Megosztás a következőn keresztül:

Delegáláshoz való hozzáférés eltávolítása

  • Cikk

Ha egy ügyfél előfizetését vagy erőforráscsoportját egy Azure Lighthouse-szolgáltatóhoz delegálták, a delegálás szükség esetén eltávolítható. A delegálás eltávolítása után az Azure delegált erőforrás-kezelési hozzáférése, amelyet korábban a szolgáltató bérlőjének felhasználói kaptak, többé nem lesz érvényes.

Ha a felhasználó rendelkezik a megfelelő engedélyekkel, eltávolíthatja a delegálást az ügyfélbérlésben vagy a szolgáltató bérlőjében.

Tipp.

Bár ebben a témakörben szolgáltatókra és ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják .

Fontos

Ha egy ügyfél-előfizetés több delegálással rendelkezik ugyanabból a szolgáltatóból, az egyik delegálás eltávolítása miatt a felhasználók elveszítik a többi delegáláson keresztül biztosított hozzáférést. Ez csak akkor fordul elő, ha ugyanazt principalId és roleDefinitionId kombinációt több delegálás tartalmazza, majd az egyik delegálás el lesz távolítva. Ha ez történik, a problémát kijavíthatja a nem eltávolítani kívánt delegálások előkészítési folyamatának megismétlésével.

Ügyfelek

Az ügyfél bérlőjének olyan felhasználói, akik rendelkeznek engedéllyel (például Tulajdonos) szerepkörrel, eltávolíthatják az Microsoft.Authorization/roleAssignments/write adott előfizetéshez (vagy az előfizetés erőforráscsoportjaihoz) való szolgáltatói hozzáférést. Ehhez a felhasználó megnyithatja az Azure Portal Szolgáltatók lapját , megkeresheti az ajánlatot a Szolgáltatói ajánlatok képernyőn, és kiválaszthatja az ajánlat sorában található kuka ikont.

A törlés megerősítése után a szolgáltató bérlőjében lévő felhasználók nem férhetnek hozzá a korábban delegált erőforrásokhoz.

Szolgáltatók

A felügyelt bérlő felhasználói eltávolíthatják a delegált erőforrásokhoz való hozzáférést, ha az előkészítési folyamat során megkapták a felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörét . Ha ez a szerepkör nincs hozzárendelve egyetlen szolgáltatói felhasználóhoz sem, a delegálást csak az ügyfél bérlőjében lévő felhasználó távolíthatja el.

Ez a példa egy olyan hozzárendelést mutat be, amely megadja a felügyelt szolgáltatások regisztrációs feladatának törlési szerepkörét, amely az előkészítési folyamat során szerepelhet egy paraméterfájlban:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Ez a szerepkör az Engedélyezésben is kiválasztható, ha felügyelt szolgáltatásajánlatot hoz létre az Azure Marketplace-en való közzétételhez.

Az ilyen engedéllyel rendelkező felhasználók az alábbi módokon távolíthatnak el delegálásokat.

Azure Portal

  1. Lépjen a Saját ügyfelek lapra.
  2. Válassza a Delegálások lehetőséget.
  3. Keresse meg az eltávolítani kívánt delegálást, majd válassza a sorban megjelenő kuka ikont.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Következő lépések