Remover o acesso a uma delegação

Quando a assinatura ou o grupo de recursos de um cliente tiver sido delegado a um provedor de serviços para o Azure Lighthouse, essa delegação poderá ser removida, se necessário. Depois que uma delegação for removida, o acesso de gerenciamento de recursos delegados do Azure que foi concedido anteriormente aos usuários no locatário do provedor de serviços não se aplicará mais.

A remoção de uma delegação pode ser feita por um usuário no locatário do cliente ou no locatário do provedor de serviços, desde que o usuário tenha as permissões apropriadas.

Gorjeta

Embora nos referimos a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar os mesmos processos.

Importante

Quando uma assinatura de cliente tem várias delegações do mesmo provedor de serviços, remover uma delegação pode fazer com que os usuários percam o acesso concedido por meio das outras delegações. Isso só ocorre quando a mesma principalId combinação é roleDefinitionId incluída em várias delegações e, em seguida, uma das delegações é removida. Se isso acontecer, você pode corrigir o problema repetindo o processo de integração para as delegações que não deseja remover.

Clientes

Os usuários no locatário do cliente que têm uma função com a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário, podem remover o acesso do provedor de serviços a essa assinatura (ou a grupos de recursos nessa assinatura). Para fazer isso, o usuário pode ir para a página Provedores de serviços do portal do Azure, encontrar a oferta na tela Ofertas do provedor de serviços e selecionar o ícone da lixeira na linha dessa oferta.

Depois de confirmar a exclusão, nenhum usuário no locatário do provedor de serviços poderá acessar os recursos que foram delegados anteriormente.

Fornecedores de serviços

Os usuários em um locatário de gerenciamento podem remover o acesso a recursos delegados se tiverem recebido a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados durante o processo de integração. Se essa função não for atribuída a nenhum usuário do provedor de serviços, a delegação só poderá ser removida por um usuário no locatário do cliente.

Este exemplo mostra uma atribuição que concede a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados que pode ser incluída em um arquivo de parâmetro durante o processo de integração:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Essa função também pode ser selecionada em uma Autorização ao criar uma oferta de Serviço Gerenciado para publicar no Azure Marketplace.

Um usuário com essa permissão pode remover uma delegação de uma das seguintes maneiras.

Portal do Azure

1. Navegue até a página Meus clientes.
2. Selecione Delegações.
3. Encontre a delegação que deseja remover e selecione o ícone da lixeira que aparece em sua linha.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

CLI do Azure

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Próximos passos

• Saiba mais sobre a arquitetura do Azure Lighthouse.
• Exiba e gerencie clientes acessando Meus clientes no portal do Azure.
• Saiba como atualizar uma delegação anterior.