Dela via

Ta bort åtkomst till en delegering

  • Artikel

När en kunds prenumeration eller resursgrupp har delegerats till en tjänstleverantör för Azure Lighthouse kan delegeringen tas bort om det behövs. När en delegering har tagits bort gäller inte längre den Azure-delegerade resurshanteringsåtkomst som tidigare beviljats användare i tjänstleverantörsklientorganisationen.

Borttagning av en delegering kan göras av en användare i antingen kundens klientorganisation eller tjänstleverantörsklientorganisationen, så länge användaren har rätt behörigheter.

Tips

Även om vi refererar till tjänsteleverantörer och kunder i det här avsnittet kan företag som hanterar flera klientorganisationer använda samma processer.

Viktigt

När en kundprenumeration har flera delegeringar från samma tjänstleverantör kan borttagning av en delegering leda till att användare förlorar åtkomst som beviljas via de andra delegeringarna. Detta inträffar bara när samma principalId och roleDefinitionId kombination ingår i flera delegeringar och sedan en av delegeringarna tas bort. Åtgärda detta genom att upprepa registreringsprocessen för de delegeringar som du inte tar bort.

Kunder

Användare i kundens klientorganisation som har en roll med behörigheten, till exempel Ägare, kan ta bort tjänstleverantörens åtkomst till prenumerationen (eller till resursgrupper i den prenumerationenMicrosoft.Authorization/roleAssignments/write). För att göra det kan användaren gå till sidan Tjänstleverantörer i Azure Portal, hitta erbjudandet på skärmen Tjänstleverantörserbjudanden och välja papperskorgsikonen på raden för erbjudandet.

När du har bekräftat borttagningen kommer inga användare i tjänstleverantörens klientorganisation att kunna komma åt de resurser som tidigare delegerats.

Tjänsteleverantörer

Användare i en hanterande klientorganisation kan ta bort åtkomst till delegerade resurser om de har beviljats borttagningsrollen för registreringstilldelning för hanterade tjänster för kundens resurser. Om den här rollen inte är tilldelad till några tjänstleverantörsanvändare kan delegeringen endast tas bort av en användare i kundens klientorganisation.

Det här exemplet visar en tilldelning som beviljar rollen för borttagning av registreringstilldelning för hanterade tjänster som kan ingå i en parameterfil under registreringsprocessen:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Den här rollen kan också väljas i en auktorisering när du skapar ett erbjudande för hanterad tjänst som ska publiceras till Azure Marketplace.

En användare med den här behörigheten kan ta bort en delegering på något av följande sätt.

Azure Portal

  1. Gå till sidan Mina kunder.
  2. Välj Delegeringar.
  3. Leta upp den delegering som du vill ta bort och välj sedan papperskorgsikonen som visas på raden.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Nästa steg