Gérer les utilisateurs et les groupes dans Azure Active Directory

Les entreprises doivent contrôler les accès de manière centralisée, attribuer à chaque utilisateur une
identité définitive et commune pour chaque service, et s’assurer que leurs employés et fournisseurs
disposent d’un accès limité mais suffisant pour effectuer leur travail. De plus, quand des employés
quittent l’entreprise ou quand un contrat avec un fournisseur se termine, les entreprises doivent
s’assurer de supprimer tous les accès associés. Azure AD est le service cloud de Microsoft conçu
pour la gestion des identités et des accès.
1.-Principes d’Azure AD
1.1-
Azure AD n’est pas une version cloud de Windows Server Active Directory. Il n’est pas non plus
destiné à remplacer totalement un annuaire Active Directory local. À la place, si vous utilisez déjà
un serveur Windows AD, vous pouvez le connecter à Azure AD pour étendre votre annuaire dans
Azure. Cette approche permet aux utilisateurs d’employer les mêmes informations d’identification
pour accéder aux ressources locales et dans le cloud. Azure AD peut également s’utiliser
indépendamment de Windows AD. Les petites entreprises peuvent choisir Azure AD comme service
d’annuaire unique, en l’utilisant pour contrôler l’accès à leurs applications et leurs produits SaaS
comme Office 365, Salesforce et Dropbox. Cette approche n’offre pas un modèle d’administration
entièrement centralisée. Par exemple, les machines Windows locales continuent de s’authentifier à
l’aide des informations d’identification locales. Toutefois, les applications peuvent être écrites pour
utiliser Azure AD en vue de fournir une authentification et une autorisation qui peuvent ainsi être
administrées à partir d’un emplacement central.
1.2-Annuaires, abonnements et utilisateurs
Quand une entreprise ou une organisation s’inscrit pour utiliser Azure , Office 365 , Intune ou
Dynamics 365, elle se voit attribuer un annuaire par défaut, qui est une instance d’Azure AD
parfois appelé locataire. Un locataire représente l’organisation et l’annuaire par défaut qui lui est
attribué. Les abonnements dans Azure sont à la fois une entité de facturation et une limite de
sécurité. Les ressources sont toujours associées à un seul abonnement. Chaque abonnement a
également un propriétaire de compte unique qui est responsable des frais engendrés par les
ressources de cet abonnement. Chaque abonnement est également associé à un annuaire Azure AD
unique. Plusieurs abonnements peuvent faire confiance au même annuaire, mais un abonnement
peut uniquement faire confiance à un seul annuaire. Les utilisateurs et les groupes peuvent être
ajoutés à plusieurs abonnements. L’utilisateur doit être connu dans l’annuaire associé.
2-Mise en oeuvre d’Azure AD
2.1-Création d’un annuaire
Une organisation (locataire) a toujours un seul annuaire Azure AD par défaut qui lui est associé.
Cependant, les propriétaires peuvent vouloir créer des annuaires supplémentaires soit pour répondre
à leurs besoins de développement ou de test, soit parce qu’ils souhaitent utiliser des annuaires
distincts à synchroniser avec leurs forêts Windows Server AD locales.
2.2-Création et gestion d’utilisateurs
Chaque utilisateur qui a besoin d’accéder à des ressources Azure doit avoir un compte d’utilisateur
Azure. Un compte d’utilisateur renferme toutes les informations nécessaires pour authentifier
l’utilisateur au moment de la connexion. Une fois l’utilisateur authentifié, Azure AD crée un jeton
d’accès pour autoriser l’utilisateur, et déterminer à quelles ressources cet utilisateur peut accéder et
quelles actions il est autorisé à effectuer avec ces ressources. L’administrateur ne peut travailler que
dans un seul annuaire à la fois mais peut passer d’un annuaire à un autre à partir du volet
Annuaire + abonnement ou Changer de répertoire .
2.2.1-Affichage des utilisateurs
Dans Azure AD, les utilisateurs sont généralement définis de trois manières :
Identités cloud : existent uniquement dans Azure AD. Leur source est Azure Active Directory ou
Azure Active Directory externe si l’utilisateur est défini dans une autre instance Azure AD, mais
qu’il a besoin d’accéder à des ressources d’abonnement gérées dans cet annuaire. Quand ces
comptes sont retirés de l’annuaire principal, ils sont supprimés.
Identités synchronisées avec l’annuaire : ces utilisateurs figurent dans un annuaire Active
Directory local. Ils sont ajoutés à Azure par le biais d’une activité de synchronisation effectuée dans
Azure AD Connect. Leur source est Windows Server AD.
Utilisateurs invités : ces utilisateurs sont externes à Azure. Par exemple, ce sont les comptes
d’autres fournisseurs de services cloud et les comptes Microsoft, tel qu’un compte Xbox Live. Leur
source est Utilisateur invité. Ce type de compte est utile lorsque des fournisseurs ou prestataires
externes ont besoin d’accéder à vos ressources Azure. Une fois que le travail de ces collaborateurs
est terminé, vous pouvez supprimer le compte et tous les accès associés.
2.2.2-Ajout d’utilisateurs
2.2.2.1-Synchronisation d’un Active Directory local
L’avantage de cette approche est que les utilisateurs peuvent accéder aux ressources locales et cloud
à l’aide de l’authentification unique (SSO).
2.2.2.2-Utilisation du portail Azure
Pour utiliser cette fonction, vous devez avoir le rôle Administrateur d’utilisateurs. Le
comportement par défaut est de créer un utilisateur dans l’organisation. Le nom du nouvel
utilisateur combine son nom d’utilisateur et le nom de domaine par défaut attribué à l’annuaire Vous
pouvez aussi inviter un utilisateur dans l’annuaire. Dans ce cas, un e-mail est envoyé à une adresse
e-mail connue, et un compte est créé et associé à cette adresse e-mail si l’utilisateur accepte
l’invitation.
2.2.2.3-Utilisation de la ligne de commande
2.2.2.3.1-Powershell
# Create a password object
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile

# Assign the password

$PasswordProfile.Password = "<Password>"

# Create the new user

New-AzureADUser -AccountEnabled $True -DisplayName "Abby Brown" -PasswordProfile
$PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com"
2.2.2.3.2-Azure CLI
az ad user create --display-name "Abby Brown" \
--password "<password>" \
--user-principal-name "AbbyB@contoso.com" \
--force-change-password-next-login true \
--mail-nickname "AbbyB"
2.2.2.3.3-Scripting
L’approche la plus courante consiste à utiliser un fichier de valeurs séparées par des virgules (CSV)
créé manuellement ou importé avec la commande import-csv. Il faut veillerà établir et respecter des
conventions de nommage et une politique de mot de passe.
2.2.2.3.4-Autres options
Vous pouvez aussi ajouter des utilisateurs à Azure AD programmatiquement à l’aide de l’API Azure
AD Graph, ou par le biais du Centre d’administration Office 365 et de la console d’administration
Microsoft Intune si vous partagez le même annuaire.
2.2.3-Création et gestion d’utilisateurs
Azure AD donne la possibilité de définir l’appartenance d’un utilisateur à un groupe en fonction de
règles, par exemple, le service où travaille un utilisateur ou la fonction qu’il occupe.
2.2.3.1-Types de groupe :
2.2.3.1.1-Groupes de sécurité
Utilisée pour gérer l’accès de membres et d’ordinateurs aux ressources partagées d’un groupe
d’utilisateurs, cette option nécessite un administrateur Azure AD.
2.2.3.1.2-Groupes Office 365
Ces groupes rendent possible la collaboration en donnant aux membres l’accès à des éléments
partagés : une boîte aux lettres, un calendrier, des fichiers, un site SharePoint etc...Cette option
permet également de donner accès au groupe pour des personnes extérieures à votre organisation.
Cette option est disponible pour les utilisateurs et les administrateurs.
Affichage des groupes disponibles
Ajout de groupes
Les options disponibles pour créer des groupes dans Azure AD sont les mêmes que celles que nous
avons décrites pour les utilisateurs. Ex en powershellPowershell :
New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false
-SecurityEnabled $true -MailNickName "Marketing"
Affectation dynamique
Il est possible de créer des règles pour les deux types de groupe en fonction de caractéristiques pour
activer les appartenances dynamiques par attributs pour les groupes.
1.3-RBAC
Rôles intégrés pour les ressources Azure
Azure AD fournit plusieurs rôles intégrés qui couvrent les scénarios de sécurité les plus courants.
Cette structure est représentée au format JSON.
Propriétaire
Il dispose d’un accès total à toutes les ressources, y compris le droit de déléguer l’accès à d’autres
personnes.
Contributeur
Il peut créer et gérer tous les types de ressources Azure, mais il ne peut pas accorder l’accès à
d’autres utilisateurs.
Lecteur
Il peut consulter les ressources Azure existantes.
Définitions de rôles
Une définition de rôle est un ensemble d’autorisations. On parle parfois simplement de rôle. Une
définition de rôle liste les opérations autorisées, par exemple, lire, écrire et supprimer. Elle peut
également lister les opérations refusées ou les opérations liées aux données sous-jacentes.
Nom Description
Id Identificateur unique attribué au rôle par Azure.
IsCustom Vrai s’il s’agit d’un rôle personnalisé ; Faux si c’est un rôle intégré.
Description Description lisible du rôle.
Actions [] Autorisations accordées ; * indique qu’elles sont toutes accordées.
NotActions [] Autorisations refusées.
Autorisations accordées spécifiques appliquées aux données, par
DataActions [] exemple
Microsoft.Storage/storageAccounts/blobServices/c
ontainers/blobs/read
NotDataActions [] Autorisations refusées spécifiques appliquées aux données.
AssignableScopes Définit l’étendue d’application de ce rôle. / indique une étendue
[] globale, mais qui peut parcourir une arborescence hiérarchique.

Éléments Actions et NotActions

Vous pouvez personnaliser les propriétés Actions et NotActions pour accorder ou refuser des
autorisations de manière précise. Les propriétés ont toujours ce format : {Company}.
{ProviderName}/{resourceType}/{action}.
Rôle intégré Actions NotActions
Propriétaire (autoriser * -
toutes les actions)
Contributeur (autoriser Microsoft.Authorization/*/Delete,
toutes les actions, sauf Microsoft.Authorization/*/Write,
*
l’ajout ou la suppression Microsoft.Authorization/*/elevateAccess/
d’attributions de rôles) Action
Lecteur (autoriser toutes les */read
-
actions de lecture)
L’opération avec le caractère générique * sous Actions indique que le principal attribué à ce rôle
peut effectuer toutes les actions, ce qui signifie qu’il peut tout gérer. Cela inclut les actions qui
seront définies ultérieurement, à mesure qu’Azure ajoutera de nouveaux types de ressources. Avec
le rôle Lecteur, seule l’action read est autorisée. Les opérations sous NotActions sont
soustraites de Actions. Dans le cas du rôle Contributeur, NotActions supprime la possibilité
pour ce rôle de gérer et d’autoriser l’accès aux ressources.
Éléments DataActions et NotDataActions
Les opérations sur les données sont spécifiées dans les propriétés DataActions et
NotDataActions. Cela permet de spécifier les opérations sur les données séparément des
opérations de gestion. Cela empêche les attributions de rôles existantes avec des caractères
génériques (*) d’accéder soudainement aux données. Seules des opérations sur les données peuvent
être ajoutées aux propriétés DataActions et NotDataActions. Les fournisseurs de ressources
identifient quelles opérations sont des opérations sur les données en définissant la propriété
isDataAction sur true. Pour les rôles sans opérations sur les données, ces propriétés peuvent
être omises dans la définition de rôle. Ces actions fonctionnent exactement comme les actions de
gestion. Vous spécifiez les actions que vous souhaitez autoriser (ou * pour toutes les actions), puis
vous fournissez une liste d’actions spécifiques à supprimer dans la collection NotDataActions.
Opération sur des données Description
Microsoft.Storage/storageAccounts/blobSer
vices/containers/blobs/delete Supprimer des données d’objet blob
Microsoft.Compute/virtualMachines/login/a Se connecter à une machine virtuelle
ction en tant qu’utilisateur standard
Microsoft.EventHub/namespaces/messages/se Envoyer des messages sur un hub
nd/action d’événements
Microsoft.Storage/storageAccounts/fileSer Retourner un fichier/dossier ou une
vices/fileshares/files/read liste de fichiers/dossiers
Microsoft.Storage/storageAccounts/queueSe Lire un message dans une file
rvices/queues/messages/read d’attente

Rôles attribuables
Définir les propriétés Actions et NotActions n’est pas suffisant pour implémenter entièrement un
rôle. Vous devez en plus définir l’étendue appropriée pour le rôle. La propriété AssignableScopes
du rôle spécifie les étendues (abonnements, groupes de ressources ou ressources) au sein desquelles
le rôle peut être attribué.

Pour Utiliser l’étendue

Limiter à un abonnement. "/subscriptions/{sub-id}"
Limiter à un groupe de ressources "/subscriptions/{sub-
spécifique sur un abonnement id}/resourceGroups/{rg-name}"
spécifique.
"/subscriptions/{sub-
Limiter à une ressource spécifique. id}/resourceGroups/{rg-name}/{resource-
name}"
Rendre un rôle disponible pour "/subscriptions/{sub-id}",
l’attribution dans deux abonnements. "/subscriptions/{sub-id}"
Création de rôles
Comme vous pouvez le voir, Azure AD est fourni avec un ensemble de rôles intégrés qui couvriront
probablement 99 % de vos besoins. Quand cela est possible, nous vous conseillons d’utiliser un rôle
intégré. Toutefois, vous pouvez créer des rôles personnalisés si cela s’avère nécessaire. La création
d’un rôle personnalisé nécessite Azure AD Premium P1 ou P2 et n’est pas possible dans le niveau
Gratuit.
Connecter Active Directory à Azure AD avec Azure AD Connect
Azure AD Connect est l’outil gratuit pour synchroniser un annuaire AD local avec un annuaire
Azure et ainsi fournir une identité commune pour les applications Office 365, Azure et SaaS qui
sont intégrées à Azure AD dans un environnement d’identité hybride.
Contenu d’Azure AD Connect
Services de synchronisation
Ce composant est chargé de créer des utilisateurs, des groupes et d’autres objets.
Supervision de l’intégrité
Azure AD Connect Health fournit une solution de supervision complète et un emplacement central
dans le portail Azure où sont affichés les résultats de cette activité.
AD FS
La fédération est un composant facultatif d’Azure AD Connect qui permet de configurer un
environnement hybride par le biais d’une infrastructure AD FS locale. Avec ce composant, les
organisations peuvent répondre aux besoins des déploiements complexes.
Synchronisation de hachage du mot de passe
Cette fonctionnalité constitue une méthode de connexion qui synchronise un hachage du mot de
passe Active Directory local d’un utilisateur avec Azure AD.
Authentification directe
Cette fonctionnalité permet aux utilisateurs de se connecter aux applications locales et dans le cloud
en utilisant les mêmes mots de passe. Alternative à la synchronisation de hachage du mot de
passe qui permet aux organisations d’appliquer leurs stratégies de sécurité et de complexité des
mots de passe.
Avantages
Les utilisateurs peuvent se servir de la même identité pour accéder à la fois aux applications locales
et aux services cloud, comme Office 365. L’utilisation d’un outil unique simplifie l’expérience de
déploiement pour la synchronisation et la connexion.
Eléments de sécurité à prendre en compte avant de passer en production
1-Azure Security Center
Azure Security Center (ASC) est un service de surveillance qui fournit une protection contre les
menaces sur l’ensemble de vos services dans Azure et en local.
1.1-Fonctionnalités
Fournir des suggestions de sécurité
Surveiller les paramètres de sécurité sur les charges de travail locales et cloud et appliquer
automatiquement la sécurité requise aux nouveaux services lorsqu’ils sont mis en ligne
Surveiller et effectuer des évaluations de la sécurité automatiques pour identifier les vulnérabilités
potentielles avant qu’elles puissent être exploitées.
Utiliser Machine Learning pour détecter et bloquer l’installation de logiciels malveillants.
Egalement mettre des applications en liste verte
Analyser et identifier les attaques entrantes potentielles et examiner les menaces et toute activité
après violation de la sécurité pouvant s’être produite.
Contrôle d’accès juste-à-temps des ports
1.2-Niveaux
Azure Security Center offre une gestion unifiée de la sécurité et une protection avancée contre les
menaces pour les charges de travail cloud hybrides, sur deux niveaux : Gratuit et Standard.
1.2.1-Niveau gratuit
Le niveau Gratuit fournit uniquement des stratégies de sécurité, des évaluations et des
recommandations.
1.2.2-Niveau standard
Pour mettre à niveau un abonnement et passer au niveau Standard, vous devez avoir le rôle de
propriétaire de l’abonnement, de collaborateur de l’abonnement ou d’administrateur de la sécurité.
Au terme de la période d’évaluation de 60 jours, ASC est au tarif de 15 USD/nœud par mois.
2-Entrées et sorties
2.1-Valider les entrées
2.1.1-Quand valider
Toujours : chaque entrée doit être validée au moins côté serveur. Ceci inclut les paramètres d’une
URL, l’entrée d’un utilisateur, les données d’une base de données, les données d’une API et tout ce
qui est transmis qu’un utilisateur peut potentiellement manipuler. Il faut adopter une approche de
liste verte au lieu d’une liste d’exclusion.
2.1.2-Utiliser des requêtes paramétrées
Il faut utiliser plutôt des instructions SQL paramétrées ou des procédures stockées.
2.2-Encoder les sorties
Une sortie présentée visuellement ou dans un document doit toujours être encodée et placée dans
une séquence d’échappement. Ce principe de conception permet de s’assurer que tout est affiché en
tant que de sortie et n’est pas interprété par inadvertance comme un élément à exécuter, ce qui
constitue une autre technique d’attaque courante appelée « Attaque par scripts intersites (XSS) ».
3-Secrets dans Key Vault
Azure Key Vault est un magasin de secrets : un service cloud centralisé pour le stockage de secrets
d’application. Key Vault garantit la sécurité de vos données confidentielles en conservant les secrets
des applications dans un emplacement central unique et en fournissant un accès sécurisé, un
contrôle des autorisations et une journalisation des accès. Les secrets sont stockés dans des coffres
individuels, chacun ayant ses propres stratégies de configuration et de sécurité pour contrôler
l’accès. Vous pouvez ensuite accéder à vos données via une API REST ou via un client Kit de
développement logiciel (SDK) disponible pour la plupart des langages.
Un Key Vault est conçu pour stocker des secrets de configuration pour des applications
serveur. Il n’est pas conçu pour stocker des données appartenant aux utilisateurs de votre
application, et ne doit pas être utilisé dans la partie côté client d’une application. Les données
utilisateur doivent être stockées ailleurs, par exemple, dans une base de données Azure SQL avec
chiffrement transparent des données (Transparent data encryption), ou dans un compte de stockage
avec chiffrement du service de stockage (Storage Service Encryption). Les secrets que votre
application utilise pour accéder à ces magasins de données peuvent être conservés dans Key Vault.
4-Mises à jour de framework
4.1-Bien choisir son infrastructure
Les frameworks récents tendent à s’appuyer sur les leçons tirées des versions antérieures et
permettent donc de réduire les risques de menaces pour les nouvelles applications.
4.2-Tenir son framework à jour
4.3-Tirer parti de la sécurité intégrée
Ne jamais utiliser votre propre sécurité s’il existe une technique ou fonctionnalité intégrée standard
et s’appuyer sur des algorithmes et workflows éprouvés.
4.4-Azure Security Center
Lorsque vous utilisez Azure pour héberger vos applications web, Security Center vous avertit, sous
l’onglet des suggestions, si vos infrastructures sont obsolètes.
5-Dépendances sécurisées
L’utilisation de composants tiers porteurs de vulnérabilités est un des problème de sécurité les plus
sérieux. Il faut veiller à ce que less bibliothèques et dépendances soient mises à jour régulièrement
mais il est encore plus judicieux d’effectuer le suivi des vulnérabilités identifiées susceptibles
d’impacter votre application. Mitre est une organisation à but non lucratif qui gère la liste Common
Vulnerabilities and Exposures (CVE). Dès qu’un composant y est présent, alors il présente des
vulnérabilités connues.
De nombreux outils permettent de vérifier la sécurité des dépendances. Vous pouvez exécuter ces
outils sur votre base de code, ou mieux encore, les ajouter à votre pipeline CI/CD pour rechercher
automatiquement des problèmes dans le cadre du processus de développement.
Configurer des stratégies de sécurité pour gérer les données
Classer (ou catégoriser) les données stockées par niveau de sensibilité et d’impact sur l’activité aide
les organisations à déterminer les risques associés aux données. Une fois que les données ont été
classifiées, les organisations peuvent gérer leurs données de façon à refléter leurs valeurs internes au
lieu de traiter toutes les données de la même manière.
Classifier vos données au repos, en cours de traitement et en transit
Les données numériques se trouvent toujours dans un des ces trois états : au repos, en cours de
traitement et en transit.Ces trois états nécessitent des solutions techniques distinctes pour la
classification des données, mais les principes de classification des données doivent être identiques
pour chacun. Les données classifiées comme confidentielles doivent le rester dans chaque état. Les
processus de classification standard pour les données structurées des bases de données et des
feuilles de calcul sont moins complexes et fastidieux à gérer que ceux pour les données non
structurées.
Protection des données au repos
Cf chiffrement
Protection des données en transit
Découverte de données
La fonctionnalité de découverte et de classification des données fait partie de l’offre Advanced Data
Security, qui est un package unifié de fonctionnalités de sécurité avancées de Microsoft SQL
Server. Vous accédez à la fonctionnalité de découverte et de classification des données et vous la
gérez via le portail SQL Advanced Data Security central.
Services disponibles
Découverte et recommandations
Le moteur de classification analyse la base de données et identifie les colonnes contenant des
données potentiellement sensibles.
Étiquetage
Des étiquettes de classification de sensibilité peuvent être appliquées de façon permanente sur des
colonnes en utilisant de nouveaux attributs de métadonnées de classification introduits dans le
moteur SQL Server à des fins d’audit et de protection basés sur la sensibilité.
Interrogation de la sensibilité du jeu de résultats
La sensibilité du jeu de résultats est calculée en temps réel à des fins d’audit.
Visibilité
Vous pouvez voir l’état de la classification de la base de données dans un tableau de bord détaillé
dans le portail Azure téléchargeable au format Microsoft Excel.
Étapes pour la découverte, la classification et l’étiquetage
Les classifications ont deux attributs de métadonnées :
Étiquettes : Il s’agit des principaux attributs de classification, utilisés pour définir le niveau de
confidentialité des données stockées dans la colonne.
Types d’informations : Ils fournissent une granularité supplémentaire quant au type des données
stockées dans la colonne.
La fonctionnalité de découverte et de classification des données SQL comprend un ensemble intégré
d’étiquettes de sensibilité, de types d’informations et de logiques de découverte mais la
personnalisation est possible. Elle s’effectue au même endroit pour l’ensemble du locataire:Azure
Security Center. Seul un utilisateur disposant de droits d’administration pour le groupe
d’administration racine du locataire Azure peut effectuer cette tâche. Dans le cadre de la gestion des
stratégies Azure Information Protection, vous pouvez définir des étiquettes personnalisées, les
classer et les associer à un ensemble de types d’informations. Vous pouvez également ajouter vos
propres types d’informations personnalisées et les configurer avec des modèles de chaîne
Azure en ligne de commandes
1-Azure CLI
1.1-Principes
Les commandes de l’interface CLI sont structurées en groupes et sous-groupes. Chaque groupe
représente un service fourni par Azure, et les sous-groupes séparent les commandes pour ces
services en regroupements logiques. Par exemple, le groupe storage contient des sous-groupes,
dont account, blob, storage et queue.
Pour trouver une commande : az find
trouver les commandes les plus courantes liées au mot blob.
az find blob
afficher les commandes les plus courantes pour un groupe de commandes
az find "az vm"
afficher les paramètres et les sous-commandes les plus courants pour une commande
az find "az vm create"
l’argument --help donne des informations plus détaillées
obtenir la liste des sous-groupes et des commandes permettant de gérer le stockage d’objets blob :
az storage blob --help
1.2-Créer une ressource Azure
Le processus de création d’une ressource Azure comprend généralement trois étapes : connexion à
votre abonnement Azure, création de la ressource et vérification de la création a abouti.
1.2.1-Connecter
az login
1.2.2-Créer
La commande Azure CLI group create crée un groupe de ressources. Vous devez spécifier un nom
et un emplacement. Le nom doit être unique dans votre abonnement.
az group create --name <name> --location <location>
1.2.3-Vérifier
Azure CLI fournit une sous-commande list pour afficher les détails de la ressource (résultat sous
forme de tableau) :
az group list --output table
1.2-Mise en œuvre: créer un site web Azure à l’aide de l’interface CLI
1.2.1-Utilisation d’un groupe de ressources
La première étape est de créer plusieurs variables que vous utilisez par la suite dans des
commandes.
export RESOURCE_GROUP=learn-bc20f69a-6650-47b3-8f81-3017998495b5
export AZURE_REGION=centralus
export AZURE_APP_PLAN=popupappplan-$RANDOM
export AZURE_WEB_APP=popupwebapp-$RANDOM
1.2.2-Lister tous vos groupes de ressources dans une table.
az group list --output table
Option --query filtrer les valeurs de retour.
az group list --query "[?name == '$RESOURCE_GROUP']"
La requête est mise en forme avec JMESPath, qui est un langage de requête standard pour les
demandes JSON.
1.2.3-Création d’un plan de service
Lorsque vous exécutez Web Apps avec Azure App Service, vous payez les ressources de calcul
Azure utilisées par l’application, et le coût des ressources varie en fonction du plan App Service
associé à votre instance Web Apps. Les plans de service déterminent la région utilisée pour le centre
de données de l'application, le nombre de machines virtuelles utilisées et le niveau tarifaire. az
appservice plan create --help pour voir les autres niveaux tarifaires.

az appservice plan create --name $AZURE_APP_PLAN --resource-group

$RESOURCE_GROUP --location $AZURE_REGION --sku FREE

Vérifier que le plan de service a été correctement créé

az appservice plan list --output table
1.2.4-Créer l’application web dans le plan de service
Pour créer l’application web, indiquer le nom de l’application web et le nom du plan d’application
que vous avez créé précédemment. Tout comme le nom du plan d’application, le nom de
l’application web doit être unique
az webapp create --name $AZURE_WEB_APP --resource-group
$RESOURCE_GROUP --plan $AZURE_APP_PLAN
Vérifier
az webapp list --output table
1.2.5-Déploiement de code à partir de GitHub
az webapp deployment source config --name $AZURE_WEB_APP
--resource-group $RESOURCE_GROUP --repo-url
"https://github.com/Azure-Samples/php-docs-hello-world" --branch
master --manual-integration
Verifier
curl $AZURE_WEB_APP.azurewebsites.net

2.-PowerShell