Usunięcie dostępu do delegacji

Jeśli subskrypcja lub grupa zasobów klienta została delegowana do dostawcy usług dla usługi Azure Lighthouse, delegowanie można usunąć w razie potrzeby. Po usunięciu delegowania dostęp do zarządzania zasobami delegowanymi platformy Azure, który został wcześniej przyznany użytkownikom w dzierżawie dostawcy usług, przestanie obowiązywać.

Delegowanie może zostać usunięte przez użytkownika w obszarze najemcy lub dostawcy usług, o ile użytkownik ma odpowiednie uprawnienia.

Customers

Użytkownicy w dzierżawie klienta, którzy mają rolę z uprawnieniami Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/delete i Microsoft.Authorization/roleAssignments/read, takimi jak Właściciel, mogą usunąć dostęp dostawcy usług do tej subskrypcji (lub grup zasobów w tej subskrypcji). W tym celu użytkownik może przejść do strony Dostawcy usług w witrynie Azure Portal, znaleźć ofertę na ekranie Oferty dostawcy usług i wybrać ikonę kosza w wierszu dla tej oferty.

Po potwierdzeniu usunięcia żaden użytkownik w tenantcie dostawcy usług nie będzie mógł uzyskać dostępu do zasobów, które zostały wcześniej delegowane.

Usługodawcy

Użytkownicy w dzierżawie zarządzającej mogą usunąć dostęp do delegowanych zasobów, jeśli otrzymali rolę usuwania przypisania rejestracji zarządzanych usług podczas procesu dołączania. Jeśli ta rola nie jest przypisana żadnym użytkownikom dostawcy usług, delegacja może zostać usunięta tylko przez użytkownika w dzierżawie klienta.

W tym przykładzie pokazano przypisanie udzielające rola usunięcia przypisania rejestracji usług zarządzanych, które można uwzględnić w pliku parametrów podczas procesu wdrażania:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Tę rolę można również wybrać w autoryzacji podczas tworzenia oferty zarządzanej usługi do publikowania w witrynie Azure Marketplace.

Użytkownik z tym uprawnieniem może usunąć delegowanie w jeden z następujących sposobów.

Azure Portal

1. Przejdź do strony Moje klienci.
2. Wybierz pozycję Delegowanie.
3. Znajdź delegację, którą chcesz usunąć, a następnie wybierz ikonę kosza, która pojawia się w jej wierszu.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Dalsze kroki

• Dowiedz się więcej o architekturze usługi Azure Lighthouse.
• Wyświetlanie klientów i zarządzanie nimi , przechodząc do sekcji Moje klienci w witrynie Azure Portal.
• Dowiedz się, jak zaktualizować poprzednią delegację.