FAQ et problèmes connus en lien avec des identités managées pour les ressources AzureFAQs and known issues with managed identities for Azure resources

Identités managées pour ressources Azure est une fonctionnalité d’Azure Active Directory.Managed identities for Azure resources is a feature of Azure Active Directory. Les services Azure prenant en charge les identités managées pour ressources Azure sont soumis à leur propre chronologie.Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Assurez-vous de passer en revue l’état Disponibilité des identités gérées pour votre ressource et les problèmes connus avant de commencer.Make sure you review the availability status of managed identities for your resource and known issues before you begin.

Forum Aux Questions (FAQ)Frequently Asked Questions (FAQs)

Notes

Identités managées pour les ressources Azure est le nouveau nom du service anciennement nommé Managed Service Identity (MSI).Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Comment trouver les ressources qui ont une identité managée ?How can you find resources that have a managed identity?

Vous pouvez obtenir la liste des ressources qui ont une identité managée affectée par le système en exécutant la commande Azure CLI suivante :You can find the list of resources that have a system-assigned managed identity by using the following Azure CLI Command:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name, principalId:identity.principalId}" --output table

Les identités managées ont-elles un objet de sauvegarde d’application ?Do managed identities have a backing app object?

Non.No. Les identités managées et les inscriptions d’applications Azure AD sont deux choses différentes dans l’annuaire.Managed identities and Azure AD App Registrations are not the same thing in the directory.

Les inscriptions d’applications ont deux composants : un objet application et un objet principal de service.App registrations have two components: An Application Object + A Service Principal Object. Les identités managées des ressources Azure ont un seul de ces composants : un objet principal de service.Managed Identities for Azure resources have only one of those components: A Service Principal Object.

Les identités managées n’ont pas d’objet application dans l’annuaire, qui est l’objet couramment utilisé pour accorder des autorisations d’application pour MS Graph.Managed identities don't have an application object in the directory, which is what is commonly used to grant app permissions for MS graph. Au lieu de cela, les autorisations MS Graph pour les identités managées doivent être accordées directement au principal de service.Instead, MS graph permissions for managed identities need to be granted directly to the Service Principal.

Les identités managées pour les ressources Azure fonctionnent-elles avec Azure Cloud Services ?Does managed identities for Azure resources work with Azure Cloud Services?

Non, il n’existe aucun plan de prise en charge des identités managées pour les ressources Azure dans Azure Cloud Services.No, there are no plans to support managed identities for Azure resources in Azure Cloud Services.

Quelles sont les informations d’identification associées à une identité managée ?What is the credential associated with a managed identity? Quelle est la durée de validité et quelle est la fréquence de rotation ?How long is it valid and how often is it rotated?

Notes

Le mode d’authentification des identités managées est un détail d’implémentation interne susceptible d’être modifié sans préavis.How managed identities authenticate is an internal implementation detail that is subject to change without notice.

Les identités managées utilisent l’authentification par certificat.Managed identities use certificate-based authentication. Les informations d’identification de chaque identité managée ont une date d’expiration de 90 jours et elles sont renouvelées après 45 jours.Each managed identity’s credential has an expiration of 90 days and it is rolled after 45 days.

Quelle est la limite de sécurité des identités managées pour les ressources Azure ?What is the security boundary of managed identities for Azure resources?

La limite de sécurité de l’identité est la ressource à laquelle elle est jointe.The security boundary of the identity is the resource to which it is attached to. Par exemple, la limite de sécurité activée pour une machine virtuelle avec des identités managées pour des ressources Azure est la machine virtuelle.For example, the security boundary for a Virtual Machine with managed identities for Azure resources enabled, is the Virtual Machine. Tout code s’exécutant sur cette machine virtuelle est en mesure d’appeler les identités managées pour des jetons de point de terminaison et de requête de ressources Azure.Any code running on that VM, is able to call the managed identities for Azure resources endpoint and request tokens. L’expérience est similaire à celle d’autres ressources qui prennent en charge les identités managées pour des ressources Azure.It is the similar experience with other resources that support managed identities for Azure resources.

Quelle est l’identité utilisée par défaut par IMDS si vous ne spécifiez pas l’identité dans la requête ?What identity will IMDS default to if don't specify the identity in the request?

  • Si l’identité managée affectée par le système est activée et qu’aucune identité n’est spécifiée dans la requête, IMDS utilise par défaut l’identité managée affectée par le système.If system assigned managed identity is enabled and no identity is specified in the request, IMDS will default to the system assigned managed identity.
  • Si l’identité managée affectée par le système n’est pas activée et qu’il n’existe qu’une seule identité managée affectée par l’utilisateur, IMDS utilise par défaut l’identité managée affectée par ce seul utilisateur.If system assigned managed identity is not enabled, and only one user assigned managed identity exists, IMDS will default to that single user assigned managed identity.
  • Si l’identité managée affectée par le système n’est pas activée et qu’il existe plusieurs identités managées affectées par l’utilisateur, la spécification d’une identité managée dans la requête est obligatoire.If system assigned managed identity is not enabled, and multiple user assigned managed identities exist, then specifying a managed identity in the request is required.

Les identités managées sont-elles recréées automatiquement si je déplace un abonnement vers un autre répertoire ?Will managed identities be recreated automatically if I move a subscription to another directory?

Non.No. Si vous déplacez un abonnement vers un autre répertoire, vous devez les recréer manuellement et accorder à nouveau les attributions de rôle Azure.If you move a subscription to another directory, you will have to manually re-create them and grant Azure role assignments again.

  • Pour les identités managées affectées par le système : désactivez et réactivez-les.For system assigned managed identities: disable and re-enable.
  • Pour les identités managées affectées par l’utilisateur : supprimez, recréez et joignez-les à nouveau aux ressources nécessaires (par exemple, des machines virtuelles)For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Puis-je utiliser une identité managée pour accéder à une ressource dans un autre répertoire/abonné ?Can I use a managed identity to access a resource in a different directory/tenant?

Non.No. Les identités managées ne prennent actuellement pas en charge les scénarios entre répertoires.Managed identities do not currently support cross-directory scenarios.

Quelles sont les autorisations runbook automation Azure nécessaires pour une identité managée sur une ressource ?What Azure RBAC permissions are required to managed identity on a resource?

  • Identité managée affectée par le système : Vous avez besoin d’autorisations en écriture sur la ressource.System-assigned managed identity: You need write permissions over the resource. Ainsi, pour les machines virtuelles vous avez besoin de Microsoft.Compute/virtualMachines/write.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. Cette action est incluse dans les rôles intégrés spécifiques de la ressource, tel que le Contributeur de machines virtuelles.This action is included in resource specific built-in roles like Virtual Machine Contributor.
  • Identité managée affectée par l’utilisateur : Vous avez besoin d’autorisations en écriture sur la ressource.User-assigned managed identity: You need write permissions over the resource. Ainsi, pour les machines virtuelles vous avez besoin de Microsoft.Compute/virtualMachines/write.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. En plus de l’attribution de rôle Opérateur d’identités managées sur l’identité managée.In addition to Managed Identity Operator role assignment over the managed identity.

Problèmes connusKnown issues

Échec du « Script d’automatisation » lors de la tentative d’exportation de schéma pour l’extension des entités managées pour les ressources Azure"Automation script" fails when attempting schema export for managed identities for Azure resources extension

Lorsque des identités managées pour les ressources Azure sont activées sur une machine virtuelle, l’erreur suivante s’affiche en cas de tentative d’utilisation de la fonctionnalité « Script d’automatisation » pour la machine virtuelle ou son groupe de ressources :When managed identities for Azure resources is enabled on a VM, the following error is shown when attempting to use the “Automation script” feature for the VM, or its resource group:

Erreur d’exportation du script d’automatisation d’identités managées pour les ressources Azure

L’extension de machines virtuelles des identités managées pour les ressources Azure (dont la dépréciation est prévue en janvier 2019) ne prend pas en charge actuellement la possibilité d’exporter son schéma vers un modèle de groupe de ressources.The managed identities for Azure resources VM extension (planned for deprecation in January 2019) does not currently support the ability to export its schema to a resource group template. Par conséquent, le modèle généré n’affiche pas les paramètres de configuration permettant d’activer des identités managées pour les ressources Azure sur la ressource.As a result, the generated template does not show configuration parameters to enable managed identities for Azure resources on the resource. Ces sections peuvent être ajoutées manuellement en suivant les exemples fournis dans Configurer des identités managées pour les ressources Azure sur une machine virtuelle Azure en utilisant un modèle.These sections can be added manually by following the examples in Configure managed identities for Azure resources on an Azure VM using a templates.

Lorsque la fonctionnalité d’exportation de schéma sera disponible pour l’extension de machine virtuelle des identités managées pour les ressources Azure (dont la dépréciation est prévue en janvier 2019), elle sera répertoriée dans Exportation de groupes de ressources contenant des extensions de machines virtuelles.When the schema export functionality becomes available for the managed identities for Azure resources VM extension (planned for deprecation in January 2019), it will be listed in Exporting Resource Groups that contain VM extensions.

La machine virtuelle ne démarre pas après avoir été déplacée d’un groupe de ressources ou d’un abonnementVM fails to start after being moved from resource group or subscription

Si vous déplacez une machine virtuelle en cours d’exécution, elle continue de s’exécuter pendant le déplacement.If you move a VM in the running state, it continues to run during the move. Toutefois, si la machine virtuelle est arrêtée et redémarrée après le déplacement, elle ne démarre plus.However, after the move, if the VM is stopped and restarted, it will fail to start. Ce problème se produit parce que la machine virtuelle ne met pas à jour la référence à l’identité des identités managées pour les ressources Azure, mais continue de pointer dessus dans l’ancien groupe de ressources.This issue happens because the VM is not updating the reference to the managed identities for Azure resources identity and continues to point to it in the old resource group.

Solution de contournementWorkaround

Déclenchez une mise à jour sur la machine virtuelle afin qu’elle obtienne les valeurs correctes pour les identités managées pour les ressources Azure.Trigger an update on the VM so it can get correct values for the managed identities for Azure resources. Vous pouvez modifier les propriétés d’une machine virtuelle pour mettre à jour la référence à l’identité des identités managées pour les ressources Azure.You can do a VM property change to update the reference to the managed identities for Azure resources identity. Par exemple, vous pouvez définir une nouvelle valeur de balise sur la machine virtuelle avec la commande suivante :For example, you can set a new tag value on the VM with the following command:

 az  vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1

Cette commande définit une nouvelle balise « fixVM » avec une valeur de 1 sur la machine virtuelle.This command sets a new tag "fixVM" with a value of 1 on the VM.

En définissant cette propriété, la machine virtuelle se met à jour avec l’URI de ressource appropriée des identités managées pour les ressources Azure. Vous devriez ensuite être en mesure de démarrer la machine virtuelle.By setting this property, the VM updates with the correct managed identities for Azure resources resource URI, and then you should be able to start the VM.

Une fois la machine virtuelle démarrée, la balise peut être supprimée en utilisant la commande suivante :Once the VM is started, the tag can be removed by using following command:

az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM

Transfert d’un abonnement entre des répertoires Azure ADTransferring a subscription between Azure AD directories

Les identités managées ne sont pas mises à jour lorsqu’un abonnement est déplacé/transféré vers un autre répertoire.Managed identities do not get updated when a subscription is moved/transferred to another directory. Par conséquent, toutes les identités managées existantes affectées par le système ou par l’utilisateur seront rompues.As a result, any existent system-assigned or user-assigned managed identities will be broken.

Solution de contournement pour les identités managées dans un abonnement déplacé vers un autre répertoire :Workaround for managed identities in a subscription that has been moved to another directory:

  • Pour les identités managées affectées par le système : désactivez et réactivez-les.For system assigned managed identities: disable and re-enable.
  • Pour les identités managées affectées par l’utilisateur : supprimez, recréez et joignez-les à nouveau aux ressources nécessaires (par exemple, des machines virtuelles)For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Pour plus d’informations, consultez Transférer un abonnement Azure vers une autre instance Azure AD Directory (préversion).For more information, see Transfer an Azure subscription to a different Azure AD directory (Preview).

Le déplacement d’une identité managée affectée par l’utilisateur à un autre groupe de ressources/abonnementMoving a user-assigned managed identity to a different resource group/subscription

Le déplacement d’une identité managée affectée par l’utilisateur à un autre groupe de ressources.Moving a user-assigned managed identity to a different resource group is not supported.