Compartilhar via


Remover o acesso a uma delegação

Quando a assinatura ou o grupo de recursos de um cliente tiver sido delegado a um provedor de serviços para Azure Lighthouse, essa delegação poderá ser removida, se necessário. Depois que uma delegação for removida, o acesso de Gerenciamento de recursos delegado do Azure que foi concedido anteriormente aos usuários no locatário do provedor de serviços não será mais aplicado.

A remoção de uma delegação pode ser feita por um usuário no locatário do cliente ou no locatário do provedor de serviços, desde que o usuário tenha as permissões apropriadas.

Dica

Embora estejamos nos referindo a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar os mesmos processos.

Importante

Quando uma assinatura do cliente tem várias delegações do mesmo provedor de serviços, a remoção de uma delegação pode fazer com que os usuários percam o acesso concedido através das outras delegações. Isso só ocorre quando a mesma combinação principalId e roleDefinitionId são incluídas em várias delegações e então uma das delegações é removida. Se isso acontecer, você poderá corrigir o problema repetindo o processo de integração para as delegações que você não deseja remover.

Clientes

Os usuários no locatário do cliente que têm uma função com a permissão Microsoft.Authorization/roleAssignments/write, como Proprietário, podem remover o acesso do provedor de serviços a essa assinatura (ou a grupos de recursos nessa assinatura). Para fazer isso, o usuário pode acessar a página Provedores de serviço do portal do Azure, localizar a oferta na tela Ofertas do provedor de serviços e selecionar o ícone de lixeira na linha dessa oferta.

Após confirmar a exclusão, nenhum usuário no locatário do provedor de serviços poderá acessar os recursos que foram delegados anteriormente.

Provedores de serviço

Os usuários em um locatário de gerenciamento poderão remover o acesso aos recursos delegados se receberem a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados durante o processo de integração. Se essa função não for atribuída a nenhum usuário do provedor de serviços, a delegação só poderá ser removida por um usuário no locatário do cliente.

Este exemplo mostra uma atribuição concedendo a Função de Exclusão de Atribuição do Registro de Serviços Gerenciados que pode ser incluída em um arquivo de parâmetros durante o processo de integração:

    "authorizations": [ 
        { 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ] 

Essa função também pode ser selecionada em uma Autorização na criação de uma oferta de serviço gerenciado para fazer a publicação no Azure Marketplace.

Um usuário com essa permissão pode remover uma delegação de uma das maneiras a seguir.

Portal do Azure

  1. Navegue até a página Meus clientes.
  2. Selecione Delegações.
  3. Localize a delegação que você deseja remover e selecione o ícone de lixeira que aparece na linha dela.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated or that contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

CLI do Azure

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated or that contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Próximas etapas