Résoudre les problèmes liés à Azure RBACTroubleshoot Azure RBAC

Cet article répond à certaines questions fréquentes sur le contrôle d’accès en fonction du rôle Azure (Azure RBAC), afin que vous sachiez à quoi vous attendre lorsque vous utilisez les rôles et que vous puissiez résoudre les problèmes d’accès.This article answers some common questions about Azure role-based access control (Azure RBAC), so that you know what to expect when using the roles and can troubleshoot access problems.

Limite des attributions de rôle AzureAzure role assignments limit

Azure prend en charge jusqu’à 2 000 attributions de rôle par abonnement.Azure supports up to 2000 role assignments per subscription. Cette limite comprend les attributions de rôles au niveau de l’abonnement, du groupe de ressources et des étendues de ressources.This limit includes role assignments at the subscription, resource group, and resource scopes. Si vous obtenez le message d’erreur « Plus aucune attribution de rôle ne peut être créée (code : RoleAssignmentLimitExceeded) » lorsque vous tentez d’attribuer un rôle, essayez de réduire le nombre d’attributions de rôle dans l’abonnement.If you get the error message "No more role assignments can be created (code: RoleAssignmentLimitExceeded)" when you try to assign a role, try to reduce the number of role assignments in the subscription.

Notes

Cette limite d’attribution de rôle de 2 000 par abonnement est fixe et ne peut pas être augmentée.The 2000 role assignments limit per subscription is fixed and cannot be increased.

Si vous vous approchez de cette limite, voici quelques façons de réduire le nombre d’attributions de rôle :If you are getting close to this limit, here are some ways that you can reduce the number of role assignments:

  • Ajoutez des utilisateurs aux groupes et attribuez des rôles aux groupes à la place.Add users to groups and assign roles to the groups instead.
  • Combinez plusieurs rôles intégrés avec un rôle personnalisé.Combine multiple built-in roles with a custom role.
  • Associez les attributions de rôle communes à une étendue plus élevée, comme l’abonnement ou le groupe d’administration.Make common role assignments at a higher scope, such as subscription or management group.
  • Si vous avez Azure AD Premium P2, rendez les attributions de rôle éligibles dans Azure AD Privileged Identity Management au lieu d’être attribuées de manière permanente.If you have Azure AD Premium P2, make role assignments eligible in Azure AD Privileged Identity Management instead of permanently assigned.
  • Ajoutez un abonnement supplémentaire.Add an additional subscription.

Pour obtenir le nombre d’attributions de rôle, vous pouvez afficher le graphique sur la page contrôle d’accès (IAM) dans le Portail Azure.To get the number of role assignments, you can view the chart on the Access control (IAM) page in the Azure portal. Vous pouvez également utiliser les commandes Azure PowerShell suivantes :You can also use the following Azure PowerShell commands:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Problèmes liés aux attributions de rôle AzureProblems with Azure role assignments

  • Si vous ne pouvez pas ajouter d’attribution de rôle dans le portail Azure sur Contrôle d’accès (IAM) car l’option Ajouter > Ajouter une attribution de rôle est désactivée, ou parce que vous obtenez l’erreur d’autorisations « Le client avec l’ID d’objet n’est pas autorisé à effectuer l’action », vérifiez que vous êtes actuellement connecté avec un utilisateur disposant d’un rôle qui a l’autorisation Microsoft.Authorization/roleAssignments/write, comme Propriétaire ou Administrateur de l’accès utilisateur dans l’étendue sur laquelle vous essayez d’attribuer le rôle.If you are unable to add a role assignment in the Azure portal on Access control (IAM) because the Add > Add role assignment option is disabled or because you get the permissions error "The client with object id does not have authorization to perform action", check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleAssignments/write permission such as Owner or User Access Administrator at the scope you are trying to assign the role.

  • Si vous utilisez un principal de service pour attribuer des rôles, il se peut que le message d’erreur « Privilèges insuffisants pour effectuer l’opération » s’affiche.If you are using a service principal to assign roles, you might get the error "Insufficient privileges to complete the operation." Supposons, par exemple, que vous avez un principal de service auquel le rôle Propriétaire a été attribué et que vous tentez de créer l’attribution de rôle suivante en tant que principal de service à l’aide d’Azure CLI :For example, let's say that you have a service principal that has been assigned the Owner role and you try to create the following role assignment as the service principal using Azure CLI:

    az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
    az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    

    Si le message d’erreur « Privilèges insuffisants pour terminer l’opération » s’affiche, cela est probablement dû au fait qu’Azure CLI tente de rechercher l’identité de la personne responsable dans Azure AD, et que le principal du service ne peut pas lire Azure AD par défaut.If you get the error "Insufficient privileges to complete the operation", it is likely because Azure CLI is attempting to lookup the assignee identity in Azure AD and the service principal cannot read Azure AD by default.

    Il existe deux façons de résoudre cette erreur.There are two ways to potentially resolve this error. La première consiste à attribuer au principal de service le rôle Lecteurs de répertoire afin qu’il puisse lire les données dans l’annuaire.The first way is to assign the Directory Readers role to the service principal so that it can read data in the directory.

    La deuxième consiste à créer l’attribution de rôle à l’aide du paramètre --assignee-object-id au lieu de --assignee.The second way to resolve this error is to create the role assignment by using the --assignee-object-id parameter instead of --assignee. En utilisant --assignee-object-id, Azure CLI ignorera la recherche Azure AD.By using --assignee-object-id, Azure CLI will skip the Azure AD lookup. Vous devez obtenir l’ID d’objet de l’utilisateur, du groupe ou de l’application auquel vous souhaitez attribuer le rôle.You will need to get the object ID of the user, group, or application that you want to assign the role to. Pour plus d’informations, consultez Ajouter ou supprimer des attributions de rôle Azure à l’aide d’Azure CLI.For more information, see Add or remove Azure role assignments using Azure CLI.

    az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    

Problèmes liés aux rôles personnalisésProblems with custom roles

  • Si vous avez besoin de connaître les étapes permettant de créer un rôle personnalisé, consultez les tutoriels de rôle personnalisé en utilisant le Portail Azure (actuellement en préversion), Azure PowerShell ou Azure CLI.If you need steps for how to create a custom role, see the custom role tutorials using the Azure portal (currently in preview), Azure PowerShell, or Azure CLI.
  • Si vous ne parvenez pas à mettre à jour un rôle personnalisé existant, vérifiez que vous êtes actuellement connecté avec un utilisateur disposant d’un rôle qui a l’autorisation Microsoft.Authorization/roleDefinition/write, comme Propriétaire ou Administrateur de l’accès utilisateur.If you are unable to update an existing custom role, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleDefinition/write permission such as Owner or User Access Administrator.
  • Si vous ne pouvez pas supprimer un rôle personnalisé et que vous obtenez le message d’erreur « Certaines attributions de rôle existantes font référence au rôle (code : RoleDefinitionHasAssignments) », cela signifie que des attributions de rôle utilisent toujours le rôle personnalisé.If you are unable to delete a custom role and get the error message "There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)", then there are role assignments still using the custom role. Supprimez ces attributions de rôle et réessayez de supprimer ce rôle.Remove those role assignments and try to delete the custom role again.
  • Si vous obtenez le message d’erreur « La limite de définition de rôle a été dépassée.If you get the error message "Role definition limit exceeded. Plus aucune définition de rôle ne peut être créée (code : RoleDefinitionLimitExceeded) » quand vous essayez de créer un rôle personnalisé, supprimez tous les rôles personnalisés qui ne sont pas utilisés.No more role definitions can be created (code: RoleDefinitionLimitExceeded)" when you try to create a new custom role, delete any custom roles that aren't being used. Azure prend en charge jusqu’à 5 000 rôles personnalisés dans un répertoire.Azure supports up to 5000 custom roles in a directory. (Pour Azure Allemagne et Azure Chine 21Vianet, la limite est de 2 000 rôles personnalisés.)(For Azure Germany and Azure China 21Vianet, the limit is 2000 custom roles.)
  • Si vous obtenez une erreur similaire au message « Le client a l’autorisation d’effectuer l’action "Microsoft.Authorization/roleDefinitions/write" sur l’étendue "/subscriptions/{subscriptionid}". Cependant, l’abonnement lié est introuvable » quand vous essayez de mettre à jour un rôle personnalisé, vérifiez si une ou plusieurs étendues attribuables ont été supprimées du répertoire.If you get an error similar to "The client has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/{subscriptionid}', however the linked subscription was not found" when you try to update a custom role, check whether one or more assignable scopes have been deleted in the directory. Si l’étendue a été supprimée, créez un ticket de support, car il n’existe aucune solution en libre-service disponible pour l’instant.If the scope was deleted, then create a support ticket as there is no self-service solution available at this time.

Rôles personnalisés et groupes d’administrationCustom roles and management groups

  • Vous ne pouvez définir qu’un seul groupe d’administration dans AssignableScopes d’un rôle personnalisé.You can only define one management group in AssignableScopes of a custom role. L’ajout d’un groupe d’administration à AssignableScopes est actuellement en préversion.Adding a management group to AssignableScopes is currently in preview.
  • Les rôles personnalisés avec DataActions ne peuvent pas être attribués dans l’étendue du groupe d’administration.Custom roles with DataActions cannot be assigned at the management group scope.
  • Azure Resource Manager ne valide pas le groupe d’administration existant dans l’étendue attribuable de la définition de rôle.Azure Resource Manager doesn't validate the management group's existence in the role definition's assignable scope.
  • Pour plus d’informations sur les rôles personnalisés et les groupes d’administration, consultez Organiser vos ressources avec des groupes d’administration Azure.For more information about custom roles and management groups, see Organize your resources with Azure management groups.

Transfert d’un abonnement vers un autre répertoireTransferring a subscription to a different directory

  • Si vous avez besoin de connaître les étapes permettant de transférer un abonnement à un répertoire Azure AD différent, consultez Transférer la propriété d’un abonnement Azure à un autre compte.If you need steps for how to transfer a subscription to a different Azure AD directory, see Transfer ownership of an Azure subscription to another account.
  • Si vous transférez un abonnement vers un autre répertoire Azure AD, toutes les attributions de rôle définies sont définitivement supprimées du répertoire Azure AD source et ne sont pas migrées sur le répertoire Azure AD cible.If you transfer a subscription to a different Azure AD directory, all role assignments are permanently deleted from the source Azure AD directory and are not migrated to the target Azure AD directory. Vous devez recréer vos attributions de rôle dans le répertoire cible.You must re-create your role assignments in the target directory. Vous devez également recréer manuellement les identités managées pour les ressources Azure.You also have to manually recreate managed identities for Azure resources. Pour plus d’informations, consultez Questions fréquentes et problèmes connus en lien avec les identités managées.For more information, see FAQs and known issues with managed identities.
  • Si vous êtes administrateur général Azure AD et que vous n’avez pas accès à un abonnement après son transfert entre des répertoires, utilisez l’option Gestion de l’accès pour les ressources Azure afin d’élever votre accès temporairement et ainsi accéder à l’abonnement.If you are an Azure AD Global Administrator and you don't have access to a subscription after it was transferred between directories, use the Access management for Azure resources toggle to temporarily elevate your access to get access to the subscription.

Problèmes liés aux coadministrateurs ou administrateurs de serviceIssues with service admins or co-admins

Accès refusé ou erreurs d’autorisationsAccess denied or permission errors

  • Si vous obtenez l’erreur d’autorisations « Le client avec l’ID d’objet n’est pas autorisé à effectuer l’action sur l’étendue (code : AuthorizationFailed) » lorsque vous tentez de créer une ressource, vérifiez que vous êtes actuellement connecté avec un utilisateur disposant d’un rôle qui a l’autorisation d’écriture sur la ressource au niveau de l’étendue sélectionnée.If you get the permissions error "The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)" when you try to create a resource, check that you are currently signed in with a user that is assigned a role that has write permission to the resource at the selected scope. Par exemple, pour gérer les machines virtuelles dans un groupe de ressources, vous devez disposer du rôle Contributeur de machines virtuelles sur le groupe de ressources (ou l’étendue parente).For example, to manage virtual machines in a resource group, you should have the Virtual Machine Contributor role on the resource group (or parent scope). Afin d’obtenir la liste des autorisations pour chaque rôle intégré, consultez Rôles intégrés Azure.For a list of the permissions for each built-in role, see Azure built-in roles.
  • Si vous obtenez l’erreur d’autorisations « Vous n’êtes pas autorisé à créer une demande de support » quand vous tentez de créer ou de mettre à jour un ticket de support, vérifiez que vous êtes actuellement connecté avec un utilisateur disposant d’un rôle qui a l’autorisation Microsoft.Support/supportTickets/write, comme Collaborateur de la demande de support.If you get the permissions error "You don't have permission to create a support request" when you try to create or update a support ticket, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Support/supportTickets/write permission, such as Support Request Contributor.

Attributions de rôle avec identité introuvableRole assignments with identity not found

Dans la liste des attributions de rôles pour le Portail Azure, vous pouvez remarquer que le principal de sécurité (utilisateur, groupe, principal de service ou identité gérée) est répertorié comme Identité introuvable avec un type Inconnu.In the list of role assignments for the Azure portal, you might notice that the security principal (user, group, service principal, or managed identity) is listed as Identity not found with an Unknown type.

Groupe de ressources d'application web

L’identité n’a peut-être pas été trouvée pour deux raisons :The identity might not be found for two reasons:

  • Vous avez récemment invité un utilisateur lors de la création d’une attribution de rôleYou recently invited a user when creating a role assignment
  • Vous avez supprimé un principal de sécurité qui avait une attribution de rôleYou deleted a security principal that had a role assignment

Si vous avez récemment invité un utilisateur lors de la création d’une attribution de rôle, ce principal de sécurité peut encore être dans le processus de réplication entre les régions.If you recently invited a user when creating a role assignment, this security principal might still be in the replication process across regions. Si c’est le cas, patientez quelques instants, puis actualisez la liste des attributions de rôles.If so, wait a few moments and refresh the role assignments list.

Toutefois, si ce principal de sécurité n’est pas un utilisateur récemment invité, il peut s’agir d’un principal de sécurité supprimé.However, if this security principal is not a recently invited user, it might be a deleted security principal. Si vous attribuez un rôle à un principal de sécurité, puis que vous supprimez ce principal de sécurité sans d’abord supprimer l’attribution de rôle, le principal de sécurité sera répertorié comme Identité introuvable avec un type Inconnu.If you assign a role to a security principal and then you later delete that security principal without first removing the role assignment, the security principal will be listed as Identity not found and an Unknown type.

Si vous répertoriez cette attribution de rôle à l’aide d’Azure PowerShell, vous pourrez voir un DisplayName vide et un ObjectType défini sur Inconnu.If you list this role assignment using Azure PowerShell, you might see an empty DisplayName and an ObjectType set to Unknown. Par exemple, Get-AzRoleAssignment retourne une attribution de rôle similaire à ce qui suit :For example, Get-AzRoleAssignment returns a role assignment that is similar to the following output:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : Unknown
CanDelegate        : False

De même, si vous répertoriez cette attribution de rôle à l’aide d’Azure CLI, principalName est vide à l’écran.Similarly, if you list this role assignment using Azure CLI, you might see an empty principalName. Par exemple, az role assignment list retourne une attribution de rôle similaire à ce qui suit :For example, az role assignment list returns a role assignment that is similar to the following output:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Il n’est pas un problème de conserver ces attributions de rôle pour lesquelles le principal de sécurité a été supprimé.It isn't a problem to leave these role assignments where the security principal has been deleted. Si vous le souhaitez, vous pouvez supprimer ces attributions de rôle en utilisant les étapes similaires aux autres attributions de rôle.If you like, you can remove these role assignments using steps that are similar to other role assignments. Pour plus d’informations sur la suppression des attributions de rôles, consultez Portail Azure, Azure PowerShell ou Azure CLIFor information about how to remove role assignments, see Azure portal, Azure PowerShell, or Azure CLI

Dans PowerShell, si vous essayez de supprimer les attributions de rôles à l’aide de l’ID d’objet et du nom de définition de rôle alors que plusieurs attributions de rôle correspondent à vos paramètres, le message d’erreur suivant s’affiche : « Les informations fournies ne correspondent pas à une attribution de rôle ».In PowerShell, if you try to remove the role assignments using the object ID and role definition name, and more than one role assignment matches your parameters, you will get the error message: "The provided information does not map to a role assignment". Voici un exemple du message d’erreur :The following output shows an example of the error message:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Si ce message d’erreur s’affiche, prenez soin de spécifier également les paramètres -Scope ou -ResourceGroupName.If you get this error message, make sure you also specify the -Scope or -ResourceGroupName parameters.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Les changements d’attribution de rôle ne sont pas détectésRole assignment changes are not being detected

Azure Resource Manager met parfois en cache des données et des configurations pour améliorer les performances.Azure Resource Manager sometimes caches configurations and data to improve performance. Lorsque vous ajoutez ou supprimez des attributions de rôle, un délai de 30 minutes maximum peut être nécessaire avant que les modifications soient prises en compte.When you add or remove role assignments, it can take up to 30 minutes for changes to take effect. Si vous utilisez le portail Azure, Azure PowerShell ou Azure CLI, vous pouvez forcer une actualisation de vos modifications d’attribution de rôle en vous déconnectant et en vous reconnectant.If you are using the Azure portal, Azure PowerShell, or Azure CLI, you can force a refresh of your role assignment changes by signing out and signing in. Si vous apportez des modifications d’attribution de rôle à l’aide d’appels d’API REST, vous pouvez forcer une actualisation en actualisant votre jeton d’accès.If you are making role assignment changes with REST API calls, you can force a refresh by refreshing your access token.

Si vous ajoutez ou supprimez une attribution de rôle au niveau de l’étendue du groupe d’administration et que le rôle est doté de DataActions, l’accès au plan de données peut ne pas être mis à jour pendant plusieurs heures.If you are add or remove a role assignment at management group scope and the role has DataActions, the access on the data plane might not be updated for several hours. Cela s’applique uniquement à l’étendue du groupe d’administration et au plan de données.This applies only to management group scope and the data plane.

Fonctionnalités d’application web qui nécessitent un accès en écritureWeb app features that require write access

Si vous accordez un accès utilisateur en lecture seule à une seule application web, certaines fonctionnalités sont désactivées, ce que vous n’avez peut-être pas prévu.If you grant a user read-only access to a single web app, some features are disabled that you might not expect. Les fonctionnalités de gestion suivantes exigent un accès en écriture à une application web (Collaborateur ou Propriétaire) et ne sont pas disponibles en lecture seule.The following management capabilities require write access to a web app (either Contributor or Owner), and aren't available in any read-only scenario.

  • Commandes (comme start, stop, etc.)Commands (like start, stop, etc.)
  • Modification de paramètres tels que la configuration générale, les paramètres de mise à l’échelle, les paramètres de sauvegarde et les paramètres d’analyseChanging settings like general configuration, scale settings, backup settings, and monitoring settings
  • Accès aux informations d’identification de publication et autres informations secrètes, telles que les paramètres d’application et les chaînes de connexionAccessing publishing credentials and other secrets like app settings and connection strings
  • Diffusion de journaux d’activitéStreaming logs
  • Configuration des journaux de ressourcesResource logs configuration
  • Console (invite de commandes)Console (command prompt)
  • Déploiements actifs et récents (pour le déploiement continu Git local)Active and recent deployments (for local git continuous deployment)
  • Estimation de dépenseEstimated spend
  • Tests webWeb tests
  • Réseau virtuel (accessible à un lecteur uniquement si un réseau virtuel a été précédemment configuré par un utilisateur avec accès en écriture).Virtual network (only visible to a reader if a virtual network has previously been configured by a user with write access).

Si vous ne pouvez accéder à aucune de ces vignettes, vous devez obtenir l’accès Collaborateur à l’application web auprès de votre administrateur.If you can't access any of these tiles, you need to ask your administrator for Contributor access to the web app.

Ressources d’application web qui nécessitent un accès en écritureWeb app resources that require write access

Les applications web sont compliqués par la présence de quelques ressources différentes qui interagissent.Web apps are complicated by the presence of a few different resources that interplay. Voici un groupe de ressources classique avec plusieurs sites web :Here is a typical resource group with a couple of websites:

Groupe de ressources d'application web

En conséquence, si vous accordez à un utilisateur le seul accès à l’application web, la plupart des fonctionnalités du volet Site web dans le portail Azure sont désactivées.As a result, if you grant someone access to just the web app, much of the functionality on the website blade in the Azure portal is disabled.

Les éléments suivants requièrent l’accès en écriture au plan App Service qui correspond à votre site web :These items require write access to the App Service plan that corresponds to your website:

  • Affichage du niveau tarifaire de l’application web (Gratuit ou Standard)Viewing the web app's pricing tier (Free or Standard)
  • Configuration de mise à l'échelle (le nombre d'instances, la taille de la machine virtuelle, les paramètres de mise à l'échelle automatique)Scale configuration (number of instances, virtual machine size, autoscale settings)
  • Quotas (stockage, bande passante, UC)Quotas (storage, bandwidth, CPU)

Les éléments suivants requièrent l’accès en écriture à l’ensemble du Groupe de ressources qui contient le site web :These items require write access to the whole Resource group that contains your website:

  • Certificats et liaisons TLS/SSL (les certificats TLS/SSL peuvent être partagés entre différents sites dans le même groupe de ressources et emplacement)TLS/SSL Certificates and bindings (TLS/SSL certificates can be shared between sites in the same resource group and geo-location)
  • Règles d'alerteAlert rules
  • Paramètres de mise à l'échelle automatiqueAutoscale settings
  • Composants Application InsightsApplication insights components
  • Tests webWeb tests

Fonctionnalités de machine virtuelle qui nécessitent un accès en écritureVirtual machine features that require write access

Comme pour les applications web, certaines fonctionnalités du volet de la machine virtuelle exigent un accès en écriture à la machine virtuelle ou à d’autres ressources du groupe de ressources.Similar to web apps, some features on the virtual machine blade require write access to the virtual machine, or to other resources in the resource group.

Les machines virtuelles sont associées aux noms de domaine, réseaux virtuels, comptes de stockage et règles d'alerte.Virtual machines are related to Domain names, virtual networks, storage accounts, and alert rules.

Les éléments suivants requièrent l’accès en écriture à la machine virtuelle :These items require write access to the Virtual machine:

  • Points de terminaisonEndpoints
  • Adresses IPIP addresses
  • DisquesDisks
  • ExtensionsExtensions

Les éléments suivants requièrent l’accès en écriture à la machine virtuelle, ainsi qu’au Groupe de ressources (avec le nom de domaine) auxquels ils appartiennent :These require write access to both the Virtual machine, and the Resource group (along with the Domain name) that it is in:

  • Groupe à haute disponibilitéAvailability set
  • Jeu d'équilibrage de la chargeLoad balanced set
  • Règles d'alerteAlert rules

Si vous ne pouvez accéder à aucune de ces vignettes, demandez l’accès Collaborateur au groupe de ressources à votre administrateur.If you can't access any of these tiles, ask your administrator for Contributor access to the Resource group.

Azure Functions et accès en écritureAzure Functions and write access

Certaines fonctionnalités de Azure Functions nécessitent un accès en écriture.Some features of Azure Functions require write access. Par exemple, si un utilisateur est assigné au rôle Lecteur, il ne peut pas voir les fonctions au sein d’une application de fonction.For example, if a user is assigned the Reader role, they will not be able to view the functions within a function app. Le portail affiche (aucun accès) .The portal will display (No access).

Aucun accès aux applications de fonction

Un lecteur peut cliquer sur l’onglet Fonctionnalités de plateforme, puis cliquez sur Tous les paramètres pour afficher certains paramètres liés à une application de fonction (semblable à une application Web), mais il ne peut pas modifier ces paramètres.A reader can click the Platform features tab and then click All settings to view some settings related to a function app (similar to a web app), but they can't modify any of these settings. Pour accéder à ces fonctionnalités, vous aurez besoin du rôle Contributeur.To access these features, you will need the Contributor role.

Étapes suivantesNext steps