Précédent

Suivant

Identifier les cas où vous pouvez être amené à élever vos droits d’accès

Effectué

L’administrateur de l’abonnement Azure du service marketing a récemment quitté l’organisation. En tant qu’administrateur général, vous n’avez pas accès à cet abonnement. Vous devez maintenant attribuer un accès d’administrateur à l’abonnement à une autre personne du service marketing.

Dans cette unité, vous allez explorer les cas où vous pouvez être amené à élever vos propres droits d’accès.

Quand élever les droits d’accès

Par défaut, un administrateur général n’a pas accès aux ressources Azure. L’administrateur général de Microsoft Entra ID peut élever provisoirement ses autorisations à celles du rôle d’administrateur de l’accès utilisateur du rôle Azure. Cette action lui octroie les autorisations de contrôle d’accès en fonction du rôle Azure (RBAC Azure) nécessaires pour gérer les ressources Azure. L’administrateur de l’accès utilisateur est affecté à l’étendue racine. Ce rôle permet de consulter toutes les ressources d’un abonnement ou d’un groupe d’administration de l’organisation Microsoft Entra en question et d’en attribuer l’accès.

Le diagramme suivant montre les ressources que l’administrateur général peut visualiser quand ses autorisations sont élevées à celles du rôle d’administrateur de l’accès utilisateur.

En tant qu’administrateur général, vous pouvez être amené à élever vos autorisations pour :

• Regagner l’accès à un abonnement ou à un groupe d’administration Azure.
• Accorder à un autre utilisateur ou à vous-même un accès à un abonnement ou à un groupe d’administration Azure.
• Consulter tous les abonnements ou groupes d’administration Azure d’une organisation.
• Accorder à une application d’automatisation l’accès à tous les abonnements ou groupes d’administration Azure.

Une fois que l’administrateur général a élevé ses autorisations à celles du rôle d’administrateur de l’accès utilisateur, il peut accorder à d’autres utilisateurs les autorisations RBAC Azure dont ils ont besoin pour contrôler et gérer les ressources Azure. Une fois la tâche terminée, l’administrateur général doit révoquer ses propres autorisations élevées.

Attribuer un accès d’administrateur d’utilisateurs à un abonnement Azure

Pour accorder à un utilisateur un accès d’administrateur à un abonnement, vous devez disposer des autorisations Microsoft.Authorization/roleAssignments/write et Microsoft.Authorization/roleAssignments/delete dans l’étendue de l’abonnement. Les utilisateurs ayant des rôles Propriétaire ou Administrateur de l’accès utilisateur de l’abonnement disposent de ces autorisations.

Dans l’unité suivante, vous allez découvrir comment attribuer un rôle en utilisant le portail Azure après avoir élevé vos autorisations à celles d’un administrateur de l’accès utilisateur. Cependant, vous pouvez aussi attribuer des rôles en utilisant Azure PowerShell, Azure CLI ou l’API REST.

Dans les sections suivantes, nous allons brièvement passer en revue les commandes permettant d’attribuer le rôle Propriétaire dans Azure PowerShell ou Azure CLI.

Attribuer le rôle à l’aide d’Azure PowerShell

La commande suivante montre comment attribuer le rôle Propriétaire à un utilisateur dans l’étendue de l’abonnement à l’aide d’Azure PowerShell :

  New-AzRoleAssignment `
    -SignInName rbacuser@example.com `
    -RoleDefinitionName "Owner" `
    -Scope "/subscriptions/<subscriptionID>"

Attribuer le rôle en utilisant Azure CLI

La commande suivante montre comment attribuer le rôle Propriétaire à un utilisateur dans l’étendue de l’abonnement en utilisant Azure CLI :

  az role assignment create \
    --assignee rbacuser@example.com \
    --role "Owner" \
    --scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
    --subscription <subscription_name_or_id>

Vérifiez vos connaissances

1.

Un utilisateur qui disposait d’un accès Propriétaire à un abonnement a quitté votre société. Personne d’autre n’a accès à cet abonnement. Comment pouvez-vous accorder à un autre employé un accès à cet abonnement ?

Utilisez le portail Azure pour élever vos droits d’accès.

Demandez à l’ancien employé son mot de passe.

Demandez à l’ancien employé de se connecter et d’accorder ses autorisations à un autre employé.

2.

Un responsable a actuellement accès à l’abonnement utilisé pour l’environnement de production de l’organisation. Le responsable a aussi besoin d’un accès Propriétaire à l’abonnement utilisé pour l’environnement de développement de l’organisation. Comment cet accès peut-il être accordé ?

Un administrateur disposant d’un accès Propriétaire et Administrateur de l’accès utilisateur à l’environnement de développement peut accorder au responsable un accès à l’abonnement.

Le responsable doit accéder à l’option Changer de répertoire du portail Azure et sélectionner l’abonnement.

Le responsable doit utiliser PowerShell pour s’attribuer lui-même un accès Propriétaire à l’abonnement.

Vous devez répondre à toutes les questions avant de vérifier votre travail.

Continuer