Menghapus akses ke delegasi
Saat langganan pelanggan atau grup sumber daya telah didelegasikan ke penyedia layanan untuk Azure Lighthouse, delegasi tersebut dapat dihapus jika diperlukan. Setelah delegasi dihapus, akses manajemen sumber daya delegasi Azure yang sebelumnya diberikan kepada pengguna di penyewa penyedia layanan tidak akan berlaku lagi.
Menghapus delegasi dapat dilakukan oleh pengguna baik di penyewa pelanggan atau penyewa penyedia layanan, selama pengguna memiliki izin yang sesuai.
Tip
Meskipun kami mengacu pada penyedia layanan dan pelanggan dalam topik ini, perusahaan yang mengelola banyak penyewa dapat menggunakan proses yang sama.
Penting
Ketika langganan pelanggan memiliki beberapa delegasi dari penyedia layanan yang sama, menghapus satu delegasi dapat menyebabkan pengguna kehilangan akses yang diberikan melalui delegasi lain. Ini hanya terjadi ketika kombinasi dan roleDefinitionId yang sama principalId disertakan dalam beberapa delegasi dan kemudian salah satu delegasi dihapus. Jika ini terjadi, Anda dapat memperbaiki masalah dengan mengulangi proses onboarding untuk delegasi yang tidak ingin Anda hapus.
Pelanggan
Pengguna di penyewa pelanggan yang memiliki peran dengan Microsoft.Authorization/roleAssignments/write izin, seperti Pemilik, dapat menghapus akses penyedia layanan ke langganan tersebut (atau ke grup sumber daya dalam langganan tersebut). Untuk melakukannya, pengguna dapat masuk ke halaman Penyedia layanan portal Microsoft Azure, menemukan penawaran pada layar penawaran penyedia layanan, dan memilih ikon tempat sampah di baris untuk penawaran tersebut.
Setelah mengonfirmasi penghapusan, tidak ada pengguna di penyewa penyedia layanan yang dapat mengakses sumber daya yang telah didelegasikan sebelumnya.
Penyedia layanan
Pengguna dalam penyewa pengelola dapat menghapus akses ke sumber daya yang didelegasikan jika mereka diberikan Peran Penghapusan Penetapan Pendaftaran Layanan Terkelola selama proses orientasi. Jika peran ini tidak ditetapkan ke pengguna penyedia layanan apa pun, delegasi hanya dapat dihapus oleh pengguna di penyewa pelanggan.
Contoh ini menunjukkan tugas yang memberikan Peran Penghapusan Penetapan Pendaftaran Layanan Terkelola yang dapat disertakan dalam file parameter selama proses onboarding:
"authorizations": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Peran ini juga dapat dipilih dalam Otorisasi saat membuat penawaran Layanan Terkelola untuk dipublikasikan ke Azure Marketplace.
Pengguna dengan izin ini bisa menghapus delegasi dengan salah satu cara berikut.
Portal Azure
- Navigasi ke halaman Pelanggan saya.
- Pilih Delegasi.
- Temukan delegasi yang ingin Anda hapus, lalu pilih ikon tempat sampah yang muncul di barisnya.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated or that contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated or that contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Langkah berikutnya
- Pelajari tentang arsitektur Azure Lighthouse.
- Menampilkan dan mengelola pelanggan dengan masuk ke Pelanggan aaya di portal Microsoft Azure.
- Pelajari cara memperbarui delegasi sebelumnya.