Rôles de gestionnaire d'abonnement classiques, rôles Azure RBAC et rôles Azure AD

<! – ->

Si vous ne connaissez pas Azure, il peut être difficile de comprendre les différents rôles dans Azure.Si vous êtes nouveau sur Azure, la compréhension des différents rôles dans Azure peut être un peu difficile. Cet article explique les rôles suivants et comment les utiliser:Cet article explique les rôles suivants et quand les utiliser:

  • Rôles de gestionnaire d'abonnement classiquesRôles d'administrateur d'abonnement classiques
  • Rôles RBAC (contrôle d'accès basé sur les rôles Azure)Rôles RBAC (contrôle d'accès basé sur les rôles Azure)
  • Rôles d'administrateur dans Azure Active Directory (Azure AD)Rôles d'administrateur Azure Active Directory (Azure AD)

Pour mieux comprendre les rôles dans Azure, il est utile de connaître une partie de l'historique.Pour mieux comprendre les rôles dans Azure, il est utile de connaître une partie de l'historique. Lors de la première publication d'Azure, l'accès aux ressources était géré avec seulement trois rôles d'administrateur: administrateur de compte, administrateur de service et co-administrateur.Lors de la première publication d'Azure, l'accès aux ressources était géré avec seulement trois rôles d'administrateur: administrateur de compte, administrateur de service et co-administrateur. Un contrôle d'accès basé sur les rôles (RBAC) pour les ressources Azure a été ajouté ultérieurement.Le contrôle d'accès basé sur les rôles (RBAC) pour les ressources Azure a été ajouté ultérieurement. Azure RBAC est un nouveau système d'autorisation qui fournit une gestion d'accès détaillée pour les ressources Azure.Azure RBAC est un système d'autorisation plus récent qui fournit une gestion d'accès détaillée pour les ressources Azure. RBAC contient de nombreux rôles intégrés, peut être attribué dans différents domaines et vous permet de créer vos propres rôles personnalisés.RBAC contient de nombreux rôles intégrés, peut être attribué dans différents domaines et vous permet de créer vos propres rôles personnalisés. Il existe plusieurs rôles d'administrateur Azure AD pour gérer les ressources Azure AD telles que les utilisateurs, les groupes et les domaines.Pour gérer les ressources dans Azure AD, par exemple Par exemple, utilisateurs, groupes et domaines, il existe plusieurs rôles d'administrateur Azure AD.

Le diagramme suivant présente une vue d'ensemble de la relation entre les rôles d'administrateur d'abonnement classiques, les rôles Azure RBAC et les rôles d'administrateur Azure AD.Le diagramme suivant montre à un niveau général comment les rôles d'administrateur d'abonnement classiques, les rôles Azure RBAC et les rôles d'administrateur Azure AD sont liés.

Les différents rôles dans Azure

Rôles de gestionnaire d'abonnement classiquesRôles d'administrateur d'abonnement classiques

Account Manager, Service Manager et Co-Manager sont les trois variantes des rôles Azure Classic Subscription Manager.Administrateur de compte, administrateur de service et co-administrateur sont les trois rôles d'administrateur d'abonnement classiques dans Azure. Les administrateurs d'abonnement classiques ont un accès complet à l'abonnement Azure.Les administrateurs d'abonnement classiques ont un accès complet à l'abonnement Azure. Les ressources peuvent être gérées à l'aide d'Azure Portal, des API Azure Resource Manager ou des API du modèle de déploiement classique.Vous pouvez gérer les ressources à l'aide du portail Azure, des API Azure Resource Manager et des API du modèle de déploiement classique. Le compte auquel Azure s'abonne est automatiquement défini en tant qu'administrateur de compte et administrateur de service.Le compte que vous utilisez pour vous connecter à Azure est automatiquement défini en tant qu'administrateur de compte et administrateur de service. Ensuite, des co-administrateurs supplémentaires peuvent être ajoutés.Des co-administrateurs supplémentaires peuvent alors être ajoutés. L'administrateur de service et les co-administrateurs disposent d'un accès équivalent à partir des utilisateurs auxquels le rôle de propriétaire (un rôle Azure RBAC) a été attribué au niveau de l'abonnement.L'administrateur de service et les co-administrateurs ont le même accès que les utilisateurs qui ont reçu le rôle de propriétaire (un rôle Azure RBAC) dans la zone d'abonnement. Le tableau suivant décrit les différences entre ces trois rôles de gestion pour les abonnements classiques.Le tableau suivant décrit les différences entre ces trois rôles d'administrateur classiques pour les abonnements.

Gestionnaire d'abonnement classiqueAdministrateur d'abonnement classique LimiteLimite AutorisationsAutorisations AnnotationsAnnotations
Responsable de compteAdministrateur de compte 1 par compte Azure1 par compte Azure
  • Accéder au Azure Account CenterAccéder au Azure Account Center
  • Gérez tous les abonnements dans un seul compteGérez tous les abonnements dans un seul compte
  • Créer de nouveaux abonnementsCréer de nouveaux abonnements
  • Se désinscrireSe désinscrire
  • Modifier la facturation d'un abonnementModifier la facturation d'un abonnement
  • Changer de gestionnaire de servicesChanger l'administrateur du service
D'un point de vue conceptuel, le propriétaire de la déclaration d'abonnement.Conceptuellement, le titulaire de la facture de l'abonnement.
L'administrateur de compte n'a pas accès à Azure Portal.L'administrateur de compte n'a pas accès au portail Azure.
Responsable serviceAdministrateur de service 1 pour chaque abonnement Azure1 par abonnement Azure
  • Gérer les services dans Azure PortalGérer les services dans le portail Azure
  • Se désinscrireSe désinscrire
  • Attribuer des utilisateurs au rôle de co-administrateurAttribuer des utilisateurs au rôle de co-administrateur
Par défaut, l'administrateur du compte est également l'administrateur du service dans un nouvel abonnement.Avec un nouvel abonnement, l'administrateur du compte est également l'administrateur du service par défaut.
L'administrateur de service dispose d'un accès équivalent à un utilisateur auquel le rôle de propriétaire a été attribué au niveau de l'abonnement.L'administrateur de service dispose de l'accès approprié à partir d'un utilisateur auquel est attribué le rôle de propriétaire dans la zone d'abonnement.
L'administrateur de service dispose de tous les droits d'accès au portail Azure.L'administrateur de service a un accès complet au portail Azure.
Co-administrateurCo-administrateur 200 par abonnement200 par abonnement
  • Mêmes privilèges que Service Manager, mais aucun changement dans le mappage d'abonnement à l'annuaire AzureLes mêmes droits d'accès que l'administrateur du service, mais l'attribution des abonnements aux répertoires Azure ne peut pas être modifiée
  • Si vous affectez des utilisateurs au rôle de co-administrateur, vous ne pouvez pas modifier l'administrateur de serviceSi vous affectez des utilisateurs au rôle de co-administrateur, vous ne pouvez pas modifier l'administrateur de service
Le co-administrateur a un accès équivalent à un utilisateur auquel le rôle de propriétaire a été attribué au niveau de l'abonnement.Le co-administrateur dispose de l'accès approprié à partir d'un utilisateur auquel le rôle de propriétaire a été attribué dans la zone d'abonnement.

Dans Azure Portal, vous pouvez gérer les co-administrateurs ou afficher l'administrateur du service à partir de l'onglet Administrateurs classiques.Dans le portail Azure, vous pouvez gérer les co-administrateurs ou afficher l'administrateur du service à l'aide Administrateurs classiques Tab.

Administrateurs d'abonnement Azure classiques dans Azure Portal

Dans Azure Portal, vous pouvez afficher ou modifier le gestionnaire de services ou le gestionnaire de comptes dans la fenêtre des propriétés d'abonnement.Dans le portail Azure, vous pouvez afficher ou modifier l'administrateur de service ou l'administrateur de compte sur la feuille de propriétés de votre abonnement.

Account Manager et Service Manager dans Azure Portal

Pour plus d'informations, consultez l'article Classic Azure Subscription Manager.Pour plus d'informations, consultez Administrateurs d'abonnement Azure Classic.

Compte Azure et abonnements AzureCompte Azure et abonnements Azure

Un compte Azure est une relation de facturation.Un compte Azure est une relation de facturation. Un compte Azure est une identité d'utilisateur, un ou plusieurs abonnements Azure et un ensemble associé de ressources Azure.Un compte Azure est une identité d'utilisateur, un ou plusieurs abonnements Azure et un ensemble associé de ressources Azure. La personne qui crée le compte est l'administrateur du compte pour tous les abonnements créés sur ce compte.La personne qui crée le compte est l'administrateur du compte pour tous les abonnements créés dans ce compte. Cette personne est également l'administrateur du service par défaut pour l'abonnement.Cette personne est également l'administrateur du service par défaut pour l'abonnement.

Les abonnements Azure vous permettent d'organiser l'accès aux ressources Azure.Les abonnements Azure vous permettent d'organiser l'accès aux ressources Azure. Ils vous aident également à contrôler la manière dont l'utilisation des ressources est signalée, facturée et payée.Ils vous aident également à contrôler la manière dont l'utilisation des ressources est signalée, facturée et payée. Chaque abonnement peut avoir une configuration de facturation et de paiement différente, vous pouvez donc avoir, entre autres, plusieurs abonnements et plans différents par bureau, département ou projet.Chaque abonnement peut avoir une fonction de facturation et de paiement différente, vous pouvez donc avoir différents abonnements et différents plans en fonction du bureau, du département, du projet, etc. Chaque service fait partie d'un abonnement et l'ID d'abonnement peut être requis pour planifier les opérations.Chaque service fait partie d'un abonnement et l'ID d'abonnement peut être requis pour les opérations de programmation.

Chaque abonnement est associé à un annuaire Azure AD.Chaque abonnement est associé à un annuaire Azure AD. Ouvrez le répertoire auquel l'abonnement est affecté Abonnements Sélectionnez ensuite un abonnement dans le portail Azure pour afficher l'annuaire.Ouvrez le répertoire auquel l'abonnement est affecté Abonnements Dans le portail Azure, sélectionnez un abonnement pour afficher l'annuaire.

Les comptes et les abonnements sont gérés dans Azure Account Center.Les comptes et les abonnements sont gérés dans Azure Account Center.

Rôles Azure RBACRôles Azure RBAC

Azure RBAC est un système d'autorisation basé sur Azure Resource Manager qui fournit une gestion d'accès spécifique pour les ressources Azure telles que le processus et le stockage.Azure RBAC est un système d'autorisation basé sur Azure Resource Manager qui fournit une gestion d'accès détaillée pour les ressources Azure telles que les ordinateurs et le stockage. Azure RBAC comprend plus de 70 rôles intégrés.Azure RBAC contient plus de 70 rôles intégrés. Il existe quatre rôles RBAC de base.Il existe quatre rôles RBAC de base. Les trois premiers s'appliquent à tous les types de ressources:Les trois premiers s'appliquent à tous les types de ressources:

Rôle Azure RBACRôle Azure RBAC AutorisationsAutorisations AnnotationsAnnotations
PropriétairePropriétaire
  • Accès complet à toutes les ressourcesAccès complet à toutes les ressources
  • Déléguer l'accès à d'autres utilisateursDéléguer l'accès aux autres
L'administrateur de service et les co-administrateurs se voient attribuer le rôle de propriétaire au niveau de l'abonnement.L'administrateur de service et les co-administrateurs se voient attribuer le rôle de propriétaire dans la zone d'abonnement
Elle s'applique à tous les types de ressources.S'applique à tous les types de ressources.
Les employésContributeur
  • Créez et gérez tous les types de ressources AzureCréez et gérez tous les types de ressources Azure
  • Créer un locataire dans Azure Active DirectoryCréer un nouveau locataire dans Azure Active Directory
  • Aucun autre utilisateur ne peut être autorisé à accéderD'autres ne peuvent pas être autorisés à accéder
Elle s'applique à tous les types de ressources.S'applique à tous les types de ressources.
LecteurLecteur
  • Afficher les ressources AzureAfficher les ressources Azure
Elle s'applique à tous les types de ressources.S'applique à tous les types de ressources.
Gestionnaire d'accès utilisateurAdministrateur d'accès utilisateur
  • Gérer l'accès des utilisateurs aux ressources AzureGérer l'accès des utilisateurs aux ressources Azure

Les autres rôles intégrés vous permettent de gérer des ressources spécifiques à Azure.Les rôles intégrés restants vous permettent de gérer certaines ressources Azure. Avec le rôle de partenaire pour les machines virtuelles, par exemple, l'utilisateur peut créer et gérer des machines virtuelles.Par exemple, le rôle de «contributeur de machine virtuelle» permet à l'utilisateur de créer et de gérer des machines virtuelles. Pour obtenir la liste de tous les rôles intégrés, consultez Rôles intégrés dans les ressources Azure.Pour obtenir la liste de tous les rôles intégrés, consultez Rôles intégrés pour les ressources Azure.

Azure RBAC est uniquement pris en charge par Azure Portal et les API Azure Resource Manager.Seuls le portail Azure et les API Azure Resource Manager prennent en charge RBAC. Les utilisateurs, groupes et applications auxquels des rôles RBAC sont attribués ne peuvent pas utiliser les API du modèle de déploiement Azure Classic.Les utilisateurs, groupes et applications auxquels des rôles RBAC ont été attribués ne peuvent pas utiliser les API classiques du modèle de déploiement Azure.

Dans Azure Portal, les attributions de rôles sont affichées sur la feuille à l'aide de RBAC Contrôle d'accès (IAM) .Dans le portail Azure, les attributions de rôles avec RBAC sont affichées sur le Contrôle d'accès (IAM) Lame. Cette feuille se trouve sur tout le portail, par ex. B. Groupes d'administration, abonnements, groupes de ressources et diverses ressources.Cette lame est située dans tout le portail, par ex. B. dans les groupes de gestion, les abonnements, les groupes de ressources et diverses ressources.

Feuille de contrôle d'accès (IAM) dans Azure Portal

Cliquez sur l'onglet Rôlesla liste des rôles intégrés et personnalisés s'affiche.Si vous cliquez sur le Rôles L'onglet affiche la liste des rôles intégrés et personnalisés.

Rôles intégrés dans Azure Portal

Pour plus d'informations, consultez Gérer l'accès aux ressources Azure à l'aide de RBAC et du portail Azure.Pour plus d'informations, consultez Gérer l'accès aux ressources Azure à l'aide de RBAC et du portail Azure.

Rôles d'administrateur Azure ADRôles d'administrateur Azure AD

Les rôles d'administrateur Azure AD sont utilisés pour gérer les ressources Azure AD dans un répertoire, telles que: Par exemple, pour créer ou modifier des utilisateurs, attribuer des rôles d'administrateur à d'autres utilisateurs, réinitialiser les mots de passe des utilisateurs, gérer les licences utilisateur et gérer les domaines.Les rôles d'administrateur Azure AD sont utilisés pour gérer les ressources Azure AD dans un répertoire, telles que: Par exemple, créer ou modifier des utilisateurs, attribuer des rôles d'administrateur à d'autres, réinitialiser les mots de passe des utilisateurs, gérer les licences utilisateur et gérer les domaines. Le tableau suivant décrit certains des rôles d'administrateur Azure AD clés.Le tableau suivant décrit certains des rôles d'administrateur Azure AD les plus importants.

Rôle d'administrateur Azure ADRôle d'administrateur Azure AD AutorisationsAutorisations AnnotationsAnnotations
Administrateur globalAdministrateur global
  • Gérez l'accès à toutes les fonctions administratives dans Azure Active Directory, ainsi qu'aux services associés à Azure Active DirectoryGérez l'accès à toutes les fonctions administratives dans Azure Active Directory, ainsi qu'aux services associés à Azure Active Directory
  • Attribuer des rôles d'administrateur à d'autres utilisateursAttribuer d'autres rôles d'administrateur
  • Réinitialiser le mot de passe d'un utilisateur et de tous les autres administrateursRéinitialisez le mot de passe de chaque utilisateur et de tous les autres administrateurs
La personne qui s'abonne au locataire Azure Active Directory devient un administrateur global.La personne qui s'inscrit pour le locataire Azure Active Directory devient un administrateur global.
Gestionnaire d'utilisateursAdministrateur d'utilisateurs
  • Créez et gérez tous les aspects des utilisateurs et des groupesCréez et gérez tous les aspects des utilisateurs et des groupes
  • Gérer les incidents de support techniqueGérer les tickets d'assistance
  • Surveillez l'état du serviceSurveillez l'état du service
  • Modifier les mots de passe des utilisateurs, des administrateurs du support technique et des autres administrateurs d'utilisateursModifier les mots de passe des utilisateurs, des administrateurs du service d'assistance et des autres administrateurs d'utilisateurs
Responsable comptableAdministrateur de facturation
  • Faire des achatsFaire des achats
  • Gérer les abonnementsGérer les abonnements
  • Gérer les incidents de support techniqueGérer les tickets d'assistance
  • Surveille la maintenance du serviceSurveille l'état du service

Dans Azure Portal, la liste des rôles d'administrateur Azure AD apparaît sur la feuille Rôles et administrateurs.Dans le portail Azure, la liste des rôles d'administrateur Azure AD s'affiche sur le Rôles et administrateurs Lame. Pour obtenir la liste de tous les rôles d'administrateur Azure AD, consultez Autorisations de rôle d'administrateur dans Azure Active Directory.Pour obtenir la liste de tous les rôles d'administrateur Azure AD, consultez Autorisations de rôle d'administrateur dans Azure Active Directory.

Rôles d'administrateur Azure AD dans Azure Portal

Différences entre les rôles Azure RBAC et les rôles d'administrateur Azure ADDifférences entre les rôles Azure RBAC et les rôles d'administrateur Azure AD

À un niveau supérieur, les rôles Azure RBAC contrôlent les autorisations pour gérer les ressources Azure, tandis que les rôles d'administrateur Azure AD contrôlent les autorisations pour gérer les ressources Azure Active Directory.À un niveau élevé, les rôles Azure RBAC contrôlent les autorisations pour gérer les ressources Azure, tandis que les rôles d'administrateur Azure AD contrôlent les autorisations pour gérer les ressources Azure Active Directory. Le tableau suivant compare certaines des différences.Le tableau suivant compare certaines des différences.

Rôles Azure RBACRôles Azure RBAC Rôles d'administrateur Azure ADRôles d'administrateur Azure AD
Gérer l'accès des utilisateurs aux ressources AzureGérer l'accès aux ressources Azure Gérer l'accès aux ressources Azure Active DirectoryGérer l'accès aux ressources Azure Active Directory
Prend en charge les rôles personnalisésPrend en charge les rôles personnalisés Prend en charge les rôles personnalisésPrend en charge les rôles personnalisés
La zone peut être spécifiée à plusieurs niveaux (groupe d'administration, abonnement, groupe de ressources, ressource).L'étendue peut être définie à plusieurs niveaux (groupe de gestion, abonnement, groupe de ressources, ressource). La portée est au niveau du locataireLa portée est au niveau du locataire
Les informations sur les rôles sont accessibles dans Azure Portal, Azure CLI, Azure PowerShell, les modèles Azure Resource Manager et l'API RESTLes informations sur les rôles sont accessibles via le portail Azure, Azure CLI, Azure PowerShell, les modèles Azure Resource Manager et l'API REST Les informations sur les rôles sont accessibles via le portail d'administration Azure, le centre d'administration Microsoft 365, Microsoft Graph et AzureAD PowerShellLes informations sur les rôles sont accessibles via le portail d'administration Azure, le centre d'administration Microsoft 365, Microsoft Graph et AzureAD PowerShell

Les rôles Azure RBAC et les rôles d'administrateur Azure AD se chevauchent?Les rôles Azure RBAC et les rôles d'administrateur Azure AD se chevauchent-ils?

Par défaut, les rôles Azure RBAC et les rôles d'administrateur Azure AD ne se trouvent pas sur Azure AD et Azure.Par défaut, les rôles Azure RBAC et les rôles d'administrateur Azure AD ne se trouvent pas sur Azure et Azure AD. Cependant, lorsqu'un administrateur global augmente son accès en sélectionnant le modificateur L'administrateur global peut gérer les abonnements Azure et les groupes de gestion Dans Azure Portal, l'administrateur global reçoit le rôle d'administrateur d'accès utilisateur (un rôle RBAC) pour tous les abonnements pour un locataire spécifique.Cependant, si un administrateur global augmente son accès en sélectionnant L'administrateur global peut gérer les abonnements Azure et les groupes de gestion Lorsque vous basculez vers le portail Azure, l'administrateur global reçoit le rôle d'administrateur d'accès utilisateur (un rôle RBAC) pour tous les abonnements pour un locataire spécifique. Le rôle d'administrateur d'accès utilisateur vous permet d'accorder à d'autres utilisateurs l'accès aux ressources Azure.Le rôle d'administrateur d'accès utilisateur permet à l'utilisateur d'accorder à d'autres utilisateurs l'accès aux ressources Azure. Ce modificateur peut être utile pour accéder à nouveau à un abonnement.Ce commutateur peut être utile pour accéder à nouveau à un abonnement. Pour plus d'informations, consultez Augmenter les autorisations d'accès pour un administrateur global dans Azure Active Directory.Pour plus d'informations, consultez Augmenter l'accès en tant qu'administrateur Azure AD.

Différents rôles d'administrateur Azure AD incluent Azure AD et Microsoft Office 365, par exemple B. Rôles d'administrateur global et d'administrateur d'utilisateur.Plusieurs rôles d'administrateur Azure AD incluent Azure AD et Microsoft Office 365, tels que: Par exemple, les rôles d'administrateur global et d'administrateur utilisateur. Par exemple, si vous êtes membre du rôle d'administrateur global, vous disposez de rôles d'administrateur global dans Azure AD et Office 365, tels que: B. Changements dans Microsoft Exchange et Microsoft SharePoint.Par exemple, si vous êtes membre du rôle d'administrateur global, vous disposez de fonctions d'administrateur global dans Azure AD et Office 365, telles que: B. Modifications apportées à Microsoft Exchange et Microsoft SharePoint. Par défaut, cependant, l'administrateur global n'a pas accès aux ressources Azure.Par défaut, cependant, l'administrateur global n'a pas accès aux ressources Azure.

Rôles d'administrateur Azure RBAC et Azure AD

Prochaines étapesProchaines étapes

<! – ->