Supprimer l’accès à une délégation

Lorsqu’un groupe de ressources ou l’abonnement d’un client a été délégué à un fournisseur d’accès pour Azure Lighthouse, la délégation peut être supprimée si nécessaire. Une fois qu’une délégation est supprimée, l’accès à la gestion des ressources déléguées Azure Lighthouse précédemment accordé aux utilisateurs du locataire du fournisseur de services ne s’appliquera plus.

La suppression d’une délégation peut être effectuée par un utilisateur dans le locataire du client ou dans le locataire du fournisseur de services, tant que l’utilisateur dispose des autorisations appropriées.

Conseil

Même si nous faisons référence aux fournisseurs de services et aux clients dans cette rubrique, les entreprises gérant plusieurs locataires peuvent utiliser les mêmes processus.

Important

Lorsqu’un abonnement client dispose de plusieurs délégations du même fournisseur de services, la suppression d’une délégation peut entraîner la perte de l’accès accordé par les autres délégations aux utilisateurs. Cela survient uniquement lorsque la même combinaison principalId et roleDefinitionId est incluse dans plusieurs délégations, puis que l’une des délégations est supprimée. Si cela se produit, vous pouvez résoudre le problème en répétant le processus d’intégration pour les délégations que vous ne souhaitez pas supprimer.

Clients

Les utilisateurs du locataire du client qui disposent d’un rôle ayant l’autorisation Microsoft.Authorization/roleAssignments/write, comme Propriétaire, peuvent supprimer l’accès du fournisseur de services à cet abonnement (ou aux groupes de ressources de cet abonnement). Pour ce faire, les utilisateurs peuvent accéder à la page Fournisseurs de services du portail Azure, rechercher l’offre sur l’écran Offres du fournisseur de services, puis sélectionner l’icône de la corbeille sur la ligne de cette offre.

Une fois la suppression confirmée, aucun utilisateur du locataire du fournisseur de services ne pourra accéder aux ressources précédemment déléguées.

Fournisseurs de services

Les utilisateurs d’un locataire gérant peuvent supprimer l’accès aux ressources déléguées s’ils ont reçu le rôle Supprimer l’attribution de l’inscription des services managés pendant le processus d’intégration. Si ce rôle n’est attribué à aucun utilisateur du fournisseur de services, la délégation peut être supprimée uniquement par un utilisateur du locataire du client.

Cet exemple montre une affectation octroyant le rôle Supprimer l’attribution de l’inscription des services gérés pouvant être inclus dans un fichier de paramètres pendant le processus d’intégration  :

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Ce rôle peut également être sélectionné dans une autorisation lors de la création d’une offre de service géré à publier sur la Place de marché Azure.

Un utilisateur disposant de cette autorisation peut supprimer une délégation de l’une des manières suivantes.

Portail Azure

  1. Accédez à la page Mes clients.
  2. Sélectionnez Délégations.
  3. Recherchez la délégation que vous souhaitez supprimer, puis sélectionnez l’icône de corbeille qui apparaît dans sa ligne.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Étapes suivantes