Toegang tot een delegatie verwijderen

Wanneer het abonnement of de resourcegroep van een klant is gedelegeerd aan een serviceprovider voor Azure Lighthouse, kan die delegatie indien nodig worden verwijderd. Zodra een delegatie is verwijderd, is de gedelegeerde toegang voor resourcebeheer van Azure die eerder aan gebruikers in de tenant van de serviceprovider is verleend, niet meer van toepassing.

Het verwijderen van een delegatie kan worden uitgevoerd door een gebruiker in de tenant van de klant of de tenant van de serviceprovider, zolang de gebruiker over de juiste machtigingen beschikt.

Tip

Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren dezelfde processen gebruiken.

Belangrijk

Wanneer een klantabonnement meerdere delegaties van dezelfde serviceprovider heeft, kan het verwijderen van één delegering ertoe leiden dat gebruikers de toegang verliezen die via de andere delegaties wordt verleend. Dit gebeurt alleen wanneer dezelfde principalId en roleDefinitionId combinatie wordt opgenomen in meerdere delegaties en vervolgens een van de delegaties wordt verwijderd. Als dit gebeurt, kunt u het probleem oplossen door het onboardingproces te herhalen voor de delegaties die u niet wilt verwijderen.

Klanten

Gebruikers in de tenant van de klant die een rol hebben met de Microsoft.Authorization/roleAssignments/write machtiging, zoals Eigenaar, kunnen de toegang van serviceproviders tot dat abonnement verwijderen (of aan resourcegroepen in dat abonnement). Hiervoor kan de gebruiker naar de pagina Serviceproviders van Azure Portal gaan, de aanbieding zoeken op het scherm Aanbiedingen van de serviceprovider en het prullenbakpictogram in de rij voor die aanbieding selecteren.

Nadat de verwijdering is bevestigd, hebben geen gebruikers in de tenant van de serviceprovider toegang tot de resources die eerder zijn gedelegeerd.

Serviceproviders

Gebruikers in een beherende tenant kunnen de toegang tot gedelegeerde resources verwijderen als ze de rol Registratietoewijzing voor beheerde services hebben gekregen tijdens het onboardingproces. Als deze rol niet is toegewezen aan gebruikers van serviceproviders, kan de overdracht alleen worden verwijderd door een gebruiker in de tenant van de klant.

In dit voorbeeld ziet u een toewijzing die de rol Managed Services-registratietoewijzingstoewijzing verleent die kan worden opgenomen in een parameterbestand tijdens het onboardingproces:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Deze rol kan ook worden geselecteerd in een autorisatie bij het maken van een aanbieding voor beheerde services om te publiceren naar Azure Marketplace.

Een gebruiker met deze machtiging kan een delegatie op een van de volgende manieren verwijderen.

Azure Portal

1. Ga naar de pagina Mijn klanten.
2. Selecteer delegaties.
3. Zoek de delegatie die u wilt verwijderen en selecteer vervolgens het prullenbakpictogram dat in de rij wordt weergegeven.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure-CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Volgende stappen

• Meer informatie over Azure Lighthouse-architectuur.
• Klanten weergeven en beheren door naar Mijn klanten te gaan in Azure Portal.
• Meer informatie over het bijwerken van een vorige delegatie.