Incorporación de un cliente a la administración de recursos delegados de AzureOnboard a customer to Azure delegated resource management

En este artículo se explica cómo, como proveedor de servicios, puede incorporar un cliente a la administración de recursos delegados de Azure, lo que permite tener acceso a sus recursos delegados (suscripciones o grupos de recursos) y administrarlos a través de su propio inquilino de Azure Active Directory (Azure AD).This article explains how you, as a service provider, can onboard a customer to Azure delegated resource management, allowing their delegated resources (subscriptions and/or resource groups) to be accessed and managed through your own Azure Active Directory (Azure AD) tenant. Aunque aquí nos referiremos a los proveedores de servicios y clientes, las empresas que administren varios inquilinos pueden usar el mismo proceso para consolidar su experiencia de administración.While we'll refer to service providers and customers here, enterprises managing multiple tenants can use the same process to consolidate their management experience.

Puede repetir este proceso si está administrando recursos para varios clientes.You can repeat this process if you are managing resources for multiple customers. A continuación, cuando un usuario autorizado inicia sesión en el inquilino, se puede autorizar al usuario en los ámbitos del inquilino del cliente para realizar operaciones de administración sin tener que iniciar sesión en todos los inquilinos de cliente individuales.Then, when an authorized user signs in to your tenant, that user can be authorized across customer tenancy scopes to perform management operations without having to sign in to every individual customer tenant.

Puede asociar el identificador de Microsoft Partner Network (MPN) con las suscripciones incorporadas para realizar un seguimiento de su impacto en las involucraciones de clientes y recibir el reconocimiento correspondiente.You can associate your Microsoft Partner Network (MPN) ID with your onboarded subscriptions to track your impact across customer engagements and receive recognition. Para más información, consulte Vinculación de un Id. de partner a cuentas de Azure.For more info, see Link a partner ID to your Azure accounts. Tenga en cuenta que deberá realizar esta asociación en el inquilino del proveedor de servicios.Note that you'll need to perform this association in your service provider tenant.

Nota

Los clientes también se pueden incorporar cuando compran una oferta de servicios administrados (pública o privada) que haya publicado en Azure Marketplace.Customers can also be onboarded when they purchase a managed services offer (public or private) that you published to Azure Marketplace. Para obtener más información, consulte Publicar ofertas de servicios administrados en Azure Marketplace.For more info, see Publish Managed Services offers to Azure Marketplace. También puede usar el proceso de incorporación que se describe aquí con una oferta publicada en Azure Marketplace.You can also use the onboarding process described here with an offer published to Azure Marketplace.

El proceso de incorporación requiere que se tomen medidas desde el inquilino del proveedor de servicios y del inquilino del cliente.The onboarding process requires actions to be taken from within both the service provider's tenant and from the customer's tenant. Todos estos pasos se describen en este artículo.All of these steps are described in this article.

Importante

Actualmente, no se puede incorporar una suscripción (o un grupo de recursos de una suscripción) para la administración de recursos delegados de Azure si la suscripción usa Azure Databricks.Currently, you can’t onboard a subscription (or resource group within a subscription) for Azure delegated resource management if the subscription uses Azure Databricks. Del mismo modo, si una suscripción se ha registrado para la incorporación con el proveedor de recursos Microsoft.ManagedServices, en este momento, no podrá crear un área de trabajo de Databricks para la suscripción.Similarly, if a subscription has been registered for onboarding with the Microsoft.ManagedServices resource provider, you won’t be able to create a Databricks workspace for that subscription at this time.

Recopilación de los detalles del inquilino y la suscripciónGather tenant and subscription details

Para incorporar el inquilino de un cliente, este debe tener una suscripción activa a Azure.To onboard a customer's tenant, it must have an active Azure subscription. Necesitará saber:You'll need to know the following:

  • El identificador del inquilino del proveedor de servicios (donde va a administrar los recursos del cliente)The tenant ID of the service provider's tenant (where you will be managing the customer's resources)
  • El identificador del inquilino del cliente (cuyos recursos administrará el proveedor de servicios)The tenant ID of the customer's tenant (which will have resources managed by the service provider)
  • Los identificadores de suscripción de cada suscripción específica del inquilino del cliente que administrará el proveedor de servicios (o que contenga los grupos de recursos que administrará el proveedor de servicios)The subscription IDs for each specific subscription in the customer's tenant that will be managed by the service provider (or that contains the resource group(s) that will be managed by the service provider)

Si aún no tiene esta información, puede recuperarla de una de las siguientes maneras.If you don't have this info already, you can retrieve it in one of the following ways.

Portal de AzureAzure portal

Para ver el identificador del inquilino, mantenga el mouse sobre el nombre de la cuenta en la parte superior derecha de Azure Portal o seleccione Cambiar directorio.Your tenant ID can be seen by hovering over your account name on the upper right-hand side of the Azure portal, or by selecting Switch directory. Para seleccionar y copiar el identificador del inquilino, busque "Azure Active Directory" desde dentro del portal y, a continuación, seleccione Propiedades y copie el valor que se muestra en campo Id. de directorio.To select and copy your tenant ID, search for "Azure Active Directory" from within the portal, then select Properties and copy the value shown in the Directory ID field. Para buscar el identificador de una suscripción, busque "Suscripciones" y, a continuación, seleccione el identificador de suscripción adecuado.To find the ID of a subscription, search for "Subscriptions" and then select the appropriate subscription ID.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Select-AzSubscription <subscriptionId>

CLI de AzureAzure CLI

# Log in first with az login if you're not using Cloud Shell

az account set --subscription <subscriptionId/name>
az account show

Nota

Al incorporar una suscripción (o uno o varios grupos de recursos dentro de una suscripción) mediante el proceso que se describe aquí, el proveedor de recursos Microsoft.ManagedServices se registrará para esa suscripción.When onboarding a subscription (or one or more resource groups within a subscription) using the process described here, the Microsoft.ManagedServices resource provider will be registered for that subscription.

Definir roles y permisosDefine roles and permissions

Como proveedor de servicios, es posible que quiera realizar varias tareas para un solo cliente, lo que requiere un acceso diferente para distintos ámbitos.As a service provider, you may want to perform multiple tasks for a single customer, requiring different access for different scopes. Puede definir tantas autorizaciones como necesite para asignar roles integrados de control de acceso basado en rol (RBAC) a los usuarios de su inquilino.You can define as many authorizations as you need to assign role-based access control (RBAC) built-in roles to users in your tenant.

Para facilitar la administración, se recomienda usar grupos de usuarios de Azure AD para cada rol, lo que le permite agregar o quitar usuarios individuales en el grupo, en lugar de asignar permisos directamente a ese usuario.To make management easier, we recommend using Azure AD user groups for each role, allowing you to add or remove individual users to the group rather than assigning permissions directly to that user. También es posible que quiera asignar roles a una entidad de servicio.You may also want to assign roles to a service principal. Asegúrese de seguir el principio de privilegios mínimos para que los usuarios solo tengan los permisos necesarios para completar su trabajo.Be sure to follow the principle of least privilege so that users only have the permissions needed to complete their job. Para obtener recomendaciones e información sobre los roles admitidos, consulte Inquilinos, usuarios y roles en escenarios de Azure Lighthouse.For recommendations and info about supported roles, see Tenants, users, and roles in Azure Lighthouse scenarios.

Para definir las autorizaciones, debe conocer los valores de identificador de cada usuario, grupo de usuarios o entidad de servicio al que quiera conceder acceso.In order to define authorizations, you'll need to know the ID values for each user, user group, or service principal to which you want to grant access. También necesitará el identificador de definición de roles para cada rol integrado que quiera asignar.You'll also need the role definition ID for each built-in role you want to assign. Si aún no los tiene, puede recuperarlos de una de las siguientes maneras.If you don't have them already, you can retrieve them in one of the following ways.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# To retrieve the objectId for an Azure AD group
(Get-AzADGroup -DisplayName '<yourGroupName>').id

# To retrieve the objectId for an Azure AD user
(Get-AzADUser -UserPrincipalName '<yourUPN>').id

# To retrieve the objectId for an SPN
(Get-AzADApplication -DisplayName '<appDisplayName>').objectId

# To retrieve role definition IDs
(Get-AzRoleDefinition -Name '<roleName>').id

CLI de AzureAzure CLI

# Log in first with az login if you're not using Cloud Shell

# To retrieve the objectId for an Azure AD group
az ad group list --query "[?displayName == '<yourGroupName>'].objectId" --output tsv

# To retrieve the objectId for an Azure AD user
az ad user show --upn-or-object-id "<yourUPN>" –-query "objectId" --output tsv

# To retrieve the objectId for an SPN
az ad sp list --query "[?displayName == '<spDisplayName>'].objectId" --output tsv

# To retrieve role definition IDs
az role definition list --name "<roleName>" | grep name

Sugerencia

Se recomienda asignar el rol de eliminación de asignación del registro de servicios administrados al incorporar un cliente, de modo que los usuarios del inquilino puedan quitar el acceso a la delegación más adelante si es necesario.We recommend assigning the Managed Services Registration Assignment Delete Role when onboarding a customer, so that users in your tenant can remove access to the delegation later if needed. Si este rol no está asignado, solo un usuario puede quitar los recursos delegados del inquilino del cliente.If this role is not assigned, delegated resources can only be removed by a user in the customer's tenant.

Creación de una plantilla de Azure Resource ManagerCreate an Azure Resource Manager template

Para incorporar el cliente, deberá crear una plantilla de Azure Resource Manager para la oferta con la información siguiente.To onboard your customer, you'll need to create an Azure Resource Manager template for your offer with the following information. Los valores mspOfferName y mspOfferDescription son visibles para el cliente al ver los detalles de la oferta en la página de proveedores de servicios de Azure Portal.The mspOfferName and mspOfferDescription values are visible to the customer when viewing offer details in the Service providers page of the Azure portal.

CampoField DefiniciónDefinition
mspOfferNamemspOfferName Nombre que describe esta definición.A name describing this definition. Este valor se muestra al cliente como el título de la oferta.This value is displayed to the customer as the title of the offer.
mspOfferDescriptionmspOfferDescription Breve descripción de la oferta (por ejemplo, "oferta de administración de VM de Contoso")A brief description of your offer (for example, "Contoso VM management offer")
managedByTenantIdmanagedByTenantId El identificador de inquilinoYour tenant ID
authorizationsauthorizations Los valores de principalId para los usuarios/grupos/SPN del inquilino, cada uno de ellos con un valor de principalIdDisplayName para ayudar a su cliente a entender el propósito de la autorización y asignarla a un valor de roleDefinitionId integrado para especificar el nivel de accesoThe principalId values for the users/groups/SPNs from your tenant, each with a principalIdDisplayName to help your customer understand the purpose of the authorization and mapped to a built-in roleDefinitionId value to specify the level of access

Para incorporar una suscripción de cliente, use la plantilla adecuada de Azure Resource Manager que proporcionamos en nuestro repositorio de ejemplos, junto con un archivo de parámetros correspondiente que modifique para que coincida con la configuración y defina su autorizaciones.To onboard a customer's subscription, use the appropriate Azure Resource Manager template that we provide in our samples repo, along with a corresponding parameters file that you modify to match your configuration and define your authorizations. Se proporcionan plantillas independientes en función de si se incorpora una suscripción completa, un grupo de recursos o varios grupos de recursos dentro de una suscripción.Separate templates are provided depending on whether you are onboarding an entire subscription, a resource group, or multiple resource groups within a subscription. También proporcionamos una plantilla que se puede usar para los clientes que han adquirido una oferta de servicios administrados que ha publicado en Azure Marketplace, si prefiere incorporar sus suscripciones de esta manera.We also provide a template that can be used for customers who purchased a managed service offer that you published to Azure Marketplace, if you prefer to onboard their subscription(s) this way.

Para incorporar estoTo onboard this Use esta plantilla de Azure Resource ManagerUse this Azure Resource Manager template Y modifique este archivo de parámetrosAnd modify this parameter file
SubscriptionSubscription delegatedResourceManagement.jsondelegatedResourceManagement.json delegatedResourceManagement.parameters.jsondelegatedResourceManagement.parameters.json
Resource groupResource group rgDelegatedResourceManagement.jsonrgDelegatedResourceManagement.json rgDelegatedResourceManagement.parameters.jsonrgDelegatedResourceManagement.parameters.json
Varios grupos de recursos de una suscripciónMultiple resource groups within a subscription multipleRgDelegatedResourceManagement.jsonmultipleRgDelegatedResourceManagement.json multipleRgDelegatedResourceManagement.parameters.jsonmultipleRgDelegatedResourceManagement.parameters.json
Suscripción (al usar una oferta publicada en Azure Marketplace)Subscription (when using an offer published to Azure Marketplace) marketplaceDelegatedResourceManagement.jsonmarketplaceDelegatedResourceManagement.json marketplaceDelegatedResourceManagement.parameters.jsonmarketplaceDelegatedResourceManagement.parameters.json

Importante

El proceso que se describe aquí requiere una implementación independiente para cada suscripción que se incorpore.The process described here requires a separate deployment for each subscription being onboarded. También se necesitan implementaciones independientes si se incorporan varios grupos de recursos en distintas suscripciones.Separate deployments are also required if you are onboarding multiple resource groups within different subscriptions. Sin embargo, la incorporación de varios grupos de recursos dentro de una sola suscripción puede realizarse en una implementación.However, onboarding multiple resource groups within a single subscription can be done in one deployment.

También se necesitan implementaciones independientes para varias ofertas que se aplican a la misma suscripción (o grupos de recursos dentro de una suscripción).Separate deployments are also required for multiple offers being applied to the same subscription (or resource groups within a subscription). Cada oferta aplicada debe usar un valor de mspOfferName diferente.Each offer applied must use a different mspOfferName.

En el ejemplo siguiente se muestra el archivo delegatedResourceManagement.parameters.json, que se usará para incorporar una suscripción.The following example shows delegatedResourceManagement.parameters.json file that will be used to onboard a subscription. Los archivos de parámetros del grupo de recursos (situados en la carpeta rg-delegated-resource-management) son similares, pero también incluyen un parámetro rgName para identificar los grupos de recursos específicos que se incorporarán.The resource group parameter files (located in the rg-delegated-resource-management folder) are similar, but also include an rgName parameter to identify the specific resource group(s) to be onboarded.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "df4602a3-920c-435f-98c4-49ff031b9ef6"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "0019bcfb-6d35-48c1-a491-a701cf73b419",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "0019bcfb-6d35-48c1-a491-a701cf73b419",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "0afd8497-7bff-4873-a7ff-b19a6b7b332c",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "9fe47fff-5655-4779-b726-2cf02b07c7c7",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "3kl47fff-5655-4779-b726-2cf02b05c7c4",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

La última autorización del ejemplo anterior agrega un valor de principalId con el rol de administrador de acceso de usuario (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9).The last authorization in the example above adds a principalId with the User Access Administrator role (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). Al asignar este rol, debe incluir la propiedad delegatedRoleDefinitionIds y uno o más roles integrados.When assigning this role, you must include the delegatedRoleDefinitionIds property and one or more built-in roles. El usuario creado en esta autorización podrá asignar los roles integrados a las identidades administradas, algo necesario para implementar directivas que pueden corregirse.The user created in this authorization will be able to assign these built-in roles to managed identities, which is required in order to deploy policies that can be remediated. No se aplicará a este usuario ningún otro permiso asociado normalmente al rol Administrador de acceso de usuario.No other permissions normally associated with the User Access Administrator role will apply to this user.

Implementación de las plantillas de Azure Resource ManagerDeploy the Azure Resource Manager templates

Una vez actualizado el archivo de parámetros, el cliente debe implementar la plantilla de Azure Resource Manager en el inquilino de su cliente como implementación de nivel de suscripción.Once you have updated your parameter file, the customer must deploy the Azure Resource Manager template in their customer's tenant as a subscription-level deployment. Se necesita una implementación independiente para cada suscripción que quiera incorporar a la administración de recursos delegados de Azure (o para cada suscripción que contenga grupos de recursos que quiera incorporar).A separate deployment is needed for each subscription that you want to onboard to Azure delegated resource management (or for each subscription that contains resource groups that you want to onboard).

Dado que se trata de una implementación de nivel de suscripción, no se puede iniciar en Azure Portal.Because this is a subscription-level deployment, it cannot be initiated in the Azure portal. La implementación puede realizarse mediante PowerShell o la CLI de Azure, como se muestra a continuación.The deployment may be done by using PowerShell or Azure CLI, as shown below.

Importante

La implementación debe realizarse desde una cuenta que no sea de invitado en el inquilino del cliente que tenga el rol Propietario integrado para la suscripción que se va a incorporar (o que contiene los grupos de recursos que se están incorporando).The deployment must be done by a non-guest account in the customer’s tenant which has the Owner built-in role for the subscription being onboarded (or which contains the resource groups that are being onboarded). Para ver todos los usuarios que puedan delegar la suscripción, cualquiera de los usuarios del inquilino del cliente puede seleccionar la suscripción en Azure Portal, abrir Control de acceso (IAM) y ver todos los usuarios con el rol Propietario.To see all users who can delegate the subscription, a user in the customer's tenant can select the subscription in the Azure portal, open Access control (IAM), and view all users with the Owner role.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

CLI de AzureAzure CLI

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment create –-name <deploymentName> \
                     --location <AzureRegion> \
                     --template-file <pathToTemplateFile> \
                     --parameters <parameters/parameterFile> \
                     --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment create –-name <deploymentName \
                     –-location <AzureRegion> \
                     --template-uri <templateUri> \
                     --parameters <parameterFile> \
                     --verbose

Confirmar la incorporación correctaConfirm successful onboarding

Cuando una suscripción de cliente se incorpora correctamente a la administración de recursos delegados de Azure, los usuarios del inquilino del proveedor de servicios pueden ver la suscripción y sus recursos (si se les ha concedido acceso a ellos mediante el proceso anterior, ya sea individualmente o como miembro de un grupo de Azure AD con los permisos adecuados).When a customer subscription has successfully been onboarded to Azure delegated resource management, users in the service provider's tenant will be able to see the subscription and its resources (if they have been granted access to it through the process above, either individually or as a member of an Azure AD group with the appropriate permissions). Para confirmarlo, compruebe que la suscripción aparece de una de las siguientes maneras.To confirm this, check to make sure the subscription appears in one of the following ways.

Portal de AzureAzure portal

En el inquilino del proveedor de servicios:In the service provider's tenant:

  1. Vaya a la página Mis clientes.Navigate to the My customers page.
  2. Seleccione Clientes.Select Customers.
  3. Confirme que puede ver las suscripciones con el nombre de la oferta que proporcionó en la plantilla de Resource Manager.Confirm that you can see the subscription(s) with the offer name you provided in the Resource Manager template.

Importante

Para ver la suscripción delegada en Mis clientes, los usuarios del inquilino del proveedor de servicios deben tener concedido el rol Lector (u otro rol integrado que incluya acceso de lectura) al incorporar la suscripción a la administración de recursos delegados de Azure.In order to see the delegated subscription in My customers, users in the service provider's tenant must have been granted the Reader role (or another built-in role which includes Reader access) when the subscription was onboarded for Azure delegated resource management.

En el inquilino del cliente:In the customer's tenant:

  1. Vaya a la página Proveedores de servicios.Navigate to the Service providers page.
  2. Seleccione Ofertas del proveedor de servicios.Select Service provider offers.
  3. Confirme que puede ver las suscripciones con el nombre de la oferta que proporcionó en la plantilla de Resource Manager.Confirm that you can see the subscription(s) with the offer name you provided in the Resource Manager template.

Nota

Una vez completada la implementación, las actualizaciones pueden tardar unos minutos en verse reflejadas en Azure Portal.It may take a few minutes after your deployment is complete before the updates are reflected in the Azure portal.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

CLI de AzureAzure CLI

# Log in first with az login if you're not using Cloud Shell

az account list

Quitar el acceso a una delegaciónRemove access to a delegation

De forma predeterminada, un usuario en el inquilino del cliente que tenga los permisos adecuados puede quitar el acceso a los recursos que se han delegado a un proveedor de servicios en la página Proveedores de servicios de Azure Portal.By default, a user in the customer's tenant who has the appropriate permissions can remove access to resources that have been delegated to a service provider in the Service providers page of the Azure portal.

Si ha incluido usuarios con el rol de eliminación de asignación del registros de servicios administrados al incorporar el cliente para la administración de recursos delegados de Azure, los usuarios en el inquilino también pueden quitar la delegación.If you have included users with the Managed Services Registration Assignment Delete Role when onboarding the customer for Azure delegated resource management, those users in your tenant can also remove the delegation. Al hacerlo, ningún usuario en el inquilino del proveedor de servicios podrá tener acceso a los recursos que se habían delegado previamente.When you do so, no users in the service provider's tenant will be able to access the resources that had been previously delegated.

En el ejemplo siguiente se muestra una asignación que concede el rol de eliminación de asignación del registro de los servicios administrados que se puede incluir en un archivo de parámetros:The example below shows an assignment granting the Managed Services Registration Assignment Delete Role that can be included in a parameter file:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Un usuario con este permiso puede quitar una delegación de una de las siguientes maneras.A user with this permission can remove a delegation in one of the following ways.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -ResourceId "/subscriptions/{delegatedSubscriptionId}/providers/Microsoft.ManagedServices/registrationAssignments/{assignmentGuid}"

CLI de AzureAzure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete –assignment <id or full resourceId>

Pasos siguientesNext steps