Déléguer la gestion des attributions de rôles Azure à d’autres personnes avec des conditions

Article
02/02/2024

En tant qu’administrateur, vous pouvez recevoir plusieurs demandes d’octroi d’accès aux ressources Azure que vous souhaitez déléguer à quelqu’un d’autre. Vous pouvez affecter un utilisateur aux rôles Propriétaire ou Accès utilisateur Administration istrateur, mais il s’agit de rôles hautement privilégiés. Cet article décrit un moyen plus sécurisé de déléguer la gestion des attributions de rôles à d’autres utilisateurs de votre organisation, mais ajoute des restrictions pour ces attributions de rôles. Par exemple, vous pouvez limiter les rôles qui peuvent être attribués ou limiter les principaux auxquels les rôles peuvent être attribués.

Le diagramme suivant montre comment un délégué avec des conditions ne peut affecter que les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde aux seuls groupes Marketing ou Ventes.

Prérequis

Pour attribuer des rôles Azure, vous devez disposer de :

Microsoft.Authorization/roleAssignments/writeautorisations, telles que le contrôle d’accès en fonction du rôle Administration istrateur ou l’accès utilisateur Administration istrator

Étape 1 : Déterminer les autorisations dont le délégué a besoin

Pour déterminer les autorisations dont le délégué a besoin, répondez aux questions suivantes :

Quels rôles le délégué peut-il attribuer ?
À quels types de principaux le délégué peut-il attribuer des rôles ?
À quels principaux le délégué peut-il attribuer des rôles ?
Le délégué peut-il supprimer des attributions de rôle ?

Une fois que vous connaissez les autorisations dont le délégué a besoin, vous utilisez les étapes suivantes pour ajouter une condition à l’attribution de rôle du délégué. Pour obtenir des exemples de conditions, consultez Exemples pour déléguer la gestion des attributions de rôle Azure avec des conditions.

Étape 2 : Démarrer une nouvelle attribution de rôle

Connectez-vous au portail Azure.
Suivez les étapes pour ouvrir la page Ajouter une attribution de rôle.
Sous l’onglet Rôles, sélectionnez l’onglet Rôles d’administrateur privilégié.
Sélectionnez le rôle de contrôle d’accès en fonction du rôle Administration istrateur.

L’onglet Conditions s’affiche.

Vous pouvez sélectionner n’importe quel rôle qui inclut le ou les Microsoft.Authorization/roleAssignments/write actions, comme l’accès utilisateur Administration istrator, mais le contrôle d’accès en fonction du rôle Administration istrator a moins d’autorisationsMicrosoft.Authorization/roleAssignments/delete.
Sous l’onglet Membres , recherchez et sélectionnez le délégué.

Étape 3 : Ajouter une condition

Il existe deux façons d’ajouter une condition. Vous pouvez utiliser un modèle de condition ou utiliser un éditeur de condition avancé.

Modèle
Éditeur de conditions

Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.

La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.

Sélectionnez un modèle de condition, puis sélectionnez Configurer.

Modèle de condition	Sélectionnez ce modèle pour
Limiter les rôles	Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
Limiter les rôles et les types principaux	Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez Autoriser l’utilisateur à attribuer uniquement ces rôles aux types principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)
Limiter les rôles et les principaux	Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez Autoriser l’utilisateur à attribuer uniquement ces rôles aux principaux que vous sélectionnez

Dans le volet de configuration, ajoutez les configurations requises.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Si les modèles de condition ne fonctionnent pas pour votre scénario ou si vous souhaitez un plus grand contrôle, vous pouvez utiliser l’éditeur de conditions.

Ouvrir l’éditeur de condition

Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.

La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.
Sélectionnez Ouvrir l’éditeur de condition avancé.

La page Ajouter une condition d’attribution de rôle s’affiche.
Pour l’option Type d’éditeur, laissez la valeur Visuel par défaut sélectionnée.

Ajouter une action

Dans la section Ajouter une action , sélectionnez Ajouter une action.

Le volet Sélectionner une action s’affiche. Ce volet est une liste filtrée d’actions en fonction de l’attribution de rôle qui sera la cible de votre condition.
Sélectionnez l’action Créer ou mettre à jour les attributions de rôles que vous souhaitez autoriser si la condition est vraie.

Conseil

Si vous sélectionnez à la fois Créer ou mettre à jour des attributions de rôles et supprimer des actions d’attribution de rôle, vous ne pourrez pas ajouter d’expression de condition. Si vous souhaitez cibler ces deux actions, vous devez ajouter deux conditions. Pour plus d’informations, consultez Exemple : Limiter les rôles.

Générer des expressions

Dans la section Générer une expression , sélectionnez Ajouter une expression.

Voici où vous générez l’expression pour limiter les attributions de rôles que le délégué peut ajouter.
Dans la liste source de l’attribut, sélectionnez Demande.
Dans la liste Attributs , sélectionnez l’un des attributs suivants pour le côté gauche de l’expression.
- L’ID de définition de rôle est utilisé pour limiter les rôles que le délégué peut attribuer.
- L’ID de principal est utilisé pour limiter les principaux spécifiques auquel le délégué peut attribuer des rôles.
- Le type de principal est utilisé pour limiter les types de principaux (utilisateurs, groupes ou principaux de service) auxquels le délégué peut attribuer des rôles.

Dans la liste Opérateur, sélectionnez un opérateur.

Selon l’attribut et l’expression que vous souhaitez générer, vous sélectionnez généralement ces opérateurs, ce qui vous permet de sélectionner une ou plusieurs valeurs pour le côté droit de l’expression.

Attribut	Opérateur commun
un ID de définition de rôle ;	ForAnyOfAnyValues :GuidEquals
ID du principal	ForAnyOfAnyValues :GuidEquals
Type de principal	ForAnyOfAnyValues :StringEqualsIgnoreCase

Dans la zone Valeur , entrez une ou plusieurs valeurs pour le côté droit de l’expression.
Ajoutez des expressions supplémentaires si nécessaire.

Conseil

Lorsque vous ajoutez plusieurs expressions pour déléguer la gestion des attributions de rôle avec des conditions, vous utilisez généralement l’opérateur And entre les expressions au lieu de l’opérateur Or par défaut.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Étape 4 : Attribuer un rôle avec une condition pour déléguer

Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.
Sélectionnez Vérifier + attribuer pour attribuer le rôle.

Après quelques instants, le délégué reçoit le rôle de contrôle d’accès en fonction du rôle Administration istrateur avec vos conditions d’attribution de rôle.

Étape 5 : Le délégué attribue des rôles avec des conditions

Le délégué peut désormais suivre les étapes permettant d’attribuer des rôles.

Lorsque le délégué tente d’attribuer des rôles dans le Portail Azure, la liste des rôles est filtrée pour simplement afficher les rôles qu’ils peuvent attribuer.

S’il existe une condition pour les principaux, la liste des principaux disponibles pour l’affectation est également filtrée.

Si le délégué tente d’attribuer un rôle qui se trouve en dehors des conditions à l’aide d’une API, l’attribution de rôle échoue avec une erreur. Pour plus d’informations, consultez Symptôme - Impossible d’attribuer un rôle.