Rôles d’administrateur d’abonnement classique, rôles RBAC Azure et rôles d’administrateur Azure ADClassic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles

Si vous débutez sur Azure, vous trouverez peut-être un peu difficile de comprendre l’ensemble des différents rôles dans Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Cet article vous aide en décrivant les rôles suivants et en indiquant quand les utiliser :This article helps explain the following roles and when you would use each:

  • Rôles d’administrateur d’abonnements classiqueClassic subscription administrator roles
  • Rôles de contrôle d’accès en fonction du rôle (RBAC) AzureAzure role-based access control (RBAC) roles
  • Rôles d’administrateur Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) administrator roles

Pour mieux comprendre les rôles dans Azure, connaître leur historique peut aider.To better understand roles in Azure, it helps to know some of the history. Quand Azure a été publié au départ, l’accès aux ressources était géré avec seulement trois rôles d’administrateur : administrateur de comptes, administrateur de services et coadministrateur.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Par la suite, le contrôle d’accès en fonction du rôle (RBAC) a été ajouté pour les ressources Azure.Later, role-based access control (RBAC) for Azure resources was added. Le contrôle RBAC Azure est un système d’autorisations plus récent qui fournit une gestion précise des accès aux ressources Azure.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Le contrôle RBAC compte de nombreux rôles intégrés, peut être assigné à différentes étendues et vous permet de créer vos propres rôles personnalisés.RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Pour gérer les ressources dans Azure AD, comme les utilisateurs, les groupes et les domaines, il existe plusieurs rôles d’administrateur Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD administrator roles.

Le diagramme suivant est une vue d’ensemble des relations entre les rôles d’administrateur d’abonnements classique, les rôles RBAC Azure et les rôles d’administrateur Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles are related.

Les différents rôles dans Azure

Rôles d’administrateur d’abonnements classiqueClassic subscription administrator roles

Dans Azure, les trois rôles d’administrateur d’abonnements classique sont Administrateur de comptes, Administrateur de services et Coadministrateur.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Les administrateurs d’abonnements classiques ont un accès total à l’abonnement Azure.Classic subscription administrators have full access to the Azure subscription. Ils peuvent gérer les ressources en utilisant le portail Azure, les API Azure Resource Manager et les API du modèle de déploiement classique.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Le compte qui est utilisé pour l’inscription à Azure est automatiquement défini en tant qu’administrateur de compte et administrateur de services fédérés.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Par la suite, des coadministrateurs peuvent être ajoutés.Then, additional Co-Administrators can be added. Les administrateurs de services et les coadministrateurs ont un accès équivalent aux utilisateurs qui ont reçu le rôle Propriétaire (rôle RBAC Azure) sur l’étendue de l’abonnement.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure RBAC role) at the subscription scope. Le tableau suivant décrit les différences entre ces trois rôles d’administrateurs d’abonnements classiques.The following table describes the differences between these three classic subscription administrative roles.

Administrateur d’abonnements classiquesClassic subscription administrator LimiteLimit AutorisationsPermissions NotesNotes
Administrateur de comptesAccount Administrator 1 par compte Azure1 per Azure account
  • Accès au Centre des comptes AzureAccess the Azure Account Center
  • Gestion de tous les abonnements d’un compteManage all subscriptions in an account
  • Création de nouveaux abonnementsCreate new subscriptions
  • Annulation d’abonnementsCancel subscriptions
  • Changement du mode de facturation d’un abonnementChange the billing for a subscription
  • Changement d’administrateur de servicesChange the Service Administrator
Le concept est qu’il est propriétaire de la facturation de l’abonnement.Conceptually, the billing owner of the subscription.
L’Administrateur de compte n’a pas accès au portail Azure.The Account Administrator has no access to the Azure portal.
Administrateur de servicesService Administrator 1 par abonnement Azure1 per Azure subscription
  • Gestion des services dans le portail AzureManage services in the Azure portal
  • Attribution d’utilisateurs au rôle CoadministrateurAssign users to the Co-Administrator role
Par défaut, pour un nouvel abonnement, l’administrateur de compte est également l’administrateur de services fédérés.By default, for a new subscription, the Account Administrator is also the Service Administrator.
L’administrateur de services dispose de l’accès équivalent à un utilisateur qui se voit attribuer le rôle Propriétaire sur l’étendue de l’abonnement.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
L’Administrateur de service a un accès complet au portail Azure.The Service Administrator has full access to the Azure portal.
CoadministrateurCo-Administrator 200 par abonnement200 per subscription
  • Mêmes privilèges d’accès que l’administrateur de services, à ceci près qu’il ne peut pas changer l’association des abonnements aux annuaires AzureSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Attribution des utilisateurs au rôle Coadministrateur, mais ne peut pas changer d’administrateur de servicesAssign users to the Co-Administrator role, but cannot change the Service Administrator
Le coadministrateur dispose de l’accès équivalent à un utilisateur qui se voit attribuer le rôle Propriétaire sur l’étendue de l’abonnement.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Sur le portail Azure, vous pouvez gérer les Coadministrateurs ou afficher l’Administrateur de Service sous l’onglet Administrateurs classiques.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Administrateurs d’abonnement Azure Classic sur le portail Azure

Sur le portail Azure, vous pouvez afficher ou modifier l’Administrateur de Service ou afficher l’Administrateur de compte dans le panneau des propriétés de votre abonnement.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Administrateur de comptes et administrateur de services dans le portail Azure

Pour plus d’informations, consultez Administrateurs d’abonnement Azure Classic.For more information, see Azure classic subscription administrators.

Compte Azure et abonnements AzureAzure account and Azure subscriptions

Un compte Azure représente une relation de facturation.An Azure account represents a billing relationship. Un compte Azure est une identité d’utilisateur, un ou plusieurs abonnements Azure et un ensemble de ressources Azure associé.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. La personne qui crée le compte est l’administrateur de comptes de tous les abonnements créés dans ce compte.The person who creates the account is the Account Administrator for all subscriptions created in that account. Cette personne est également l’administrateur de services par défaut de l’abonnement.That person is also the default Service Administrator for the subscription.

Les abonnements Azure vous permettent d’organiser l’accès aux ressources Azure.Azure subscriptions help you organize access to Azure resources. Ils vous permettent également de contrôler le signalement, la facturation et le paiement des ressources utilisées.They also help you control how resource usage is reported, billed, and paid for. Comme chaque abonnement peut avoir une configuration de facturation et de paiement différente, vous pouvez avoir différents abonnements et différents plans par bureau, service, projet, etc.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Chaque service appartient à un abonnement, et l’ID d’abonnement peut être nécessaire pour les opérations de programmation.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Les comptes et les abonnements sont gérés dans le Centre des comptes Azure.Accounts and subscriptions are managed in the Azure Account Center.

Rôles RBAC AzureAzure RBAC roles

Le contrôle RBAC Azure est un système d’autorisations basé sur Azure Resource Manager qui offre une gestion précise des accès aux ressources Azure, comme les ressources de calcul et de stockage.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Le contrôle RBAC Azure compte plus de 70 rôles intégrés.Azure RBAC includes over 70 built-in roles. Il existe quatre rôles RBAC fondamentaux.There are four fundamental RBAC roles. Les trois premiers s’appliquent à tous les types de ressources :The first three apply to all resource types:

Rôle RBAC AzureAzure RBAC role AutorisationsPermissions NotesNotes
PropriétaireOwner
  • Accès total à toutes les ressourcesFull access to all resources
  • Délégation de l’accès à d’autres personnesDelegate access to others
L’administrateur de services et les coadministrateurs se voient attribuer le rôle Propriétaire dans l’étendue de l’abonnementThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
S’applique à tous les types de ressources.Applies to all resource types.
ContributeurContributor
  • Création et gestion de tous les types de ressources AzureCreate and manage all of types of Azure resources
  • Ne peut pas accorder l’accès à d’autres personnesCannot grant access to others
S’applique à tous les types de ressources.Applies to all resource types.
LecteurReader
  • Consultation des ressources AzureView Azure resources
S’applique à tous les types de ressources.Applies to all resource types.
Administrateur de l'accès utilisateurUser Access Administrator
  • Gestion de l’accès utilisateur aux ressources AzureManage user access to Azure resources

Les autres rôles intégrés permettent de gérer des ressources Azure spécifiques.The rest of the built-in roles allow management of specific Azure resources. Par exemple, le rôle Contributeur de machines virtuelles permet à l’utilisateur de créer et de gérer des machines virtuelles.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Pour obtenir la liste de tous les rôles intégrés, consultez Rôles intégrés pour les ressources Azure.For a list of all the built-in roles, see Built-in roles for Azure resources.

Seuls le portail Azure et les API Azure Resource Manager prennent en charge RBAC.Only the Azure portal and the Azure Resource Manager APIs support RBAC. Les utilisateurs, les groupes et les applications qui se voient attribuer des rôles RBAC ne peuvent pas utiliser les API du modèle de déploiement classique Azure.Users, groups, and applications that are assigned RBAC roles cannot use the Azure classic deployment model APIs.

Dans le portail Azure, les attributions de rôles avec RBAC s’affichent dans le panneau Contrôle d’accès (IAM).In the Azure portal, role assignments using RBAC appear on the Access control (IAM) blade. Ce panneau se trouve dans le portail, notamment pour les groupes d’administration, les abonnements, les groupes de ressources et diverses ressources.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Panneau Contrôle d’accès IAM dans le portail Azure

Quand vous cliquez sur l’onglet Rôles, vous voyez la liste des rôles intégrés et personnalisés.When you click the Roles tab, you will see the list of built-in and custom roles.

Rôles intégrés dans le portail Azure

Pour plus d’informations, consultez Gérer l’accès aux ressources Azure à l’aide de RBAC et du portail Azure.For more information, see Manage access to Azure resources using RBAC and the Azure portal.

Rôles d’administrateur Azure ADAzure AD administrator roles

Les rôles d’administrateur Azure AD sont utilisés pour gérer les ressources Azure AD d’un annuaire, par exemple pour créer ou changer des utilisateurs, attribuer des rôles d’administration à d’autres personnes, réinitialiser les mots de passe des utilisateurs, gérer les licences utilisateur et gérer les domaines.Azure AD administrator roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. Le tableau suivant décrit quelques-uns des rôles d’administrateur Azure AD plus importants.The following table describes a few of the more important Azure AD administrator roles.

Rôle d’administrateur Azure ADAzure AD administrator role AutorisationsPermissions NotesNotes
Administrateur généralGlobal Administrator
  • Gestion de l’accès à toutes les fonctionnalités d’administration dans Azure Active Directory, ainsi que les services qui sont fédérés à Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Attribution des rôles d’administrateur à d’autres personnesAssign administrator roles to others
  • Réinitialisation des mots de passe des utilisateurs et de tous les autres administrateursReset the password for any user and all other administrators
La personne qui s’inscrit au locataire Azure Active Directory devient administrateur général.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Administrateur d’utilisateursUser Administrator
  • Création et gestion de tous les aspects liés aux utilisateurs et aux groupesCreate and manage all aspects of users and groups
  • Gestion des tickets de supportManage support tickets
  • Suivi de l’intégrité des servicesMonitor service health
  • Changement des mots de passe des utilisateurs, des administrateurs du support technique et autres administrateurs d’utilisateursChange passwords for users, Helpdesk administrators, and other User Administrators
Administrateur de facturationBilling Administrator
  • AchatsMake purchases
  • Gérer les abonnementsManage subscriptions
  • Gestion des tickets de supportManage support tickets
  • Suivi de l’intégrité des servicesMonitors service health

Dans le portail Azure, vous pouvez voir la liste des rôles d’administrateur Azure AD dans le panneau Rôles et administrateurs.In the Azure portal, you can see the list of Azure AD administrator roles on the Roles and administrators blade. Pour obtenir une liste de tous les rôles d’administrateur Azure AD, consultez Autorisations des rôles d’administrateur dans Azure Active Directory.For a list of all the Azure AD administrator roles, see Administrator role permissions in Azure Active Directory.

Rôles d’administrateur Azure AD dans le portail Azure

Différences entre les rôles RBAC Azure et les rôles d’administrateur Azure ADDifferences between Azure RBAC roles and Azure AD administrator roles

Globalement, les rôles RBAC Azure contrôlent les autorisations pour gérer les ressources Azure, tandis que les rôles d’administrateur Azure AD contrôlent les autorisations pour gérer les ressources Azure Active Directory.At a high level, Azure RBAC roles control permissions to manage Azure resources, while Azure AD administrator roles control permissions to manage Azure Active Directory resources. Le tableau suivant compare quelques différences.The following table compares some of the differences.

Rôles RBAC AzureAzure RBAC roles Rôles d’administrateur Azure ADAzure AD administrator roles
Gérer l’accès aux ressources AzureManage access to Azure resources Gérer l’accès aux ressources Azure Active DirectoryManage access to Azure Active Directory resources
Prise en charge des rôles personnalisésSupports custom roles Impossible de créer vos propres rôlesCannot create your own roles
L’étendue peut être spécifiée à plusieurs niveaux (groupe d’administration, abonnement, groupe de ressources, ressource)Scope can be specified at multiple levels (management group, subscription, resource group, resource) L’étendue est au niveau du locataireScope is at the tenant level
Les informations sur les rôles sont accessibles dans le portail Azure, Azure CLI, Azure PowerShell, les modèles Azure Resource Manager et l’API RESTRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API Les informations sur les rôles sont accessibles dans le portail d’administration Azure, le centre d’administration Office 365, Microsoft Graph et AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Les rôles RBAC Azure et les rôles d’administrateur Azure AD se chevauchent-ils ?Do Azure RBAC roles and Azure AD administrator roles overlap?

Par défaut, les rôles RBAC Azure et les rôles d’administrateur Azure AD ne couvrent pas Azure et Azure AD.By default, Azure RBAC roles and Azure AD administrator roles do not span Azure and Azure AD. Toutefois, si un administrateur général élève son accès en choisissant L'administrateur général peut gérer les groupes d'administration et les abonnements Azure dans le portail Azure, il reçoit le rôle Administrateur de l’accès utilisateur (rôle RBAC) sur tous les abonnements d’un locataire spécifique.However, if a Global Administrator elevates their access by choosing the Global admin can manage Azure Subscriptions and Management Groups switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an RBAC role) on all subscriptions for a particular tenant. Le rôle Administrateur de l’accès utilisateur permet à l’utilisateur d’accorder à d’autres utilisateurs l’accès aux ressources Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Ce commutateur peut être utile pour récupérer l’accès à un abonnement.This switch can be helpful to regain access to a subscription. Pour plus d’informations, consultez Élever l’accès en tant qu’administrateur Azure AD.For more information, see Elevate access as an Azure AD administrator.

Plusieurs rôles d’administrateur Azure AD couvrent Azure AD et Microsoft Office 365, tels que les rôles Administrateur général et Administrateur d’utilisateurs.Several Azure AD administrator roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. Par exemple, si vous êtes membre du rôle Administrateur général, vous disposez des fonctionnalités de l’administrateur général dans Azure AD et Office 365, avec par exemple la possibilité d’apporter des changements dans Microsoft Exchange et Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Toutefois, par défaut, l’administrateur général n’a pas accès aux ressources Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Rôles RBAC Azure versus administrateur Azure AD

Étapes suivantesNext steps