Odebrání přístupu k delegování
Pokud je předplatné nebo skupina prostředků zákazníka delegované na poskytovatele služeb pro Azure Lighthouse, je možné toto delegování v případě potřeby odebrat. Po odebrání delegování už nebude platit přístup pro správu delegovaných prostředků Azure, který byl dříve udělen uživatelům v tenantovi poskytovatele služeb.
Odebrání delegování může provést uživatel v tenantovi zákazníka nebo tenantovi poskytovatele služeb, pokud má uživatel příslušná oprávnění.
Tip
Přestože v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky spravující více tenantů můžou používat stejné procesy.
Důležité
Pokud má předplatné zákazníka více delegování od stejného poskytovatele služeb, odebrání jednoho delegování může způsobit ztrátu přístupu uděleného prostřednictvím ostatních delegování. K tomu dochází pouze v případě, že je stejná principalId a roleDefinitionId kombinace zahrnuta do více delegování a pak se odebere jedna z delegování. Pokud k tomu dojde, můžete problém vyřešit opakováním procesu onboardingu pro delegování, které nechcete odebrat.
Zákazníci
Uživatelé v tenantovi zákazníka, kteří mají roli s oprávněním Microsoft.Authorization/roleAssignments/write , jako je vlastník, můžou odebrat přístup poskytovatele služeb k danému předplatnému (nebo ke skupinám prostředků v tomto předplatném). Uživatel tak může přejít na stránku Poskytovatelé služeb na webu Azure Portal, najít nabídku na obrazovce nabídek poskytovatele služeb a vybrat ikonu koše v řádku pro danou nabídku.
Po potvrzení odstranění nebudou mít žádní uživatelé v tenantovi poskytovatele služeb přístup k prostředkům, které byly dříve delegovány.
Poskytovatelé služeb
Uživatelé ve správě tenanta můžou během procesu registrace odebrat přístup k delegovaným prostředkům, pokud jim byla udělena role Odstranění přiřazení registrace spravovaných služeb. Pokud tato role není přiřazená žádným uživatelům poskytovatele služeb, delegování může odebrat jenom uživatel v tenantovi zákazníka.
Tento příklad ukazuje přiřazení, které uděluje roli Odstranění přiřazení registrace spravovaných služeb, která se dá zahrnout do souboru parametrů během procesu registrace:
"authorizations": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Tuto roli je také možné vybrat v autorizaci při vytváření nabídky spravované služby pro publikování na Azure Marketplace.
Uživatel s tímto oprávněním může delegování odebrat jedním z následujících způsobů.
portál Azure
- Přejděte na stránku Moje zákazníci.
- Vyberte Delegování.
- Najděte delegování, které chcete odebrat, a pak vyberte ikonu koše, která se zobrazí v řádku.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated or that contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated or that contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Další kroky
- Seznamte se s architekturou Služby Azure Lighthouse.
- Zobrazte a spravujte zákazníky tak, že na webu Azure Portal přejdete na Moje zákazníky .
- Zjistěte, jak aktualizovat předchozí delegování.