Toegang tot een delegatie verwijderen

  • Artikel

Nadat het abonnement of de resourcegroep van een klant is gedelegeerd aan een serviceprovider voor Azure Lighthouse, kan de overdracht indien nodig worden verwijderd. Zodra een delegatie is verwijderd, is de gedelegeerde toegang tot Azure-resourcebeheer die eerder is verleend aan gebruikers in de tenant van de serviceprovider niet meer van toepassing.

Het verwijderen van een delegatie kan worden uitgevoerd door een gebruiker in de tenant van de klant of de tenant van de serviceprovider, zolang de gebruiker over de juiste machtigingen beschikt.

Tip

Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren dezelfde processen gebruiken.

Belangrijk

Wanneer een klantabonnement meerdere delegaties van dezelfde serviceprovider heeft, kan het verwijderen van één delegatie ertoe leiden dat gebruikers de toegang verliezen die is verleend via de andere delegaties. Dit gebeurt alleen wanneer dezelfde principalId combinatie en roleDefinitionId is opgenomen in meerdere delegaties en vervolgens een van de delegaties wordt verwijderd. U kunt dit oplossen door het onboardingproces te herhalen voor de delegaties die u niet verwijdert.

Customers

Gebruikers in de tenant van de klant die een rol met de Microsoft.Authorization/roleAssignments/write machtiging hebben, zoals Eigenaar, kunnen serviceprovidertoegang tot dat abonnement (of tot resourcegroepen in dat abonnement) verwijderen. Om dit te doen, kan de gebruiker naar de pagina Serviceproviders van de Azure Portal gaan, de aanbieding zoeken op het scherm Aanbiedingen van serviceprovider en het prullenbakpictogram in de rij voor die aanbieding selecteren.

Nadat de verwijdering is bevestigd, hebben geen gebruikers in de tenant van de serviceprovider toegang tot de resources die eerder zijn gedelegeerd.

Dienstverleners

Gebruikers in een beherende tenant kunnen de toegang tot gedelegeerde resources verwijderen als aan hen de rol Registratietoewijzing voor beheerde services is toegewezen voor de resources van de klant. Als deze rol niet is toegewezen aan gebruikers van serviceproviders, kan de delegatie alleen worden verwijderd door een gebruiker in de tenant van de klant.

In dit voorbeeld ziet u een toewijzing die de verwijderingsrol registratietoewijzing van beheerde services verleent die kan worden opgenomen in een parameterbestand tijdens het onboardingproces:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Deze rol kan ook worden geselecteerd in een autorisatie bij het maken van een beheerde serviceaanbieding om te publiceren naar Azure Marketplace.

Een gebruiker met deze machtiging kan een delegatie op een van de volgende manieren verwijderen.

Azure Portal

  1. Ga naar de pagina Mijn klanten.
  2. Selecteer Delegaties.
  3. Zoek de delegatie die u wilt verwijderen en selecteer vervolgens het prullenbakpictogram dat in de rij wordt weergegeven.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Volgende stappen