Удаление доступа к делегированию

Если подписка или группа ресурсов клиента делегирована поставщику услуг для Azure Lighthouse, при необходимости это делегирование можно удалить. После удаления делегирования доступ к управлению ресурсами Azure, который ранее был предоставлен пользователям в клиенте поставщика услуг, больше не будет применяться.

Удаление делегирования может выполняться пользователем в арендаторе клиента или арендаторе поставщика услуг, если у пользователя есть соответствующие разрешения.

Customers

Пользователи в клиенте заказчика с ролью и разрешениями Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/delete, Microsoft.Authorization/roleAssignments/read, такими как Владелец, могут удалить доступ поставщика услуг к этой подписке (или к группам ресурсов в этой подписке). Для этого пользователь может перейти на страницу поставщиков услуг на портале Azure, найти предложение на экране предложения поставщика услуг и выбрать значок корзины в строке для этого предложения.

После подтверждения удаления пользователи в клиенте поставщика услуг не смогут получить доступ к ресурсам, которые ранее были делегированы.

Поставщики услуг

Пользователи управляющего клиента могут удалить доступ к делегированным ресурсам, если им была предоставлена роль удаления назначения регистрации управляемых служб в процессе подключения. Если эта роль не назначена пользователям поставщика услуг, делегирование может быть удалено только пользователем в тенанте клиента.

В этом примере показано назначение, предоставляющее роль удаления назначения регистрации в управляемых службах, которая может быть включена в файл параметров во время процесса внедрения:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Эту роль также можно выбрать в авторизации при создании предложения управляемой службы для публикации в Azure Marketplace.

Пользователь с этим разрешением может удалить делегирование одним из следующих способов.

Azure portal

1. Перейдите на страницу "Мои клиенты".
2. Выберите Делегации.
3. Найдите делегирование, которое нужно удалить, а затем щелкните значок корзины, который отображается в строке.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Дальнейшие шаги

• Узнайте об архитектуре Azure Lighthouse.
• Просматривайте и управляйте клиентами, перейдя в Мои клиенты на портале Azure.
• Узнайте, как обновить предыдущую делегацию.