Bir müşteriyi Azure tarafından atanan temsilcinin kaynak yönetimine eklemeOnboard a customer to Azure delegated resource management

Bu makalede, bir hizmet sağlayıcı olarak, bir müşteriyi Azure tarafından atanan kaynak yönetimine ekleme, temsilcili kaynakların (abonelikler ve/veya kaynak grupları) kendi Azure Active Directory (Azure AD) kiracınız aracılığıyla erişilebilir ve yönetilme olanağı sağlayan açıklanır.This article explains how you, as a service provider, can onboard a customer to Azure delegated resource management, allowing their delegated resources (subscriptions and/or resource groups) to be accessed and managed through your own Azure Active Directory (Azure AD) tenant. Burada hizmet sağlayıcılarına ve müşterilere başvuracağız. birden çok kiracıyı yöneten kuruluşlar, yönetim deneyimlerini birleştirmek için aynı süreci kullanabilir.While we'll refer to service providers and customers here, enterprises managing multiple tenants can use the same process to consolidate their management experience.

Birden çok müşteri için kaynakları yönetiyorsanız, bu işlemi yineleyebilirsiniz.You can repeat this process if you are managing resources for multiple customers. Daha sonra, yetkili bir Kullanıcı kiracınızda oturum açtığında, bu kullanıcı, her müşteri kiracısında oturum açmaya gerek kalmadan yönetim işlemlerini gerçekleştirmek üzere müşteri kiracı kapsamları genelinde yetkilendiribiliyor olabilir.Then, when an authorized user signs in to your tenant, that user can be authorized across customer tenancy scopes to perform management operations without having to sign in to every individual customer tenant.

Müşteri görevlendirmeleri genelinde etkileri izlemek ve tanıma almak için, Microsoft İş Ortağı Ağı (MPN) KIMLIĞINIZI eklendi aboneliklerinizle ilişkilendirebilirsiniz.You can associate your Microsoft Partner Network (MPN) ID with your onboarded subscriptions to track your impact across customer engagements and receive recognition. Daha fazla bilgi için bkz. Azure hesaplarınıza bir iş ortağı kimliği bağlama.For more info, see Link a partner ID to your Azure accounts. Bu ilişkilendirmeyi hizmet sağlayıcı kiracınızda gerçekleştirmeniz gerektiğini unutmayın.Note that you'll need to perform this association in your service provider tenant.

Not

Müşteriler, Azure Marketi 'Nde yayımladığınız yönetilen bir hizmet teklifi (genel veya özel) satın alındığında da eklendi.Customers can also be onboarded when they purchase a managed services offer (public or private) that you published to Azure Marketplace. Daha fazla bilgi için bkz. yönetilen hizmet tekliflerini Azure Marketi 'Nde yayımlama.For more info, see Publish Managed Services offers to Azure Marketplace. Burada açıklanan ekleme işlemini Azure Marketi 'Nde yayınlanan bir teklifle birlikte kullanabilirsiniz.You can also use the onboarding process described here with an offer published to Azure Marketplace.

Ekleme işlemi, eylemlerin hem hizmet sağlayıcının kiracısından hem de müşterinin kiracısından alınması gerekir.The onboarding process requires actions to be taken from within both the service provider's tenant and from the customer's tenant. Bu adımların tümü bu makalede açıklanmıştır.All of these steps are described in this article.

Önemli

Şu anda, abonelik Azure Databricks kullanıyorsa, Azure tarafından atanan kaynak yönetimi için abonelik (veya bir abonelik içinde kaynak grubu) ekleyemezsiniz.Currently, you can’t onboard a subscription (or resource group within a subscription) for Azure delegated resource management if the subscription uses Azure Databricks. Benzer şekilde, Microsoft. ManagedServices kaynak sağlayıcısı ile ekleme için bir abonelik kaydedilmişse, bu abonelik için şu anda bir Databricks çalışma alanı oluşturamazsınız.Similarly, if a subscription has been registered for onboarding with the Microsoft.ManagedServices resource provider, you won’t be able to create a Databricks workspace for that subscription at this time.

Kiracı ve abonelik ayrıntılarını toplayınGather tenant and subscription details

Bir müşterinin kiracısını eklemek için etkin bir Azure aboneliğine sahip olması gerekir.To onboard a customer's tenant, it must have an active Azure subscription. Şunları bilmeniz gerekir:You'll need to know the following:

  • Hizmet sağlayıcısının kiracının kiracı KIMLIĞI (müşterinin kaynaklarını yönettiğiniz yer)The tenant ID of the service provider's tenant (where you will be managing the customer's resources)
  • Müşterinin kiracının kiracı KIMLIĞI (hizmet sağlayıcısı tarafından yönetilen kaynaklar olacaktır)The tenant ID of the customer's tenant (which will have resources managed by the service provider)
  • Müşterinin kiracısındaki, hizmet sağlayıcısı tarafından yönetilecek (veya hizmet sağlayıcısı tarafından yönetilecek kaynak gruplarını içeren) her bir abonelik için abonelik kimlikleriThe subscription IDs for each specific subscription in the customer's tenant that will be managed by the service provider (or that contains the resource group(s) that will be managed by the service provider)

Bu bilgileri zaten yoksa, aşağıdaki yollarla alabilirsiniz.If you don't have this info already, you can retrieve it in one of the following ways.

Azure portalAzure portal

Kiracı KIMLIĞINIZ, Azure portal sağ üst tarafındaki hesap adınızın üzerine gelerek veya Dizin Değiştir' i seçerek görülebilir.Your tenant ID can be seen by hovering over your account name on the upper right-hand side of the Azure portal, or by selecting Switch directory. Kiracı KIMLIĞINIZI seçmek ve kopyalamak için Portal içinden "Azure Active Directory" araması yapın, ardından Özellikler ' i seçin ve dizin kimliği alanında gösterilen değeri kopyalayın.To select and copy your tenant ID, search for "Azure Active Directory" from within the portal, then select Properties and copy the value shown in the Directory ID field. Bir aboneliğin KIMLIĞINI bulmak için, "abonelikler" araması yapın ve ardından uygun abonelik KIMLIĞINI seçin.To find the ID of a subscription, search for "Subscriptions" and then select the appropriate subscription ID.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Select-AzSubscription <subscriptionId>

Azure CLIAzure CLI

# Log in first with az login if you're not using Cloud Shell

az account set --subscription <subscriptionId/name>
az account show

Not

Burada açıklanan işlemi kullanarak abonelik (veya bir abonelik içindeki bir veya daha fazla kaynak grubu) ekleme sırasında, Microsoft. ManagedServices kaynak sağlayıcısı bu abonelik için kaydedilir.When onboarding a subscription (or one or more resource groups within a subscription) using the process described here, the Microsoft.ManagedServices resource provider will be registered for that subscription.

Rolleri ve izinleri tanımlamaDefine roles and permissions

Hizmet sağlayıcı olarak, farklı kapsamlar için farklı erişim gerektiren tek bir müşteri için birden çok görev gerçekleştirmek isteyebilirsiniz.As a service provider, you may want to perform multiple tasks for a single customer, requiring different access for different scopes. Kiracınızdaki kullanıcılara rol tabanlı erişim denetimi (RBAC) yerleşik rolleri atamak için gereken sayıda Yetkilendirme tanımlayabilirsiniz.You can define as many authorizations as you need to assign role-based access control (RBAC) built-in roles to users in your tenant.

Yönetimi kolaylaştırmak için, her rol için Azure AD Kullanıcı grupları kullanmanızı öneririz. böylece, izinleri doğrudan bu kullanıcıya atamak yerine gruba bireysel kullanıcı ekleyebilir veya kaldırabilirsiniz.To make management easier, we recommend using Azure AD user groups for each role, allowing you to add or remove individual users to the group rather than assigning permissions directly to that user. Ayrıca, bir hizmet sorumlusuna roller atamak isteyebilirsiniz.You may also want to assign roles to a service principal. Kullanıcıların yalnızca işlerini tamamlaması için gerekli izinlere sahip olması için en az ayrıcalık ilkesini izlediğinizden emin olun.Be sure to follow the principle of least privilege so that users only have the permissions needed to complete their job. Desteklenen roller hakkında öneriler ve bilgiler için bkz. Azure açık bir senaryolarda kiracılar, kullanıcılar ve roller.For recommendations and info about supported roles, see Tenants, users, and roles in Azure Lighthouse scenarios.

Yetkilendirmeleri tanımlamak için, erişim vermek istediğiniz her Kullanıcı, Kullanıcı grubu veya hizmet sorumlusu için KIMLIK değerlerini bilmeniz gerekir.In order to define authorizations, you'll need to know the ID values for each user, user group, or service principal to which you want to grant access. Ayrıca, atamak istediğiniz her bir yerleşik rol için rol tanımı KIMLIĞI gerekir.You'll also need the role definition ID for each built-in role you want to assign. Henüz yoksa, bunları aşağıdaki yollarla alabilirsiniz.If you don't have them already, you can retrieve them in one of the following ways.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# To retrieve the objectId for an Azure AD group
(Get-AzADGroup -DisplayName '<yourGroupName>').id

# To retrieve the objectId for an Azure AD user
(Get-AzADUser -UserPrincipalName '<yourUPN>').id

# To retrieve the objectId for an SPN
(Get-AzADApplication -DisplayName '<appDisplayName>').objectId

# To retrieve role definition IDs
(Get-AzRoleDefinition -Name '<roleName>').id

Azure CLIAzure CLI

# Log in first with az login if you're not using Cloud Shell

# To retrieve the objectId for an Azure AD group
az ad group list --query "[?displayName == '<yourGroupName>'].objectId" --output tsv

# To retrieve the objectId for an Azure AD user
az ad user show --upn-or-object-id "<yourUPN>" –-query "objectId" --output tsv

# To retrieve the objectId for an SPN
az ad sp list --query "[?displayName == '<spDisplayName>'].objectId" --output tsv

# To retrieve role definition IDs
az role definition list --name "<roleName>" | grep name

İpucu

Bir müşteriyi eklerken yönetilen hizmetler kayıt ataması silme rolünü atamanız önerilir, böylece kiracınızdaki kullanıcılar gerekirse daha sonra temsilciye erişimi kaldırabilirler .We recommend assigning the Managed Services Registration Assignment Delete Role when onboarding a customer, so that users in your tenant can remove access to the delegation later if needed. Bu rol atanmamışsa, atanan kaynaklar yalnızca müşterinin kiracısındaki bir kullanıcı tarafından kaldırılabilir.If this role is not assigned, delegated resources can only be removed by a user in the customer's tenant.

Bir Azure Resource Manager şablonu oluşturmaCreate an Azure Resource Manager template

Müşterinize eklemek için aşağıdaki bilgilerle teklifiniz için bir Azure Resource Manager şablonu oluşturmanız gerekir.To onboard your customer, you'll need to create an Azure Resource Manager template for your offer with the following information. Azure portal hizmet sağlayıcıları sayfasında teklif ayrıntılarını görüntülerken, Mspoffername ve mspofferdescription değerleri müşteri tarafından görülebilir.The mspOfferName and mspOfferDescription values are visible to the customer when viewing offer details in the Service providers page of the Azure portal.

AlanField TanımDefinition
mspOfferNamemspOfferName Bu tanımı açıklayan bir ad.A name describing this definition. Bu değer, müşteriye teklifin başlığı olarak gösterilir.This value is displayed to the customer as the title of the offer.
mspOfferDescriptionmspOfferDescription Teklifinizin kısa bir açıklaması (örneğin, "contoso VM yönetimi teklifi")A brief description of your offer (for example, "Contoso VM management offer")
ManagedbytenantıdmanagedByTenantId Kiracı KIMLIĞINIZYour tenant ID
yetkilendirmeleriauthorizations Kiracınızdaki kullanıcılar/gruplar/SPN 'Ler için PrincipalId değerleri, müşterinizin yetkilendirmesinin amacını anlamasına ve bir yerleşik roledefinitionıd değeriyle eşleştirilmesine yardımcı olacak şekilde erişim düzeyiThe principalId values for the users/groups/SPNs from your tenant, each with a principalIdDisplayName to help your customer understand the purpose of the authorization and mapped to a built-in roleDefinitionId value to specify the level of access

Bir müşterinin aboneliğini eklemek için, örneklerimizdesağladığımız uygun Azure Resource Manager şablonunu, yapılandırmanızla eşleşecek şekilde değiştirdiğiniz karşılık gelen bir parametre dosyası ile birlikte kullanın ve yetkilendirmeleri tanımlayın.To onboard a customer's subscription, use the appropriate Azure Resource Manager template that we provide in our samples repo, along with a corresponding parameters file that you modify to match your configuration and define your authorizations. Ayrı şablonlar, abonelik içindeki bir aboneliğin, bir kaynak grubunun veya birden çok kaynak grubunun tamamını ekleme yönteminize bağlı olarak sağlanır.Separate templates are provided depending on whether you are onboarding an entire subscription, a resource group, or multiple resource groups within a subscription. Ayrıca, aboneliklerini bu şekilde eklemek isterseniz, Azure Marketi 'Nde yayımladığınız yönetilen hizmet teklifini satın alan müşteriler için kullanılabilecek bir şablon sunuyoruz.We also provide a template that can be used for customers who purchased a managed service offer that you published to Azure Marketplace, if you prefer to onboard their subscription(s) this way.

Bunu eklemek içinTo onboard this Bu Azure Resource Manager şablonunu kullanUse this Azure Resource Manager template Ve bu parametre dosyasını DeğiştirAnd modify this parameter file
AbonelikSubscription delegatedResourceManagement. JSONdelegatedResourceManagement.json delegatedResourceManagement. Parameters. JSONdelegatedResourceManagement.parameters.json
Kaynak grubuResource group rgDelegatedResourceManagement. JSONrgDelegatedResourceManagement.json rgDelegatedResourceManagement. Parameters. JSONrgDelegatedResourceManagement.parameters.json
Abonelik içindeki birden fazla kaynak grubuMultiple resource groups within a subscription Çoğullergdelegatedresourcemanagement. JSONmultipleRgDelegatedResourceManagement.json multipleRgDelegatedResourceManagement. Parameters. JSONmultipleRgDelegatedResourceManagement.parameters.json
Abonelik (Azure Marketi 'Nde yayınlanan bir teklifi kullanırken)Subscription (when using an offer published to Azure Marketplace) marketplaceDelegatedResourceManagement. JSONmarketplaceDelegatedResourceManagement.json marketplaceDelegatedResourceManagement. Parameters. JSONmarketplaceDelegatedResourceManagement.parameters.json

Önemli

Burada açıklanan işlem, eklendi olan her abonelik için ayrı bir dağıtım gerektirir.The process described here requires a separate deployment for each subscription being onboarded. Farklı abonelikler içinde birden fazla kaynak grubu eklediğinizde ayrı dağıtımlar da gereklidir.Separate deployments are also required if you are onboarding multiple resource groups within different subscriptions. Ancak, tek bir abonelik içinde birden çok kaynak grubu ekleme işlemi tek bir dağıtımda yapılabilir.However, onboarding multiple resource groups within a single subscription can be done in one deployment.

Aynı aboneliğe (veya bir abonelik içindeki kaynak gruplarına) uygulanan birden çok teklif için ayrı dağıtımlar da gerekir.Separate deployments are also required for multiple offers being applied to the same subscription (or resource groups within a subscription). Uygulanan her teklifin farklı bir Mspoffernamekullanması gerekir.Each offer applied must use a different mspOfferName.

Aşağıdaki örnek, bir aboneliği eklemek için kullanılacak olan Delegatedresourcemanagement. Parameters. JSON dosyasını gösterir.The following example shows delegatedResourceManagement.parameters.json file that will be used to onboard a subscription. Kaynak grubu parametre dosyaları ( RG-Temsilcili-kaynak-yönetim klasöründe bulunur) benzerdir, ancak aynı zamanda eklendi olacak belirli kaynak gruplarını belirlemek Için bir RgName parametresi de içerir.The resource group parameter files (located in the rg-delegated-resource-management folder) are similar, but also include an rgName parameter to identify the specific resource group(s) to be onboarded.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "df4602a3-920c-435f-98c4-49ff031b9ef6"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "0019bcfb-6d35-48c1-a491-a701cf73b419",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "0019bcfb-6d35-48c1-a491-a701cf73b419",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "0afd8497-7bff-4873-a7ff-b19a6b7b332c",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "9fe47fff-5655-4779-b726-2cf02b07c7c7",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "3kl47fff-5655-4779-b726-2cf02b05c7c4",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

Yukarıdaki örnekteki en son yetkilendirme, Kullanıcı erişimi yönetici rolü (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9) ile bir PrincipalId ekliyor.The last authorization in the example above adds a principalId with the User Access Administrator role (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). Bu rolü atarken, Delegatedrotadefinitionıds özelliğini ve bir veya daha fazla yerleşik rolü de eklemeniz gerekir.When assigning this role, you must include the delegatedRoleDefinitionIds property and one or more built-in roles. Bu yetkilendirmede oluşturulan kullanıcı bu yerleşik rolleri, düzeltilen ilkeleri dağıtmakiçin gereken yönetilen kimliklereatayabilecektir.The user created in this authorization will be able to assign these built-in roles to managed identities, which is required in order to deploy policies that can be remediated. Normalde Kullanıcı erişimi Yöneticisi rolüyle ilişkili başka hiçbir izin bu kullanıcı için uygulanacaktır.No other permissions normally associated with the User Access Administrator role will apply to this user.

Azure Resource Manager şablonlarını dağıtmaDeploy the Azure Resource Manager templates

Parametre dosyanızı güncelleştirdikten sonra müşteri, Azure Resource Manager şablonunu kendi müşterilerinin kiracısında abonelik düzeyinde bir dağıtım olarak dağıtmalıdır.Once you have updated your parameter file, the customer must deploy the Azure Resource Manager template in their customer's tenant as a subscription-level deployment. Azure 'un Temsilcili kaynak yönetimine eklemek istediğiniz her abonelik için ayrı bir dağıtım gerekir (veya eklemek istediğiniz kaynak gruplarını içeren her abonelik için).A separate deployment is needed for each subscription that you want to onboard to Azure delegated resource management (or for each subscription that contains resource groups that you want to onboard).

Bu, abonelik düzeyinde bir dağıtım olduğundan Azure portal başlatılamaz.Because this is a subscription-level deployment, it cannot be initiated in the Azure portal. Dağıtım, aşağıda gösterildiği gibi PowerShell veya Azure CLı kullanılarak yapılabilir.The deployment may be done by using PowerShell or Azure CLI, as shown below.

Önemli

Dağıtım, müşterinin kiracısında, eklendi olan abonelik (veya eklendi olan kaynak gruplarını içeren) için sahip yerleşik rolüne sahip konuk olmayan bir hesap tarafından yapılmalıdır.The deployment must be done by a non-guest account in the customer’s tenant which has the Owner built-in role for the subscription being onboarded (or which contains the resource groups that are being onboarded). Aboneliği temsil edebilen tüm kullanıcıları görmek için, müşterinin kiracısındaki bir Kullanıcı Azure portal aboneliği seçebilir, erişim denetimini (IAM) açabilir ve sahip rolüne sahip tüm kullanıcıları görüntüleyebilir.To see all users who can delegate the subscription, a user in the customer's tenant can select the subscription in the Azure portal, open Access control (IAM), and view all users with the Owner role.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

Azure CLIAzure CLI

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment create –-name <deploymentName> \
                     --location <AzureRegion> \
                     --template-file <pathToTemplateFile> \
                     --parameters <parameters/parameterFile> \
                     --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment create –-name <deploymentName \
                     –-location <AzureRegion> \
                     --template-uri <templateUri> \
                     --parameters <parameterFile> \
                     --verbose

Başarılı ekleme OnaylaConfirm successful onboarding

Bir müşteri aboneliği Azure tarafından atanan kaynak yönetimine başarıyla eklendi, hizmet sağlayıcı kiracısındaki kullanıcılar aboneliği ve kaynaklarını görebilir (Yukarıdaki işlem aracılığıyla bu hizmete erişim verildiyse, ayrı ayrı veya bir Azure AD grubunun üyesi olarak uygun izinlere sahip olmalıdır).When a customer subscription has successfully been onboarded to Azure delegated resource management, users in the service provider's tenant will be able to see the subscription and its resources (if they have been granted access to it through the process above, either individually or as a member of an Azure AD group with the appropriate permissions). Bunu onaylamak için, aboneliğin aşağıdaki yollarla göründüğünden emin olun.To confirm this, check to make sure the subscription appears in one of the following ways.

Azure portalAzure portal

Hizmet sağlayıcısının kiracısında:In the service provider's tenant:

  1. Müşterilerimiz sayfasınagidin.Navigate to the My customers page.
  2. Müşteriler' i seçin.Select Customers.
  3. Kaynak Yöneticisi şablonunda verdiğiniz teklif adı ile abonelik (ler) i görmek istediğinizi onaylayın.Confirm that you can see the subscription(s) with the offer name you provided in the Resource Manager template.

Önemli

MüşterilerimdeTemsilcili abonelik görmek için, hizmet sağlayıcının kiracısındaki kullanıcılara, abonelik Azure için eklendi olduğunda okuyucu rolü (veya okuyucu erişimi içeren başka bir yerleşik rol) verilmiş olması gerekir atanan kaynak yönetimi.In order to see the delegated subscription in My customers, users in the service provider's tenant must have been granted the Reader role (or another built-in role which includes Reader access) when the subscription was onboarded for Azure delegated resource management.

Müşterinin kiracısında:In the customer's tenant:

  1. Hizmet sağlayıcıları sayfasınagidin.Navigate to the Service providers page.
  2. Hizmet sağlayıcısı teklifleriniseçin.Select Service provider offers.
  3. Kaynak Yöneticisi şablonunda verdiğiniz teklif adı ile abonelik (ler) i görmek istediğinizi onaylayın.Confirm that you can see the subscription(s) with the offer name you provided in the Resource Manager template.

Not

Güncelleştirmeler Azure portal yansıtılmadan önce dağıtımınızın tamamlanması birkaç dakika sürebilir.It may take a few minutes after your deployment is complete before the updates are reflected in the Azure portal.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

Azure CLIAzure CLI

# Log in first with az login if you're not using Cloud Shell

az account list

Bir temsilciye erişimi kaldırmaRemove access to a delegation

Varsayılan olarak, müşterinin kiracısında uygun izinlere sahip olan bir Kullanıcı, Azure portal hizmet sağlayıcıları sayfasında bir hizmet sağlayıcısına atanmış kaynaklara erişimi kaldırabilir.By default, a user in the customer's tenant who has the appropriate permissions can remove access to resources that have been delegated to a service provider in the Service providers page of the Azure portal.

Azure tarafından atanan kaynak yönetimine yönelik müşteri eklerken yönetilen hizmetler kayıt ataması silme rolüne sahip kullanıcılar eklediyseniz, kiracınızdaki bu kullanıcılar temsilciyi de kaldırabilir.If you have included users with the Managed Services Registration Assignment Delete Role when onboarding the customer for Azure delegated resource management, those users in your tenant can also remove the delegation. Bunu yaptığınızda, hizmet sağlayıcısının kiracısındaki hiçbir Kullanıcı daha önce atanmış kaynaklara erişemeyecektir.When you do so, no users in the service provider's tenant will be able to access the resources that had been previously delegated.

Aşağıdaki örnekte, yönetilen hizmetler kayıt ataması silme rolü bir parametre dosyasına dahil edilebilir bir atama gösterilmektedir:The example below shows an assignment granting the Managed Services Registration Assignment Delete Role that can be included in a parameter file:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Bu izne sahip bir Kullanıcı, aşağıdaki yollarla bir temsilciyi kaldırabilir.A user with this permission can remove a delegation in one of the following ways.

PowerShellPowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -ResourceId "/subscriptions/{delegatedSubscriptionId}/providers/Microsoft.ManagedServices/registrationAssignments/{assignmentGuid}"

Azure CLIAzure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete –assignment <id or full resourceId>

Sonraki adımlarNext steps