Ta bort åtkomst till en delegering
När en kunds prenumeration eller resursgrupp har delegerats till en tjänstleverantör för Azure Lighthouse kan delegeringen tas bort om det behövs. När en delegering har tagits bort gäller inte längre den Azure-delegerade resurshanteringsåtkomst som tidigare beviljats användare i tjänstleverantörsklientorganisationen.
Borttagning av en delegering kan göras av en användare i antingen kundens klientorganisation eller tjänstleverantörsklientorganisationen, så länge användaren har rätt behörigheter.
Tips
Även om vi refererar till tjänsteleverantörer och kunder i det här avsnittet kan företag som hanterar flera klientorganisationer använda samma processer.
Viktigt
När en kundprenumeration har flera delegeringar från samma tjänstleverantör kan borttagning av en delegering leda till att användare förlorar åtkomst som beviljas via de andra delegeringarna. Detta inträffar bara när samma principalId
och roleDefinitionId
kombination ingår i flera delegeringar och sedan en av delegeringarna tas bort. Åtgärda detta genom att upprepa registreringsprocessen för de delegeringar som du inte tar bort.
Kunder
Användare i kundens klientorganisation som har en roll med behörigheten, till exempel Ägare, kan ta bort tjänstleverantörens åtkomst till prenumerationen (eller till resursgrupper i den prenumerationenMicrosoft.Authorization/roleAssignments/write
). För att göra det kan användaren gå till sidan Tjänstleverantörer i Azure Portal, hitta erbjudandet på skärmen Tjänstleverantörserbjudanden och välja papperskorgsikonen på raden för erbjudandet.
När du har bekräftat borttagningen kommer inga användare i tjänstleverantörens klientorganisation att kunna komma åt de resurser som tidigare delegerats.
Tjänsteleverantörer
Användare i en hanterande klientorganisation kan ta bort åtkomst till delegerade resurser om de har beviljats borttagningsrollen för registreringstilldelning för hanterade tjänster för kundens resurser. Om den här rollen inte är tilldelad till några tjänstleverantörsanvändare kan delegeringen endast tas bort av en användare i kundens klientorganisation.
Det här exemplet visar en tilldelning som beviljar rollen för borttagning av registreringstilldelning för hanterade tjänster som kan ingå i en parameterfil under registreringsprocessen:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Den här rollen kan också väljas i en auktorisering när du skapar ett erbjudande för hanterad tjänst som ska publiceras till Azure Marketplace.
En användare med den här behörigheten kan ta bort en delegering på något av följande sätt.
Azure Portal
- Gå till sidan Mina kunder.
- Välj Delegeringar.
- Leta upp den delegering som du vill ta bort och välj sedan papperskorgsikonen som visas på raden.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated - or contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated – or contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Nästa steg
- Läs mer om Azure Lighthouse-arkitekturen.
- Visa och hantera kunder genom att gå till Mina kunder i Azure Portal.
- Lär dig hur du uppdaterar en tidigare delegering.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för