Élever l’accès pour gérer tous les abonnements et groupes d’administration AzureElevate access to manage all Azure subscriptions and management groups

En tant qu’administrateur général dans Azure Active Directory (Azure AD), il est possible que vous n’ayez pas accès à tous les abonnements et groupes d’administration de votre annuaire.As a Global Administrator in Azure Active Directory (Azure AD), you might not have access to all subscriptions and management groups in your directory. Cet article décrit les méthodes pour élever votre accès à tous les abonnements et groupes d’administration.This article describes the ways that you can elevate your access to all subscriptions and management groups.

Notes

Pour plus d’informations sur l’affichage ou la suppression des données personnelles, consultez Requêtes DSR (droits de la personne concernée) Azure pour le RGPD.For information about viewing or deleting personal data, see Azure Data Subject Requests for the GDPR. Pour plus d’informations sur le RGPD, consultez la section RGPD du portail Service Trust.For more information about GDPR, see the GDPR section of the Service Trust portal.

Pourquoi devez-vous élever votre accès ?Why would you need to elevate your access?

Si vous êtes administrateur général, il peut vous arriver de vouloir effectuer les opérations suivantes :If you are a Global Administrator, there might be times when you want to do the following:

  • Récupérer l’accès à un abonnement ou groupe d’administration Azure quand un utilisateur a perdu cet accèsRegain access to an Azure subscription or management group when a user has lost access
  • Accorder à un autre utilisateur ou à vous-même l’accès à un abonnement ou groupe d’administration AzureGrant another user or yourself access to an Azure subscription or management group
  • Voir tous les abonnements ou groupes d’administration Azure au sein d’une organisationSee all Azure subscriptions or management groups in an organization
  • Autoriser une application d’automation (telle qu’une application de facturation ou d’audit) à accéder à tous les abonnements ou groupes d’administration AzureAllow an automation app (such as an invoicing or auditing app) to access all Azure subscriptions or management groups

Comment fonctionne l’élévation de l’accès ?How does elevate access work?

Les ressources Azure AD et Azure sont sécurisées de façon indépendante les unes des autres.Azure AD and Azure resources are secured independently from one another. Ainsi, les attributions de rôles Azure AD n’accordent pas d’accès aux ressources Azure et inversement, les attributions de rôles Azure n’accordent pas d’accès à Azure AD.That is, Azure AD role assignments do not grant access to Azure resources, and Azure role assignments do not grant access to Azure AD. En revanche, si vous êtes administrateur général dans Azure AD, vous pouvez vous attribuer à vous-même un accès à tous les abonnements et groupes d’administration Azure de votre annuaire.However, if you are a Global Administrator in Azure AD, you can assign yourself access to all Azure subscriptions and management groups in your directory. Utilisez cette fonctionnalité si vous n’avez pas accès aux ressources de l’abonnement Azure, comme les machines virtuelles ou les comptes de stockage, et que vous voulez utiliser vos privilèges d’administrateur général pour accéder à ces ressources.Use this capability if you don't have access to Azure subscription resources, such as virtual machines or storage accounts, and you want to use your Global Administrator privilege to gain access to those resources.

Quand vous élevez votre accès, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure au niveau de l’étendue racine (/).When you elevate your access, you will be assigned the User Access Administrator role in Azure at root scope (/). Ceci vous permet de voir toutes les ressources et d’attribuer des accès dans n’importe quel abonnement ou groupe d’administration de l’annuaire. This allows you to view all resources and assign access in any subscription or management group in the directory. Les attributions de rôle Administrateur de l’accès utilisateur peuvent être supprimées avec PowerShell.User Access Administrator role assignments can be removed using PowerShell.

Vous devez supprimer cet accès avec élévation de privilèges après avoir effectué les modifications nécessaires au niveau de l’étendue racine.You should remove this elevated access once you have made the changes you need to make at root scope.

Élever l’accès

Portail AzureAzure portal

Effectuez les étapes suivantes pour élever l’accès d’un administrateur général à l’aide du portail Azure.Follow these steps to elevate access for a Global Administrator using the Azure portal.

  1. Connectez-vous au portail Azure ou au Centre d’administration Azure Active Directory en tant qu’administrateur général.Sign in to the Azure portal or the Azure Active Directory admin center as a Global Administrator.

  2. Dans la liste de navigation, cliquez sur Azure Active Directory, puis sur Propriétés.In the navigation list, click Azure Active Directory and then click Properties.

    Propriétés Azure AD - capture d’écran

  3. Sous Gestion de l’accès pour les ressources Azure, définissez la bascule sur Oui.Under Access management for Azure resources, set the toggle to Yes.

    Gestion des accès aux ressources Azure - capture d’écran

    Quand vous définissez la bascule sur Oui, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure RBAC au niveau de l’étendue racine (/).When you set the toggle to Yes, you are assigned the User Access Administrator role in Azure RBAC at the root scope (/). Ceci vous accorde l’autorisation d’attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à cet annuaire Azure AD.This grants you permission to assign roles in all Azure subscriptions and management groups associated with this Azure AD directory. Cette bascule est disponible seulement pour les utilisateurs auxquels le rôle Administrateur général a été attribué dans Azure AD.This toggle is only available to users who are assigned the Global Administrator role in Azure AD.

    Quand vous définissez la bascule sur Non, le rôle Administrateur de l’accès utilisateur dans Azure RBAC est supprimé de votre compte d’utilisateur.When you set the toggle to No, the User Access Administrator role in Azure RBAC is removed from your user account. Vous ne pouvez plus attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à cet annuaire Azure AD.You can no longer assign roles in all Azure subscriptions and management groups that are associated with this Azure AD directory. Vous pouvez voir et gérer seulement les abonnements et groupes d’administration Azure auxquels l’accès vous a été accordé.You can view and manage only the Azure subscriptions and management groups to which you have been granted access.

  4. Cliquez sur Enregistrer pour enregistrer votre paramètre.Click Save to save your setting.

    Ce paramètre n’est pas une propriété globale et s’applique uniquement à l’utilisateur connecté.This setting is not a global property and applies only to the currently signed in user. Vous ne pouvez pas élever l’accès pour tous les membres du rôle Administrateur général.You can't elevate access for all members of the Global Administrator role.

  5. Déconnectez-vous et reconnectez-vous pour actualiser votre accès.Sign out and sign back in to refresh your access.

    Vous devez maintenant avoir accès à tous les abonnements et à tous les groupes d’administration de votre annuaire.You should now have access to all subscriptions and management groups in your directory. Vous remarquerez que vous a été octroyé le rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine.You'll notice that you have been assigned the User Access Administrator role at root scope.

    Attributions de rôle d’abonnement au niveau de l’étendue racine : capture d’écran

  6. Effectuez les modifications que vous devez apporter via l’accès élevé.Make the changes you need to make at the elevated access.

    Pour plus d’informations sur l’attribution de rôles, consultez Gérer les accès à l’aide du contrôle d’accès en fonction du rôle et du portail Azure.For information about assigning roles, see Manage access using RBAC and the Azure portal. Si vous utilisez Azure AD Privileged Identity Management (PIM), consultez Découvrir les ressources Azure à gérer dans PIM ou Attribuer des rôles de ressources Azure dans PIM.If you are using Azure AD Privileged Identity Management (PIM), see Discover Azure resources to manage in PIM or Assign Azure resource roles in PIM.

  7. Quand vous avez terminé, définissez la bascule Gestion de l’accès pour les ressources Azure sur Non.When you are done, set the Access management for Azure resources toggle back to No. Comme il s’agit d’un paramètre par utilisateur, vous devez être connecté sous le même utilisateur que celui utilisé pour élever l’accès.Since this is a per-user setting, you must be signed in as the same user as was used to elevate access.

Azure PowerShellAzure PowerShell

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Répertorier une attribution de rôle dans l’étendue racine (/)List role assignment at the root scope (/)

Pour répertorier l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur dans l’étendue racine (/), utilisez la commande Get-AzRoleAssignment.To list the User Access Administrator role assignment for a user at the root scope (/), use the Get-AzRoleAssignment command.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/098d572e-c1e5-43ee-84ce-8dc459c7e1f0
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : d65fd0e9-c185-472c-8f26-1dafa01f72cc
ObjectType         : User
CanDelegate        : False

Supprimer une attribution de rôle dans l’étendue racine (/)Remove a role assignment at the root scope (/)

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur d’un utilisateur dans l’étendue racine (/), effectuez les étapes suivantes.To remove a User Access Administrator role assignment for a user at the root scope (/), follow these steps.

  1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé.Sign in as a user that can remove elevated access. Il peut s’agir du même utilisateur que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au niveau de l’étendue racine.This can be the same user that was used to elevate access or another Global Administrator with elevated access at the root scope.

  2. Utilisez la commande Remove-AzRoleAssignment pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur.Use the Remove-AzRoleAssignment command to remove the User Access Administrator role assignment.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

API RESTREST API

Élever l’accès d’un administrateur généralElevate access for a Global Administrator

Pour élever l’accès d’un administrateur général à l’aide de l’API REST, suivez les étapes de base suivantes.Use the following basic steps to elevate access for a Global Administrator using the REST API.

  1. Avec REST, appelez elevateAccess, qui vous accorde le rôle Administrateur de l’accès utilisateur dans l’étendue racine (/).Using REST, call elevateAccess, which grants you the User Access Administrator role at the root scope (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Créez une attribution de rôle pour attribuer le rôle de votre choix quelle que soit l’étendue.Create a role assignment to assign any role at any scope. L’exemple suivant montre les propriétés pour l’attribution du rôle {roleDefinitionID} dans l’étendue racine (/) :The following example shows the properties for assigning the {roleDefinitionID} role at the root scope (/):

    { 
      "properties": {
        "roleDefinitionId": "providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionID}",
        "principalId": "{objectID}",
        "scope": "/"
      },
      "id": "providers/Microsoft.Authorization/roleAssignments/64736CA0-56D7-4A94-A551-973C2FE7888B",
      "type": "Microsoft.Authorization/roleAssignments",
      "name": "64736CA0-56D7-4A94-A551-973C2FE7888B"
    }
    
  3. En tant qu’Administrateur des accès utilisateur, vous pouvez également supprimer des attributions de rôles dans l’étendue racine (/).While a User Access Administrator, you can also remove role assignments at the root scope (/).

  4. Révoquez vos privilèges d’Administrateur des accès utilisateur jusqu’à ce que vous en ayez de nouveau besoin.Remove your User Access Administrator privileges until they're needed again.

Répertorier les attributions de rôles dans l’étendue racine (/)List role assignments at the root scope (/)

Vous pouvez lister toutes les attributions de rôles d’un utilisateur dans l’étendue racine (/).You can list all of the role assignments for a user at the root scope (/).

  • Appelez GET roleAssignments, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez récupérer les attributions de rôles.Call GET roleAssignments where {objectIdOfUser} is the object ID of the user whose role assignments you want to retrieve.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Lister les affectations de refus dans l’étendue racine (/)List deny assignments at the root scope (/)

Vous pouvez répertorier toutes les affectations de refus d’un utilisateur dans l’étendue racine (/).You can list all of the deny assignments for a user at the root scope (/).

  • Appelez GET denyAssignments où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez récupérer les affectations de refus.Call GET denyAssignments where {objectIdOfUser} is the object ID of the user whose deny assignments you want to retrieve.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Supprimer l’accès élevéRemove elevated access

Lorsque vous appelez elevateAccess, vous créez une attribution de rôle pour vous-même. Pour révoquer ces privilèges, vous devez donc supprimer l’attribution.When you call elevateAccess, you create a role assignment for yourself, so to revoke those privileges you need to remove the assignment.

  1. Appelez GET roleDefinitions, où roleName est l’Administrateur de l’accès utilisateur, pour déterminer l’ID de nom du rôle Administrateur de l’accès utilisateur.Call GET roleDefinitions where roleName equals User Access Administrator to determine the name ID of the User Access Administrator role.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
        "roleName": "User Access Administrator",
        "type": "BuiltInRole",
        "description": "Lets you manage user access to Azure resources.",
        "assignableScopes": [
          "/"
        ],
        "permissions": [
          {
            "actions": [
              "*/read",
              "Microsoft.Authorization/*",
              "Microsoft.Support/*"
            ],
            "notActions": []
          }
        ],
        "createdOn": "0001-01-01T08:00:00.0000000Z",
        "updatedOn": "2016-05-31T23:14:04.6964687Z",
        "createdBy": null,
        "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Enregistrez l’ID à partir du paramètre name, en l’occurrence 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.Save the ID from the name parameter, in this case 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. Vous devez également lister les attributions de rôles pour l’administrateur d’annuaire au niveau de l’annuaire.You also need to list the role assignment for the directory administrator at directory scope. Listez toutes les attributions dans l’étendue de l’annuaire pour le principalId de l’administrateur d’annuaire qui a effectué l’appel d’élévation d’accès.List all assignments at directory scope for the principalId of the directory administrator who made the elevate access call. Ceci liste toutes les attributions de l’annuaire pour l’objectid.This will list all assignments in the directory for the objectid.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectid}'
    

    Notes

    Un administrateur d’annuaire ne doit normalement pas avoir beaucoup d’attributions. Si la requête précédente retourne un trop grand nombre d’attributions, vous pouvez aussi interroger toutes les attributions seulement au niveau de l’étendue de l’annuaire, puis filtrer les résultats : GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()A directory administrator should not have many assignments, if the previous query returns too many assignments, you can also query for all assignments just at directory scope level, then filter the results: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()

    1. Les appels précédents retournent une liste des attributions de rôle.The previous calls return a list of role assignments. Recherchez l’attribution de rôle pour laquelle l’étendue est "/", où roleDefinitionId se termine par l’ID du nom de rôle trouvé à l’étape 1 et où principalId correspond à l’objectid de l’administrateur d’annuaire.Find the role assignment where the scope is "/" and the roleDefinitionId ends with the role name ID you found in step 1 and principalId matches the objectId of the directory administrator.

      Exemple d’attribution de rôle :Sample role assignment:

      {
        "value": [
          {
            "properties": {
              "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
              "principalId": "{objectID}",
              "scope": "/",
              "createdOn": "2016-08-17T19:21:16.3422480Z",
              "updatedOn": "2016-08-17T19:21:16.3422480Z",
              "createdBy": "93ce6722-3638-4222-b582-78b75c5c6d65",
              "updatedBy": "93ce6722-3638-4222-b582-78b75c5c6d65"
            },
            "id": "/providers/Microsoft.Authorization/roleAssignments/e7dd75bc-06f6-4e71-9014-ee96a929d099",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "e7dd75bc-06f6-4e71-9014-ee96a929d099"
          }
        ],
        "nextLink": null
      }
      

      Une fois encore, enregistrez l’ID du paramètre name, en l’occurrence e7dd75bc-06f6-4e71-9014-ee96a929d099.Again, save the ID from the name parameter, in this case e7dd75bc-06f6-4e71-9014-ee96a929d099.

    2. Enfin, utilisez l’ID d’attribution de rôle pour supprimer l’attribution ajoutée par elevateAccess :Finally, Use the role assignment ID to remove the assignment added by elevateAccess:

      DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/e7dd75bc-06f6-4e71-9014-ee96a929d099?api-version=2015-07-01
      

Étapes suivantesNext steps