Temsilci erişimini kaldırma
Müşterinin aboneliği veya kaynak grubu Azure Lighthouse için bir hizmet sağlayıcısına temsilci olarak atandıktan sonra, gerekirse temsilci seçimi kaldırılabilir. Temsilci seçimi kaldırıldıktan sonra, hizmet sağlayıcısı kiracısında kullanıcılara daha önce verilmiş olan Azure temsilcili kaynak yönetimi erişimi artık geçerli olmayacaktır.
Temsilci seçmeyi kaldırma işlemi, kullanıcı uygun izinlere sahip olduğu sürece müşteri kiracısında veya hizmet sağlayıcısı kiracısında bulunan bir kullanıcı tarafından yapılabilir.
İpucu
Bu konu başlığında hizmet sağlayıcılarına ve müşterilere başvursak da, birden çok kiracıyı yöneten kuruluşlar aynı işlemleri kullanabilir.
Önemli
Bir müşteri aboneliği aynı hizmet sağlayıcısından birden çok temsilciye sahip olduğunda, bir temsilcinin kaldırılması kullanıcıların diğer temsilciler aracılığıyla verilen erişimi kaybetmesine neden olabilir. Bu yalnızca aynı principalId
ve roleDefinitionId
birleşim birden çok temsilciye eklendiğinde ve temsilcilerden biri kaldırıldığında oluşur. Bunu düzeltmek için, kaldırmadığınız temsilciler için ekleme işlemini yineleyin.
Müşteriler
Müşterinin kiracısında sahip gibi izni olan Microsoft.Authorization/roleAssignments/write
bir role sahip olan kullanıcılar, söz konusu aboneliğe (veya söz konusu abonelikteki kaynak gruplarına) hizmet sağlayıcısı erişimini kaldırabilir. Bunu yapmak için kullanıcı Azure portal Hizmet sağlayıcıları sayfasına gidebilir, Teklifi Hizmet sağlayıcısı teklifleri ekranında bulabilir ve bu teklifin satırındaki çöp kutusu simgesini seçebilir.
Silme işlemini onayladıktan sonra, hizmet sağlayıcısının kiracısında daha önce temsilci olarak atanan kaynaklara hiçbir kullanıcı erişemez.
Hizmet sağlayıcıları
Yönetilen kiracıdaki kullanıcılar, müşterinin kaynakları için Yönetilen Hizmetler Kayıt Ataması Silme Rolü verildiyse temsilci olarak atanan kaynaklara erişimi kaldırabilir. Bu rol hiçbir hizmet sağlayıcısı kullanıcısına atanmamışsa, temsilci seçme yalnızca müşterinin kiracısında bulunan bir kullanıcı tarafından kaldırılabilir.
Bu örnekte, ekleme işlemi sırasında bir parametre dosyasına eklenebilen Yönetilen Hizmetler Kayıt Ataması Silme Rolü veren bir atama gösterilmektedir:
"authorizations": [
{
"principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb",
"principalIdDisplayName": "MSP Operators",
"roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46"
}
]
Bu rol, Azure Market yayımlamak üzere Yönetilen Hizmet teklifi oluştururkenyetkilendirmede de seçilebilir.
Bu izne sahip bir kullanıcı aşağıdaki yollardan biriyle temsilci seçmeyi kaldırabilir.
Azure portal
- Müşterilerim sayfasına gidin.
- Temsilci seçme.
- Kaldırmak istediğiniz temsilciyi bulun ve satırında görünen çöp kutusu simgesini seçin.
PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
Login-AzAccount
# Select the subscription that is delegated - or contains the delegated resource group(s)
Select-AzSubscription -SubscriptionName "<subscriptionName>"
# Get the registration assignment
Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"
# Delete the registration assignment
Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"
Azure CLI
# Log in first with az login if you're not using Cloud Shell
# Sign in as a user from the managing tenant directory
az login
# Select the subscription that is delegated – or contains the delegated resource group(s)
az account set -s <subscriptionId/name>
# List registration assignments
az managedservices assignment list
# Delete the registration assignment
az managedservices assignment delete --assignment <id or full resourceId>
Sonraki adımlar
- Azure Lighthouse mimarisi hakkında bilgi edinin.
- Azure portal Müşterilerim'e giderek müşterilerigörüntüleyin ve yönetin.
- Önceki bir temsilciyi güncelleştirmeyi öğrenin.