Compartilhar via

删除对委派的访问权限

在将客户的订阅或资源组委派给 Azure Lighthouse 的服务提供商后,可以根据需要移除委派。 删除委派后,先前向服务提供商租户中的用户授予的 Azure 委托资源管理访问权限将不再适用。

只要用户具有适当的权限,客户租户或服务提供商租户中的用户就可以删除委派。

提示

尽管本主题中只是提到了服务提供商和客户,但管理多个租户的企业也可以使用相同的过程。

重要

如果客户订阅有多个委派来自同一服务提供商,则移除一个委派可能会导致用户失去通过其他委派授予的访问权限。 仅当多个委派中包含同一 principalIdroleDefinitionId 组合,然后移除其中一个委派时,才会发生这种情况。 如果发生这种情况,可以通过对不想移除的委派重复执行加入过程来解决此问题。

客户

拥有Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Authorization/roleAssignments/read权限角色的客户租户中的用户(例如所有者)可以移除服务提供商对该订阅或该订阅中的资源组的访问权限。 为此,用户可以访问 Azure 门户的“服务提供商”页面,在“服务提供商产品/服务”屏幕上找到产品/服务,然后选择该产品/服务所在行的回收站图标。

确认删除后,服务提供商租户中的任何用户将无法访问之前委派的资源。

服务提供商

如果管理租户中的用户在加入过程中被授予适用于客户资源的托管服务注册分配删除角色,则该用户可以移除对委派资源的访问权限。 如果未将此角色分配给任何服务提供商用户,则只能由客户租户中的用户移除委派。

此示例显示的分配授予了可在加入过程期间包含在参数文件中的“托管服务注册分配删除角色”:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

创建托管服务产品/服务以发布到 Azure 市场时,还可以在“授权”中选择此角色。

具有此权限的用户可以通过以下的一种方法删除委托。

Azure 门户

  1. 导航到“我的客户”页面
  2. 选择“委派”。
  3. 找到要删除的委派,然后选择显示在其行中的回收站图标。

PowerShell

# Log in first with Connect-AzAccount -Environment AzureChinaCloud

# Sign in as a user from the managing tenant directory 

Login-AzAccount -Environment AzureChinaCloud

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

后续步骤