Organiser vos ressources avec des groupes d’administration AzureOrganize your resources with Azure management groups

Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements.Azure management groups provide a level of scope above subscriptions. Vous organisez les abonnements en conteneurs appelés « groupes d’administration » et vous appliquez vos conditions de gouvernance aux groupes d’administration.You organize subscriptions into containers called "management groups" and apply your governance conditions to the management groups. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.All subscriptions within a management group automatically inherit the conditions applied to the management group. Les groupes d’administration vous permettent une gestion de qualité professionnelle à grande échelle, quel que soit le type de vos abonnements.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Par exemple, vous pouvez appliquer des stratégies à un groupe d’administration afin de limiter les régions disponibles pour la création de machines virtuelles.For example, you can apply policies to a management group that limits the regions available for virtual machine (VM) creation. Une telle stratégie s’appliquerait alors à tous les groupes d’administration, abonnements et ressources sous ce groupe d’administration en autorisant uniquement la création de machines virtuelles dans une région donnée.This policy would be applied to all management groups, subscriptions, and resources under that management group by only allowing VMs to be created in that region.

Hiérarchie des groupes d’administration et des abonnementsHierarchy of management groups and subscriptions

Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements pour organiser vos ressources dans une hiérarchie à des fins de stratégie unifiée et de gestion de l’accès.You can build a flexible structure of management groups and subscriptions to organize your resources into a hierarchy for unified policy and access management. Le diagramme suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes d’administration.The following diagram shows an example of creating a hierarchy for governance using management groups.

Exemple d’une arborescence hiérarchique de groupes de gestion

Créez une hiérarchie afin de pouvoir appliquer une stratégie, par exemple limiter les emplacements de machine virtuelle à la région USA Ouest sur le groupe « Production ».Create a hierarchy so you can apply a policy, for example, limit VM locations to US West Region on the group "Production". Cette stratégie héritera sur les deux abonnements EA dans ce groupe d’administration et s’applique à toutes les machines virtuelles dans ces abonnements.This policy will inherit onto both EA subscriptions under that management group and will apply to all VMs under those subscriptions. Cette stratégie de sécurité ne peut pas être modifiée par le propriétaire de ressources ou d’abonnement permettant une gouvernance améliorée.This security policy cannot be altered by the resource or subscription owner allowing for improved governance.

Un autre scénario où vous pouvez utiliser les groupes d’administration consiste à fournir un accès utilisateur à plusieurs abonnements.Another scenario where you would use management groups is to provide user access to multi subscriptions. En déplaçant plusieurs abonnements dans ce groupe d’administration, vous pouvez créer une affectation de contrôle d’accès en fonction du rôle (RBAC) dans le groupe d’administration, qui héritera de l’accès à tous les abonnements.By moving multiple subscriptions under that management group, you can create one role-based access control (RBAC) assignment on the management group, which will inherit that access to all the subscriptions. Une affectation sur le groupe d’administration peut autoriser les utilisateurs à accéder à tout ce que dont ils ont besoin, au lieu de créer un script RBAC sur différents abonnements.One assignment on the management group can enable users to have access to everything they need instead of scripting RBAC over different subscriptions.

Faits importants sur les groupes d’administrationImportant facts about management groups

  • 10 000 groupes d’administration peuvent être pris en charge dans un seul annuaire.10,000 management groups can be supported in a single directory.
  • Une arborescence de groupes d’administration peut prendre en charge jusqu’à six niveaux de profondeur.A management group tree can support up to six levels of depth.
    • Cette limite n’inclut ni le niveau racine ni le niveau d’abonnement.This limit doesn't include the Root level or the subscription level.
  • Chaque groupe d’administration et chaque abonnement ne prennent en charge qu’un seul parent.Each management group and subscription can only support one parent.
  • Chaque groupe d’administration peut avoir de nombreux enfants.Each management group can have many children.
  • Dans chaque annuaire, tous les abonnements et groupes d’administration sont dans une même hiérarchie.All subscriptions and management groups are within a single hierarchy in each directory. Consultez Faits importants sur le groupe d’administration racine.See Important facts about the Root management group.

Groupe d’administration racine pour chaque annuaireRoot management group for each directory

Chaque annuaire reçoit un groupe d’administration de niveau supérieur unique appelé groupe d’administration « racine ».Each directory is given a single top-level management group called the "Root" management group. Ce groupe d’administration racine est intégré à la hiérarchie et contient tous les groupes d’administration et abonnements.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Il permet d’appliquer des stratégies globales et des affectations RBAC au niveau de l’annuaire.This root management group allows for global policies and RBAC assignments to be applied at the directory level. L’administrateur général d’Azure AD doit élever ses privilèges au rôle Administrateur d’accès utilisateur de ce groupe racine au départ.The Azure AD Global Administrator needs to elevate themselves to the User Access Administrator role of this root group initially. Une fois l’accès obtenu, l’administrateur peut attribuer un rôle RBAC à d’autres utilisateurs ou groupes de l’annuaire pour gérer la hiérarchie.After elevating access, the administrator can assign any RBAC role to other directory users or groups to manage the hierarchy. En tant qu’administrateur, vous pouvez attribuer votre propre compte comme propriétaire du groupe d’administration racine.As administrator, you can assign your own account as owner of the root management group.

Faits importants sur le groupe d’administration racineImportant facts about the Root management group

  • Par défaut, le nom d’affichage du groupe d’administration racine est Groupe racine de locataire.By default, the root management group's display name is Tenant root group. L’ID est l’ID Azure Active Directory.The ID is the Azure Active Directory ID.
  • Pour changer le nom d’affichage, votre compte doit avoir le rôle Propriétaire ou Contributeur sur le groupe d’administration racine.To change the display name, your account must be assigned the Owner or Contributor role on the root management group. Pour connaître les étapes permettant de changer le nom, consultez Changer le nom d’un groupe d’administration.For the steps to change the name, see Change the name of a management group.
  • Le groupe d’administration racine ne peut pas être déplacé ni supprimé, contrairement aux autres groupes d’administration.The root management group can't be moved or deleted, unlike other management groups.
  • Tous les abonnements et groupes d’administration sont contenus dans le groupe d’administration racine de l’annuaire.All subscriptions and management groups fold up to the one root management group within the directory.
    • Toutes les ressources de l’annuaire sont contenues dans le groupe d’administration racine à des fins de gestion globale.All resources in the directory fold up to the root management group for global management.
    • Lors de leur création, les nouveaux abonnements sont attribués par défaut au groupe d’administration racine.New subscriptions are automatically defaulted to the root management group when created.
  • Tous les clients Azure peuvent voir le groupe d’administration racine, mais tous ne peuvent pas le gérer.All Azure customers can see the root management group, but not all customers have access to manage that root management group.
    • Toute personne ayant accès à un abonnement peut voir où celui-ci se trouve dans la hiérarchie.Everyone who has access to a subscription can see the context of where that subscription is in the hierarchy.
    • Personne ne reçoit par défaut l’accès au groupe d’administration racine.No one is given default access to the root management group. Les administrateurs généraux Azure AD sont les seuls utilisateurs à pouvoir élever leurs privilèges pour obtenir l’accès.Azure AD Global Administrators are the only users that can elevate themselves to gain access. Une fois l’accès obtenu, les administrateurs généraux peuvent attribuer un rôle RBAC aux autres utilisateurs qu’ils doivent gérer.Once they have access, the global administrators can assign any RBAC role to other users to manage.

Important

Les attributions d’accès utilisateur et de stratégies effectuées au niveau du groupe d’administration racine s’appliquent à toutes les ressources de l’annuaire.Any assignment of user access or policy assignment on the root management group applies to all resources within the directory. Pour cette raison, tous les utilisateurs doivent évaluer la nécessité de définir des ressources dans cette étendue.Because of this, all customers should evaluate the need to have items defined on this scope. Les attributions d’accès utilisateur et de stratégies ne doivent être obligatoires que pour cette étendue.User access and policy assignments should be "Must Have" only at this scope.

Configuration initiale des groupes d’administrationInitial setup of management groups

Lorsqu’un utilisateur commence à utiliser les groupes d’administration, un processus de configuration initiale est lancé.When any user starts using management groups, there's an initial setup process that happens. La première étape est la création du groupe d’administration racine dans l’annuaire.The first step is the root management group is created in the directory. Une fois le groupe créé, tous les abonnements existants de l’annuaire deviennent des enfants du groupe d’administration racine.Once this group is created, all existing subscriptions that exist in the directory are made children of the root management group. Ce processus permet de faire en sorte que l’annuaire ne contienne qu’une seule hiérarchie de groupes gestion.The reason for this process is to make sure there's only one management group hierarchy within a directory. Le fait de n’avoir qu’une seule hiérarchie par annuaire permet aux administrateurs d’appliquer un accès global et des stratégies que les autres utilisateurs de l’annuaire ne peuvent pas contourner.The single hierarchy within the directory allows administrative customers to apply global access and policies that other customers within the directory can't bypass. Tout élément attribué au niveau racine est appliqué à toute la hiérarchie, qui comprend tous les groupes d’administration, les abonnements, les groupes de ressources et les ressources de ce locataire Azure AD.Anything assigned on the root will apply to the entire hierarchy, which includes all management groups, subscriptions, resource groups, and resources within that Azure AD Tenant.

Difficultés pour afficher tous les abonnementsTrouble seeing all subscriptions

Quelques annuaires ayant commencé à utiliser des groupes d’administration de manière anticipée dans la préversion antérieure au 25 juin 2018 ont rencontré un problème où tous les abonnements n’étaient pas dans la hiérarchie.A few directories that started using management groups early in the preview before June 25 2018 could see an issue where not all the subscriptions were within the hierarchy. Le processus permettant d’avoir tous les abonnements dans la hiérarchie a été mis en place après l’attribution d’un rôle ou d’une stratégie au groupe d’administration racine de l’annuaire.The process to have all subscriptions in the hierarchy was put in place after a role or policy assignment was done on the root management group in the directory.

Que pouvez-vous faire pour résoudre le problème ?How to resolve the issue

Pour résoudre ce problème, deux options s’offrent à vous.There are two options you can do to resolve this issue.

  1. Supprimer toutes les affectations de rôle et de stratégie du groupe d’administration racineRemove all Role and Policy assignments from the root management group
    1. En supprimant toutes les affectations de stratégie et de rôle du groupe d’administration racine, le service renverra tous les abonnements dans la hiérarchie du prochain cycle pendant la nuit.By removing any policy and role assignments from the root management group, the service will backfill all subscriptions into the hierarchy the next overnight cycle. Ce processus permet de garantir qu’aucun accès n’est donné et qu’aucune stratégie n’est affectée accidentellement à tous les abonnements de locataires.This process is so there's no accidental access given or policy assignment to all of the tenants subscriptions.
    2. La meilleure méthode pour effectuer ce processus sans affecter vos services consiste à appliquer les affectations de rôle ou de stratégie à un niveau en dessous du groupe d’administration racine.The best way to do this process without impacting your services is to apply the role or policy assignments one level below the Root management group. Vous pouvez ensuite supprimer toutes les affectations au niveau de la racine.Then you can remove all assignments from the root scope.
  2. Appeler l’API directement afin de démarrer le processus de renvoiCall the API directly to start the backfill process
    1. Tous les clients de l’annuaire peuvent appeler les API TenantBackfillStatusRequest ou StartTenantBackfillRequest.Any customer in the directory can call the TenantBackfillStatusRequest or StartTenantBackfillRequest APIs. Lorsque l’API StartTenantBackfillRequest est appelée, elle lance le processus de configuration initiale de déplacement de tous les abonnements dans la hiérarchie.When the StartTenantBackfillRequest API is called, it kicks off the initial setup process of moving all the subscriptions into the hierarchy. Ce processus démarre également l’application de tous les nouveaux abonnements en tant qu’enfants du groupe d’administration racine.This process also starts the enforcement of all new subscription to be a child of the root management group. Ce processus peut être effectué sans changer d’affectation au niveau racine.This process can be done without changing any assignments on the root level. En appelant l’API, vous dites qu’une affectation de stratégie ou d’accès à la racine peut être appliquée à tous les abonnements.By calling the API, you're saying it's okay that any policy or access assignment on the root can be applied to all subscriptions.

Si vous avez des questions sur ce processus de renvoi, contactez : managementgroups@microsoft.comIf you have questions on this backfill process, contact: managementgroups@microsoft.com

Accès aux groupes d’administrationManagement group access

Les groupes d’administration Azure prennent en charge le contrôle d’accès en fonction du rôle (RBAC) Azure pour tous les accès aux ressources et toutes les définitions de rôles.Azure management groups support Azure Role-Based Access Control (RBAC) for all resource accesses and role definitions. Les ressources enfants qui existent dans la hiérarchie héritent de ces autorisations.These permissions are inherited to child resources that exist in the hierarchy. Vous pouvez attribuer n’importe quel rôle RBAC intégré à un groupe d’administration, qui héritera ensuite de la hiérarchie des ressources.Any built-in RBAC role can be assigned to a management group that will inherit down the hierarchy to the resources. Par exemple, un contributeur de machine virtuelle avec rôle RBAC peut être affecté à un groupe d’administration.For example, the RBAC role VM contributor can be assigned to a management group. Ce rôle n’a aucun effet sur le groupe d’administration, mais il hérite de toutes les machines virtuelles situées sous ce groupe d’administration.This role has no action on the management group, but will inherit to all VMs under that management group.

Le graphique suivant montre la liste des rôles, ainsi que les actions prises en charge par les groupes d’administration.The following chart shows the list of roles and the supported actions on management groups.

Nom du rôle RBACRBAC Role Name CréerCreate RenommerRename Déplacer**Move** SupprimerDelete Attribuer l’accèsAssign Access Attribuer la stratégieAssign Policy LireRead
PropriétaireOwner XX XX XX XX XX XX XX
ContributeurContributor XX XX XX XX XX
Contributeur MG*MG Contributor* XX XX XX XX XX
LecteurReader XX
Lecteur MG*MG Reader* XX
Contributeur de la stratégie de ressourceResource Policy Contributor XX
Administrateur de l'accès utilisateurUser Access Administrator XX

* : Contributeur MG et lecteur MG autorisent uniquement les utilisateurs à effectuer ces actions sur l’étendue du groupe d’administration.*: MG Contributor and MG Reader only allow users to do those actions on the management group scope.
** : Les attributions de rôles sur le groupe d’administration racine ne sont pas nécessaires pour déplacer un abonnement ou un groupe d’administration.**: Role Assignments on the Root management group aren't required to move a subscription or management group to and from it. Consultez Gérer vos ressources avec des groupes d’administration pour des détails sur le déplacement d’éléments dans la hiérarchie.See Manage your resources with management groups for details on moving items within the hierarchy.

Définition et attribution d’un rôle RBAC personnaliséCustom RBAC Role Definition and Assignment

Les rôles RBAC personnalisés ne sont pas pris en charge par les groupes d’administration.Custom RBAC roles aren't supported on management groups at this time. Pour connaître le statut de cette prise en charge, consultez le forum de commentaires des groupes d’administration.See the management group feedback forum to view the status of this item.

Auditer les groupes d’administration à l’aide des journaux d’activitéAudit management groups using activity logs

Les groupes d’administration sont pris en charge dans le journal d’activité Azure.Management groups are supported within Azure Activity Log. Vous pouvez rechercher dans tous les événements qui se produisent dans un groupe d’administration au même emplacement central, tout comme d’autres ressources Azure.You can search all events that happen to a management group in the same central location as other Azure resources. Par exemple, vous pouvez voir tous les changements d’attributions de rôles ou de stratégie apportés à un groupe d’administration spécifique.For example, you can see all Role Assignments or Policy Assignment changes made to a particular management group.

Journaux d’activité avec les groupes d’administration

Quand vous cherchez à interroger les groupes d’administration en dehors du portail Azure, l’étendue cible pour les groupes d’administration ressemble à "/providers/Microsoft.Management/managementGroups/{yourMgID}" .When looking to query on Management Groups outside of the Azure portal, the target scope for management groups looks like "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Étapes suivantesNext steps

Pour en savoir plus sur les groupes d’administration, consultez :To learn more about management groups, see: