Удаление доступа к делегированию

Если подписка или группа ресурсов клиента делегирована поставщику услуг для Azure Lighthouse, при необходимости это делегирование можно удалить. После удаления делегирования доступ к функции Управление ресурсами делегирования Azure, который ранее был предоставлен пользователям клиента поставщика услуг, больше не будет предоставляться.

Удаление делегирования может осуществляться пользователем на клиенте поставщика услуг или клиента при условии, что у пользователя есть соответствующие разрешения.

Совет

Хотя в этом разделе мы будем упоминать поставщиков услуг и их заказчиков, предприятия, управляющие несколькими клиентами, могут использовать такие же процессы.

Внимание

Если подписка клиента имеет несколько делегирований от одного поставщика услуг, удаление одного делегирования может привести к потере доступа пользователей, предоставленных другими делегированиями. Это происходит только в том случае, если одно и то же principalId сочетание roleDefinitionId включается в несколько делегирований, а затем один из делегирований удаляется. В этом случае можно устранить проблему, повторив процесс подключения для делегирований, которые вы не хотите удалить.

Клиенты

Пользователи клиента, имеющие роль с разрешением Microsoft.Authorization/roleAssignments/write, например Владелец, могут удалить доступ поставщика услуг к этой подписке (или группам ресурсов в этой подписке). Для этого пользователь может открыть страницу Поставщики услуг на портале Azure, найти предложение на экране Предложения поставщика услуг и выбрать значок корзины в строке для этого предложения.

После подтверждения удаления пользователи клиента поставщика услуг не смогут получить доступ к ресурсам, которые были ранее делегированы.

Поставщики услуг

Пользователи в управляемом клиенте могут удалить доступ к делегированным ресурсам, если они были предоставлены роли удаления назначения регистрации управляемых служб во время процесса подключения. Если эта роль не назначена пользователям поставщика услуг, делегирование может быть удалено только пользователем в клиенте клиента.

В этом примере показано назначение, предоставляющее роль удаления назначения регистрации управляемых служб, которая может быть включена в файл параметров во время процесса подключения:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Эту роль можно также выбрать в разделе Авторизация при создании предложения управляемой службы для публикации в Azure Marketplace.

Пользователь с этим разрешением может удалить делегирование одним из следующих способов.

Портал Azure

  1. Перейдите на страницу Мои клиенты.
  2. Выберите Делегирования.
  3. Найдите делегирование, которое требуется удалить, а затем щелкните значок корзины, который отображается в соответствующей строке.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Следующие шаги