Dela via

Ta bort åtkomst till en delegering

  • Artikel

När en kunds prenumeration eller resursgrupp har delegerats till en tjänstleverantör för Azure Lighthouse kan den delegeringen tas bort om det behövs. När en delegering har tagits bort gäller inte längre den Azure-delegerade resurshanteringsåtkomst som tidigare beviljats användare i tjänstleverantörens klientorganisation.

Att ta bort en delegering kan göras av en användare i antingen kundklientorganisationen eller tjänstleverantörens klientorganisation, så länge användaren har rätt behörigheter.

Dricks

Även om vi refererar till tjänsteleverantörer och kunder i det här avsnittet kan företag som hanterar flera klienter använda samma processer.

Viktigt!

När en kundprenumeration har flera delegeringar från samma tjänstleverantör kan borttagning av en delegering leda till att användare förlorar åtkomst som beviljats via de andra delegeringarna. Detta inträffar bara när samma principalId och roleDefinitionId kombination ingår i flera delegeringar och sedan en av delegeringarna tas bort. Om detta händer kan du åtgärda problemet genom att upprepa registreringsprocessen för de delegeringar som du inte vill ta bort.

Kunder

Användare i kundens klientorganisation som har en roll med behörigheten Microsoft.Authorization/roleAssignments/write , till exempel Ägare, kan ta bort tjänstleverantörens åtkomst till den prenumerationen (eller till resursgrupper i den prenumerationen). För att göra det kan användaren gå till sidan Tjänstleverantörer i Azure Portal, hitta erbjudandet på skärmen Tjänstleverantörserbjudanden och välja papperskorgsikonen på raden för erbjudandet.

När du har bekräftat borttagningen kommer inga användare i tjänstleverantörens klientorganisation att kunna komma åt de resurser som tidigare delegerats.

Tjänstleverantörer

Användare i en hanterande klientorganisation kan ta bort åtkomsten till delegerade resurser om de tilldelades rollen borttagningsroll för registrering av hanterade tjänster under registreringsprocessen. Om den här rollen inte har tilldelats några tjänstleverantörsanvändare kan delegeringen endast tas bort av en användare i kundens klientorganisation.

I det här exemplet visas en tilldelning som beviljar rollen för borttagning av managed services-registreringstilldelning som kan ingå i en parameterfil under registreringsprocessen:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Den här rollen kan också väljas i en auktorisering när du skapar ett erbjudande om hanterad tjänst som ska publiceras på Azure Marketplace.

En användare med den här behörigheten kan ta bort en delegering på något av följande sätt.

Azure Portal

  1. Gå till sidan Mina kunder.
  2. Välj Delegeringar.
  3. Leta reda på den delegering som du vill ta bort och välj sedan papperskorgsikonen som visas på raden.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Nästa steg