

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Następne kroki