Vous êtes sur la page 1sur 828

Contents

Documentation sur RBAC pour les ressources Azure


Vue d’ensemble
Qu’est-ce que RBAC ?
Comprendre les différents rôles
Démarrages rapides
Voir l’accès d’un utilisateur
Tutoriels
Accorder un accès utilisateur - Portail
Accorder un accès utilisateur - PowerShell
Accorder un accès utilisateur - Modèle Resource Manager
Accorder un accès à un groupe - PowerShell
Créer un rôle personnalisé - PowerShell
Créer un rôle personnalisé - CLI
Concepts
PIM pour les ressources Azure
Accès conditionnel pour la gestion Azure
Guides pratiques
Lister les définitions de rôles
Vue d’ensemble
Lister les définitions de rôles
Répertorier les attributions de rôles
Portail
PowerShell
Interface de ligne de commande
API REST
Ajouter ou supprimer des attributions de rôles
Portail
Portail - utilisateurs invités
PowerShell
Azure CLI
API REST
Modèle
Répertorier les affectations de refus
Vue d’ensemble
Portail
PowerShell
API REST
Créer des rôles personnalisées
Vue d’ensemble
Portail
PowerShell
Azure CLI
API REST
Afficher les journaux d’activité
Élever l’accès
Administrateurs classiques
Dépanner
Informations de référence
Rôles intégrés
Opérations de fournisseur de ressources
Limites de la fonction RBAC
Azure PowerShell
Azure CLI
API REST
Modèles Resource Manager
Affectations de rôles
Définitions de rôles
Ressources
Développer vos compétences avec Microsoft Learn
Qu’est-ce que le contrôle d’accès en fonction du
rôle (RBAC) pour les ressources Azure ?
02/03/2020 • 15 minutes to read • Edit Online

Il est vital pour toute organisation qui utilise le cloud de pouvoir gérer les accès aux ressources situées dans
cloud. Le contrôle d’accès basé sur un rôle (RBAC ) permet de gérer les utilisateurs ayant accès aux
ressources Azure, les modes d’utilisation des ressources par ces derniers et les zones auxquelles ils ont
accès.
Le RBAC est un système d’autorisation basé sur Azure Resource Manager qui propose une gestion affinée
des accès des ressources Azure.

Que puis-je faire avec le contrôle d’accès en fonction du rôle


(RBAC) ?
Voici quelques exemples de ce que vous pouvez faire avec le contrôle d’accès en fonction du rôle (RBAC ) :
Autoriser un utilisateur à gérer des machines virtuelles dans un abonnement et un autre utilisateur à
gérer des réseaux virtuels
Permettre à un groupe d’administrateurs de base de données de gérer des bases de données SQL dans
un abonnement
Permettre à un utilisateur à gérer toutes les ressources dans un groupe de ressources, telles que des
machines virtuelles, des sites Web et des sous-réseaux
Permettre à une application d’accéder à toutes les ressources d’un groupe de ressources

Meilleure pratique pour l’utilisation de RBAC


Avec le contrôle d’accès en fonction du rôle, vous pouvez séparer les tâches au sein de votre équipe et
accorder aux utilisateurs uniquement les accès nécessaires pour accomplir leur travail. Plutôt que de donner
à tous des autorisations illimitées au sein de votre abonnement ou de vos ressources Azure, vous pouvez
autoriser uniquement certaines actions sur une étendue donnée.
Lorsque vous planifiez votre stratégie de contrôle d’accès, vous pouvez accorder aux utilisateurs les
privilèges minimaux pour effectuer leur travail. Le diagramme suivante illustre un modèle suggéré pour
l’utilisation de RBAC.
Fonctionnement du le contrôle d’accès en fonction du rôle (RBAC)
Les attributions de rôles vous permettent de contrôler l’accès aux ressources à l’aide du contrôle d’accès en
fonction du rôle (RBAC ). Ce concept est essentiel à comprendre : il s’agit de la façon dont les autorisations
sont appliquées. Une attribution de rôle se compose de trois éléments : un principal de sécurité, une
définition de rôle et une étendue.
Principal de sécurité
Un principal de sécurité est un objet qui représente un utilisateur, un groupe, un principal de service ou une
identité managée demandant l’accès à des ressources Azure.

Utilisateur : personne disposant d’un profil dans Azure Active Directory. Vous pouvez également
attribuer des rôles aux utilisateurs dans les autres locataires. Pour plus d’informations sur les utilisateurs
des autres organisations, consultez Azure Active Directory B2B.
Groupe : ensemble d’utilisateurs créés dans Azure Active Directory. Lorsque vous attribuez un rôle à un
groupe, vous l’attribuez également à tous les utilisateurs de ce groupe.
Principal de service : identité de sécurité utilisée par des applications ou des services permettant
d’accéder aux ressources Azure spécifiques. Vous pouvez la considérer comme une identité utilisateur
(nom d’utilisateur, mot de passe ou certificat) pour une application.
Identité managée : identité dans Azure Active Directory qui est managée automatiquement par Azure.
Vous utilisez généralement des identités managées lors du développement d’applications cloud afin de
gérer les informations d’identification pour l’authentification auprès des services Azure.
Définition de rôle
Une définition de rôle est une collection d’autorisations. Elle est généralement simplement appelée rôle. Une
définition de rôle répertorie les opérations qui peuvent être effectuées, telles que lire, écrire et supprimer.
Les rôles peuvent être de haut niveau, comme propriétaire, ou spécifiques, comme lecteur de machines
virtuelles.

Azure inclut plusieurs rôles intégrés que vous pouvez utiliser. Voici les quatre rôles fondamentaux intégrés :
Les trois premiers s’appliquent à tous les types de ressources.
Propriétaire : dispose d’un accès total à toutes les ressources, ainsi que le droit de déléguer l’accès à
d’autres personnes.
Contributeur : peut créer et gérer tous les types de ressources Azure, mais ne peut pas accorder l’accès à
d’autres personnes.
Lecteur : peut consulter les ressources Azure existantes.
Administrateur de l’accès utilisateur : vous permet de gérer l’accès des utilisateurs aux ressources Azure.
Les autres rôles intégrés permettent de gérer des ressources Azure spécifiques. Par exemple, le rôle de
contributeur de machine virtuelle permet à l’utilisateur de créer et gérer des machines virtuelles. Si les rôles
intégrés ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres
rôles personnalisés pour les ressources Azure.
Azure propose des opérations de données qui vous permettent d’accorder l’accès aux données au sein d’un
objet. Par exemple, si un utilisateur dispose d’un accès en lecture aux données d’un compte de stockage, il
peut lire les objets blob ou les messages de ce compte de stockage. Pour plus d’informations, consultez
Comprendre les définitions de rôle pour les ressources Azure.
Étendue
Étendue représente l’ensemble des ressources auxquelles l’accès s’applique. Lorsque vous attribuez un rôle,
vous pouvez restreindre les actions autorisées en définissant une étendue. Cette possibilité s’avère utile si
vous voulez par exemple attribuer le rôle de contributeur de site web à quelqu’un, mais seulement pour un
groupe de ressources.
Dans Azure, vous pouvez spécifier une étendue à plusieurs niveaux : groupe d'administration, abonnement,
groupe de ressources ou ressource. Les étendues sont structurées dans une relation parent-enfant.

Lorsque vous accordez l’accès à une étendue parente, ces autorisations sont héritées par les étendues enfant.
Par exemple :
Si vous affectez le rôle de propriétaire à un utilisateur dans l’étendue de groupe d’administration, cet
utilisateur peut gérer tous les éléments de tous les abonnements dans le groupe d’administration.
Si vous affectez le rôle de lecteur à un groupe au niveau de l’étendue de l’abonnement, les membres de
ce groupe peuvent afficher chaque groupe de ressources et la ressource dans l’abonnement.
Si vous affectez le rôle de contributeur à une application au niveau du groupe de ressources, il peut gérer
tous les types de ressources dans ce groupe de ressources, mais aucun groupe de ressources dans
l’abonnement.
Affectations de rôles
Une attribution de rôle est le processus d’attachement d’une définition de rôle à un utilisateur, un groupe, un
principal de service ou une identité managée au niveau d’une étendue spécifique pour accorder des accès.
La création d’une attribution de rôle permet d’accorder un accès, qui peut être révoqué par la suppression
d’une attribution de rôle.
Le diagramme suivant montre un exemple d’attribution de rôle. Dans cet exemple, le rôle de contributeur a
été attribué au groupe Marketing pour le groupe de ressources pharma-sales. Cela signifie que les
utilisateurs du groupe Marketing peuvent créer ou gérer n’importe quelle ressource Azure dans le groupe
de ressources pharma-sales. Les utilisateurs Marketing n’ont pas accès aux ressources en dehors du groupe
de ressources pharma-sales, sauf si elles font partie d’une autre attribution de rôle.

Vous pouvez créer des attributions de rôles à l’aide du Portail Azure, d’Azure CLI, d’Azure PowerShell, des
kits de développement logiciel (SDK) Azure ou d’API REST. Vous pouvez avoir jusqu’à 2 000 attributions de
rôle dans chaque abonnement et 500 attributions de rôle dans chaque groupe d’administration. Pour créer
et supprimer des attributions de rôles, les utilisateurs doivent disposer de l’autorisation
Microsoft.Authorization/roleAssignments/* . Cette autorisation est accordée par le biais des rôles
Propriétaire ou Administrateur de l’accès utilisateur.

Attributions de rôles multiples


Que se passe-t-il si plusieurs attributions de rôles se chevauchent ? RBAC étant un modèle additif, vos
autorisations effectives correspondent à l’ajout de vos attributions de rôles. Prenons l’exemple suivant où un
utilisateur reçoit le rôle Contributeur pour l’étendue de l’abonnement et le rôle Lecteur pour un groupe de
ressources. L’ajout des autorisations du rôle Contributeur et des autorisations du rôle Lecteur correspond
effectivement au rôle Contributeur pour le groupe de ressources. Ainsi, dans ce cas, l’attribution du rôle
Lecteur n’a aucun impact.
Affectations de refus
Jusqu’à maintenant, RBAC était exclusivement un modèle d’autorisation sans possibilité de refus, il prend
désormais en charge des affectations de refus dans une certaine mesure. À l’instar d’une attribution de rôle,
une affectation de refus attache un ensemble d’actions de refus à un utilisateur, un groupe, un principal de
service ou une identité managée, sur une étendue spécifique, afin de refuser l’accès. Une attribution de rôle
définit un ensemble d’actions autorisées, tandis qu’une affectation de refus définit un ensemble d’actions
non autorisées. En d’autres termes, les affectations de refus empêchent les utilisateurs d’effectuer des actions
spécifiées, même si une attribution de rôle leur accorde l’accès. Les affectations de refus ont priorité sur les
attributions de rôles. Pour plus d’informations, consultez Comprendre les affectations de refus pour les
ressources Azure.

Comment RBAC détermine si un utilisateur a accès à une ressource


Voici les principales étapes suivies par RBAC pour déterminer si vous avez accès à une ressource sur le plan
de gestion. Cela s’avère utile pour comprendre si vous tentez de résoudre un problème d’accès.
1. Un utilisateur (ou principal de service) se procure un jeton pour Azure Resource Manager.
Le jeton inclut les appartenances de l’utilisateur à des groupes (notamment les appartenances à des
groupes transitifs).
2. L’utilisateur effectue un appel d’API REST vers Azure Resource Manager avec le jeton joint.
3. Azure Resource Manager récupère toutes les attributions de rôle et les affectations de refus qui
s’appliquent à la ressource sur laquelle l’action est entreprise.
4. Azure Resource Manager restreint les attributions de rôles qui s’appliquent à cet utilisateur ou à son
groupe, et détermine les rôles dont l’utilisateur dispose pour cette ressource.
5. Azure Resource Manager détermine si l’action contenue dans l’appel d’API est incluse dans les rôles
dont l’utilisateur dispose pour cette ressource.
6. Si l’utilisateur n’a aucun rôle avec l’action à l’étendue demandée, l’accès n’est pas accordé.Sinon,
Azure Resource Manager vérifie si une affectation de refus s’applique.
7. Si c’est le cas, l’accès est bloqué. Autrement, l’accès est accordé.

Conditions de licence :
L'utilisation de cette fonctionnalité est gratuite et incluse dans votre abonnement Azure.

Étapes suivantes
Démarrage rapide : Afficher l’accès dont dispose un utilisateur aux ressources Azure avec le portail Azure
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Comprendre les différents rôles dans Azure
Adoption du cloud d’entreprise : Gestion de l’accès aux ressources dans Azure
minutes to read • Edit Online

Si vous débutez sur Azure, vous trouverez peut-être un peu difficile de comprendre l’ensemble des différents rôles
dans Azure. Cet article vous aide en décrivant les rôles suivants et en indiquant quand les utiliser :
Rôles d’administrateur d’abonnements classique
Rôles de contrôle d’accès en fonction du rôle (RBAC ) Azure
Rôles d’administrateur Azure Active Directory (Azure AD )

Relation entre les rôles


Pour mieux comprendre les rôles dans Azure, connaître leur historique peut aider. Quand Azure a été publié au
départ, l’accès aux ressources était géré avec seulement trois rôles d’administrateur : administrateur de comptes,
administrateur de services et coadministrateur. Par la suite, le contrôle d’accès en fonction du rôle (RBAC ) a été
ajouté pour les ressources Azure. Le contrôle RBAC Azure est un système d’autorisations plus récent qui fournit
une gestion précise des accès aux ressources Azure. Le contrôle RBAC compte de nombreux rôles intégrés, peut
être assigné à différentes étendues et vous permet de créer vos propres rôles personnalisés. Pour gérer les
ressources dans Azure AD, comme les utilisateurs, les groupes et les domaines, il existe plusieurs rôles
d’administrateur Azure AD.
Le diagramme suivant est une vue d’ensemble des relations entre les rôles d’administrateur d’abonnements
classique, les rôles RBAC Azure et les rôles d’administrateur Azure AD.

Rôles d’administrateur d’abonnements classique


Dans Azure, les trois rôles d’administrateur d’abonnements classique sont Administrateur de comptes,
Administrateur de services et Coadministrateur. Les administrateurs d’abonnements classiques ont un accès total
à l’abonnement Azure. Ils peuvent gérer les ressources en utilisant le portail Azure, les API Azure Resource
Manager et les API du modèle de déploiement classique. Le compte qui est utilisé pour l’inscription à Azure est
automatiquement défini en tant qu’administrateur de compte et administrateur de services fédérés. Par la suite,
des coadministrateurs peuvent être ajoutés. Les administrateurs de services et les coadministrateurs ont un accès
équivalent aux utilisateurs qui ont reçu le rôle Propriétaire (rôle RBAC Azure) sur l’étendue de l’abonnement. Le
tableau suivant décrit les différences entre ces trois rôles d’administrateurs d’abonnements classiques.

ADMINISTRATEUR
D’ABONNEMENTS CLASSIQUES LIMITE AUTORISATIONS NOTES

Administrateur de comptes 1 par compte Azure Accès au Centre des Le concept est qu’il est
comptes Azure propriétaire de la facturation
Gestion de tous les de l’abonnement.
abonnements d’un L’Administrateur de compte
compte n’a pas accès au portail
Création de Azure.
nouveaux
abonnements
Annulation
d’abonnements
Changement du
mode de facturation
d’un abonnement
Changement
d’administrateur de
services

Administrateur de services 1 par abonnement Azure Gestion des services Par défaut, pour un nouvel
dans le portail Azure abonnement,
Annuler l’administrateur de compte
l’abonnement est également
Attribution l’administrateur de services
d’utilisateurs au rôle fédérés.
Coadministrateur L’administrateur de services
dispose de l’accès équivalent
à un utilisateur qui se voit
attribuer le rôle Propriétaire
sur l’étendue de
l’abonnement.
L’Administrateur de service
a un accès complet au
portail Azure.

Coadministrateur 200 par abonnement Mêmes privilèges Le coadministrateur dispose


d’accès que de l’accès équivalent à un
l’administrateur de utilisateur qui se voit
services, à ceci près attribuer le rôle Propriétaire
qu’il ne peut pas sur l’étendue de
changer l’association l’abonnement.
des abonnements
aux annuaires Azure
Attribution des
utilisateurs au rôle
Coadministrateur,
mais ne peut pas
changer
d’administrateur de
services

Sur le portail Azure, vous pouvez gérer les Coadministrateurs ou afficher l’Administrateur de Service sous l’onglet
Administrateurs classiques.
Sur le portail Azure, vous pouvez afficher ou modifier l’Administrateur de Service ou afficher l’Administrateur de
compte dans le panneau des propriétés de votre abonnement.

Pour plus d’informations, consultez Administrateurs d’abonnement Azure Classic.


Compte Azure et abonnements Azure
Un compte Azure représente une relation de facturation. Un compte Azure est une identité d’utilisateur, un ou
plusieurs abonnements Azure et un ensemble de ressources Azure associé. La personne qui crée le compte est
l’administrateur de comptes de tous les abonnements créés dans ce compte. Cette personne est également
l’administrateur de services par défaut de l’abonnement.
Les abonnements Azure vous permettent d’organiser l’accès aux ressources Azure. Ils vous permettent également
de contrôler le signalement, la facturation et le paiement des ressources utilisées. Comme chaque abonnement
peut avoir une configuration de facturation et de paiement différente, vous pouvez avoir différents abonnements
et différents plans par bureau, service, projet, etc. Chaque service appartient à un abonnement, et l’ID
d’abonnement peut être nécessaire pour les opérations de programmation.
Chaque abonnement est associé à un annuaire Azure AD. Pour identifier l’annuaire auquel est associé
l’abonnement, ouvrez Abonnements dans le portail Azure, puis sélectionnez un abonnement pour voir
l’annuaire.
Les comptes et les abonnements sont gérés dans le Centre des comptes Azure.

Rôles RBAC Azure


Le contrôle RBAC Azure est un système d’autorisations basé sur Azure Resource Manager qui offre une gestion
précise des accès aux ressources Azure, comme les ressources de calcul et de stockage. Le contrôle RBAC Azure
compte plus de 70 rôles intégrés. Il existe quatre rôles RBAC fondamentaux. Les trois premiers s’appliquent à tous
les types de ressources :

RÔLE RBAC AZURE AUTORISATIONS NOTES

Propriétaire Accès total à toutes les L’administrateur de services et les


ressources coadministrateurs se voient attribuer le
Délégation de l’accès à d’autres rôle Propriétaire dans l’étendue de
personnes l’abonnement
S’applique à tous les types de
ressources.

Contributeur Création et gestion de tous les S’applique à tous les types de


types de ressources Azure ressources.
Créer un locataire dans Azure
Active Directory
Ne peut pas accorder l’accès à
d’autres personnes

Lecteur Consultation des ressources S’applique à tous les types de


Azure ressources.

Administrateur de l'accès utilisateur Gestion de l’accès utilisateur aux


ressources Azure

Les autres rôles intégrés permettent de gérer des ressources Azure spécifiques. Par exemple, le rôle Contributeur
de machines virtuelles permet à l’utilisateur de créer et de gérer des machines virtuelles. Pour obtenir la liste de
tous les rôles intégrés, consultez Rôles intégrés pour les ressources Azure.
Seuls le portail Azure et les API Azure Resource Manager prennent en charge RBAC. Les utilisateurs, les groupes
et les applications qui se voient attribuer des rôles RBAC ne peuvent pas utiliser les API du modèle de
déploiement classique Azure.
Dans le portail Azure, les attributions de rôles avec RBAC s’affichent dans le panneau Contrôle d’accès (IAM ) .
Ce panneau se trouve dans le portail, notamment pour les groupes d’administration, les abonnements, les
groupes de ressources et diverses ressources.
Quand vous cliquez sur l’onglet Rôles, vous voyez la liste des rôles intégrés et personnalisés.

Pour plus d’informations, consultez Gérer l’accès aux ressources Azure à l’aide de RBAC et du portail Azure.
Rôles d’administrateur Azure AD
Les rôles d’administrateur Azure AD sont utilisés pour gérer les ressources Azure AD d’un annuaire, par exemple
pour créer ou changer des utilisateurs, attribuer des rôles d’administration à d’autres personnes, réinitialiser les
mots de passe des utilisateurs, gérer les licences utilisateur et gérer les domaines. Le tableau suivant décrit
quelques-uns des rôles d’administrateur Azure AD plus importants.

RÔLE D’ADMINISTRATEUR AZURE AD AUTORISATIONS NOTES

Administrateur général Gestion de l’accès à toutes les La personne qui s’inscrit au locataire
fonctionnalités d’administration Azure Active Directory devient
dans Azure Active Directory, administrateur général.
ainsi que les services qui sont
fédérés à Azure Active Directory
Attribution des rôles
d’administrateur à d’autres
personnes
Réinitialisation des mots de
passe des utilisateurs et de tous
les autres administrateurs

Administrateur d’utilisateurs Création et gestion de tous les


aspects liés aux utilisateurs et
aux groupes
Gestion des tickets de support
Suivi de l’intégrité des services
Changement des mots de passe
des utilisateurs, des
administrateurs du support
technique et autres
administrateurs d’utilisateurs

Administrateur de facturation Achats


Gérer les abonnements
Gestion des tickets de support
Suivi de l’intégrité des services

Dans le portail Azure, vous pouvez voir la liste des rôles d’administrateur Azure AD dans le panneau Rôles et
administrateurs. Pour obtenir une liste de tous les rôles d’administrateur Azure AD, consultez Autorisations des
rôles d’administrateur dans Azure Active Directory.
Différences entre les rôles RBAC Azure et les rôles d’administrateur
Azure AD
Globalement, les rôles RBAC Azure contrôlent les autorisations pour gérer les ressources Azure, tandis que les
rôles d’administrateur Azure AD contrôlent les autorisations pour gérer les ressources Azure Active Directory. Le
tableau suivant compare quelques différences.

RÔLES RBAC AZURE RÔLES D’ADMINISTRATEUR AZURE AD

Gérer l’accès aux ressources Azure Gérer l’accès aux ressources Azure Active Directory

Prise en charge des rôles personnalisés Prise en charge des rôles personnalisés

L’étendue peut être spécifiée à plusieurs niveaux (groupe L’étendue est au niveau du locataire
d’administration, abonnement, groupe de ressources,
ressource)

Les informations sur les rôles sont accessibles dans le portail Les informations sur les rôles sont accessibles dans le portail
Azure, Azure CLI, Azure PowerShell, les modèles Azure d’administration Azure, le centre d’administration Office 365,
Resource Manager et l’API REST Microsoft Graph et AzureAD PowerShell

Les rôles RBAC Azure et les rôles d’administrateur Azure AD se chevauchent-ils ?


Par défaut, les rôles RBAC Azure et les rôles d’administrateur Azure AD ne couvrent pas Azure et Azure AD.
Toutefois, si un administrateur général élève son accès en choisissant L'administrateur général peut gérer les
groupes d'administration et les abonnements Azure dans le portail Azure, il reçoit le rôle Administrateur de
l’accès utilisateur (rôle RBAC ) sur tous les abonnements d’un locataire spécifique. Le rôle Administrateur de
l’accès utilisateur permet à l’utilisateur d’accorder à d’autres utilisateurs l’accès aux ressources Azure. Ce
commutateur peut être utile pour récupérer l’accès à un abonnement. Pour plus d’informations, consultez Élever
l’accès en tant qu’administrateur Azure AD.
Plusieurs rôles d’administrateur Azure AD couvrent Azure AD et Microsoft Office 365, tels que les rôles
Administrateur général et Administrateur d’utilisateurs. Par exemple, si vous êtes membre du rôle Administrateur
général, vous disposez des fonctionnalités de l’administrateur général dans Azure AD et Office 365, avec par
exemple la possibilité d’apporter des changements dans Microsoft Exchange et Microsoft SharePoint. Toutefois,
par défaut, l’administrateur général n’a pas accès aux ressources Azure.

Étapes suivantes
Qu’est-ce que le contrôle d’accès en fonction du rôle (RBAC ) pour les ressources Azure ?
Autorisations des rôles d'administrateur dans Azure Active Directory
Administrateurs d’abonnement Azure Classic
minutes to read • Edit Online

Vous pouvez utiliser le panneau Contrôle d’accès (IAM ) dans Contrôle d’accès en fonction du rôle (RBAC ) pour
afficher l’accès dont dispose un utilisateur ou un autre principal de sécurité aux ressources Azure. Cependant, vous
devez parfois simplement afficher rapidement l’accès pour un seul utilisateur ou un autre principal de sécurité.
Pour cela, le moyen le plus simple consiste à utiliser la fonctionnalité Vérifier l’accès dans le portail Azure.

Voir les attributions de rôles


La façon d’afficher l’accès pour un utilisateur consiste à lister ses attributions de rôles. Suivez ces étapes pour voir
les attributions de rôles d’un utilisateur, groupe, principal de service ou identité managée au niveau de
l’abonnement.
1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.
2. Cliquez sur votre abonnement.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Vérifier l’accès.

5. Dans la liste Rechercher, sélectionnez le type principal de sécurité dont vous souhaitez contrôler l’accès.
6. Dans la zone de recherche, entrez une chaîne afin de rechercher, dans le répertoire, des noms d’affichage,
des adresses e-mail ou des identificateurs d’objet.
7. Cliquez sur le principal de sécurité pour ouvrir le volet Affectations.

Dans ce volet, vous pouvez voir les rôles attribués au principal de sécurité sélectionné et la portée. S’il existe
des affectations de refus dans cette étendue, ou héritées par cette étendue, elles sont listées.

Étapes suivantes
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
minutes to read • Edit Online

Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce tutoriel,
vous allez autoriser un utilisateur à créer et à gérer des machines virtuelles dans un groupe de ressources.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un utilisateur au niveau du groupe de ressources
Suppression d'accès
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Connexion à Azure
Connectez-vous au portail Azure sur https://portal.azure.com.

Créer un groupe de ressources


1. Dans la liste de navigation, cliquez sur Groupes de ressources.
2. Cliquez sur Ajouter pour ouvrir le panneau Groupe de ressources.

3. Dans Nom du groupe de ressources, entrez rbac-resource-group.


4. Sélectionnez un abonnement et un emplacement.
5. Cliquez sur Créer pour créer le groupe de ressources.
6. Cliquez sur Actualiser pour actualiser la liste des groupes de ressources.
Le nouveau groupe de ressources apparaît dans la liste de vos groupes de ressources.

Accorder l'accès
Dans le contrôle d’accès en fonction du rôle, vous créez une attribution de rôle pour accorder l’accès.
1. Dans la liste Groupes de ressources, cliquez sur le nouveau groupe de ressources rbac-resource-group.
2. Cliquez sur Contrôle d’accès (IAM ) .
3. Cliquez sur l’onglet Attributions de rôles pour afficher la liste actuelle des attributions de rôles.

4. Cliquez sur Ajouter > Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de
rôle.
Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera
désactivée.
5. Dans la liste déroulante Rôle, sélectionnez Contributeur de machines virtuelles.
6. Dans la liste Sélectionner, sélectionnez un utilisateur : vous-même ou un autre.
7. Cliquez sur Enregistrer pour créer l’attribution de rôle.
Après quelques instants, l’utilisateur se voit attribuer le rôle Contributeur de machines virtuelles dans
l’étendue du groupe de ressources rbac-resource-group.
Suppression d'accès
Dans le RBAC, vous supprimez une attribution de rôle pour supprimer un accès.
1. Dans la liste des attributions de rôles, ajoutez une coche en regard de l’utilisateur titulaire du rôle
Contributeur de machines virtuelles.
2. Cliquez sur Supprimer.

3. Dans le message d’attribution de rôle qui s’affiche, cliquez sur Oui.

Nettoyer
1. Dans la liste de navigation, cliquez sur Groupes de ressources.
2. Cliquez sur rbac-resource-group pour ouvrir le groupe de ressources.
3. Cliquez sur Supprimer le groupe de ressources pour supprimer le groupe de ressources.

4. Dans le panneau Voulez-vous vraiment supprimer, tapez le nom du groupe de ressources : rbac-
resource-group.
5. Cliquez sur Supprimer pour supprimer le groupe de ressources.

Étapes suivantes
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
minutes to read • Edit Online

Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce
tutoriel, vous accordez l’accès à un utilisateur pour afficher tous les éléments d’un abonnement et gérer tous les
éléments d’un groupe de ressources à l’aide d’Azure PowerShell.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un utilisateur dans différentes étendues
Répertorier les accès
Suppression d'accès
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Conditions préalables requises


Pour exécuter ce didacticiel, les éléments suivants sont nécessaires :
Autorisations pour créer des utilisateurs dans Azure Active Directory (ou disposer d’un utilisateur existant)
Azure Cloud Shell

Affectations de rôles
Dans le contrôle d’accès en fonction du rôle, vous créez une attribution de rôle pour accorder l’accès. Une
attribution de rôle se compose de trois éléments : un principal de sécurité, une définition de rôle et une étendue.
Voici deux attributions de rôles que vous allez effectuer dans ce tutoriel :

PRINCIPAL DE SÉCURITÉ DÉFINITION DE RÔLE ÉTENDUE

Utilisateur Lecteur Subscription


(Utilisateur du tutoriel RBAC)

Utilisateur Contributeur Resource group


(Utilisateur du tutoriel RBAC) (rbac-tutorial-resource-group)
Créer un utilisateur
Pour attribuer un rôle, vous avez besoin d’un utilisateur, d’un groupe ou d’un principal du service. Si vous n’avez
pas déjà un utilisateur, vous pouvez en créer un.
1. Dans Azure Cloud Shell, créez un mot de passe conforme à vos exigences de complexité de mot de passe.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile


$PasswordProfile.Password = "Password"

2. Créez un nouvel utilisateur pour votre domaine à l’aide de la commande New -AzureADUser.

New-AzureADUser -DisplayName "RBAC Tutorial User" -PasswordProfile $PasswordProfile `


-UserPrincipalName "rbacuser@example.com" -AccountEnabled $true -MailNickName "rbacuser"

ObjectId DisplayName UserPrincipalName UserType


-------- ----------- ----------------- --------
11111111-1111-1111-1111-111111111111 RBAC Tutorial User rbacuser@example.com Member

Créer un groupe de ressources


Vous utilisez un groupe de ressources pour montrer comment attribuer un rôle à une étendue de groupe de
ressources.
1. Obtenez la liste des emplacements de région à l’aide de la commande Get-AzLocation.

Get-AzLocation | select Location

2. Sélectionnez un emplacement près de chez vous et assignez-le à une variable.

$location = "westus"

3. Créez un groupe de ressources avec la commande New -AzResourceGroup.

New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location


ResourceGroupName : rbac-tutorial-resource-group
Location : westus
ProvisioningState : Succeeded
Tags :
ResourceId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group

Accorder l'accès
Pour accorder l’accès à l’utilisateur, utilisez la commande New -AzRoleAssignment afin d’attribuer un rôle. Vous
devez spécifier le principal de sécurité, la définition de rôle et l’étendue.
1. Obtenez l’ID de votre abonnement à l’aide de la commande Get-AzSubscription.

Get-AzSubscription

Name : Pay-As-You-Go
Id : 00000000-0000-0000-0000-000000000000
TenantId : 22222222-2222-2222-2222-222222222222
State : Enabled

2. Enregistrez l’étendue de l’abonnement dans une variable.

$subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"

3. Attribuez le rôle de Lecteur à l’utilisateur dans l’étendue de l’abonnement.

New-AzRoleAssignment -SignInName rbacuser@example.com `


-RoleDefinitionName "Reader" `
-Scope $subScope

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False

4. Attribuez le rôle de Contributeur à l’utilisateur dans l’étendue du groupe de ressources.

New-AzRoleAssignment -SignInName rbacuser@example.com `


-RoleDefinitionName "Contributor" `
-ResourceGroupName "rbac-tutorial-resource-group"
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False

Répertorier les accès


1. Pour vérifier l’accès à l’abonnement, utilisez la commande Get-AzRoleAssignment afin de lister les
attributions de rôle.

Get-AzRoleAssignment -SignInName rbacuser@example.com -Scope $subScope

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False

Dans la sortie, vous pouvez voir que le rôle de Lecteur a été attribué à l’utilisateur du tutoriel RBAC dans
l’étendue de l’abonnement.
2. Pour vérifier l’accès au groupe de ressources, utilisez la commande Get-AzRoleAssignment afin de lister les
attributions de rôle.

Get-AzRoleAssignment -SignInName rbacuser@example.com -ResourceGroupName "rbac-tutorial-resource-group"


RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False

Dans la sortie, vous pouvez voir que les rôles de Collaborateur et de Lecteur ont été attribués à l’utilisateur
du tutoriel RBAC. Le rôle de Contributeur est dans l’étendue rbac-tutorial-resource-group et le rôle de
Lecteur est hérité dans l’étendue de l’abonnement.

(Facultatif) Accès à la liste à l’aide du portail Azure


1. Pour voir les attributions de rôle dans le portail Azure, affichez le panneau Contrôle d’accès (IAM ) pour
l’abonnement.

2. Affichez le panneau Contrôle d’accès (IAM ) pour le groupe de ressources.


Suppression d'accès
Pour supprimer l’accès accordé à des utilisateurs, des groupes ou des applications, utilisez Remove-
AzRoleAssignment afin de supprimer une attribution de rôle.
1. Utilisez la commande suivante pour supprimer l’attribution de rôle de Collaborateur pour l’utilisateur dans
l’étendue de groupe de ressources.

Remove-AzRoleAssignment -SignInName rbacuser@example.com `


-RoleDefinitionName "Contributor" `
-ResourceGroupName "rbac-tutorial-resource-group"

2. Utilisez la commande suivante pour supprimer l’attribution de rôle de Lecteur pour l’utilisateur dans
l’étendue d’abonnement.

Remove-AzRoleAssignment -SignInName rbacuser@example.com `


-RoleDefinitionName "Reader" `
-Scope $subScope

Nettoyer les ressources


Pour supprimer les ressources créées par ce tutoriel, supprimez le groupe de ressources et l’utilisateur.
1. Supprimez le groupe de ressources à l’aide de la commande Remove-AzResourceGroup.

Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"

Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):

2. Lorsque vous êtes invité à confirmer votre choix, saisissez Y. La suppression prendra quelques secondes.
3. Supprimez l’utilisateur à l’aide de la commande Remove-AzureADUser.

Remove-AzureADUser -ObjectId "rbacuser@example.com"

Étapes suivantes
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
minutes to read • Edit Online

Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce tutoriel,
vous allez créer un groupe de ressources et autoriser un utilisateur à créer et à gérer des machines virtuelles dans
le groupe de ressources. Ce tutoriel porte essentiellement sur le déploiement d’un modèle Resource Manager en
vue d’accorder l’accès. Pour plus d’informations sur le développement de modèles Resource Manager, consultez la
documentation Resource Manager et les informations de référence sur les modèles.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un utilisateur au niveau du groupe de ressources
Valider le déploiement
Nettoyer
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Conditions préalables requises


Pour ajouter et supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/writeet
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou Propriétaire
de l’accès utilisateur

Accorder l'accès
Le modèle utilisé dans ce guide de démarrage rapide est tiré des modèles de démarrage rapide Azure. D’autres
modèles d’autorisation Azure sont disponibles ici.
Pour déployer le modèle, sélectionnez Try it afin d’ouvrir Azure Cloud Shell, puis collez le script PowerShell suivant
dans la fenêtre de l’interpréteur de commandes. Pour coller le code, cliquez avec le bouton droit sur la fenêtre de
l’interpréteur de commandes, puis sélectionnez Coller.

$projectName = Read-Host -Prompt "Enter a project name that is used to generate Azure resource names"
$emailAddress = Read-Host -Prompt "Enter your email address that is associated with your Azure subscription
(used to find the principal ID)"
$location = Read-Host -Prompt "Enter the location (i.e. centralus)"

$resourceGroupName = "${projectName}rg"
$roleAssignmentName = New-Guid
$principalId = (Get-AzAdUser -Mail $emailAddress).id
$roleDefinitionId = (Get-AzRoleDefinition -name "Virtual Machine Contributor").id
$templateUri = "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/101-rbac-builtinrole-
resourcegroup/azuredeploy.json"

New-AzResourceGroup -Name $resourceGroupName -Location $location


New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri $templateUri -
roleAssignmentName $roleAssignmentName -roleDefinitionID $roleDefinitionId -principalId $principalId

Valider le déploiement
1. Connectez-vous au portail Azure.
2. Ouvrez le groupe de ressources créé dans la dernière procédure. Le nom par défaut est le nom du projet avec
rg ajouté.
3. Sélectionnez Contrôle d’accès (IAM ) à partir du menu de gauche.
4. Sélectionnez Attributions de rôles.
5. Dans Nom, entrez l’adresse e-mail que vous avez entrée dans la dernière procédure. Vous devez voir que
l’utilisateur ayant l’adresse e-mail a le rôle Contributeur de machines virtuelles.

Nettoyer
Pour supprimer le groupe de ressources créé dans la dernière procédure, sélectionnez Try it pour ouvrir Azure
Cloud Shell, puis collez le script PowerShell suivant dans la fenêtre de l’interpréteur de commandes.

$projectName = Read-Host -Prompt "Enter a same project name you used in the last procedure"
$resourceGroupName = "${projectName}rg"

Remove-AzResourceGroup -Name $resourceGroupName

Étapes suivantes
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
minutes to read • Edit Online

Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce tutoriel,
vous accordez l’accès à un groupe pour afficher tous les éléments d’un abonnement et gérer tous les éléments d’un
groupe de ressources à l’aide d’Azure PowerShell.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un groupe dans différentes étendues
Répertorier les accès
Suppression d'accès
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Conditions préalables requises


Pour exécuter ce didacticiel, les éléments suivants sont nécessaires :
Autorisations pour créer des groupes dans Azure Active Directory (ou disposer d’un groupe existant)
Azure Cloud Shell

Affectations de rôles
Dans le contrôle d’accès en fonction du rôle, vous créez une attribution de rôle pour accorder l’accès. Une
attribution de rôle se compose de trois éléments : un principal de sécurité, une définition de rôle et une étendue.
Voici deux attributions de rôles que vous allez effectuer dans ce tutoriel :

PRINCIPAL DE SÉCURITÉ DÉFINITION DE RÔLE ÉTENDUE

Groupe Lecteur Subscription


(Groupe du tutoriel RBAC)

Groupe Contributeur Resource group


(Groupe du tutoriel RBAC) (rbac-tutorial-resource-group)
Créer un groupe
Pour attribuer un rôle, vous avez besoin d’un utilisateur, d’un groupe ou d’un principal du service. Si vous n’avez
pas déjà un groupe, vous pouvez en créer un.
Dans Azure Cloud Shell, créez un nouveau groupe à l’aide de la commande New -AzureADGroup.

New-AzureADGroup -DisplayName "RBAC Tutorial Group" `


-MailEnabled $false -SecurityEnabled $true -MailNickName "NotSet"

ObjectId DisplayName Description


-------- ----------- -----------
11111111-1111-1111-1111-111111111111 RBAC Tutorial Group

Si vous n’avez pas les autorisations pour créer des groupes, vous pouvez suivre le Tutoriel : Accorder un accès
utilisateur aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell.

Créer un groupe de ressources


Vous utilisez un groupe de ressources pour montrer comment attribuer un rôle à une étendue de groupe de
ressources.
1. Obtenez la liste des emplacements de région à l’aide de la commande Get-AzLocation.

Get-AzLocation | select Location

2. Sélectionnez un emplacement près de chez vous et assignez-le à une variable.

$location = "westus"

3. Créez un groupe de ressources avec la commande New -AzResourceGroup.

New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location

ResourceGroupName : rbac-tutorial-resource-group
Location : westus
ProvisioningState : Succeeded
Tags :
ResourceId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
Accorder l'accès
Pour accorder l’accès au groupe, utilisez la commande New -AzRoleAssignment afin d’attribuer un rôle. Vous devez
spécifier le principal de sécurité, la définition de rôle et l’étendue.
1. Obtenez l’ID d’objet du groupe en utilisant la commande Get-AzureADGroup.

Get-AzureADGroup -SearchString "RBAC Tutorial Group"

ObjectId DisplayName Description


-------- ----------- -----------
11111111-1111-1111-1111-111111111111 RBAC Tutorial Group

2. Enregistrez l’ID d’objet du groupe dans une variable.

$groupId = "11111111-1111-1111-1111-111111111111"

3. Obtenez l’ID de votre abonnement à l’aide de la commande Get-AzSubscription.

Get-AzSubscription

Name : Pay-As-You-Go
Id : 00000000-0000-0000-0000-000000000000
TenantId : 22222222-2222-2222-2222-222222222222
State : Enabled

4. Enregistrez l’étendue de l’abonnement dans une variable.

$subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"

5. Attribuez le rôle de Lecteur au groupe dans l’étendue de l’abonnement.

New-AzRoleAssignment -ObjectId $groupId `


-RoleDefinitionName "Reader" `
-Scope $subScope

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False

6. Attribuez le rôle de Contributeur au groupe dans l’étendue du groupe de ressources.


New-AzRoleAssignment -ObjectId $groupId `
-RoleDefinitionName "Contributor" `
-ResourceGroupName "rbac-tutorial-resource-group"

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False

Répertorier les accès


1. Pour vérifier l’accès à l’abonnement, utilisez la commande Get-AzRoleAssignment afin de lister les
attributions de rôle.

Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False

Dans la sortie, vous pouvez voir que le rôle de Lecteur a été attribué au groupe du tutoriel RBAC dans
l’étendue de l’abonnement.
2. Pour vérifier l’accès au groupe de ressources, utilisez la commande Get-AzRoleAssignment afin de lister les
attributions de rôle.

Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"


RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False

Dans la sortie, vous pouvez voir que les rôles de Collaborateur et de Lecteur ont été attribués au groupe du
tutoriel RBAC. Le rôle de Contributeur est dans l’étendue rbac-tutorial-resource-group et le rôle de Lecteur
est hérité dans l’étendue de l’abonnement.

(Facultatif) Accès à la liste à l’aide du portail Azure


1. Pour voir les attributions de rôle dans le portail Azure, affichez le panneau Contrôle d’accès (IAM ) pour
l’abonnement.

2. Affichez le panneau Contrôle d’accès (IAM ) pour le groupe de ressources.


Suppression d'accès
Pour supprimer l’accès accordé à des utilisateurs, des groupes ou des applications, utilisez Remove-
AzRoleAssignment afin de supprimer une attribution de rôle.
1. Utilisez la commande suivante pour supprimer l’attribution de rôle de Collaborateur pour le groupe dans
l’étendue de groupe de ressources.

Remove-AzRoleAssignment -ObjectId $groupId `


-RoleDefinitionName "Contributor" `
-ResourceGroupName "rbac-tutorial-resource-group"

2. Utilisez la commande suivante pour supprimer l’attribution de rôle de Lecteur pour le groupe dans l’étendue
d’abonnement.

Remove-AzRoleAssignment -ObjectId $groupId `


-RoleDefinitionName "Reader" `
-Scope $subScope

Nettoyer les ressources


Pour supprimer les ressources créées par ce tutoriel, supprimez le groupe de ressources et le groupe.
1. Supprimez le groupe de ressources à l’aide de la commande Remove-AzResourceGroup.

Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"

Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
2. Lorsque vous êtes invité à confirmer votre choix, saisissez Y. La suppression prendra quelques secondes.
3. Supprimez le groupe à l’aide de la commande Remove-AzureADGroup.

Remove-AzureADGroup -ObjectId $groupId

Si vous recevez une erreur lorsque vous essayez de supprimer le groupe, vous pouvez également supprimer
le groupe dans le portail.

Étapes suivantes
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
Tutoriel : Créer un rôle personnalisé pour les
ressources Azure à l’aide d’Azure PowerShell
02/03/2020 • 8 minutes to read • Edit Online

Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Pour ce tutoriel, vous allez créer un rôle
personnalisé nommé Reader Support Tickets à l’aide d’Azure PowerShell. Le rôle personnalisé permet à
l’utilisateur de consulter tous les éléments du plan de gestion d’un abonnement et d’ouvrir des tickets de support.
Dans ce tutoriel, vous allez apprendre à :
Créer un rôle personnalisé
Répertorier les rôles personnalisés
Mettre à jour un rôle personnalisé
Supprimer un rôle personnalisé
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.
Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module
Az d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Conditions préalables requises


Pour exécuter ce didacticiel, les éléments suivants sont nécessaires :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;
Azure Cloud Shell ou Azure PowerShell

Se connecter à Azure PowerShell


Connectez-vous à Azure PowerShell.

Créer un rôle personnalisé


Le moyen le plus simple de créer un rôle personnalisé consiste à commencer avec un rôle prédéfini, à le modifier,
puis à créer un nouveau rôle.
1. Dans PowerShell, utilisez la commande Get-AzProviderOperation pour obtenir la liste des opérations
associées au fournisseur de ressources Microsoft.Support. Il est utile de connaître les opérations qui sont
disponibles pour créer vos autorisations. Vous pouvez également consulter la liste de toutes les opérations
dans Opérations du fournisseur de ressources Azure Resource Manager.

Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize


Operation Description
--------- -----------
Microsoft.Support/register/action Registers to Support Resource Provider
Microsoft.Support/supportTickets/read Gets Support Ticket details (including status, severity, contact
...
Microsoft.Support/supportTickets/write Creates or Updates a Support Ticket. You can create a Support
Tic...

2. Utilisez la commande Get-AzRoleDefinition pour afficher le rôle Lecteur au format JSON.

Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

3. Ouvrez le fichier ReaderSupportRole.json dans un éditeur.


Voici la sortie JSON. Pour plus d’informations sur les différentes propriétés, consultez Rôles personnalisés.

{
"Name": "Reader",
"Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"IsCustom": false,
"Description": "Lets you view everything, but not make any changes.",
"Actions": [
"*/read"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}

4. Modifiez le fichier JSON pour ajouter l’opération "Microsoft.Support/*" à la propriété Actions . Veillez à
inclure une virgule après l’opération de lecture. Cette action autorise l’utilisateur à créer des tickets de
support.
5. Obtenez l’ID de votre abonnement à l’aide de la commande Get-AzSubscription.

Get-AzSubscription

6. Dans AssignableScopes , ajoutez votre ID d’abonnement au format suivant :


"/subscriptions/00000000-0000-0000-0000-000000000000"

Vous devez ajouter des ID d’abonnements explicites, sinon vous ne serez pas autorisé à importer le rôle
dans votre abonnement.
7. Supprimez la ligne de propriété Id et affectez la valeur true à la propriété IsCustom .
8. Remplacez les valeurs de propriétés Name et Description par « Reader Support Tickets » et « View
everything in the subscription and also open support tickets ».
Votre fichier JSON doit ressembler à ceci :
{
"Name": "Reader Support Tickets",
"IsCustom": true,
"Description": "View everything in the subscription and also open support tickets.",
"Actions": [
"*/read",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}

9. Pour créer le rôle personnalisé, utilisez la commande New -AzRoleDefinition et spécifiez le fichier de
définition de rôle JSON.

New-AzRoleDefinition -InputFile "C:\CustomRoles\ReaderSupportRole.json"

Name : Reader Support Tickets


Id : 22222222-2222-2222-2222-222222222222
IsCustom : True
Description : View everything in the subscription and also open support tickets.
Actions : {*/read, Microsoft.Support/*}
NotActions : {}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000}

Le nouveau rôle personnalisé est maintenant disponible dans le portail Azure et peut être affecté à des
utilisateurs, des groupes ou des principaux de service tout comme des rôles intégrés.

Répertorier les rôles personnalisés


Pour lister tous vos rôles personnalisés, utilisez la commande Get-AzRoleDefinition.

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Name IsCustom
---- --------
Reader Support Tickets True

Vous pouvez également voir le rôle personnalisé dans le portail Azure.


Mettre à jour un rôle personnalisé
Pour mettre à jour le rôle personnalisé, vous pouvez mettre à jour le fichier JSON ou utiliser l’objet
PSRoleDefinition .

1. Pour mettre à jour le fichier JSON, utilisez la commande Get-AzRoleDefinition afin d’afficher le rôle
personnalisé au format JSON.

Get-AzRoleDefinition -Name "Reader Support Tickets" | ConvertTo-Json | Out-File


C:\CustomRoles\ReaderSupportRole2.json

2. Ouvrez le fichier dans un éditeur.


3. Dans Actions , ajoutez l’opération pour créer et gérer les déploiements de groupes de ressources
"Microsoft.Resources/deployments/*" .

Votre fichier JSON mis à jour doit ressembler à ceci :


{
"Name": "Reader Support Tickets",
"Id": "22222222-2222-2222-2222-222222222222",
"IsCustom": true,
"Description": "View everything in the subscription and also open support tickets.",
"Actions": [
"*/read",
"Microsoft.Support/*",
"Microsoft.Resources/deployments/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}

4. Pour mettre à jour le rôle personnalisé, utilisez la commande Set-AzRoleDefinition et spécifiez le fichier
JSON mis à jour.

Set-AzRoleDefinition -InputFile "C:\CustomRoles\ReaderSupportRole2.json"

Name : Reader Support Tickets


Id : 22222222-2222-2222-2222-222222222222
IsCustom : True
Description : View everything in the subscription and also open support tickets.
Actions : {*/read, Microsoft.Support/*, Microsoft.Resources/deployments/*}
NotActions : {}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000}

5. Pour mettre à jour votre rôle personnalisé à l’aide de l’objet PSRoleDefintion , utilisez d’abord la commande
Get-AzRoleDefinition afin d’obtenir le rôle.

$role = Get-AzRoleDefinition "Reader Support Tickets"

6. Appelez la méthode Add pour ajouter l’opération de lecture des paramètres de diagnostic.

$role.Actions.Add("Microsoft.Insights/diagnosticSettings/*/read")

7. Utilisez la commande Set-AzRoleDefinition pour mettre à jour le rôle.

Set-AzRoleDefinition -Role $role


Name : Reader Support Tickets
Id : 22222222-2222-2222-2222-222222222222
IsCustom : True
Description : View everything in the subscription and also open support tickets.
Actions : {*/read, Microsoft.Support/*, Microsoft.Resources/deployments/*,
Microsoft.Insights/diagnosticSettings/*/read}
NotActions : {}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000}

Supprimer un rôle personnalisé


1. Utilisez la commande Get-AzRoleDefinition pour obtenir l’ID du rôle personnalisé.

Get-AzRoleDefinition "Reader Support Tickets"

2. Utilisez la commande Remove-AzRoleDefinition et spécifiez l’ID de rôle pour supprimer le rôle


personnalisé.

Remove-AzRoleDefinition -Id "22222222-2222-2222-2222-222222222222"

Confirm
Are you sure you want to remove role definition with id '22222222-2222-2222-2222-222222222222'.
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):

3. Lorsque vous êtes invité à confirmer votre choix, saisissez Y.

Étapes suivantes
Créer des rôles personnalisés pour les ressources Azure à l’aide d’Azure PowerShell
Tutoriel : Créer un rôle personnalisé pour les
ressources Azure à l’aide d’Azure CLI
02/03/2020 • 6 minutes to read • Edit Online

Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Pour ce tutoriel, vous allez créer un rôle
personnalisé nommé Reader Support Tickets à l’aide d’Azure CLI. Le rôle personnalisé permet à l’utilisateur de
consulter tous les éléments du plan de gestion d’un abonnement et d’ouvrir des tickets de support.
Dans ce tutoriel, vous allez apprendre à :
Créer un rôle personnalisé
Répertorier les rôles personnalisés
Mettre à jour un rôle personnalisé
Supprimer un rôle personnalisé
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Conditions préalables requises


Pour exécuter ce didacticiel, les éléments suivants sont nécessaires :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;
Azure Cloud Shell ou Azure CLI

Connectez-vous à Azure CLI


Connectez-vous à Azure CLI.

Créer un rôle personnalisé


Pour créer un rôle personnalisé, le plus simple consiste à débuter avec un modèle JSON, à ajouter vos
modifications, puis à créer un nouveau rôle.
1. Passez en revue la liste des opérations pour le fournisseur de ressources Microsoft.Support. Il est utile de
connaître les opérations qui sont disponibles pour créer vos autorisations.

OPÉRATION DESCRIPTION

Microsoft.Support/register/action S’inscrit auprès du fournisseur de ressources de support.

Microsoft.Support/supportTickets/read Récupère les détails du ticket de support (notamment


l’état, la gravité, les détails du contact et les
communications) ou la liste des tickets de support des
abonnements.
OPÉRATION DESCRIPTION

Microsoft.Support/supportTickets/write Crée ou met à jour un ticket de support. Vous pouvez


créer un ticket de support pour les problèmes techniques
ou les problèmes liés à la facturation, aux quotas ou à la
gestion des abonnements. Vous pouvez mettre à jour la
gravité des problèmes, les détails du contact et les
communications pour les tickets de support existants.

2. Créez un fichier nommé ReaderSupportRole.json.


3. Ouvrez ReaderSupportRole.json dans un éditeur et ajoutez le code JSON suivant.
Pour plus d’informations sur les différentes propriétés, consultez Rôles personnalisés pour les ressources
Azure.

{
"Name": "",
"IsCustom": true,
"Description": "",
"Actions": [],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}"
]
}

4. Ajoutez les opérations suivantes à la propriété Actions . Ces actions permettent à l’utilisateur de consulter
tous les éléments de l’abonnement et de créer des tickets de support.

"*/read",
"Microsoft.Support/*"

5. Obtenez l’ID de votre abonnement à l’aide de la commande az account list.

az account list --output table

6. Dans AssignableScopes , remplacez {subscriptionId1} par votre ID d’abonnement.


Vous devez ajouter des ID d’abonnements explicites, sinon vous ne serez pas autorisé à importer le rôle
dans votre abonnement.
7. Remplacez les valeurs de propriétés Name et Description par « Reader Support Tickets » et « View
everything in the subscription and also open support tickets ».
Votre fichier JSON doit ressembler à ceci :
{
"Name": "Reader Support Tickets",
"IsCustom": true,
"Description": "View everything in the subscription and also open support tickets.",
"Actions": [
"*/read",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}

8. Pour créer le rôle personnalisé, utilisez la commande az role definition create et spécifiez le fichier de
définition de rôle JSON.

az role definition create --role-definition "~/CustomRoles/ReaderSupportRole.json"

{
"additionalProperties": {},
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
],
"description": "View everything in the subscription and also open support tickets.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Support/*"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Reader Support Tickets",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}

Le nouveau rôle personnalisé est maintenant disponible et peut être affecté à des utilisateurs, des groupes
ou des principaux de service tout comme des rôles intégrés.

Répertorier les rôles personnalisés


Pour répertorier tous vos rôles personnalisés, utilisez la commande az role definition list avec le paramètre
--custom-role-only .

az role definition list --custom-role-only true


[
{
"additionalProperties": {},
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
],
"description": "View everything in the subscription and also open support tickets.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Support/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Insights/diagnosticSettings/*/read"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Reader Support Tickets",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
]

Vous pouvez également voir le rôle personnalisé dans le portail Azure.

Mettre à jour un rôle personnalisé


Pour mettre à jour le rôle personnalisé, mettez à jour le fichier JSON puis mettez à jour le rôle personnalisé.
1. Ouvrez le fichier ReaderSupportRole.json.
2. Dans Actions, ajoutez l’opération pour créer et gérer les déploiements de groupes de ressources
"Microsoft.Resources/deployments/*" . Veillez à inclure une virgule après l’opération précédente.

Votre fichier JSON mis à jour doit ressembler à ceci :

{
"Name": "Reader Support Tickets",
"IsCustom": true,
"Description": "View everything in the subscription and also open support tickets.",
"Actions": [
"*/read",
"Microsoft.Support/*",
"Microsoft.Resources/deployments/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}

3. Pour mettre à jour le rôle personnalisé, utilisez la commande az role definition update et spécifiez le fichier
JSON mis à jour.

az role definition update --role-definition "~/CustomRoles/ReaderSupportRole.json"

{
"additionalProperties": {},
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
],
"description": "View everything in the subscription and also open support tickets.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Support/*",
"Microsoft.Resources/deployments/*"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Reader Support Tickets",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}

Supprimer un rôle personnalisé


Utilisez la commande az role definition delete et spécifiez le nom de rôle ou l’ID de rôle pour supprimer le
rôle personnalisé.
az role definition delete --name "Reader Support Tickets"

Étapes suivantes
Créer des rôles personnalisés pour les ressources Azure à l’aide d’Azure CLI
minutes to read • Edit Online

Pour protéger des comptes privilégiés contre les cyberattaques malveillantes, vous pouvez utiliser Azure Active
Directory Privileged Identity Management (PIM ) afin de réduire le temps d’exposition des privilèges et
d’augmenter la visibilité quant à leur utilisation via des rapports et des alertes. Pour cela, PIM n’autorise les
utilisateurs à utiliser ces privilèges que pendant une période précise (« just in time » (JIT)), ou en leur attribuant des
privilèges pour une plus courte durée après laquelle les privilèges sont automatiquement révoqués.
Vous pouvez maintenant utiliser PIM avec le contrôle d’accès en fonction du rôle (RBAC ) Azure pour gérer,
contrôler et surveiller l’accès aux ressources Azure. PIM peut gérer l’appartenance des rôles intégrés et
personnalisés pour vous aider à :
Activer à la demande l’accès aux ressources Windows Azure pendant une période précise (JIT)
Faire automatiquement expirer l’accès aux ressources pour des utilisateurs et groupes attribués
Attribuer un accès temporaire à des ressources Azure pour les tâches rapides ou les planifications de l’appel
Obtenir des alertes lorsque de nouveaux utilisateurs ou groupes se voient assigner un accès à des ressources, et
lorsqu’ils activent des attributions éligibles
Pour plus d’informations, consultez Qu’est-ce qu’Azure AD Privileged Identity Management ?.
minutes to read • Edit Online

Cau t i on

Vous devez comprendre le fonctionnement de l’accès conditionnel avant de configurer une stratégie pour gérer
l’accès à la gestion Azure. Veillez à ne pas créer de conditions susceptibles de bloquer votre propre accès au portail.
L’accès conditionnel dans Azure Active Directory (Azure AD ) contrôle l’accès aux applications cloud en fonction de
conditions spécifiées par vos soins. Pour autoriser l’accès, vous créez des stratégies d’accès conditionnel qui
autorisent ou interdisent l’accès selon que les exigences définies dans la stratégie sont respectées ou non.
En règle générale, vous utilisez l’accès conditionnel pour contrôler l’accès à vos applications cloud. Vous pouvez
également définir des stratégies pour contrôler l’accès à la gestion Azure en fonction de certaines conditions (par
exemple, le risque de connexion, l’emplacement ou l’appareil) et pour appliquer des exigences, telles que
l’authentification multifacteur.
Pour créer une stratégie pour la gestion Azure, sélectionnez Gestion Microsoft Azure sous Applications cloud
quand vous choisissez l’application à laquelle appliquer la stratégie.
La stratégie que vous créez s’applique à tous les points de terminaison de gestion Azure, notamment :
Portail Azure
Fournisseur Azure Resource Manager
API Gestion des services classiques
Azure PowerShell
Portail de l’administrateur d’abonnements Visual Studio
Azure DevOps
Portail Azure Data Factory
Notez que la stratégie s’applique à Azure PowerShell, qui appelle l’API Azure Resource Manager. Elle ne s’applique
pas à Azure AD PowerShell, qui appelle Microsoft Graph.
Pour plus d’informations sur la configuration et l’utilisation de l’accès conditionnel, consultez Accès conditionnel
dans Azure Active Directory.
Comprendre les définitions de rôle relatives aux
ressources Azure
02/03/2020 • 16 minutes to read • Edit Online

Si vous essayez de comprendre comment un rôle fonctionne, ou si vous créez votre propre rôle personnalisé pour
des ressources Azure, il est utile de comprendre la façon dont les rôles sont définis. Cet article décrit en détail les
définitions de rôles et fournit quelques exemples.

Structure d’une définition de rôle


Une définition de rôle est une collection d’autorisations. On l’appelle parfois simplement rôle. Une définition de rôle
répertorie les opérations qui peuvent être effectuées, telles que lire, écrire et supprimer. Elle permet également de
répertorier les opérations qui ne peuvent pas être effectuées ou les opérations liées aux données sous-jacentes. Une
définition de rôle présente la structure suivante :

Name
Id
IsCustom
Description
Actions []
NotActions []
DataActions []
NotDataActions []
AssignableScopes []

Les opérations sont spécifiées à l’aide de chaînes dont le format est le suivant :
{Company}.{ProviderName}/{resourceType}/{action}

La portion {action} d’une chaîne d’opération spécifie le type des opérations que vous pouvez effectuer sur un type
de ressource. Par exemple, vous verrez les sous-chaînes suivantes dans {action} :

SOUS-CHAÎNE D’ACTION DESCRIPTION

* Le caractère générique donne accès à toutes les opérations qui


correspondent à la chaîne.

read Permet les opérations de lecture (GET).

write Permet les opérations d’écriture (PUT ou PATCH).

action Permet des opérations personnalisées, telles que le


redémarrage de machines virtuelles (POST).

delete Permet les opérations de suppression (DELETE).

Voici la définition du rôle Contributeur au format JSON. L’opération de caractère générique ( * ) sous Actions
indique que le principal affecté à ce rôle peut effectuer toutes les actions, ou, en d’autres termes, tout gérer. Cela
inclut les actions qui seront définies dans le futur, à mesure qu’Azure ajoutera de nouveaux types de ressources. Les
opérations sous NotActions sont soustraites de Actions . Dans le cas du rôle Contributeur, NotActions supprime la
possibilité pour ce rôle de gérer et d’autoriser l’accès aux ressources.
{
"Name": "Contributor",
"Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"IsCustom": false,
"Description": "Lets you manage everything except access to resources.",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action"
],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}

Opérations de gestion et sur les données


Le contrôle d’accès en fonction du rôle pour les opérations de gestion est spécifié dans les propriétés Actions et
NotActions d’une définition de rôle. Voici quelques exemples d’opérations de gestion dans Azure :

Gérer l’accès à un compte de stockage


Créer, mettre à jour ou supprimer un conteneur d’objets blob
Supprimer un groupe de ressources et toutes ses ressources
L’accès à la gestion n’est pas hérité de vos données à condition que la méthode d’authentification du conteneur soit
définie sur « Compte d’utilisateur Azure AD » et non sur « Clé d’accès ». Cette séparation empêche des rôles avec
caractères génériques ( * ) d’avoir un accès illimité à vos données. Par exemple, si un utilisateur a un rôle Lecteur
sur un abonnement, il peut afficher le compte de stockage, mais pas les données sous-jacentes, par défaut.
Auparavant, le contrôle d’accès en fonction du rôle n’était pas utilisé pour les opérations sur les données.
L’autorisation pour les opérations sur les données variait selon les fournisseurs de ressources. Le même modèle
d’autorisation du contrôle d’accès en fonction du rôle utilisé pour les opérations de gestion a été étendu aux
opérations sur les données.
Pour prendre en charge les opérations sur les données, de nouvelles propriétés de données ont été ajoutées à la
structure de définition de rôle. Les opérations sur les données sont spécifiées dans les propriétés DataActions et
NotDataActions . En ajoutant ces propriétés de données, la séparation entre la gestion et les données est conservée.
Cela empêche les attributions de rôle contenant des caractères génériques ( * ) d’accéder soudainement aux
données. Voici quelques opérations sur les données qui peuvent être spécifiées dans DataActions et
NotDataActions :

Lire une liste d’objets blob dans un conteneur


Écrire un objet blob de stockage dans un conteneur
Supprimer un message dans une file d’attente
Voici la définition de rôle Lecteur des données blob du stockage, qui inclut des opérations à la fois dans les
propriétés Actions et DataActions . Ce rôle vous permet de lire le conteneur d’objets blob ainsi que les données
d’objets blob sous-jacentes.
{
"Name": "Storage Blob Data Reader",
"Id": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"IsCustom": false,
"Description": "Allows for read access to Azure Storage blob containers and data",
"Actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read"
],
"NotActions": [],
"DataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}

Seules des opérations sur les données peuvent être ajoutées aux propriétés DataActions et NotDataActions . Les
fournisseurs de ressources identifient quelles opérations sont des opérations sur les données, en définissant la
propriété isDataAction sur true . Pour afficher la liste des opérations où isDataAction est true , consultez
Opérations de fournisseur de ressources. Les rôles qui n’ont pas d’opérations sur les données ne sont pas obligés
d’avoir les propriétés DataActions et NotDataActions dans la définition de rôle.
L’autorisation pour tous les appels d’API des opérations de gestion est gérée par Azure Resource Manager.
L’autorisation pour les appels d’API des opérations sur les données est gérée par un fournisseur de ressources ou
Azure Resource Manager.
Exemple d’opérations sur les données
Pour mieux comprendre comment fonctionnent les opérations de gestion et les opérations sur les données, prenons
un exemple spécifique. Alice a reçu le rôle Propriétaire au niveau de l’étendue de l’abonnement. Bob a reçu le rôle
Contributeur aux données blob du stockage dans une étendue de compte de stockage. Le diagramme qui suit
présente cet exemple.

Le rôle Propriétaire pour Alice et le rôle Contributeur aux données blob du stockage pour Bob effectuent les actions
suivantes :
Propriétaire
Actions
*

Contributeur aux données Blob du stockage


Actions
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/write
DataActions
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write

Comme Alice dispose d’une action avec caractère générique ( * ) à une étendue de l’abonnement, elle hérite
d’autorisations lui permettant d’effectuer toutes les actions de gestion. Alice peut lire, écrire et supprimer des
conteneurs. En revanche, elle ne peut pas effectuer d’opérations sur des données sans passer par des étapes
supplémentaires. Par exemple, par défaut, Alice ne peut pas lire les objets blob à l’intérieur d’un conteneur. Pour
cela, elle doit récupérer les clés d’accès de stockage et les utiliser pour accéder aux objets blob.
Les autorisations de Bob se limitent aux actions Actions et DataActions spécifiées dans le rôle Contributeur aux
données blob du stockage. En fonction du rôle, Bob peut effectuer à la fois des opérations de gestion et des
opérations sur les données. Par exemple, Bob peut lire, écrire et supprimer des conteneurs du compte de stockage
spécifié, mais aussi lire, écrire et supprimer les objets blob.
Pour plus d’informations sur la gestion et la sécurité du plan de données pour le stockage, consultez le guide de
sécurité Stockage Microsoft Azure.
Quels outils prennent en charge l’utilisation de RBAC pour les opérations sur les données ?
Pour afficher et utiliser des opérations sur les données, vous devez disposer des versions appropriées des outils ou
des kits de développement logiciel (SDK) :

OUTIL VERSION

Azure PowerShell 1.1.0 ou ultérieure

Azure CLI 2.0.30 ou version ultérieure

Azure pour .NET 2.8.0-preview ou version ultérieure

Kit de développement logiciel (SDK) Azure pour Go 15.0.0 ou version ultérieure

Azure pour Java 1.9.0 ou version ultérieure

Azure pour Python 0.40.0 ou version ultérieure

Kit de développement logiciel (SDK) Azure pour Ruby 0.17.1 ou version ultérieure

Pour afficher et utiliser les opérations de données dans l’API REST, vous devez définir le paramètre api-version sur
la version suivante ou ultérieure :
01-07-2018

Actions
L’autorisation Actions spécifie les opérations d’administration que le rôle autorise. Il s’agit d’un ensemble de
chaînes d’opération qui identifient les opérations sécurisables des fournisseurs de ressources Azure. Voici quelques
exemples d’opérations de gestion qui peuvent être utilisées dans Actions .

CHAÎNE D’OPÉRATION DESCRIPTION

*/read Accorde l’accès aux opérations de lecture pour tous les types
de ressources de l’ensemble des fournisseurs de ressources
Azure.

Microsoft.Compute/* Accorde l’accès à l’ensemble des opérations pour tous les types
de ressources dans le fournisseur de ressources
Microsoft.Compute.

Microsoft.Network/*/read Accorde l’accès aux opérations de lecture pour tous les types
de ressources dans le fournisseur de ressources
Microsoft.Network d’Azure.

Microsoft.Compute/virtualMachines/* Accorde l’accès à toutes les opérations des machines virtuelles


et à leurs types de ressources enfants.

microsoft.web/sites/restart/Action Accorde l’accès au redémarrage d’une application web.

NotActions
L’autorisation NotActions spécifie les opérations de gestion qui sont exclues des Actions autorisées. Utilisez
l’autorisation NotActions si l’ensemble des opérations que vous souhaitez autoriser est plus facile à définir en
excluant les opérations restreintes. L’accès accordé par un rôle (autorisations effectives) est calculé en soustrayant
les opérations NotActions des opérations Actions .

NOTE
Si un utilisateur se voit attribuer un rôle qui exclut une opération dans NotActions , et un second rôle qui accorde l’accès à
cette même opération, il est autorisé à effectuer celle-ci. NotActions n’est pas une règle de refus : il s’agit simplement d’un
moyen pratique pour créer un ensemble d’opérations autorisées lorsque des opérations spécifiques doivent être exclues.

DataActions
L’autorisation DataActions spécifie les opérations de données que le rôle autorise sur vos données au sein de cet
objet. Par exemple, si un utilisateur dispose d’un accès en lecture aux données blob d’un compte de stockage, il peut
lire les objets blob de ce compte de stockage. Voici quelques exemples d’opérations sur les données qui peuvent être
utilisées dans DataActions .

CHAÎNE D’OPÉRATION DESCRIPTION

Microsoft.Storage/storageAccounts/ Retourne un objet blob ou une liste d'objets blob.


blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/ Retourne le résultat de l'écriture d'un objet blob.


blobServices/containers/blobs/write

Microsoft.Storage/storageAccounts/ Retourne un message.


queueServices/queues/messages/read

Microsoft.Storage/storageAccounts/ Retourne un message ou le résultat de l’écriture ou de la


queueServices/queues/messages/* suppression d’un message.
NotDataActions
L’autorisation NotDataActions spécifie les opérations sur les données qui sont exclues des DataActions autorisées.
L’accès accordé par un rôle (autorisations effectives) est calculé en soustrayant les opérations NotDataActions des
opérations DataActions . Chaque fournisseur de ressources fournit son propre ensemble d’API pour répondre à des
opérations sur les données.

NOTE
Si un utilisateur se voit attribuer un rôle qui exclut une opération sur les données dans NotDataActions , et un second rôle
qui accorde l’accès à cette même opération, il est autorisé à effectuer celle-ci. NotDataActions n’est pas une règle de refus : il
s’agit simplement d’un moyen pratique pour créer un ensemble d’opérations sur les données autorisées lorsque des
opérations sur les données spécifiques doivent être exclues.

AssignableScopes
La propriété AssignableScopes spécifie les étendues (groupes d’administration, abonnements, groupes de
ressources ou ressources) qui disposent de cette définition de rôle. Vous pouvez mettre le rôle à disposition pour
pouvoir l’attribuer uniquement dans les groupes d’administration, les abonnements ou les groupes de ressources
qui en ont besoin. Vous devez utiliser au moins un groupe de gestion, abonnement, groupe de ressources ou ID de
ressource.
La chaîne AssignableScopes est définie sur l’étendue racine ( "/" ) pour les rôles intégrés. L’étendue racine indique
que le rôle est disponible pour attribution dans toutes les étendues. Voici des exemples d’étendues assignables
valides :

LE RÔLE EST DISPONIBLE À L’ATTRIBUTION EXEMPLE

Abonnement unique "/subscriptions/{subscriptionId1}"

Deux abonnements "/subscriptions/{subscriptionId1}",


"/subscriptions/{subscriptionId2}"

Groupe de ressources réseau "/subscriptions/{subscriptionId1}/resourceGroups/Network"

Un seul groupe d’administration "/providers/Microsoft.Management/managementGroups/{groupId1}"

Groupe d’administration et abonnement "/providers/Microsoft.Management/managementGroups/{groupId1}",


/subscriptions/{subscriptionId1}",

Toutes les étendues (applicable uniquement aux rôles intégrés) "/"

Pour plus d’informations sur AssignableScopes pour des rôles personnalisés, consultez Rôles personnalisés pour les
ressources Azure.

Étapes suivantes
Rôles intégrés pour les ressources Azure
Rôles intégrés pour les ressources Azure
Opérations du fournisseur de ressources Azure Resource Manager
Lister les définitions de rôles dans le RBAC Azure
02/03/2020 • 5 minutes to read • Edit Online

Une définition de rôle est une collection d’autorisations qui peuvent être effectuées, comme lire, écrire et supprimer.
Elle est généralement simplement appelée « rôle ». Le contrôle d’accès en fonction du rôle (RBAC ) Azure compte
plus de 120 rôles intégrés. Vous pouvez également créer vos propres rôles personnalisés. Cet article explique
comment lister les rôles intégrés et personnalisés que vous pouvez utiliser pour accorder l’accès aux ressources
Azure.
Pour voir la liste des rôles d’administrateur pour Azure Active Directory, consultez Autorisations des rôles
d’administrateur dans Azure Active Directory.

Portail Azure
Répertorier tous les rôles
Suivez ces étapes pour lister tous les rôles dans le portail Azure.
1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez n’importe quelle étendue. Par
exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources,
ou une ressource.
2. Cliquez sur la ressource spécifique.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.
Vous pouvez voir le nombre d’utilisateurs et de groupes affectés à chaque rôle dans cette étendue.
Azure PowerShell
Répertorier tous les rôles
Pour lister tous les rôles dans Azure PowerShell, utilisez Get-AzRoleDefinition.

Get-AzRoleDefinition | FT Name, Description

AcrImageSigner acr image signer


AcrQuarantineReader acr quarantine data reader
AcrQuarantineWriter acr quarantine data writer
API Management Service Contributor Can manage service and the APIs
API Management Service Operator Role Can manage service but not the APIs
API Management Service Reader Role Read-only access to service and APIs
Application Insights Component Contributor Can manage Application Insights components
Application Insights Snapshot Debugger Gives user permission to use Application Insights Snapshot
Debugge...
Automation Job Operator Create and Manage Jobs using Automation Runbooks.
Automation Operator Automation Operators are able to start, stop, suspend, and
resume ...
...

Lister les définitions de rôle


Pour lister les détails d’un rôle spécifique, utilisez Get-AzRoleDefinition.

Get-AzRoleDefinition <role_name>
PS C:\> Get-AzRoleDefinition "Contributor"

Name :
Contributor
Id :
b24988ac-6180-42a0-ab88-20f7382dd24c
IsCustom :
False
Description :
Lets you manage everything except access to resources.
Actions :
{*}
NotActions :
{Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
Microsoft.Authorization/elevateAccess/Action}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/}

Lister les définitions de rôle au format JSON


Pour lister un rôle au format JSON, utilisez Get-AzRoleDefinition.

Get-AzRoleDefinition <role_name> | ConvertTo-Json

PS C:\> Get-AzRoleDefinition "Contributor" | ConvertTo-Json

{
"Name": "Contributor",
"Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"IsCustom": false,
"Description": "Lets you manage everything except access to resources.",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete"
],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}

Lister les autorisations d’une définition de rôle


Pour lister les autorisations pour un rôle spécifique, utilisez Get-AzRoleDefinition.

Get-AzRoleDefinition <role_name> | FL Actions, NotActions

PS C:\> Get-AzRoleDefinition "Contributor" | FL Actions, NotActions

Actions : {*}
NotActions : {Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
Microsoft.Authorization/elevateAccess/Action,
Microsoft.Blueprint/blueprintAssignments/write...}

(Get-AzRoleDefinition <role_name>).Actions
PS C:\> (Get-AzRoleDefinition "Virtual Machine Contributor").Actions

Microsoft.Authorization/*/read
Microsoft.Compute/availabilitySets/*
Microsoft.Compute/locations/*
Microsoft.Compute/virtualMachines/*
Microsoft.Compute/virtualMachineScaleSets/*
Microsoft.DevTestLab/schedules/*
Microsoft.Insights/alertRules/*
Microsoft.Network/applicationGateways/backendAddressPools/join/action
Microsoft.Network/loadBalancers/backendAddressPools/join/action
...

D’Azure CLI
Répertorier tous les rôles
Pour lister tous les rôles dans Azure CLI, utilisezaz role definition list.

az role definition list

L’exemple suivant liste le nom et la description de toutes les définitions de rôles disponibles :

az role definition list --output json | jq '.[] | {"roleName":.roleName, "description":.description}'

{
"roleName": "API Management Service Contributor",
"description": "Can manage service and the APIs"
}
{
"roleName": "API Management Service Operator Role",
"description": "Can manage service but not the APIs"
}
{
"roleName": "API Management Service Reader Role",
"description": "Read-only access to service and APIs"
}

...

L’exemple suivant liste tous les rôles intégrés.

az role definition list --custom-role-only false --output json | jq '.[] | {"roleName":.roleName,


"description":.description, "roleType":.roleType}'
{
"roleName": "API Management Service Contributor",
"description": "Can manage service and the APIs",
"roleType": "BuiltInRole"
}
{
"roleName": "API Management Service Operator Role",
"description": "Can manage service but not the APIs",
"roleType": "BuiltInRole"
}
{
"roleName": "API Management Service Reader Role",
"description": "Read-only access to service and APIs",
"roleType": "BuiltInRole"
}

...

Lister les définitions de rôle


Pour lister les détails d’un rôle, utilisez az role definition list.

az role definition list --name <role_name>

L’exemple suivant liste la définition de rôle Contributeur :

az role definition list --name "Contributor"

[
{
"additionalProperties": {},
"assignableScopes": [
"/"
],
"description": "Lets you manage everything except access to resources.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action"
],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
]

Lister les autorisations d’une définition de rôle


L’exemple suivant liste simplement les actions et les notActions du rôle Contributeur.
az role definition list --name "Contributor" --output json | jq '.[] | {"actions":.permissions[0].actions,
"notActions":.permissions[0].notActions}'

{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action"
]
}

L’exemple suivant liste simplement les actions du rôle Contributeur de machines virtuelles.

az role definition list --name "Virtual Machine Contributor" --output json | jq '.[] | .permissions[0].actions'

[
"Microsoft.Authorization/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",

...

"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
]

Étapes suivantes
Rôles intégrés pour les ressources Azure
Rôles personnalisés pour les ressources Azure
Lister les attributions de rôles à l’aide du RBAC Azure et du portail Azure
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et du portail Azure
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide du portail Azure.

NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.

Lister les attributions de rôles pour un utilisateur ou un groupe


La façon la plus simple de voir les rôles attribués à un utilisateur ou à un groupe dans un abonnement consiste à
utiliser le volet Ressources Azure.
1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez Utilisateurs ou Groupes.
2. Cliquez sur l’utilisateur ou le groupe pour lequel vous voulez lister les attributions de rôles.
3. Cliquez sur Ressources Azure.
Vous voyez une liste de rôles attribués à l’utilisateur ou au groupe sélectionné dans différentes étendues,
comme un groupe d’administration, un abonnement, un groupe de ressources ou une ressource. Cette liste
inclut toutes les attributions de rôles que vous êtes autorisé à lire.

4. Pour changer d’abonnement, cliquez sur la liste Abonnements.

Répertorier les propriétaires d’un abonnement


Les utilisateurs qui se sont vu attribuer le rôle Propriétaire pour un abonnement peuvent gérer tous les éléments
de l’abonnement. Procédez comme suit pour répertorier les propriétaires d’un abonnement.
1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.
2. Cliquez sur l’abonnement dont vous souhaitez répertorier les propriétaires.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cet
abonnement.
5. Faites défiler la page jusqu’à la section Propriétaires pour voir tous les utilisateurs auxquels le rôle
Propriétaire a été attribué pour cet abonnement.

Lister les attributions de rôles dans une étendue


1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez
sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.
2. Cliquez sur la ressource spécifique.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.
L’onglet Attributions de rôles indique les personnes qui ont accès à cette étendue. Notez que certains rôles
sont inclus dans l’étendue de cette ressource, tandis que d’autres sont hérités à partir d’une autre étendue.
L’accès est attribué spécifiquement à cette ressource ou hérité d’une affectation à l’étendue parente.

Lister les attributions de rôles pour un utilisateur dans une étendue


Pour lister l’accès pour un utilisateur, un groupe, un principal de service ou une identité managée, vous listez leurs
attributions de rôles. Suivez ces étapes pour lister les attributions de rôles pour un utilisateur, un groupe, un
principal de service ou une identité managée dans une étendue particulière.
1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez
sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.
2. Cliquez sur la ressource spécifique.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Vérifier l’accès.
5. Dans la liste Rechercher, sélectionnez le type principal de sécurité dont vous souhaitez contrôler l’accès.
6. Dans la zone de recherche, entrez une chaîne afin de rechercher, dans le répertoire, des noms d’affichage,
des adresses e-mail ou des identificateurs d’objet.

7. Cliquez sur le principal de sécurité pour ouvrir le volet Affectations.


Dans ce volet, vous pouvez voir les rôles attribués au principal de sécurité sélectionné et la portée. S’il existe
des affectations de refus dans cette étendue, ou héritées par cette étendue, elles sont listées.

Répertorier les attributions de rôles pour une identité gérée affectée


par le système
1. Dans le Portail Azure, ouvrez une identité gérée affectée par le système.
2. Dans le menu de gauche, cliquez sur identité.

3. Sous Attributions de rôle, cliquez sur Afficher les rôles RBAC Azure affectés à cette identité gérée.
Vous voyez une liste de rôles affectés à l’identité gérée affectée par le système sélectionnée à différentes
étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste
inclut toutes les attributions de rôles que vous êtes autorisé à lire.
Répertorier les attributions de rôles pour une identité gérée affectée
par l’utilisateur
1. Dans le Portail Azure, ouvrez une identité gérée affectée par l’utilisateur.
2. Cliquez sur Ressources Azure.
Vous voyez une liste de rôles affectés à l’identité gérée affectée à l’utilisateur sélectionnée à différentes
étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste
inclut toutes les attributions de rôles que vous êtes autorisé à lire.

3. Pour changer d’abonnement, cliquez sur la liste Abonnements.

Répertorier le nombre d’attributions de rôles


Vous pouvez avoir jusqu’à 2 000 attributions de rôles dans chaque abonnement. Pour vous aider à suivre ces
limites, l’onglet Attributions de rôles comprend un graphique qui répertorie le nombre actuel d’attributions de
rôles.
Si vous vous approchez du nombre maximal et que vous essayez d’ajouter d’autres attributions de rôles, un
avertissement s’affiche dans le volet Ajouter une attribution de rôle. Vous pouvez réduire le nombre
d’attributions de rôles en supprimant les attributions de rôles qui ne sont plus nécessaires ou en attribuant des
rôles à des groupes plutôt qu’à des utilisateurs individuels.

Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et du portail Azure
Résoudre des problèmes liés au contrôle d'accès en fonction du rôle pour les ressources Azure
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide d’Azure PowerShell.

NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.

Conditions préalables requises


PowerShell dans Azure Cloud Shell ou Azure PowerShell

Lister les attributions de rôles pour l’abonnement actuel


Le moyen le plus simple d’obtenir une liste de toutes les attributions de rôle de l’abonnement actuel (y compris les
attributions de rôle héritées de la racine et des groupes de gestion) consiste à utiliser Get-AzRoleAssignment sans
aucun paramètre.

Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : Alain
SignInName : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-
sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Marketing
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : Group
CanDelegate : False

...

Répertorier les attributions de rôles pour un abonnement


Pour lister toutes les attributions de rôle dans l’étendue d’un abonnement, utilisez Get-AzRoleAssignment. Pour
obtenir l’ID d’abonnement, vous pouvez le trouver dans le panneau Abonnements du portail Azure ou utiliser
Get-AzSubscription.

Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>

PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000

Répertorier les attributions de rôles pour un utilisateur


Pour répertorier tous les rôles qui sont attribués à un utilisateur, utilisez Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname>

PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope

DisplayName : Isabella Simonsen


RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Pour répertorier tous les rôles attribués à un utilisateur et les rôles attribués aux groupes auxquels appartient
l’utilisateur, utilisez Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups


Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName,
RoleDefinitionName, Scope

Lister les attributions de rôles pour un groupe de ressources


Pour lister toutes les attributions de rôle dans l’étendue d’un groupe de ressources, utilisez Get-AzRoleAssignment.

Get-AzRoleAssignment -ResourceGroupName <resource_group_name>

PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope

DisplayName : Alain Charon


RoleDefinitionName : Backup Operator
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName : Isabella Simonsen


RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName : Alain Charon


RoleDefinitionName : Virtual Machine Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Lister les attributions de rôles pour un groupe d’administration


Pour lister toutes les attributions de rôle dans l’étendue d’un groupe d’administration, utilisez Get-
AzRoleAssignment. Pour obtenir l’ID du groupe d’administration, accédez au panneau Groupes d’administration
dans le portail Azure ou utilisez Get-AzManagementGroup.

Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>

PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group

Répertorier les attributions de rôles pour l’administrateur de service


classique et les coadministrateurs
Pour lister les attributions de rôle des administrateurs et des coadministrateurs d’abonnements classiques, utilisez
Get-AzRoleAssignment.

Get-AzRoleAssignment -IncludeClassicAdministrators

Lister les attributions de rôles pour une identité managée


1. Obtenez l’ID d’objet de l’identité managée attribuée par le système ou par l’utilisateur.
Pour obtenir l'ID d’objet d'une identité managée attribuée par l'utilisateur, vous pouvez utiliser Get-
AzADServicePrincipal.

Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"


2. Pour lister les attributions de rôles, utilisez AzRoleAssignment.

Get-AzRoleAssignment -ObjectId <objectid>

Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et d’Azure PowerShell
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide d’Azure CLI.

NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.

Prérequis
Bash Azure Cloud Shell ou Azure CLI

Répertorier les attributions de rôles pour un utilisateur


Pour lister les attributions de rôles d’un utilisateur déterminé, utilisez az role assignment list :

az role assignment list --assignee <assignee>

Par défaut, seules les attributions de rôles de l'abonnement actuel sont affichées. Pour afficher les attributions de
rôles de l’abonnement actuel et antérieur, ajoutez le paramètre --all . Pour afficher les attributions de rôles
héritées, ajoutez le paramètre --include-inherited .
L’exemple suivant liste les attributions de rôles octroyées directement à l’utilisateur patlong@contoso.com :

az role assignment list --all --assignee patlong@contoso.com --output json | jq '.[] |


{"principalName":.principalName, "roleDefinitionName":.roleDefinitionName, "scope":.scope}'

{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}

Lister les attributions de rôles pour un groupe de ressources


Pour lister les attributions de rôle qui existent dans l’étendue d’un groupe de ressources, utilisez az role assignment
list :

az role assignment list --resource-group <resource_group>


L’exemple suivant liste les attributions de rôles du groupe de ressources pharma -sales :

az role assignment list --resource-group pharma-sales --output json | jq '.[] |


{"principalName":.principalName, "roleDefinitionName":.roleDefinitionName, "scope":.scope}'

{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}

...

Répertorier les attributions de rôles pour un abonnement


Pour lister toutes les attributions de rôle dans l’étendue d’un abonnement, utilisez az role assignment list. Pour
obtenir l’ID d’abonnement, accédez au panneau Abonnements du portail Azure ou utilisez az account list.

az role assignment list --subscription <subscription_name_or_id>

az role assignment list --subscription 00000000-0000-0000-0000-000000000000 --output json | jq '.[] |


{"principalName":.principalName, "roleDefinitionName":.roleDefinitionName, "scope":.scope}'

Lister les attributions de rôles pour un groupe d’administration


Pour lister toutes les attributions de rôle dans l’étendue d’un groupe d’administration, utilisez az role assignment
list. Pour obtenir l’ID du groupe d’administration, accédez au panneau Groupes d’administration dans le portail
Azure ou utilisez az account management-group list.

az role assignment list --scope /providers/Microsoft.Management/managementGroups/<group_id>

az role assignment list --scope /providers/Microsoft.Management/managementGroups/marketing-group --output json


| jq '.[] | {"principalName":.principalName, "roleDefinitionName":.roleDefinitionName, "scope":.scope}'

Lister les attributions de rôles pour une identité managée


1. Obtenez l’ID d’objet de l’identité managée attribuée par le système ou par l’utilisateur.
Pour obtenir l'ID d’objet d'une identité managée attribuée par l'utilisateur, vous pouvez utiliseraz ad sp list
ou az identity list.

az ad sp list --display-name "<name>" --query [].objectId --output tsv

Pour obtenir l'ID d’objet d'une identité managée attribuée par le système, vous pouvez utiliser az ad sp list.
az ad sp list --display-name "<vmname>" --query [].objectId --output tsv

2. Pour lister les attributions de rôles, utilisez az role assignment list.


Par défaut, seules les attributions de rôles de l'abonnement actuel sont affichées. Pour afficher les
attributions de rôles de l’abonnement actuel et antérieur, ajoutez le paramètre --all . Pour afficher les
attributions de rôles héritées, ajoutez le paramètre --include-inherited .

az role assignment list --assignee <objectid>

Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et d’Azure CLI
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide de l’API REST.

NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.

Répertorier les attributions de rôles


Dans le contrôle d’accès en fonction du rôle, vous répertoriez les attributions de rôles pour énumérer les accès.
Pour répertorier les attributions de rôles, utilisez l’une des API REST de la liste d’attributions de rôles. Pour affiner
vos résultats, vous spécifiez une étendue et un filtre facultatif.
1. Commencez par la requête suivante :

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-
version=2015-07-01&$filter={filter}

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les attributions de rôle.

ÉTENDUE TYPE

Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}

subscriptions/{subscriptionId1} Subscription

Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

Dans l’exemple précédent, microsoft.web est un fournisseur de ressources qui fait référence à une instance
App Service. De la même façon, vous pouvez utiliser tout autre fournisseur de ressources et spécifier
l’étendue. Pour plus d’informations, consultez Fournisseurs et types de ressources Azure et Opérations du
fournisseur de ressources Azure Resource Manager prises en charge.
3. Remplacez {filter } par la condition que vous voulez appliquer pour filtrer la liste des attributions de rôle.

FILTRER DESCRIPTION

$filter=atScope() Répertorie les attributions de rôles pour l’étendue spécifiée


seulement, sans y inclure les attributions de rôles à des
étendues secondaires.
FILTRER DESCRIPTION

$filter=principalId%20eq%20'{objectId}' Répertorie les attributions de rôles pour un utilisateur, un


groupe ou un principal de service spécifié.

$filter=assignedTo('{objectId}') Répertorie les attributions de rôles pour un utilisateur ou


un principal de service spécifié. Si l’utilisateur est membre
d’un groupe auquel un rôle a été attribué, cette attribution
de rôle est également répertoriée. Ce filtre est transitif
pour les groupes, ce qui signifie que si l’utilisateur est
membre d’un groupe et que ce groupe est membre d’un
autre groupe auquel un rôle a été attribué, cette
attribution de rôle est également répertoriée. Ce filtre
accepte uniquement un ID d’objet pour un utilisateur ou
principal de service. Vous ne pouvez pas transmettre un
ID d’objet pour un groupe.

Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et de l’API REST
Référence de l'API REST Azure
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes,
aux principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles à l’aide du portail Azure.
Si vous devez attribuer des rôles d’administrateur dans Azure Active Directory, consultez Afficher et attribuer des
rôles d’administrateur dans Azure Active Directory.

Prérequis
Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/write et
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou
Propriétaire de l’accès utilisateur

Contrôle d’accès (IAM)


Le panneau Contrôle d’accès (IAM ) vous permet d’attribuer des rôles afin d’accorder l’accès aux ressources
Azure. Il permet de gérer les identités et les accès et apparaît dans plusieurs emplacements du portail Azure.
Voici un exemple de panneau Contrôle d'accès (IAM ) pour un abonnement.
Pour utiliser le panneau Contrôle d’accès (IAM ) avec une efficacité optimale, il est judicieux de pouvoir répondre
aux trois questions suivantes quand vous essayez d’attribuer un rôle :
1. Qui a besoin d’accéder ?
Qui fait référence à un utilisateur, à un groupe, à un principal de service ou à une identité gérée ? C’est
également ce qu’on appelle un principal de sécurité.
2. De quel rôle ont-ils besoin ?
Les autorisations sont regroupées dans des rôles. Vous pouvez effectuer une sélection dans une liste de
plusieurs rôles intégrés ou utiliser vos propres rôles personnalisés.
3. Où ont-ils besoin d’accéder ?
Where représente l’ensemble des ressources auxquelles l’accès s’applique.Where peut être un groupe
d’administration, un abonnement, un groupe de ressources ou une ressource unique telle qu’un compte de
stockage. C’est ce qu’on appelle l’étendue.

Ajouter une attribution de rôle


Dans Azure RBAC, vous devez ajouter une attribution de rôle pour accorder l’accès à une ressource Azure. Suivez
ces étapes pour attribuer un rôle.
1. Dans le Portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue à laquelle vous souhaitez
accorder l’accès. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements,
Groupes de ressources, ou une ressource.
2. Cliquez sur la ressource spécifique pour cette étendue.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cette étendue.

5. Cliquez sur Ajouter > Ajouter une attribution de rôle.


Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera
désactivée.
Le volet Ajouter une attribution de rôle s’ouvre.

6. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.
7. Dans la liste Sélectionner, sélectionnez un utilisateur, un groupe, un principal de service ou une identité
gérée. Si vous ne voyez pas le principal de sécurité dans la liste, vous pouvez saisir du texte dans la zone
Sélectionner pour rechercher des noms d’affichage, des adresses de messagerie et des identificateurs
d’objet dans le répertoire.
8. Cliquez sur Enregistrer pour attribuer le rôle.
Après quelques instants, le principal de sécurité est attribué au rôle dans l’étendue sélectionnée.
Attribuer à un utilisateur en tant qu’administrateur d’un abonnement
Pour faire d’un utilisateur un administrateur d’un abonnement Azure, attribuez-lui le rôle Propriétaire au niveau
de l’abonnement. Le rôle Propriétaire donne à l’utilisateur un accès total à toutes les ressources de l’abonnement,
notamment l’autorisation d’accorder l’accès à d’autres personnes. Ces étapes sont les mêmes que celles de
n’importe quelle autre attribution de rôle.
1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.
2. Cliquez sur l’abonnement pour lequel vous souhaitez accorder l’accès.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cet abonnement.

5. Cliquez sur Ajouter > Ajouter une attribution de rôle.


Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera
désactivée.

Le volet Ajouter une attribution de rôle s’ouvre.


6. Dans la liste déroulante Rôle, sélectionnez le rôle Propriétaire.
7. Dans la liste Sélectionner, sélectionnez un utilisateur. Si vous ne voyez pas l’utilisateur dans la liste, vous
pouvez taper dans la zone Sélectionner pour rechercher des noms d’affichage et des adresses e-mail
dans l’annuaire.
8. Cliquez sur Enregistrer pour attribuer le rôle.
Après quelques instants, le rôle Propriétaire est attribué à l’utilisateur au niveau de l’abonnement.

Supprimer une attribution de rôle


Dans Azure RBAC, vous devez supprimer une attribution de rôle pour supprimer l’accès à une ressource Azure.
Suivez ces étapes pour supprimer une attribution de rôle.
1. Ouvrez Contrôle d’accès (IAM ) dans une étendue, par exemple un groupe d’administration, un
abonnement, un groupe de ressources ou une ressource pour lesquels vous souhaitez supprimer l’accès.
2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cet
abonnement.
3. Dans la liste des attributions de rôle, ajoutez une coche à côté du principal de sécurité comportant
l’attribution de rôle que vous souhaitez supprimer.
4. Cliquez sur Supprimer.

5. Dans le message d’attribution de rôle qui s’affiche, cliquez sur Oui.


Si vous voyez un message indiquant que les attributions de rôles héritées ne peuvent pas être supprimées,
cela signifie que vous tentez de supprimer une attribution de rôle dans une étendue enfant. Vous devez
ouvrir le contrôle d’accès (IAM ) dans l’étendue où le rôle a été attribué, puis réessayer. Un moyen rapide
d’ouvrir le contrôle d’accès (IAM ) à l’étendue correcte consiste à examiner la colonne Étendue, puis à
cliquer sur le lien à côté de (Héritée) .

Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et du portail Azure
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Résoudre des problèmes liés au contrôle d'accès en fonction du rôle pour les ressources Azure
Organiser vos ressources avec des groupes d’administration Azure
minutes to read • Edit Online

La fonctionnalité de contrôle d’accès en fonction du rôle (RBAC ) Azure permet une meilleure gestion de la sécurité
pour les grandes organisations et pour les PME travaillant avec des collaborateurs externes, des fournisseurs ou
des travailleurs indépendants qui doivent pouvoir accéder à des ressources spécifiques de votre environnement,
mais pas nécessairement à l’ensemble de l’infrastructure ou aux étendues liées à la facturation. Vous pouvez utiliser
les fonctionnalités offertes dans Azure Active Directory B2B pour collaborer avec des utilisateurs invités externes.
Vous pouvez aussi utiliser le contrôle d’accès en fonction du rôle (RBAC ) pour accorder uniquement les
autorisations dont les utilisateurs invités ont besoin dans votre environnement.

Conditions préalables requises


Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/writeet
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou Propriétaire
de l’accès utilisateur

Quand voulez-vous convier des utilisateurs invités ?


Voici quelques exemples de scénarios où vous pourriez convier des utilisateurs invités à votre organisation pour
leur octroyer des autorisations :
Autoriser un fournisseur externe indépendant qui dispose uniquement d’un compte e-mail à accéder à vos
ressources Azure dans le cadre d’un projet.
Autoriser un partenaire externe à gérer certaines ressources ou un abonnement entier.
Autoriser les ingénieurs du support technique ne faisant pas partie de votre organisation, par exemple les
ingénieurs du support technique Microsoft, à accéder temporairement à vos ressources Azure pour résoudre
des problèmes.

Différences d’autorisation entre les utilisateurs membres et les


utilisateurs invités
Les membres natifs d’un annuaire (utilisateurs membres) ont des autorisations différentes de celles des utilisateurs
invités appartenant à un autre annuaire, comme un invité à la collaboration B2B (utilisateurs invités). Par exemple,
les utilisateurs membres peuvent lire presque toutes les informations d’annuaire tandis que les utilisateurs invités
disposent d’autorisations limitées sur l’annuaire. Pour plus d’informations sur les utilisateurs membres et les
utilisateurs invités, consultez Quelles sont les autorisations utilisateur par défaut dans Azure Active Directory ?

Ajouter un utilisateur invité à votre annuaire


Effectuez les étapes suivantes pour ajouter un utilisateur invité à votre annuaire à l’aide de la page Azure Active
Directory.
1. Assurez-vous que les paramètres de collaboration externe de votre organisation sont configurés de telle
sorte que vous êtes autorisé à inviter des invités. Pour plus d’informations, consultez Permettre une
collaboration B2B externe et gérer les utilisateurs autorisés à en inviter d’autres.
2. Dans le portail Azure, cliquez sur Azure Active Directory > Utilisateurs > Nouvel utilisateur invité.
3. Suivez les étapes pour ajouter un nouvel utilisateur invité. Pour plus d’informations, consultez Ajouter des
utilisateurs Azure Active Directory B2B Collaboration dans le portail Azure.
Après avoir ajouté un utilisateur invité dans l’annuaire, vous pouvez envoyer à l’utilisateur invité un lien direct vers
une application partagée, ou l’utilisateur invité peut cliquer sur l’URL d’échange dans l’e-mail d’invitation.
Pour que l’utilisateur invité soit en mesure d’accéder à votre annuaire, il doit compléter le processus d’invitation.
Pour plus d’informations sur le processus d’invitation, consultez Utilisation d’invitations Azure Active Directory
B2B Collaboration.

Ajouter une attribution de rôle pour un utilisateur invité


Dans le contrôle d’accès en fonction du rôle, vous attribuez un rôle pour accorder l’accès. Pour ajouter une
attribution de rôle pour un utilisateur invité, vous suivez les mêmes étapes que pour un utilisateur membre, un
groupe, un principal du service ou une identité managée. Suivez ces étapes pour ajouter une attribution de rôle
pour un utilisateur invité dans différentes étendues.
1. Dans le portail Azure, cliquez sur Tous les services.
2. Sélectionnez l’ensemble de ressources auquel s’applique l’accès, également appelé étendue.Par exemple,
vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une
ressource.
3. Cliquez sur la ressource spécifique.
4. Cliquez sur Contrôle d’accès (IAM ) .
La capture d’écran suivante montre un exemple de panneau Contrôle d’accès (IAM ) pour un groupe de
ressources. Si vous modifiez le contrôle d’accès ici, cette modification s’applique simplement au groupe de
ressources.
5. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.
6. Cliquez sur Ajouter > Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de
rôle.
Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera
désactivée.

7. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.
8. Dans la liste Sélectionner, sélectionnez l’utilisateur invité. Si vous ne voyez pas le l’utilisateur dans la liste,
vous pouvez saisir du texte dans la zone Sélectionner pour rechercher des noms d’affichage, des adresses
e-mail et des identificateurs d’objet dans l’annuaire.
9. Cliquez sur Enregistrer pour attribuer le rôle à l’étendue sélectionnée.

Ajouter une attribution de rôle pour un utilisateur invité ne figurant pas


encore dans votre annuaire
Pour ajouter une attribution de rôle pour un utilisateur invité, vous suivez les mêmes étapes que pour un utilisateur
membre, un groupe, un principal du service ou une identité managée.
Si l’utilisateur invité ne figure pas encore dans votre annuaire, vous pouvez l’inviter directement à partir du volet
Ajouter une attribution de rôle.
1. Dans le portail Azure, cliquez sur Tous les services.
2. Sélectionnez l’ensemble de ressources auquel s’applique l’accès, également appelé étendue.Par exemple,
vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une
ressource.
3. Cliquez sur la ressource spécifique.
4. Cliquez sur Contrôle d’accès (IAM ) .
5. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.
6. Cliquez sur Ajouter > Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de
rôle.

7. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.
8. Dans la liste Sélectionner, tapez l’adresse e-mail de la personne que vous voulez inviter, puis sélectionnez
cette personne.

9. Cliquez sur Enregistrer pour ajouter l’utilisateur invité à votre annuaire, attribuer le rôle, puis envoyer une
invitation.
Après quelques minutes, vous voyez une notification de l’attribution de rôle et des informations sur
l’invitation.
10. Pour inviter manuellement l’utilisateur invité, cliquez avec le bouton droit et copiez le lien d’invitation inclus
dans la notification. Ne cliquez pas sur le lien d’invitation, car cela démarre le processus d’invitation.
Le lien d’invitation est au format suivant :
https://invitations.microsoft.com/redeem/...

11. Envoyez le lien d’invitation à l’utilisateur invité pour qu’il termine le processus d’invitation.
Pour plus d’informations sur le processus d’invitation, consultez Utilisation d’invitations Azure Active
Directory B2B Collaboration.

Supprimer un utilisateur invité de votre annuaire


Avant de supprimer un utilisateur invité d’un annuaire, vous devez d’abord supprimer toutes ses attributions de
rôle. Suivez ces étapes pour supprimer un utilisateur invité d’un annuaire.
1. Ouvrez Contrôle d’accès (IAM ) dans une étendue, comme un groupe d’administration, un abonnement,
un groupe de ressources ou une ressource, dans laquelle l’utilisateur invité a une attribution de rôle.
2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôle.
3. Dans la liste des attributions de rôle, ajoutez une coche en regard de l’utilisateur invité comportant
l’attribution de rôle à supprimer.

4. Cliquez sur Supprimer.


5. Dans le message d’attribution de rôle qui s’affiche, cliquez sur Oui.
6. Dans la barre de navigation gauche, cliquez sur Azure Active Directory > Utilisateurs.
7. Cliquez sur l’utilisateur invité à supprimer.
8. Cliquez sur Supprimer.

9. Dans le message de suppression qui apparaît, cliquez sur Yes (Oui).

Dépanner
Impossible pour l’utilisateur invité de parcourir l’annuaire
Les utilisateurs invités disposent d'autorisations d'annuaire limitées. Par exemple, les utilisateurs invités ne peuvent
pas parcourir l’annuaire ni rechercher des groupes ou des applications. Pour plus d’informations, consultez Quelles
sont les autorisations utilisateur par défaut dans Azure Active Directory ?
Si un utilisateur invité a besoin de privilèges supplémentaires sur l’annuaire, vous pouvez lui attribuer un rôle
d’annuaire. Si vous voulez vraiment qu’un utilisateur invité dispose d’un accès en lecture complet à votre annuaire,
vous pouvez l’ajouter au rôle Lecteurs de répertoire dans Azure AD. Pour plus d’informations, consultez Accorder
des autorisations aux utilisateurs d’organisations partenaires dans votre locataire Azure Active Directory.

Impossible pour l’utilisateur invité de parcourir les utilisateurs, les groupes ou les principaux du service pour
attribuer des rôles
Les utilisateurs invités disposent d'autorisations d'annuaire limitées. Même si un utilisateur invité est propriétaire
dans une étendue, s’il essaie d’ajouter une attribution de rôle pour accorder l’accès à une autre personne, il ne peut
pas parcourir la liste des utilisateurs, des groupes ou des principaux du service.
Si l’utilisateur invité connaît le nom de connexion exact d’une personne dans l’annuaire, il peut lui accorder l’accès.
Si vous voulez vraiment qu’un utilisateur invité dispose d’un accès en lecture complet à votre annuaire, vous
pouvez l’ajouter au rôle Lecteurs de répertoire dans Azure AD. Pour plus d’informations, consultez Accorder des
autorisations aux utilisateurs d’organisations partenaires dans votre locataire Azure Active Directory.
Impossible pour l’utilisateur invité d’inscrire des applications ou de créer des principaux du service
Les utilisateurs invités disposent d'autorisations d'annuaire limitées. Si un utilisateur invité a besoin de pouvoir
inscrire des applications ou de créer des principaux du service, vous pouvez l’ajouter au rôle Développeur
d’applications dans Azure AD. Pour plus d’informations, consultez Accorder des autorisations aux utilisateurs
d’organisations partenaires dans votre locataire Azure Active Directory.
Nouvel annuaire invisible pour l’utilisateur invité
Si un utilisateur invité a reçu l’autorisation d’accéder à un nouvel annuaire, mais qu’il ne le voit pas listé dans le
portail Azure quand il essaie de basculer vers son volet Annuaire + abonnement, vérifiez qu’il a bien achevé le
processus d’invitation. Pour plus d’informations sur le processus d’invitation, consultez Utilisation d’invitations
Azure Active Directory B2B Collaboration.
Ressources invisibles pour l’utilisateur
Si un utilisateur invité a reçu l’autorisation d’accéder à un annuaire, mais qu’il ne voit pas les ressources auxquelles
il est autorisé à accéder dans le portail Azure, vérifiez qu’il a sélectionné le bon annuaire. Un utilisateur invité peut
avoir accès à plusieurs annuaires. Pour changer d’annuaire, dans le coin supérieur gauche, cliquez sur Annuaire +
abonnement, puis cliquez sur l’annuaire approprié.

Étapes suivantes
Ajouter des utilisateurs Azure Active Directory B2B Collaboration dans le Portail Azure
Propriétés d’un utilisateur Azure Active Directory B2B Collaboration
Éléments de l’e-mail d’invitation de collaboration B2B - Azure Active Directory
Ajouter un utilisateur invité en tant que coadministrateur
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes,
aux principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles à l’aide d’Azure PowerShell.

NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Conditions préalables requises


Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/writeet
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou Propriétaire
de l’accès utilisateur
PowerShell dans Azure Cloud Shell ou Azure PowerShell

Récupérer des ID d’objet


Pour ajouter ou supprimer des attributions de rôles, vous devrez peut-être spécifier l’ID unique d’un objet. L’ID a
le format : 11111111-1111-1111-1111-111111111111 . Vous pouvez récupérer l’ID à l’aide du Portail Azure ou d’Azure
PowerShell.
Utilisateur
Pour récupérer l’ID d’objet pour un utilisateur Azure AD, vous pouvez utiliser Get-AzADUser.

Get-AzADUser -StartsWith <string_in_quotes>


(Get-AzADUser -DisplayName <name_in_quotes>).id

Groupe
Pour récupérer l’ID d’objet pour un groupe Azure AD, vous pouvez utiliser Get-AzADGroup.

Get-AzADGroup -SearchString <group_name_in_quotes>


(Get-AzADGroup -DisplayName <group_name_in_quotes>).id

Application
Pour récupérer l’ID objet d’un principal de service Azure AD (identité utilisée par une application), vous pouvez
utiliser Get-AzADServicePrincipal. Pour un principal de service, utilisez l’ID d’objet et non l’ID d’application.

Get-AzADServicePrincipal -SearchString <service_name_in_quotes>


(Get-AzADServicePrincipal -DisplayName <service_name_in_quotes>).id
Ajouter une attribution de rôle
Dans le contrôle RBAC, vous ajoutez une attribution de rôle pour accorder l’accès.
Utilisateur dans l’étendue d’un groupe de ressources
Pour ajouter une attribution de rôle pour un utilisateur dans l’étendue d’un groupe de ressources, utilisez New -
AzRoleAssignment.

New-AzRoleAssignment -SignInName <email_or_userprincipalname> -RoleDefinitionName <role_name> -


ResourceGroupName <resource_group_name>

PS C:\> New-AzRoleAssignment -SignInName alain@example.com -RoleDefinitionName "Virtual Machine Contributor" -


ResourceGroupName pharma-sales

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/pr
oviders/Microsoft.Authorization/roleAssignments/55555555-5555-5555-5555-555555555555
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
SignInName : alain@example.com
RoleDefinitionName : Virtual Machine Contributor
RoleDefinitionId : 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False

Utilisation de l’ID de rôle unique


Un nom de rôle peut changer dans certaines circonstances, par exemple :
Vous utilisez vos propres rôles personnalisés et vous décidez d’en modifier le nom.
Vous utilisez un rôle en préversion dont le nom contient (préversion) . Lorsque le rôle est publié, le rôle est
renommé.

IMPORTANT
La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail en
production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez
Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Même si un rôle est renommé, l’ID de rôle ne change pas. Si vous utilisez des scripts ou une automatisation pour
créer vos attributions de rôles, il est recommandé d’utiliser l’ID de rôle unique au lieu du nom de rôle. Par
conséquent, si un rôle est renommé, vos scripts sont plus susceptibles de fonctionner.
Pour ajouter une attribution de rôle à l’aide de l’ID de rôle unique au lieu du nom de rôle, utilisez New -
AzRoleAssignment.

New-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionId <role_id> -ResourceGroupName


<resource_group_name>

L’exemple suivant attribue le rôle Contributeur de machine virtuelle à l’utilisateur alain@exemple.com dans
l’étendue du groupe de ressources pharma -sales. Pour obtenir l’ID unique de rôle, vous pouvez utiliser Get-
AzRoleDefinition ou consulter la liste des rôles intégrés pour les ressources Azure.
PS C:\> New-AzRoleAssignment -ObjectId 44444444-4444-4444-4444-444444444444 -RoleDefinitionId 9980e02c-c2be-
4d73-94e8-173b1dc7cf3c -Scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-
sales/providers/Microsoft.Authorization/roleAssignments/55555555-5555-5555-5555-555555555555
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
SignInName : alain@example.com
RoleDefinitionName : Virtual Machine Contributor
RoleDefinitionId : 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False

Groupe dans l’étendue d’une ressource


Pour ajouter une attribution de rôle pour un groupe dans l’étendue d’une ressource, utilisez New -
AzRoleAssignment. Pour plus d’informations sur la récupération de l’ID d’objet du groupe, consultez Récupérer
des ID d’objet.

New-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName <role_name> -ResourceName <resource_name> -


ResourceType <resource_type> -ParentResource <parent resource> -ResourceGroupName <resource_group_name>

PS C:\> Get-AzADGroup -SearchString "Pharma"

SecurityEnabled DisplayName Id Type


--------------- ----------- -- ----
True Pharma Sales Admins aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa Group

PS C:\> New-AzRoleAssignment -ObjectId aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa -RoleDefinitionName "Virtual


Machine Contributor" -ResourceName RobertVirtualNetwork -ResourceType Microsoft.Network/virtualNetworks -
ResourceGroupName RobertVirtualNetworkResourceGroup

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/MyVirtualNetworkResourceGroup

/providers/Microsoft.Network/virtualNetworks/RobertVirtualNetwork/providers/Microsoft.Authorizat
ion/roleAssignments/bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb
Scope : /subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/MyVirtualNetworkResourceGroup
/providers/Microsoft.Network/virtualNetworks/RobertVirtualNetwork
DisplayName : Pharma Sales Admins
SignInName :
RoleDefinitionName : Virtual Machine Contributor
RoleDefinitionId : 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
ObjectId : aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa
ObjectType : Group
CanDelegate : False

Application dans l’étendue d’un abonnement


Pour ajouter une attribution de rôle pour une application dans l’étendue d’un abonnement, utilisez New -
AzRoleAssignment. Pour plus d’informations sur la récupération de l’ID d’objet de l’application, consultez
Récupérer des ID d’objet.

New-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName <role_name> -Scope


/subscriptions/<subscription_id>
PS C:\> New-AzRoleAssignment -ObjectId 77777777-7777-7777-7777-777777777777 -RoleDefinitionName "Reader" -
Scope /subscriptions/00000000-0000-0000-0000-000000000000

RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/66666666-6666-6666-6666-666666666666
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : MyApp1
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 77777777-7777-7777-7777-777777777777
ObjectType : ServicePrincipal
CanDelegate : False

Utilisateur dans l’étendue d’un groupe d’administration


Pour ajouter une attribution de rôle pour un utilisateur dans l’étendue d’un groupe d’administration, utilisez New -
AzRoleAssignment. Pour obtenir l’ID du groupe d’administration, accédez au panneau Groupes
d’administration dans le portail Azure ou utilisez Get-AzManagementGroup.

New-AzRoleAssignment -SignInName <email_or_userprincipalname> -RoleDefinitionName <role_name> -Scope


/providers/Microsoft.Management/managementGroups/<group_id>

PS C:\> New-AzRoleAssignment -SignInName alain@example.com -RoleDefinitionName "Billing Reader" -Scope


/providers/Microsoft.Management/managementGroups/marketing-group

RoleAssignmentId : /providers/Microsoft.Management/managementGroups/marketing-
group/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /providers/Microsoft.Management/managementGroups/marketing-group
DisplayName : Alain Charon
SignInName : alain@example.com
RoleDefinitionName : Billing Reader
RoleDefinitionId : fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False

Supprimer une attribution de rôle


Pour supprimer l’accès dans RBAC, supprimez une attribution de rôle en utilisant Remove-AzRoleAssignment.
L’exemple suivant retire l’attribution de rôle Collaborateur de machine virtuelle à l’utilisateur alain@example.com
dans le groupe de ressources pharma -sales :

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com -RoleDefinitionName "Virtual Machine


Contributor" -ResourceGroupName pharma-sales

L’exemple suivant retire le rôle <nom_du_rôle> à <id_objet> dans l’étendue d’un abonnement.

Remove-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName <role_name> -Scope


/subscriptions/<subscription_id>

L’exemple suivant retire le rôle <nom_du_rôle> à <id_objet> dans l’étendue d’un groupe d’administration.

Remove-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName <role_name> -Scope


/providers/Microsoft.Management/managementGroups/<group_id>
Si vous obtenez le message d’erreur : « Les informations fournies ne dirigent pas à une attribution de rôle », veillez
à vérifier que vous avez aussi spécifié les paramètres -Scope ou -ResourceGroupName . Pour plus d’informations,
consultez Résoudre des problèmes liés au contrôle d’accès en fonction du rôle pour les ressources Azure.

Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et d’Azure PowerShell
Tutoriel : Permettre à un groupe d'accéder aux ressources Azure à l'aide du contrôle RBAC et d'Azure
PowerShell
Tutoriel : Créer un rôle personnalisé pour les ressources Azure à l'aide d'Azure PowerShell
Gérer les ressources avec Azure PowerShell
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux
principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles avec Azure CLI.

Prérequis
Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/writeet
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou Propriétaire
de l’accès utilisateur
Bash Azure Cloud Shell ou Azure CLI

Récupérer des ID d’objet


Pour ajouter ou supprimer des attributions de rôles, vous devrez peut-être spécifier l’ID unique d’un objet. L’ID a le
format : 11111111-1111-1111-1111-111111111111 . Vous pouvez récupérer l’ID à l’aide du Portail Azure ou d’Azure
CLI.
Utilisateur
Pour récupérer l’ID d’objet pour un utilisateur Azure AD, vous pouvez utiliser az ad user show.

az ad user show --id "{email}" --query objectId --output tsv

Groupe
Pour obtenir l’ID d’objet d’un groupe Azure AD, vous pouvez utiliser az ad group show ou az ad group list.

az ad group show --group "{name}" --query objectId --output tsv

Application
Pour récupérer l’ID objet d’un principal de service Azure AD (identité utilisée par une application), vous pouvez
utiliser az ad sp list. Pour un principal de service, utilisez l’ID d’objet et non l’ID d’application.

az ad sp list --display-name "{name}" --query [].objectId --output tsv

Ajouter une attribution de rôle


Dans le contrôle RBAC, vous ajoutez une attribution de rôle pour accorder l’accès.
Utilisateur dans l’étendue d’un groupe de ressources
Pour ajouter une attribution de rôle pour un utilisateur dans l’étendue d’un groupe de ressources, utilisez az role
assignment create.
az role assignment create --role <role_name_or_id> --assignee <assignee> --resource-group <resource_group>

L’exemple suivant attribue le rôle Contributeur de machine virtuelle à l’utilisateur patlong@contoso.com dans
l’étendue du groupe de ressources pharma -sales :

az role assignment create --role "Virtual Machine Contributor" --assignee patlong@contoso.com --resource-group
pharma-sales

Utilisation de l’ID de rôle unique


Un nom de rôle peut changer dans certaines circonstances, par exemple :
Vous utilisez vos propres rôles personnalisés et vous décidez d’en modifier le nom.
Vous utilisez un rôle en préversion dont le nom contient (préversion) . Lorsque le rôle est publié, le rôle est
renommé.

IMPORTANT
La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail en
production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez
Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Même si un rôle est renommé, l’ID de rôle ne change pas. Si vous utilisez des scripts ou une automatisation pour
créer vos attributions de rôles, il est recommandé d’utiliser l’ID de rôle unique au lieu du nom de rôle. Par
conséquent, si un rôle est renommé, vos scripts sont plus susceptibles de fonctionner.
Pour ajouter une attribution de rôle en utilisant l’ID de rôle unique au lieu du nom de rôle, utilisez az role
assignment create.

az role assignment create --role <role_id> --assignee <assignee> --resource-group <resource_group>

L’exemple suivant attribue le rôle Contributeur de machine virtuelle à l’utilisateur patlong@contoso.com dans
l’étendue du groupe de ressources pharma -sales. Pour obtenir l’ID unique de rôle, vous pouvez utiliser az role
definition list ou consulter la liste des rôles intégrés pour les ressources Azure.

az role assignment create --role 9980e02c-c2be-4d73-94e8-173b1dc7cf3c --assignee patlong@contoso.com --


resource-group pharma-sales

Groupe dans l’étendue d’un abonnement


Pour ajouter une attribution de rôle pour un groupe, utilisez az role assignment create. Pour plus d’informations
sur la récupération de l’ID d’objet du groupe, consultez Récupérer des ID d’objet.

az role assignment create --role <role_name_or_id> --assignee-object-id <assignee_object_id> --resource-group


<resource_group> --scope </subscriptions/subscription_id>

L’exemple suivant attribue le rôle Lecteur au groupe Ann Mack Team associé à l’ID 22222222-2222-2222-2222-
222222222222 dans l’étendue d’un abonnement.

az role assignment create --role Reader --assignee-object-id 22222222-2222-2222-2222-222222222222 --scope


/subscriptions/00000000-0000-0000-0000-000000000000
Groupe dans l’étendue d’une ressource
Pour ajouter une attribution de rôle pour un groupe, utilisez az role assignment create. Pour plus d’informations
sur la récupération de l’ID d’objet du groupe, consultez Récupérer des ID d’objet.
L’exemple suivant attribue le rôle Contributeur de machine virtuelle au groupe Ann Mack Team associé à l’ID
22222222-2222-2222-2222-222222222222 dans l’étendue des ressources d’un réseau virtuel nommé pharma -
sales-project-network.

az role assignment create --role "Virtual Machine Contributor" --assignee-object-id 22222222-2222-2222-2222-


222222222222 --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/pharma-
sales/providers/Microsoft.Network/virtualNetworks/pharma-sales-project-network

Application dans l’étendue d’un groupe de ressources


Pour ajouter une attribution de rôle pour une application, utilisez az role assignment create. Pour plus
d’informations sur la récupération de l’ID d’objet de l’application, consultez Récupérer des ID d’objet.

az role assignment create --role <role_name_or_id> --assignee-object-id <assignee_object_id> --resource-group


<resource_group>

L’exemple suivant attribue le rôle Contributeur de machine virtuelle à une application associée à l’ID d’objet
44444444-4444-4444-4444-444444444444 dans l’étendue du groupe de ressources pharma -sales.

az role assignment create --role "Virtual Machine Contributor" --assignee-object-id 44444444-4444-4444-4444-


444444444444 --resource-group pharma-sales

Utilisateur dans l’étendue d’un abonnement


Pour ajouter une attribution de rôle pour un utilisateur dans l’étendue d’un abonnement, utilisez az role
assignment create. Pour obtenir l’ID d’abonnement, accédez au panneau Abonnements du portail Azure ou
utilisez az account list.

az role assignment create --role <role_name_or_id> --assignee <assignee> --subscription


<subscription_name_or_id>

L’exemple suivant attribue le rôle Lecteur à l’utilisateur annm@example.com dans l’étendue d’un abonnement.

az role assignment create --role "Reader" --assignee annm@example.com --subscription 00000000-0000-0000-0000-


000000000000

Utilisateur dans l’étendue d’un groupe d’administration


Pour ajouter une attribution de rôle pour un utilisateur dans l’étendue d’un groupe d’administration, utilisez az role
assignment create. Pour obtenir l’ID du groupe d’administration, accédez au panneau Groupes d’administration
dans le portail Azure ou utilisez az account management-group list.

az role assignment create --role <role_name_or_id> --assignee <assignee> --scope


/providers/Microsoft.Management/managementGroups/<group_id>

L’exemple suivant attribue le rôle Lecteur de facturation à l’utilisateur alain@example.com dans l’étendue d’un
groupe d’administration.
az role assignment create --role "Billing Reader" --assignee alain@example.com --scope
/providers/Microsoft.Management/managementGroups/marketing-group

Nouveau principal de service


Dans certains cas, si vous créez un principal de service et que vous tentez immédiatement de lui attribuer un rôle,
cette attribution peut échouer. Par exemple, si vous utilisez un script pour créer une identité managée et que vous
tentez d’attribuer un rôle à ce principal de service, l’attribution de rôle peut échouer. Cet échec est souvent lié au
délai de réplication. Le principal du service est créé dans une région. Toutefois, l’attribution de rôle peut s’effectuer
dans une autre région, qui n’a pas encore répliqué le principal de service. Dans le cadre de ce scénario, vous devez
spécifier le type de principal lors de la création de l’attribution de rôle.
Pour ajouter une attribution de rôle, utilisez az role assignment create, spécifiez une valeur pour
--assignee-object-id , puis définissez --assignee-principal-type sur ServicePrincipal .

az role assignment create --role <role_name_or_id> --assignee-object-id <assignee_object_id> --assignee-


principal-type <assignee_principal_type> --resource-group <resource_group> --scope
</subscriptions/subscription_id>

Dans l’exemple suivant, le rôle Contributeur de machines virtuelles est attribué à l’identité managée msi-test dans
l’étendue du groupe de ressources pharma -sales :

az role assignment create --role "Virtual Machine Contributor" --assignee-object-id 33333333-3333-3333-3333-


333333333333 --assignee-principal-type ServicePrincipal --resource-group pharma-sales

Supprimer une attribution de rôle


Dans le contrôle d’accès en fonction du rôle, vous supprimez une attribution de rôle à l’aide de az role assignment
delete pour supprimer l’accès :

az role assignment delete --assignee <assignee> --role <role_name_or_id> --resource-group <resource_group>

L’exemple suivant retire l’attribution de rôle Collaborateur de machine virtuelle à l’utilisateur


patlong@contoso.com dans le groupe de ressources pharma -sales :

az role assignment delete --assignee patlong@contoso.com --role "Virtual Machine Contributor" --resource-group
pharma-sales

L’exemple suivant retire le rôle Lecteur au groupe Ann Mack Team associé à l’ID 22222222-2222-2222-2222-
222222222222 dans l’étendue d’un abonnement. Pour plus d’informations sur la récupération de l’ID d’objet du
groupe, consultez Récupérer des ID d’objet.

az role assignment delete --assignee 22222222-2222-2222-2222-222222222222 --role "Reader" --subscription


00000000-0000-0000-0000-000000000000

L’exemple suivant retire le rôle Lecteur de facturation à l’utilisateur alain@example.com dans l’étendue du groupe
d’administration. Pour connaître l’ID du groupe d’administration, vous pouvez utiliser az account management-
group list.

az role assignment delete --assignee alain@example.com --role "Billing Reader" --scope


/providers/Microsoft.Management/managementGroups/marketing-group
Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et d’Azure CLI
Utiliser Azure CLI pour gérer les ressources et les groupes de ressources Azure
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux
principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles à l’aide de l’API REST.

Conditions préalables requises


Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/writeet
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou Propriétaire
de l’accès utilisateur

Ajouter une attribution de rôle


Dans le contrôle RBAC, vous ajoutez une attribution de rôle pour accorder l’accès. Pour ajouter une attribution de
rôle, utilisez l’API REST Créer des attributions de rôles et spécifiez le principal de sécurité, la définition de rôle et
l’étendue. Pour appeler cette API, vous devez avoir accès à l’opération
Microsoft.Authorization/roleAssignments/write . Parmi les rôles intégrés, seuls ceux du propriétaire et de
l’administrateur des accès utilisateur se voient accorder l’accès à cette opération.
1. Utilisez l’API REST Liste de définitions de rôles ou consultez Rôles intégrés pour obtenir l’identificateur de
la définition de rôle que vous souhaitez assigner.
2. Utilisez un outil GUID pour générer un identificateur unique qui servira d’identificateur d’attribution de
rôle. Cet identificateur est au format : 00000000-0000-0000-0000-000000000000 .
3. Commencez par la requête et le corps suivants :

PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentN
ame}?api-version=2015-07-01

{
"properties": {
"roleDefinitionId":
"/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
"principalId": "{principalId}"
}
}

4. Dans l’URI, remplacez {scope} par l’étendue de l’attribution de rôle.

ÉTENDUE TYPE

Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}

subscriptions/{subscriptionId1} Subscription
ÉTENDUE TYPE

Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/microsoft.web/sites/mysite1

5. Remplacez {roleAssignmentName} par l’identificateur GUID de l’attribution de rôle.


6. Dans le corps de la requête, remplacez {scope} par l’étendue de l’attribution de rôle.

ÉTENDUE TYPE

Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}

subscriptions/{subscriptionId1} Subscription

Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/microsoft.web/sites/mysite1

7. Remplacez {roleDefinitionId } par l’identificateur de définition de rôle.


8. Remplacez {principalId } par l’identificateur d’objet de l’utilisateur, du groupe ou du principal du service
auquel le rôle sera attribué.

Supprimer une attribution de rôle


Dans le RBAC, vous supprimez une attribution de rôle pour supprimer un accès. Pour supprimer une attribution
de rôle, utilisez l’API REST Supprimer une attribution de rôle. Pour appeler cette API, vous devez avoir accès à
l’opération Microsoft.Authorization/roleAssignments/delete . Parmi les rôles intégrés, seuls ceux du propriétaire et
de l’administrateur des accès utilisateur se voient accorder l’accès à cette opération.
1. Obtenir l’identificateur de l’attribution de rôle (GUID ). Cet identificateur est renvoyé lorsque vous créez
l’attribution de rôle, ou vous pouvez l’obtenir en répertoriant les attributions de rôles.
2. Commencez par la requête suivante :

DELETE
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentN
ame}?api-version=2015-07-01

3. Dans l’URI, remplacez {scope} par l’étendue de suppression de l’attribution de rôle.

ÉTENDUE TYPE

Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}

subscriptions/{subscriptionId1} Subscription

Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
ÉTENDUE TYPE

Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/microsoft.web/sites/mysite1

4. Remplacez {roleAssignmentName} par l’identificateur GUID de l’attribution de rôle.

Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et de l’API REST
Déployer des ressources à l’aide de modèles Resource Manager et de l’API REST Resource Manager
Référence de l'API REST Azure
Créer des rôles personnalisés pour les ressources Azure à l'aide de l'API REST
minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux
principaux de service ou aux identités managées avec une étendue particulière. En plus d’utiliser Azure PowerShell
ou l’interface Azure CLI, vous pouvez attribuer des rôles à l’aide des modèles Azure Resource Manager. Les
modèles peuvent être utiles si vous devez déployer les ressources de manière cohérente et répétée. Cet article
explique comment attribuer des rôles à l’aide de modèles.

Récupérer des ID d’objet


Pour attribuer un rôle, vous devez spécifier l’ID de l’utilisateur, du groupe ou de l’application auxquels vous
souhaitez attribuer le rôle. L’ID a le format : 11111111-1111-1111-1111-111111111111 . Vous pouvez récupérer l’ID à
l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.
Utilisateur
Pour récupérer l’ID d’un utilisateur, vous pouvez utiliser les commandes Get-AzADUser ou az ad user show.

$objectid = (Get-AzADUser -DisplayName "{name}").id

objectid=$(az ad user show --id "{email}" --query objectId --output tsv)

Groupe
Pour récupérer l’ID d’un groupe, vous pouvez utiliser les commandes Get-AzADGroup ou az ad group show.

$objectid = (Get-AzADGroup -DisplayName "{name}").id

objectid=$(az ad group show --group "{name}" --query objectId --output tsv)

Application
Pour récupérer l’ID d’un principal de service (identité utilisée par une application), vous pouvez utiliser les
commandes Get-AzADServicePrincipal ou az ad sp list. Pour un principal de service, utilisez l’ID d’objet et non l’ID
d’application.

$objectid = (Get-AzADServicePrincipal -DisplayName "{name}").id

objectid=$(az ad sp list --display-name "{name}" --query [].objectId --output tsv)

Ajouter une attribution de rôle


Dans le contrôle RBAC, vous ajoutez une attribution de rôle pour accorder l’accès.
Groupe de ressources (sans paramètres)
Le modèle suivant montre comment ajouter de façon très simple une attribution de rôle. Certaines valeurs sont
spécifiées dans le modèle. Le modèle suivant montre comment :
Attribuer un rôle lecteur à un utilisateur, un groupe ou une application dans une étendue de groupe de
ressources
Pour utiliser le modèle, vous devez effectuer les opérations suivantes :
Créez un fichier JSON et copiez le modèle.
Remplacez <your-principal-id> par l’ID d’un utilisateur, d’un groupe ou d’une application auxquels attribuer le
rôle.

{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(resourceGroup().id)]",
"properties": {
"roleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]",
"principalId": "<your-principal-id>"
}
}
]
}

Les exemples suivants, avec les commandes New -AzResourceGroupDeployment et az group deployment create,
montrent comment démarrer le déploiement dans un groupe de ressources nommé ExampleGroup.

New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json

az group deployment create --resource-group ExampleGroup --template-file rbac-test.json

L’exemple suivant illustre l’attribution du rôle lecteur à un utilisateur pour un groupe de ressources après le
déploiement du modèle.

Groupe de ressources ou abonnement


Le modèle précédent n’est pas très flexible. Le modèle suivant utilise des paramètres et peut s’appliquer à
différentes étendues. Le modèle suivant montre comment :
Attribuer un rôle à un utilisateur, un groupe ou une application dans une étendue de groupe de ressources ou
d’abonnement
Spécifier les rôles Propriétaire, Collaborateur et Lecteur comme paramètre
Pour utiliser le modèle, vous devez spécifier les entrées suivantes :
L’ID d’un utilisateur, d’un groupe ou d’une application auxquels attribuer le rôle
Un identificateur unique qui sera utilisé pour l’attribution de rôle, ou vous pouvez utiliser l’ID par défaut

{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
},
"builtInRoleType": {
"type": "string",
"allowedValues": [
"Owner",
"Contributor",
"Reader"
],
"metadata": {
"description": "Built-in role to assign"
}
},
"roleNameGuid": {
"type": "string",
"defaultValue": "[newGuid()]",
"metadata": {
"description": "A new GUID used to identify the role assignment"
}
}
},
"variables": {
"Owner": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', '8e3af657-a8ff-443c-a75c-2fe8c4bcb635')]",
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Reader": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[parameters('roleNameGuid')]",
"properties": {
"roleDefinitionId": "[variables(parameters('builtInRoleType'))]",
"principalId": "[parameters('principalId')]"
}
}
]
}
NOTE
Ce modèle n’est pas idempotent, à moins que la même valeur de roleNameGuid soit fournie comme paramètre pour chaque
déploiement du modèle. Si aucune valeur de roleNameGuid n’est fournie, par défaut, un nouveau GUID est généré à chaque
déploiement et les déploiements suivants échouent avec une erreur Conflict: RoleAssignmentExists .

L’étendue de l’attribution de rôle est déterminée à partir du niveau du déploiement. Les exemples suivants, avec les
commandes New -AzResourceGroupDeployment et az group deployment create, montrent comment démarrer le
déploiement dans une étendue de groupe de ressources.

New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json -principalId


$objectid -builtInRoleType Reader

az group deployment create --resource-group ExampleGroup --template-file rbac-test.json --parameters


principalId=$objectid builtInRoleType=Reader

Les exemples suivants, avec les commandes New -AzDeployment et az deployment create, montrent comment
démarrer le déploiement dans une étendue d’abonnement et spécifier l’emplacement.

New-AzDeployment -Location centralus -TemplateFile rbac-test.json -principalId $objectid -builtInRoleType


Reader

az deployment create --location centralus --template-file rbac-test.json --parameters principalId=$objectid


builtInRoleType=Reader

Ressource
Si vous avez besoin d’ajouter une attribution de rôle au niveau d’une ressource, le format de l’attribution de rôle est
différent. Vous fournissez l’espace de noms du fournisseur de ressources et le type de ressource de la ressource à
laquelle attribuer le rôle. Vous devez également inclure le nom de la ressource dans le nom de l’attribution de rôle.
Pour le type et le nom de l’attribution de rôle, utilisez le format suivant :

"type": "{resource-provider-namespace}/{resource-type}/providers/roleAssignments",
"name": "{resource-name}/Microsoft.Authorization/{role-assign-GUID}"

Le modèle suivant montre comment :


Création d’un nouveau compte de stockage
Attribuer un rôle à un utilisateur, un groupe ou une application dans l’étendue d’un compte de stockage
Spécifier les rôles Propriétaire, Collaborateur et Lecteur comme paramètre
Pour utiliser le modèle, vous devez spécifier les entrées suivantes :
L’ID d’un utilisateur, d’un groupe ou d’une application auxquels attribuer le rôle
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
},
"builtInRoleType": {
"type": "string",
"allowedValues": [
"Owner",
"Contributor",
"Reader"
],
"metadata": {
"description": "Built-in role to assign"
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]"
}
},
"variables": {
"Owner": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', '8e3af657-a8ff-443c-a75c-2fe8c4bcb635')]",
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Reader": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]",
"storageName": "[concat('storage', uniqueString(resourceGroup().id))]"
},
"resources": [
{
"apiVersion": "2019-04-01",
"type": "Microsoft.Storage/storageAccounts",
"name": "[variables('storageName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_LRS"
},
"kind": "Storage",
"properties": {}
},
{
"type": "Microsoft.Storage/storageAccounts/providers/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[concat(variables('storageName'), '/Microsoft.Authorization/',
guid(uniqueString(variables('storageName'))))]",
"dependsOn": [
"[variables('storageName')]"
],
"properties": {
"roleDefinitionId": "[variables(parameters('builtInRoleType'))]",
"principalId": "[parameters('principalId')]"
}
}
]
}

Pour déployer le modèle précédent, vous devez utiliser les commandes de groupe de ressources. Les exemples
suivants, avec les commandes New -AzResourceGroupDeployment et az group deployment create, montrent
comment démarrer le déploiement dans une étendue de ressource.
New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json -principalId
$objectid -builtInRoleType Contributor

az group deployment create --resource-group ExampleGroup --template-file rbac-test.json --parameters


principalId=$objectid builtInRoleType=Contributor

L’exemple suivant illustre l’attribution du rôle contributeur à un utilisateur pour un compte de stockage après le
déploiement du modèle.

Nouveau principal de service


Dans certains cas, si vous créez un principal de service et que vous tentez immédiatement de lui attribuer un rôle,
cette attribution peut échouer. Par exemple, si vous créez une identité managée et que vous tentez d’attribuer un
rôle à ce principal de service dans le même modèle Azure Resource Manager, l’attribution de rôle peut échouer. Cet
échec est souvent lié au délai de réplication. Le principal du service est créé dans une région. Toutefois, l’attribution
de rôle peut s’effectuer dans une autre région, qui n’a pas encore répliqué le principal de service. Dans le cadre de
ce scénario, vous devez définir la propriété principalType sur ServicePrincipal lors de la création de l’attribution
de rôle.
Le modèle suivant montre comment :
Créer un principal de service d’identité managée
Spécifier le principalType
Attribuer le rôle contributeur à ce principal de service dans une étendue de groupe de ressources
Pour utiliser le modèle, vous devez spécifier les entrées suivantes :
Le nom de base de l’identité managée. Vous pouvez également utiliser la chaîne par défaut.
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"baseName": {
"type": "string",
"defaultValue": "msi-test"
}
},
"variables": {
"identityName": "[concat(parameters('baseName'), '-bootstrap')]",
"bootstrapRoleAssignmentId": "[guid(concat(resourceGroup().id, 'contributor'))]",
"contributorRoleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]"
},
"resources": [
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"name": "[variables('identityName')]",
"apiVersion": "2018-11-30",
"location": "[resourceGroup().location]"
},
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[variables('bootstrapRoleAssignmentId')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
],
"properties": {
"roleDefinitionId": "[variables('contributorRoleDefinitionId')]",
"principalId": "[reference(resourceId('Microsoft.ManagedIdentity/userAssignedIdentities',
variables('identityName')), '2018-11-30').principalId]",
"scope": "[resourceGroup().id]",
"principalType": "ServicePrincipal"
}
}
]
}

Les exemples suivants, avec les commandes New -AzResourceGroupDeployment et az group deployment create,
montrent comment démarrer le déploiement dans une étendue de groupe de ressources.

New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup2 -TemplateFile rbac-test.json

az group deployment create --resource-group ExampleGroup2 --template-file rbac-test.json

L’exemple suivant illustre l’attribution du rôle contributeur à un nouveau principal de service d’identité managée
après le déploiement du modèle.
Étapes suivantes
Démarrage rapide : Créer et déployer des modèles Azure Resource Manager à l’aide du portail Azure
Comprendre la structure et la syntaxe des modèles Azure Resource Manager
Créer des groupes de ressources et des ressources au niveau de l’abonnement
Modèles de démarrage rapide Azure
minutes to read • Edit Online

À l’instar d’une attribution de rôle, une affectation de refus associe un ensemble d’actions de refus à un
utilisateur, un groupe ou un principal de service, sur une étendue spécifique, afin de refuser l’accès. Les
affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès.
Cet article explique comment définir des attributions de refus.

Création des affectations de refus


Les affectations de refus sont créées et gérées par Azure pour protéger les ressources. Azure Blueprints et les
applications managées Azure utilisent les affectations de refus pour protéger les ressources managées par le
système. Azure Blueprints et les applications managées Azure constituent la seule façon de créer des affectations
de refus. Vous ne pouvez pas directement créer vos propres affectations de refus. Pour plus d’informations,
consultez Protéger les nouvelles ressources avec des verrous de ressources Azure Blueprints.

NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus.

Comparer les attributions de rôles et les affectations de refus


Les affectations de refus suivent un modèle similaire à celui des affectations de rôles, mais présentent également
certaines différences.

FONCTIONNALITÉ ATTRIBUTION DE RÔLE AFFECTATION DE REFUS

Accorder l'accès ✔

Accès refusé ✔

Peut être créé directement ✔

Appliquer à une étendue ✔ ✔

Exclure les principaux ✔

Empêcher l’héritage pour les étendues ✔


enfants

S’applique aux affectations ✔


d’administrateurs d’abonnements
classiques

Propriétés des attributions de refus


Une attribution de refus possède les propriétés suivantes :
PROPRIÉTÉ OBLIGATOIRE TYPE DESCRIPTION

DenyAssignmentName Oui String Nom d'affichage de


l’attribution de refus. Les
noms doivent être uniques
pour une étendue donnée.

Description Non String Description de l’attribution


de refus.

Permissions.Actions Au moins un élément String[] Tableau de chaînes qui


Actions ou DataActions spécifient les opérations de
gestion auxquelles
l’attribution de refus bloque
l’accès.

Permissions.NotActions Non String[] Tableau de chaînes qui


spécifient les opérations de
gestion à exclure de
l’attribution de refus.

Permissions.DataActions Au moins un élément String[] Tableau de chaînes qui


Actions ou DataActions spécifient les opérations de
données auxquelles
l’attribution de refus bloque
l’accès.

Permissions.NotDataActions Non String[] Tableau de chaînes qui


spécifient les opérations de
données à exclure de
l’attribution de refus.

Scope Non String Chaîne qui spécifie l’étendue


à laquelle l’attribution de
refus s’applique.

DoNotApplyToChildScopes Non Boolean Spécifie si l’attribution de


refus s’applique aux
étendues enfants. La valeur
par défaut est false.

Principals[i].Id Oui String[] Tableau d’ID d’objets


principaux Azure AD
(utilisateur, groupe, principal
de service ou identité
managée) auxquels
s’applique l’affectation de
refus. Définie sur un GUID
vide
00000000-0000-0000-
0000-000000000000
pour représenter tous les
principaux.
PROPRIÉTÉ OBLIGATOIRE TYPE DESCRIPTION

Principals[i].Type Non String[] Tableau de types d’objet


représentés par
Principals[i].Id. Définie sur
SystemDefined pour
représenter tous les
principaux.

ExcludePrincipals[i].Id Non String[] Tableau d’ID d’objets


principaux Azure AD
(utilisateur, groupe, principal
de service ou identité
managée) auxquels
l’attribution de refus ne
s’applique pas.

ExcludePrincipals[i].Type Non String[] Tableau de types d’objet


représentés par
ExcludePrincipals[i].Id.

IsSystemProtected Non Boolean Spécifie si cette attribution


de refus a été créée par
Azure et ne peut pas être
modifiée ou supprimée.
Actuellement, toutes les
attributions de refus sont
protégées par le système.

Le principal Tous les principaux


Un principal défini par le système nommé Tous les principaux a été introduit pour prendre en charge les
affectations de refus. Ce principal représente tous les utilisateurs, groupes, principaux de service et identités
managées figurant dans un annuaire Azure AD. Si l’ID du principal est un GUID nul
00000000-0000-0000-0000-000000000000 , et le type de principal SystemDefined , le principal représente tous les
principaux. Dans la sortie d’Azure PowerShell, Tous les principaux se présente comme suit :

Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}

Tous les principaux peut être combiné avec ExcludePrincipals pour refuser tous les principaux, à l’exception de
certains utilisateurs. Tous les principaux présente les contraintes suivantes :
Il peut être utilisé uniquement dans Principals et ne peut pas être utilisé dans ExcludePrincipals .
Principals[i].Type doit être défini sur SystemDefined .

Étapes suivantes
Répertorier les affectations de refus pour les ressources Azure à l’aide du portail Azure
Comprendre les définitions de rôle relatives aux ressources Azure
minutes to read • Edit Online

Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès. Cet article décrit comment lister les affectations de refus
existantes à l’aide du portail Azure.

NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus. Pour en savoir sur la création des affectations de
refus, consultez Affectations de refus.

Conditions préalables requises


Pour obtenir des informations sur une affectation de refus, vous devez disposer de :
l’autorisation Microsoft.Authorization/denyAssignments/read , qui est incluse dans la plupart des rôles intégrés
pour les ressources Azure.

Répertorier les affectations de refus


Effectuez ces étapes pour répertorier les affectations de refus au niveau de l’abonnement ou de l’étendue du
groupe d’administration.
1. Dans le portail Azure, cliquez sur Tous les services, puis sur Groupes d’administration ou sur
Abonnements.
2. Cliquez sur le groupe d’administration ou sur l’abonnement que vous souhaitez répertorier.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Affectations de refus (ou cliquez sur le bouton Afficher dans la mosaïque Afficher les
affectations de refus).
S’il existe des affectations de refus dans cette étendue, ou héritées par cette étendue, elles sont listées.
5. Pour afficher des colonnes supplémentaires, cliquez sur Modifier les colonnes.

Nom Nom de l’affectation de refus.

Type de principal Utilisateur, groupe, groupe défini par le système ou


principal du service.
Refusé Nom du principal de sécurité qui est inclus dans
l’affectation de refus.

Id Identificateur unique pour l’affectation de refus.

Principaux exclus Indique s’il existe des principaux de sécurité qui sont exclus
de l’affectation de refus.

Ne s’applique pas aux enfants Indique si l’affectation de refus est transmise à des
étendues secondaires.

Système protégé Indique si l’affectation de refus est managée par Azure.


Actuellement, toujours Oui.

Portée Groupe d’administration, abonnement, groupe de


ressources ou ressource.

6. Ajoutez une coche aux éléments activés de votre choix, puis cliquez sur OK pour afficher les colonnes
sélectionnées.

Répertorier les détails d’une affectation de refus


Suivez ces étapes pour répertorier des détails supplémentaires sur une affectation de refus.
1. Ouvrez le volet Affectations de refus, comme décrit à la section précédente.
2. Cliquez sur le nom de l’affectation de refus pour ouvrir le panneau Utilisateurs.

Le panneau Utilisateurs comprend les deux sections suivantes.


L’affectation de refus s’applique à Principaux de sécurité auxquels l’affectation de refus
s’applique.

L’affectation de refus exclut Principaux de sécurité qui sont exclus de l’affectation de


refus.

Le principal défini par le système représente tous les utilisateurs, groupes, principaux de service et
identités managées figurant dans un annuaire Azure AD.
3. Pour afficher la liste des autorisations qui sont refusées, cliquez sur Autorisations refusées.

TYPE D'ACTION DESCRIPTION

Actions Opérations de gestion refusées.

NotActions Opérations de gestion exclues de l’opération de gestion


refusée.

DataActions Opérations refusées sur des données.

NotDataActions Opérations sur des données, exclues de l’opération refusée


sur des données.

Pour l’exemple illustré dans la capture d’écran précédente, les éléments suivants sont les autorisations
effectives :
Toutes les opérations de stockage sur le plan de données sont refusées à l’exception des opérations de
calcul.
4. Pour voir les propriétés d’une affectation de refus, cliquez sur Propriétés.
Dans le panneau Propriétés, vous pouvez voir le nom, l’ID, la description et l’étendue de l’affectation de
refus. Le commutateur Ne s’applique pas aux enfants indique si l’affectation de refus est transmise à des
étendues secondaires. Le commutateur Système protégé indique si cette affectation de refus est managée
par Azure. Actuellement, c’est Oui dans tous les cas.

Étapes suivantes
Comprendre les affectations de refus relatives aux ressources Azure
Répertorier les affectations de refus pour les ressources Azure à l’aide d’Azure PowerShell
minutes to read • Edit Online

Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès. Cet article décrit comment répertorier les affectations de
refus à l’aide d’Azure PowerShell.

NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus. Pour en savoir sur la création des affectations de
refus, consultez Affectations de refus.

Conditions préalables requises


Pour obtenir des informations sur une affectation de refus, vous devez disposer de :
l’autorisation Microsoft.Authorization/denyAssignments/read , qui est incluse dans la plupart des rôles intégrés
pour les ressources Azure
PowerShell dans Azure Cloud Shell ou Azure PowerShell

Répertorier les affectations de refus


Répertorier toutes les affectations de refus
Pour répertorier toutes les affectations de refus pour l’abonnement actuel, utilisez Get-AzDenyAssignment.

Get-AzDenyAssignment
PS C:\> Get-AzDenyAssignment

Id : 22222222-2222-2222-2222-222222222222
DenyAssignmentName : Deny assignment '22222222-2222-2222-2222-222222222222' created by Blueprint
Assignment
'/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Description : Created by Blueprint Assignment '/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Actions : {*}
NotActions : {*/read}
DataActions : {}
NotDataActions : {}
Scope : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/TestingBPLocks
DoNotApplyToChildScopes : True
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
ExcludePrincipals : {
ObjectType: ServicePrincipal
}
IsSystemProtected : True

Id : 33333333-3333-3333-3333-333333333333
DenyAssignmentName : Deny assignment '33333333-3333-3333-3333-333333333333' created by Blueprint
Assignment
'/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Description : Created by Blueprint Assignment '/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Actions : {*}
NotActions : {*/read}
DataActions : {}
NotDataActions : {}
Scope : /subscriptions/11111111-1111-1111-1111-
111111111111/resourceGroups/TestingBPLocks/providers/Microsoft.Storage/storageAccounts/storep6vkuxmu4m4pq
DoNotApplyToChildScopes : True
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
ExcludePrincipals : {
DisplayName: assignment-locked-storageaccount-TestingBPLocks
ObjectType: ServicePrincipal
ObjectId: 2311a0b7-657a-4ca2-af6f-d1c33f6d2fff
}
IsSystemProtected : True

Répertorier les affectations de refus dans l’étendue d’un groupe de ressources


Pour répertorier toutes les affectations de refus dans l’étendue d’un groupe de ressources, utilisez Get-
AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>


PS C:\> Get-AzDenyAssignment -ResourceGroupName TestingBPLocks | FL DenyAssignmentName, Scope

DenyAssignmentName : Deny assignment '22222222-2222-2222-2222-222222222222' created by Blueprint Assignment


'/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Scope : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/TestingBPLocks
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}

Répertorier les affectations de refus dans l’étendue d’un abonnement


Pour répertorier toutes les affectations de refus dans l’étendue d’un abonnement, utilisez Get-AzDenyAssignment.
Pour obtenir l’ID d’abonnement, vous pouvez le trouver dans le panneau Abonnements du portail Azure ou
utiliser Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

PS C:\> Get-AzDenyAssignment -Scope /subscriptions/11111111-1111-1111-1111-111111111111

Étapes suivantes
Comprendre les affectations de refus relatives aux ressources Azure
Répertorier les affectations de refus pour les ressources Azure à l’aide du portail Azure
Répertorier les affectations de refus relatives aux ressources Azure à l'aide de l'API REST
minutes to read • Edit Online

Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès. Cet article décrit comment lister les affectations de refus
existantes à l’aide de l’API REST.

NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus. Pour en savoir sur la création des affectations de
refus, consultez Affectations de refus.

Conditions préalables requises


Pour obtenir des informations sur une affectation de refus, vous devez disposer de :
l’autorisation Microsoft.Authorization/denyAssignments/read , qui est incluse dans la plupart des rôles intégrés
pour les ressources Azure.

Lister une seule affectation de refus


1. Commencez par la requête suivante :

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-
assignment-id}?api-version=2018-07-01-preview

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les affectations de refus.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

3. Remplacez {deny-assignment-id } par l’identificateur de l’affectation de refus à récupérer.

Lister plusieurs affectations de refus


1. Commencez par l’une des requêtes suivantes :

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-
version=2018-07-01-preview

Avec des paramètres facultatifs :


GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-
version=2018-07-01-preview&$filter={filter}

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les affectations de refus.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

3. Remplacez {filter } par la condition que vous voulez appliquer pour filtrer la liste des affectations de refus.

FILTRER DESCRIPTION

(aucun filtre) Liste toutes les affectations de refus dans l’étendue


spécifiée, mais aussi dans les étendues au-dessus et en
dessous.

$filter=atScope() Liste les affectations de refus uniquement dans la portée


spécifiée et dans les étendues au-dessus. N’inclut pas les
affectations de refus dans les étendues en dessous.

$filter=denyAssignmentName%20eq%20'{deny- Liste les affectations de refus avec le nom spécifié.


assignment-name}'

Lister les affectations de refus dans l’étendue racine (/)


1. Élevez votre accès comme décrit dans Élever l’accès d’un administrateur général dans Azure Active
Directory.
2. Utilisez la requête suivante :

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-
01-preview&$filter={filter}

3. Remplacez {filter } par la condition que vous voulez appliquer pour filtrer la liste des affectations de refus. Un
filtre est obligatoire.

FILTRER DESCRIPTION

$filter=atScope() Liste les affectations de refus dans l’étendue racine


uniquement. N’inclut pas les affectations de refus dans les
étendues en dessous.

$filter=denyAssignmentName%20eq%20'{deny- Liste les affectations de refus avec le nom spécifié.


assignment-name}'

4. Supprimez l’accès avec élévation des privilèges.

Étapes suivantes
Comprendre les affectations de refus relatives aux ressources Azure
Élever l’accès d’un administrateur général dans Azure Active Directory
Référence de l'API REST Azure
Rôles personnalisés pour les ressources Azure
10/03/2020 • 9 minutes to read • Edit Online

Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Comme avec les rôles intégrés, vous pouvez
affecter des rôles personnalisés à des utilisateurs, des groupes et des principaux de service dans l’étendue des
abonnements, des groupes de ressources et des ressources.
Les rôles personnalisés peuvent être partagés entre abonnements qui font confiance au même annuaire Azure
AD. Il existe une limite de 5 000 rôles personnalisés par annuaire. (Pour les clouds spécialisés comme Azure
Government, Azure Allemagne et Azure Chine 21Vianet, la limite s’élève à 2 000 rôles personnalisés.) Vous
pouvez créer des rôles personnalisés à l'aide du portail Azure (préversion), d'Azure PowerShell, d'Azure CLI
ou de l'API REST.

Exemple de rôle personnalisé


Voici ce à quoi ressemble un rôle personnalisé tel qu’il apparaît au format JSON. Ce rôle personnalisé peut
être utilisé pour surveiller et redémarrer des machines virtuelles.

{
"Name": "Virtual Machine Operator",
"Id": "88888888-8888-8888-8888-888888888888",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}",
"/subscriptions/{subscriptionId3}"
]
}

Quand vous créez un rôle personnalisé, celui-ci s’affiche dans le portail Azure avec une icône de ressource
orange.
Procédure de création d’un rôle personnalisé
1. Choisissez la méthode de création de votre choix pour le rôle personnalisé.
Vous pouvez créer des rôles personnalisés à l'aide du portail Azure (préversion), d'Azure PowerShell,
d'Azure CLI ou de l'API REST.
2. Déterminer les autorisations nécessaires
Lorsque vous créez un rôle personnalisé, vous devez connaître les opérations du fournisseur de
ressources qui sont disponibles pour définir vos autorisations. Pour voir la liste des opérations,
consultez Opérations du fournisseur de ressources Azure Resource Manager. Vous ajouterez les
opérations aux propriétés Actions ou NotActions de la définition de rôle. Si vous avez des opérations
de données, vous les ajouterez aux propriétés DataActions ou NotDataActions .
3. Créer le rôle personnalisé
En règle générale, vous démarrez avec un rôle intégré existant, puis vous le modifiez selon vos besoins.
Ensuite, vous utilisez les commandes New -AzRoleDefinition ou az role definition create pour créer le
rôle personnalisé. Pour créer un rôle personnalisé, vous devez disposer de l’autorisation
Microsoft.Authorization/roleDefinitions/write sur toutes les AssignableScopes , comme Propriétaire
ou Administrateur de l’accès utilisateur.
4. Tester le rôle personnalisé
Une fois que vous avez votre rôle personnalisé, vous devez le tester pour vérifier qu’il fonctionne
comme prévu. Si vous avez besoin d’effectuer des ajustements ultérieurement, vous pouvez mettre à
jour le rôle personnalisé.
Pour obtenir un tutoriel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle
personnalisé à l’aide d’Azure PowerShell ou Tutoriel : Créer un rôle personnalisé avec Azure CLI.

Propriétés du rôle personnalisé


Un rôle personnalisé dispose des propriétés suivantes.

PROPRIÉTÉ OBLIGATOIRE TYPE DESCRIPTION

Name Oui String Nom complet du rôle


personnalisé. Si une
définition de rôle est une
ressource de niveau
abonnement, elle peut
cependant être utilisée
dans plusieurs
abonnements partageant le
même annuaire Azure AD.
Ce nom d’affichage doit
être unique dans l’étendue
de l’annuaire Azure AD.
Peut inclure des lettres, des
chiffres, des espaces et des
caractères spéciaux.
Nombre maximal de
caractères : 128.
PROPRIÉTÉ OBLIGATOIRE TYPE DESCRIPTION

Id Oui String ID unique du rôle


personnalisé. Pour Azure
PowerShell et Azure CLI, cet
ID est généré
automatiquement lorsque
vous créez un nouveau
rôle.

IsCustom Oui String Indique s’il s’agit d’un rôle


personnalisé. À définir sur
true pour les rôles
personnalisés.

Description Oui String Description du rôle


personnalisé. Peut inclure
des lettres, des chiffres, des
espaces et des caractères
spéciaux. Nombre maximal
de caractères : 1 024.

Actions Oui String[] Tableau de chaînes qui


spécifie les opérations
d’administration que le rôle
autorise. Pour plus
d’informations, voir Actions.

NotActions Non String[] Tableau de chaînes qui


spécifie les opérations
d’administration exclues des
Actions autorisées. Pour
plus d’informations, voir
NotActions.

DataActions Non String[] Tableau de chaînes qui


spécifie les opérations de
données que le rôle
autorise sur vos données
au sein de cet objet. Pour
plus d’informations,
consultez DataActions.

NotDataActions Non String[] Tableau de chaînes qui


spécifie les opérations de
données exclues des
DataActions autorisées.
Pour plus d’informations,
consultez NotDataActions.
PROPRIÉTÉ OBLIGATOIRE TYPE DESCRIPTION

AssignableScopes Oui String[] Tableau de chaînes qui


spécifie les étendues pour
lesquelles le rôle
personnalisé est disponible
à des fins d’attribution.
Actuellement, vous ne
pouvez pas associer
AssignableScopes à
l’étendue racine ( "/" ) ou
à une étendue de groupe
d’administration pour les
rôles personnalisés. Pour
plus d’informations,
consultez AssignableScopes
et Organiser vos ressources
avec des groupes
d’administration Azure.

Qui peut créer, supprimer, mettre à jour ou afficher un rôle


personnalisé
Tout comme pour les rôles intégrés, la propriété AssignableScopes spécifie les étendues pour lesquelles le rôle
est disponible à des fins d’attribution. La propriété AssignableScopes pour un rôle personnalisé contrôle
également qui peut créer, supprimer, mettre à jour ou afficher le rôle personnalisé.

TÂCHE OPÉRATION DESCRIPTION

Créer/supprimer un rôle personnalisé Microsoft.Authorization/ Les utilisateurs ayant accès à cette


roleDefinitions/write opération sur toutes les étendues
AssignableScopes du rôle
personnalisé peuvent créer (ou
supprimer) des rôles personnalisés
utilisables dans ces étendues. Il s’agit,
par exemple, des Propriétaires et
Administrateurs de l’accès utilisateur
d’abonnements, de groupes de
ressources et de ressources.

Mettre à jour un rôle personnalisé Microsoft.Authorization/ Les utilisateurs ayant accès à cette
roleDefinitions/write opération sur toutes les étendues
AssignableScopes du rôle
personnalisé peuvent mettre à jour
des rôles personnalisés dans ces
étendues. Il s’agit, par exemple, des
Propriétaires et Administrateurs de
l’accès utilisateur d’abonnements, de
groupes de ressources et de
ressources.

Afficher un rôle personnalisé Microsoft.Authorization/ Les utilisateurs ayant accès à cette


roleDefinitions/read opération dans une étendue peuvent
afficher les rôles personnalisés
disponibles pour attribution dans
cette étendue. Tous les rôles intégrés
permettent que les rôles personnalisés
soient disponibles pour attribution.
Étapes suivantes
Créer ou mettre à jour des rôles personnalisés Azure à l'aide du portail Azure (préversion)
Comprendre les définitions de rôle relatives aux ressources Azure
Résoudre des problèmes liés au contrôle d'accès en fonction du rôle pour les ressources Azure
Créer ou mettre à jour des rôles personnalisés Azure
à l’aide du portail Azure (préversion)
10/03/2020 • 21 minutes to read • Edit Online

IMPORTANT
Les rôles personnalisés Azure utilisant le portail Azure sont actuellement en préversion publique. Cette préversion est fournie
sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines
fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation
Supplémentaires relatives aux Évaluations Microsoft Azure.

Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos
propres rôles personnalisés Azure. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à
des utilisateurs, à des groupes et à des principaux de service dans des étendues de abonnement et de groupe de
ressources. Les rôles personnalisés sont stockés dans un annuaire Azure Active Directory et peuvent être partagés
entre des abonnements. Chaque annuaire peut avoir jusqu’à 5 000 rôles personnalisés. Vous pouvez créer des
rôles personnalisés à l’aide du portail Azure, d’Azure PowerShell, d’Azure CLI ou de l’API REST. Cet article
explique comment créer des rôles personnalisés à l’aide du portail Azure (actuellement en préversion).

Prérequis
Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;

Étape 1 : Déterminer les autorisations nécessaires


Azure dispose de plusieurs milliers d’autorisations que vous pouvez inclure dans votre rôle personnalisé. Voici
quatre façons de déterminer les autorisations à ajouter à votre rôle personnalisé :

MÉTHODE DESCRIPTION

Examiner des rôles existants Vous pouvez examiner des rôles existants pour voir quelles
autorisations sont utilisées. Pour plus d’informations, voir
Rôles intégrés Azure.

Rechercher des autorisations par mot clé Lorsque vous créez un rôle personnalisé à l’aide du portail
Azure, vous pouvez rechercher des autorisations par mot clé.
Par exemple, vous pouvez rechercher des autorisations
d’ordinateur virtuel ou de facturation. Cette fonctionnalité de
recherche est décrite plus loin à l’Étape 4 : Autorisations.

Télécharger toutes les autorisations Lorsque vous créez un rôle personnalisé à l’aide du portail
Azure, vous pouvez télécharger toutes les autorisations en
tant que fichier CSV, puis Rechercher celui-ci. Dans le volet
Ajouter des autorisations, cliquez sur le bouton
Télécharger toutes les autorisations pour les télécharger
toutes. Pour plus d’informations sur le volet Ajouter des
autorisations, voir l’Étape 4 : Autorisations.
MÉTHODE DESCRIPTION

Afficher les autorisations dans les documents Vous pouvez afficher les autorisations disponibles dans les
opérations de fournisseur de ressources Azure Resource
Manager.

Étape 2 : Choisir comment commencer


Vous pouvez commencer à créer un rôle personnalisé de trois façons. Vous pouvez cloner un rôle existant,
démarrer à partir de zéro ou démarrer avec un fichier JSON. Le moyen le plus simple consiste à rechercher un
rôle existant disposant de la plupart des autorisations dont vous avez besoin, puis à le cloner et le modifier pour
votre scénario.
Cloner un rôle
Si un rôle existant ne dispose pas de toutes les autorisations dont vous avez besoin, vous pouvez le cloner, puis
modifier les autorisations. Pour démarrer le clonage d’un rôle, procédez comme suit.
1. Dans le portail Azure, ouvrez un abonnement ou un groupe de ressources dans lequel vous souhaitez que
le rôle personnalisé soit attribuable, puis ouvrez Contrôle d’accès (IAM ) .
La capture d’écran suivante montre la page Contrôle d’accès (IAM ) ouverte pour un abonnement.

2. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.
3. Recherchez un rôle à cloner, tel que le rôle Lecteur de facturation.
4. À la fin de la ligne, cliquez sur les points de suspension ( ... ), puis sur Cloner.
Cette action ouvre l’éditeur de rôles personnalisés avec l’option Cloner un rôle sélectionnée.
5. Passez à l’Étape 3 : Paramètres de base.
Commencer à partir de zéro
Si vous préférez, vous pouvez suivre ces étapes pour démarrer un rôle personnalisé à partir de rien.
1. Dans le portail Azure, ouvrez un abonnement ou un groupe de ressources dans lequel vous souhaitez que
le rôle personnalisé soit attribuable, puis ouvrez Contrôle d’accès (IAM ) .
2. Cliquez sur Ajouter, puis sur Ajouter un rôle personnalisé (préversion) .

Cette action ouvre l’éditeur de rôles personnalisés avec l’option Commencer à partir de zéro
sélectionnée.
3. Passez à l’Étape 3 : Paramètres de base.
Démarrer à partir d’un JSON
Si vous préférez, vous pouvez spécifier la plupart des valeurs de votre rôle personnalisé dans un fichier JSON.
Vous pouvez ouvrir le fichier dans l’éditeur de rôles personnalisés, apporter des modifications supplémentaires,
puis créer le rôle personnalisé. Pour commencer avec un fichier JSON, procédez comme suit.
1. Créez un fichier JSON au format suivant :
{
"properties": {
"roleName": "",
"description": "",
"assignableScopes": [],
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}

2. Dans le fichier JSON, spécifiez les valeurs des différentes propriétés. Voici un exemple avec des valeurs
ajoutées. Pour plus d’informations sur les différentes propriétés, voir Comprendre les définitions de rôles.

{
"properties": {
"roleName": "Billing Reader Plus",
"description": "Read billing data and download invoices",
"assignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Billing/*/read",
"Microsoft.Commerce/*/read",
"Microsoft.Consumption/*/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.CostManagement/*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}

3. Dans le portail Azure, ouvrez la page Contrôle d’accès (IAM ) .


4. Cliquez sur Ajouter, puis sur Ajouter un rôle personnalisé (préversion) .

Cette action ouvre l’éditeur de rôles personnalisés.


5. Sous l’onglet Paramètres de base, dans Autorisations de base, sélectionnez Démarrer à partir d’un
JSON.
6. En regard de la zone Sélectionner un fichier, cliquez sur le bouton de dossier pour ouvrir la boîte de
dialogue Ouvrir.
7. Sélectionnez votre fichier JSON, puis cliquez sur Ouvrir.
8. Passez à l’étape 3 : Paramètres de base.

Étape 3 : Paramètres de base


Sous l’onglet Paramètres de base, spécifiez le nom, la description et les autorisations de base pour votre rôle
personnalisé.
1. Dans la zone Nom de rôle personnalisé, spécifiez un nom pour le rôle personnalisé. Le nom doit être
unique pour l’annuaire Azure AD. Il peut inclure des lettres, des chiffres, des espaces et des caractères
spéciaux.
2. Dans la zone Description, entrez une description facultative pour le rôle personnalisé. Celle-ci deviendra
l’info-bulle pour le rôle personnalisé.
L’option Autorisations de base devrait déjà être définie suite à l’étape précédente, mais vous pouvez la
modifier.

Étape 4 : Autorisations
Sous l’onglet Autorisations, vous spécifiez les autorisations pour votre rôle personnalisé. Selon que vous avez
cloné un rôle ou avez démarré avec un fichier JSON, il se peut que l’onglet Autorisations répertorie déjà certaines
autorisations.
Ajouter ou supprimer des autorisations
Pour ajouter ou supprimer des autorisations pour votre rôle personnalisé, procédez comme suit.
1. Pour ajouter des autorisations, cliquez sur Ajouter des autorisations pour ouvrir le volet Ajouter des
autorisations.
Ce volet répertorie toutes les autorisations disponibles regroupées par catégories dans un format de carte.
Chaque catégorie représente un fournisseur de ressources, à savoir un service fournissant des ressources
Azure.
2. Dans la zone Rechercher une autorisation, tapez une chaîne pour rechercher des autorisations. Par
exemple, recherchez facture pour trouver des autorisations liées à la facture.
Une liste de cartes de fournisseur de ressources s’affiche en fonction de votre chaîne de recherche. Pour
obtenir une liste qui mappe des fournisseurs de ressources à des services Azure, voir Fournisseurs de
ressources pour les services Azure.

3. Cliquez sur une carte de fournisseur de ressources susceptible d’avoir les autorisations que vous souhaitez
ajouter à votre rôle personnalisé, par exemple Facturation Microsoft.
Une liste des autorisations de gestion pour ce fournisseur de ressources s’affiche en fonction de votre
chaîne de recherche.

4. Si vous recherchez des autorisations qui s’appliquent au plan de données, cliquez sur Actions de données.
Dans le cas contraire, laissez le bouton bascule des actions positionné sur Actions pour répertorier les
autorisations qui s’appliquent au plan de gestion. Pour plus d’informations sur les différences entre le plan
de gestion et le plan de données, voir Opérations de gestion et sur les données.
5. Si nécessaire, mettez à jour la chaîne de recherche pour affiner votre recherche.
6. Une fois que vous avez trouvé une ou plusieurs autorisations à ajouter à votre rôle personnalisé, ajoutez
une coche en regard des autorisations. Par exemple, ajoutez une coche en regard de Autre : Télécharger la
facture pour ajouter l’autorisation de télécharger des factures.
7. Cliquez sur Ajouter pour ajouter l’autorisation à votre liste d’autorisations.
L’autorisation est ajoutée en tant que Actions ou DataActions .
8. Pour supprimer des autorisations, cliquez sur l’icône Supprimer à la fin de la ligne. Dans cet exemple, étant
donné qu’un utilisateur n’a pas besoin de pouvoir créer des tickets de support, l’autorisation
Microsoft.Support/* peut être supprimée.

Ajouter des autorisations génériques


Selon la façon dont vous avez choisi de commencer, il se peut que votre liste d’autorisations contienne des
autorisations avec des caractères génériques (*). Un caractère générique (*) étend une autorisation à tout ce qui
correspond à la chaîne que vous fournissez. Par exemple, supposons que vous souhaitiez ajouter toutes les
autorisations relatives à Azure Cost Management et aux exportations. Vous pouvez ajouter toutes ces
autorisations :

Microsoft.CostManagement/exports/action
Microsoft.CostManagement/exports/read
Microsoft.CostManagement/exports/write
Microsoft.CostManagement/exports/delete
Microsoft.CostManagement/exports/run/action

Au lieu d’ajouter toutes ces autorisations, vous pouvez simplement ajouter une autorisation générique. Par
exemple, l’autorisation générique suivante équivaut aux cinq autorisations précédentes. Cela inclut également
toutes les futures autorisations d’exportation qui pourraient être ajoutées.

Microsoft.CostManagement/exports/*

Si vous souhaitez ajouter une nouvelle autorisation générique, vous ne pouvez pas le faire à l’aide du volet
Ajouter des autorisations. Pour ajouter une autorisation générique, vous devez procéder manuellement à l’aide
de l’onglet JSON. Pour plus d’informations, voir l’Étape 6 : JSON.
Exclure les autorisations
Si votre rôle a une autorisation générique (*) et que vous souhaitez exclure ou soustraire des autorisations
spécifiques de cette autorisation générique, vous pouvez les exclure. Par exemple, supposons que vous disposez
de l’autorisation générique suivante :
Microsoft.CostManagement/exports/*

Si vous ne souhaitez pas autoriser la suppression d’une exportation, vous pouvez exclure l’autorisation de
suppression suivante :

Microsoft.CostManagement/exports/delete

Lorsque vous excluez une autorisation, celle-ci est ajoutée en tant que NotActions ou NotDataActions . Les
autorisations de gestion effectives sont calculées en ajoutant toutes les Actions , puis en soustrayant toutes les
NotActions . Les autorisations de données effectives sont calculées en ajoutant toutes les DataActions , puis en
soustrayant toutes les NotDataActions .

NOTE
Une exclusion d’autorisation n’est pas la même chose qu’un refus. L’exclusion d’autorisations est simplement un moyen
pratique de soustraire des autorisations d’une autorisation générique.

1. Pour exclure ou soustraire une autorisation d’une autorisation générique accordée, cliquez sur Exclure les
autorisations pour ouvrir le volet Exclure les autorisations.
Dans ce volet, vous spécifiez les autorisations de gestion ou de données qui sont exclues ou soustraites.
2. Une fois que vous avez trouvé une ou plusieurs autorisations à exclure, ajoutez une coche en regard des
autorisations, puis cliquez sur le bouton Ajouter.

L’autorisation est ajoutée en tant que NotActions ou NotDataActions .


Étape 5 : Étendues attribuables
Sous l’onglet Étendues attribuables, spécifiez l’emplacement où votre rôle personnalisé est disponible pour
affectation, par exemple, un abonnement ou un groupe de ressources. Selon la façon dont vous avez choisi de
commencer, cet onglet peut répertorier l’étendue dans laquelle vous avez ouvert la page Contrôle d’accès (IAM ).
La définition de l’étendue attribuable sur l’étendue racine (« / ») n’est pas prise en charge. Pour cette préversion,
vous ne pouvez pas ajouter un groupe d’administration en tant qu’étendue attribuable.
1. Cliquez sur Ajouter des étendues attribuables pour ouvrir le volet Ajouter des étendues attribuables.

2. Cliquez sur une ou plusieurs étendues à utiliser, généralement votre abonnement.


3. Cliquez sur le bouton Ajouter pour ajouter votre étendue attribuable.

Étape 6 : JSON
Sous l’onglet JSON, vous voyez votre rôle personnalisé au format JSON. Si vous le souhaitez, vous pouvez
modifier directement le JSON. Si vous souhaitez ajouter une autorisation générique (*), vous devez utiliser cet
onglet.
1. Pour modifier le JSON, cliquez sur Modifier.

2. Modifiez le JSON.
Si le JSON n’est pas mis en forme correctement, une ligne en escalier rouge et un indicateur apparaissent
dans la marge verticale.
3. Une fois la modification terminée, cliquez sur Enregistrer.
Étape 7 : Vérifier + créer
Sous l’onglet Vérifier + créer, vous pouvez vérifier les paramètres de votre rôle personnalisé.
1. Vérifiez les paramètres de votre rôle personnalisé.

2. Cliquez sur Créer pour créer votre rôle personnalisé.


Après quelques instants, une zone de message s’affiche, indiquant que votre rôle personnalisé a été créé
avec succès.
Si des erreurs sont détectées, un message s’affiche.

3. Affichez votre nouveau rôle personnalisé dans la liste Rôles. Si vous ne voyez pas votre rôle personnalisé,
cliquez sur Actualiser.
Plusieurs minutes peuvent s’écouler avant que votre rôle personnalisé s’affiche partout.

Répertorier les rôles personnalisés


Pour afficher vos rôles personnalisés, procédez comme suit.
1. Ouvrez un abonnement ou un groupe de ressources, puis ouvrez Contrôle d’accès (IAM ) .
2. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.
3. Dans la liste Type, sélectionnez CustomRole pour voir vos rôles personnalisés.
Si vous venez de créer votre rôle personnalisé et ne le voyez pas dans la liste, cliquez sur Actualiser.

Mettre à jour un rôle personnalisé


1. Comme décrit précédemment dans cet article, ouvrez votre liste de rôles personnalisés.
2. Cliquez sur les points de suspension ( ... ) pour le rôle personnalisé à mettre à jour, puis cliquez sur
Modifier. Notez que vous ne pouvez pas mettre à jour des rôles intégrés.
Le rôle personnalisé s’ouvre dans l’éditeur.

3. Utilisez les différents onglets pour mettre à jour le rôle personnalisé.


4. Une fois vos modifications apportées, cliquez sur l’onglet Vérifier + créer pour passer en revue vos
modifications.
5. Cliquez sur le bouton Mettre à jour pour mettre à jour votre rôle personnalisé.

Supprimer un rôle personnalisé


1. Comme décrit précédemment dans cet article, ouvrez votre liste de rôles personnalisés.
2. Supprimez toutes les attributions de rôles qui utilisent le rôle personnalisé.
3. Cliquez sur les points de suspension ( ... ) pour le rôle personnalisé à supprimer, puis cliquez sur
Supprimer.

Plusieurs minutes peuvent s’écouler avant que votre rôle personnalisé soit complètement supprimé.

Étapes suivantes
Tutoriel : Créer un rôle personnalisé à l'aide d'Azure PowerShell
Rôles personnalisés dans Azure
Opérations du fournisseur de ressources Azure Resource Manager
Créer ou mettre à jour des rôles personnalisés pour
les ressources Azure à l’aide d’Azure PowerShell
02/03/2020 • 11 minutes to read • Edit Online

Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre
à jour ou supprimer des rôles personnalisés à l’aide d’Azure PowerShell.
Pour obtenir un tutoriel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle
personnalisé pour les ressources Azure à l'aide d'Azure PowerShell.

NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Conditions préalables requises


Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;
Azure Cloud Shell ou Azure PowerShell

Répertorier les rôles personnalisés


Pour répertorier les rôles qui peuvent être attribués à une étendue, utilisez la commande Get-AzRoleDefinition.
L’exemple suivant répertorie tous les rôles pouvant être affectés dans l’abonnement sélectionné.

Get-AzRoleDefinition | FT Name, IsCustom

Name IsCustom
---- --------
Virtual Machine Operator True
AcrImageSigner False
AcrQuarantineReader False
AcrQuarantineWriter False
API Management Service Contributor False
...

L’exemple suivant répertorie les rôles personnalisés pouvant être attribués dans l’abonnement sélectionné.

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom


Name IsCustom
---- --------
Virtual Machine Operator True

Si l’abonnement sélectionné ne se trouve pas dans le AssignableScopes du rôle, le rôle personnalisé ne sera pas
répertorié.

Lister une définition de rôle personnalisé


Pour lister une définition de rôle personnalisé, utilisez Get-AzRoleDefinition. Il s’agit de la même commande que
vous utiliseriez pour un rôle intégré.

Get-AzRoleDefinition <role name> | ConvertTo-Json

PS C:\> Get-AzRoleDefinition "Virtual Machine Operator" | ConvertTo-Json

{
"Name": "Virtual Machine Operator",
"Id": "00000000-0000-0000-0000-000000000000",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111"
]
}

L’exemple suivant liste seulement les actions du rôle :

(Get-AzRoleDefinition <role name>).Actions

PS C:\> (Get-AzRoleDefinition "Virtual Machine Operator").Actions

"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
Créer un rôle personnalisé
Pour créer un rôle personnalisé, utilisez la commande New -AzRoleDefinition. Il existe deux méthodes pour
structurer le rôle : avec un objet PSRoleDefinition ou un modèle JSON.
Obtenir les opérations d’un fournisseur de ressources
Si vous créez des rôles personnalisés, il est important d’obtenir toutes les opérations possibles auprès des
fournisseurs de ressources. Pour obtenir ces informations, vous pouvez afficher la liste des opérations du
fournisseur de ressources ou utiliser la commande Get-AzProviderOperation. Par exemple, si vous souhaitez
vérifier toutes les opérations disponibles pour des machines virtuelles, utilisez cette commande :

Get-AzProviderOperation <operation> | FT OperationName, Operation, Description -AutoSize

PS C:\> Get-AzProviderOperation "Microsoft.Compute/virtualMachines/*" | FT OperationName, Operation,


Description -AutoSize

OperationName Operation
Description
------------- ---------
-----------
Get Virtual Machine Microsoft.Compute/virtualMachines/read
Get the propertie...
Create or Update Virtual Machine Microsoft.Compute/virtualMachines/write
Creates a new vir...
Delete Virtual Machine Microsoft.Compute/virtualMachines/delete
Deletes the virtu...
Start Virtual Machine Microsoft.Compute/virtualMachines/start/action
Starts the virtua...
...

Créer un rôle personnalisé avec l’objet PSRoleDefinition


Lorsque vous utilisez PowerShell pour créer un rôle personnalisé, vous pouvez utiliser l’un des rôles intégrés
comme point de départ ou en créer un intégralement. Le premier exemple de cette section commence par un rôle
intégré, qui est ensuite personnalisé avec des privilèges supplémentaires. Modifiez les attributs et ajoutez les
Actions , NotActions ou AssignableScopes de votre choix, puis enregistrez les modifications sous un nouveau
rôle.
L’exemple suivant commence par le rôle intégré Contributeur de machines virtuelles et l’utilise pour créer un rôle
personnalisé appelé Opérateur de machines virtuelles. Le nouveau rôle accorde l’accès à toutes les opérations des
fournisseurs de ressources Microsoft.Compute, Microsoft.Storage et Microsoft.Network, ainsi que l’accès pour
démarrer, redémarrer et surveiller des machines virtuelles. Le rôle personnalisé peut être utilisé dans deux
abonnements.
$role = Get-AzRoleDefinition "Virtual Machine Contributor"
$role.Id = $null
$role.Name = "Virtual Machine Operator"
$role.Description = "Can monitor and restart virtual machines."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Storage/*/read")
$role.Actions.Add("Microsoft.Network/*/read")
$role.Actions.Add("Microsoft.Compute/*/read")
$role.Actions.Add("Microsoft.Compute/virtualMachines/start/action")
$role.Actions.Add("Microsoft.Compute/virtualMachines/restart/action")
$role.Actions.Add("Microsoft.Authorization/*/read")
$role.Actions.Add("Microsoft.ResourceHealth/availabilityStatuses/read")
$role.Actions.Add("Microsoft.Resources/subscriptions/resourceGroups/read")
$role.Actions.Add("Microsoft.Insights/alertRules/*")
$role.Actions.Add("Microsoft.Support/*")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/00000000-0000-0000-0000-000000000000")
$role.AssignableScopes.Add("/subscriptions/11111111-1111-1111-1111-111111111111")
New-AzRoleDefinition -Role $role

L’exemple suivant montre une autre méthode pour créer le rôle personnalisé Opérateur de machines virtuelles. Il
illustre d’abord la création d’un objet PSRoleDefinition . Les opérations d’action sont spécifiées dans la variable
perms et sont définies sur la propriété Actions . La propriété NotActions est définie en lisant les NotActions
dans le rôle intégré Contributeur de machines virtuelles. Étant donné que le Contributeur de machines virtuelles
ne contient pas de NotActions , cette ligne n’est pas nécessaire. Toutefois, elle montre comment les informations
peuvent être récupérées à partir d’un autre rôle.

$role = [Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition]::new()
$role.Name = 'Virtual Machine Operator 2'
$role.Description = 'Can monitor and restart virtual machines.'
$role.IsCustom = $true
$perms = 'Microsoft.Storage/*/read','Microsoft.Network/*/read','Microsoft.Compute/*/read'
$perms += 'Microsoft.Compute/virtualMachines/start/action','Microsoft.Compute/virtualMachines/restart/action'
$perms += 'Microsoft.Authorization/*/read'
$perms += 'Microsoft.ResourceHealth/availabilityStatuses/read'
$perms += 'Microsoft.Resources/subscriptions/resourceGroups/read'
$perms += 'Microsoft.Insights/alertRules/*','Microsoft.Support/*'
$role.Actions = $perms
$role.NotActions = (Get-AzRoleDefinition -Name 'Virtual Machine Contributor').NotActions
$subs = '/subscriptions/00000000-0000-0000-0000-000000000000','/subscriptions/11111111-1111-1111-1111-
111111111111'
$role.AssignableScopes = $subs
New-AzRoleDefinition -Role $role

Créer un rôle personnalisé avec le modèle JSON


Un modèle JSON peut servir de définition source pour le rôle personnalisé. L’exemple suivant crée un rôle
personnalisé qui autorise l’accès en lecture au stockage et aux ressources de calcul, ainsi que l’accès au support, et
ajoute ce rôle à deux abonnements. Créez un fichier C:\CustomRoles\customrole1.json avec l’exemple de contenu
suivant. L’ID doit être défini sur null lors de la création du rôle, étant donné qu’un nouvel ID est
automatiquement généré.
{
"Name": "Custom Role 1",
"Id": null,
"IsCustom": true,
"Description": "Allows for read access to Azure storage and compute resources and access to support",
"Actions": [
"Microsoft.Compute/*/read",
"Microsoft.Storage/*/read",
"Microsoft.Support/*"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000",
"/subscriptions/11111111-1111-1111-1111-111111111111"
]
}

Pour ajouter le rôle aux abonnements, exécutez la commande PowerShell suivante :

New-AzRoleDefinition -InputFile "C:\CustomRoles\customrole1.json"

Mettre à jour un rôle personnalisé


Comme pour la création d’un rôle personnalisé, vous pouvez modifier un rôle personnalisé existant à l’aide de
l’objet PSRoleDefinition ou d’un modèle JSON.
Mettre à jour un rôle personnalisé avec l’objet PSRoleDefinition
Pour modifier un rôle personnalisé, commencez par récupérer sa définition à l'aide de la commande Get-
AzRoleDefinition. Apportez ensuite les modifications souhaitées à la définition de rôle. Enfin, utilisez la commande
Set-AzRoleDefinition pour enregistrer la définition de rôle modifiée.
L’exemple suivant ajoute l’opération Microsoft.Insights/diagnosticSettings/* au rôle personnalisé Opérateur de
machine virtuelle .

$role = Get-AzRoleDefinition "Virtual Machine Operator"


$role.Actions.Add("Microsoft.Insights/diagnosticSettings/*")
Set-AzRoleDefinition -Role $role

PS C:\> $role = Get-AzRoleDefinition "Virtual Machine Operator"


PS C:\> $role.Actions.Add("Microsoft.Insights/diagnosticSettings/*")
PS C:\> Set-AzRoleDefinition -Role $role

Name :
Virtual Machine Operator
Id :
88888888-8888-8888-8888-888888888888
IsCustom :
True
Description :
Can monitor and restart virtual machines.
Actions :
{Microsoft.Storage/*/read, Microsoft.Network/*/read, Microsoft.Compute/*/read,
Microsoft.Compute/virtualMachines/start/action...}
NotActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000,
/subscriptions/11111111-1111-1111-1111-111111111111}

L’exemple suivant ajoute un abonnement Azure aux étendues attribuables du rôle personnalisé Opérateur de
machine virtuelle .
Get-AzSubscription -SubscriptionName Production3

$role = Get-AzRoleDefinition "Virtual Machine Operator"


$role.AssignableScopes.Add("/subscriptions/22222222-2222-2222-2222-222222222222")
Set-AzRoleDefinition -Role $role

PS C:\> Get-AzSubscription -SubscriptionName Production3

Name : Production3
Id : 22222222-2222-2222-2222-222222222222
TenantId : 99999999-9999-9999-9999-999999999999
State : Enabled

PS C:\> $role = Get-AzRoleDefinition "Virtual Machine Operator"


PS C:\> $role.AssignableScopes.Add("/subscriptions/22222222-2222-2222-2222-222222222222")
PS C:\> Set-AzRoleDefinition -Role $role

Name :
Virtual Machine Operator
Id :
88888888-8888-8888-8888-888888888888
IsCustom :
True
Description :
Can monitor and restart virtual machines.
Actions :
{Microsoft.Storage/*/read, Microsoft.Network/*/read, Microsoft.Compute/*/read,
Microsoft.Compute/virtualMachines/start/action...}
NotActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000,
/subscriptions/11111111-1111-1111-1111-111111111111,
/subscriptions/22222222-2222-2222-2222-222222222222}

Mettre à jour un rôle personnalisé avec un modèle JSON


À l’aide du modèle JSON précédent, vous pouvez facilement modifier un rôle personnalisé existant pour ajouter
ou supprimer des actions. Mettez à jour le modèle JSON et ajoutez l’action de lecture pour la mise en réseau,
comme l’indique l’exemple suivant. Les définitions figurant dans le modèle ne sont pas cumulativement
appliquées à une définition existante, ce qui veut dire que le rôle s’affiche exactement comme vous le spécifiez
dans le modèle. Vous devez aussi mettre à jour le champ ID avec l’ID du rôle. Si nécessaire, utilisez la cmdlet Get-
AzRoleDefinition pour obtenir cette valeur.

{
"Name": "Custom Role 1",
"Id": "acce7ded-2559-449d-bcd5-e9604e50bad1",
"IsCustom": true,
"Description": "Allows for read access to Azure storage and compute resources and access to support",
"Actions": [
"Microsoft.Compute/*/read",
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Support/*"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000",
"/subscriptions/11111111-1111-1111-1111-111111111111"
]
}

Pour mettre à jour le rôle existant, exécutez la commande PowerShell suivante :

Set-AzRoleDefinition -InputFile "C:\CustomRoles\customrole1.json"


Supprimer un rôle personnalisé
Pour supprimer un rôle personnalisé, utilisez la commande Remove-AzRoleDefinition.
L’exemple suivant supprime le rôle personnalisé Opérateur de machine virtuelle .

Get-AzRoleDefinition "Virtual Machine Operator"


Get-AzRoleDefinition "Virtual Machine Operator" | Remove-AzRoleDefinition

PS C:\> Get-AzRoleDefinition "Virtual Machine Operator"

Name : Virtual Machine Operator


Id : 88888888-8888-8888-8888-888888888888
IsCustom : True
Description : Can monitor and restart virtual machines.
Actions : {Microsoft.Storage/*/read, Microsoft.Network/*/read, Microsoft.Compute/*/read,
Microsoft.Compute/virtualMachines/start/action...}
NotActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000,
/subscriptions/11111111-1111-1111-1111-111111111111}

PS C:\> Get-AzRoleDefinition "Virtual Machine Operator" | Remove-AzRoleDefinition

Confirm
Are you sure you want to remove role definition with name 'Virtual Machine Operator'.
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y

Étapes suivantes
Tutoriel : Créer un rôle personnalisé pour les ressources Azure à l'aide d'Azure PowerShell
Rôles intégrés pour les ressources Azure
Opérations du fournisseur de ressources Azure Resource Manager
Créer ou mettre à jour des rôles personnalisés pour
les ressources Azure à l’aide d’Azure CLI
02/03/2020 • 5 minutes to read • Edit Online

Si les rôles intégrés pour les ressources Azure ne répondent pas aux besoins spécifiques de votre organisation,
vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre à jour ou
supprimer des rôles personnalisés à l’aide d’Azure CLI.
Pour obtenir un tutoriel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle
personnalisé pour les ressources Azure à l’aide d’Azure CLI.

Prérequis
Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;
Azure Cloud Shell ou Azure CLI

Répertorier les rôles personnalisés


Pour lister les rôles personnalisés pouvant être affectés, utilisez az role definition list. Les exemples suivants listent
tous les rôles personnalisés de l’abonnement actuel.

az role definition list --custom-role-only true --output json | jq '.[] | {"roleName":.roleName,


"roleType":.roleType}'

az role definition list --output json | jq '.[] | if .roleType == "CustomRole" then {"roleName":.roleName,
"roleType":.roleType} else empty end'

{
"roleName": "My Management Contributor",
"type": "CustomRole"
}
{
"roleName": "My Service Reader Role",
"type": "CustomRole"
}
{
"roleName": "Virtual Machine Operator",
"type": "CustomRole"
}

...

Lister une définition de rôle personnalisé


Pour lister une définition de rôle personnalisé, utilisez az role definition list. Il s’agit de la même commande que
vous utiliseriez pour un rôle intégré.
az role definition list --name <role_name>

L’exemple suivant liste la définition de rôle Opérateur de machine virtuelle :

az role definition list --name "Virtual Machine Operator"

[
{
"assignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111"
],
"description": "Can monitor and restart virtual machines.",
"id": "/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"permissions": [
{
"actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Virtual Machine Operator",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
]

L’exemple suivant liste seulement les actions du rôle Opérateur de machine virtuelle :

az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'

[
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
]
Créer un rôle personnalisé
Pour créer un rôle personnalisé, utilisez az role definition create. La définition de rôle peut être une description
JSON ou le chemin d’un fichier contenant une description JSON.

az role definition create --role-definition <role_definition>

L’exemple suivant crée un rôle personnalisé appelé Virtual Machine Operator. Ce rôle personnalisé attribue
l’accès à toutes les opérations de lecture (« read ») des fournisseurs de ressources Microsoft.Compute,
Microsoft.Storage et Microsoft.Network et attribue l’accès pour démarrer (« start »), redémarrer (« restart ») et
surveiller (« monitor ») les machines virtuelles. Ce rôle personnalisé peut être utilisé dans deux abonnements. Cet
exemple utilise un fichier JSON en tant qu’entrée.
vmoperator.json

{
"Name": "Virtual Machine Operator",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*"
],
"NotActions": [

],
"AssignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111",
"/subscriptions/33333333-3333-3333-3333-333333333333"
]
}

az role definition create --role-definition ~/roles/vmoperator.json

Mettre à jour un rôle personnalisé


Pour mettre à jour un rôle personnalisé, utilisez d’abord az role definition list pour récupérer la définition de rôle.
Apportez ensuite les modifications souhaitées à la définition de rôle. Enfin, utilisez az role definition update pour
enregistrer la définition de rôle mise à jour.

az role definition update --role-definition <role_definition>

L’exemple suivant ajoute l’opération Microsoft.Insights/diagnosticSettings/ aux Actions du rôle personnalisé


Virtual Machine Operator.
vmoperator.json
{
"Name": "Virtual Machine Operator",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"NotActions": [

],
"AssignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111",
"/subscriptions/33333333-3333-3333-3333-333333333333"
]
}

az role definition update --role-definition ~/roles/vmoperator.json

Supprimer un rôle personnalisé


Pour supprimer un rôle personnalisé, utilisez az role definition delete. Pour spécifier le rôle à supprimer, utilisez le
nom ou l’ID du rôle. Pour déterminer l’ID du rôle, utilisez az role definition list.

az role definition delete --name <role_name or role_id>

L’exemple suivant supprime le rôle personnalisé Virtual Machine Operator.

az role definition delete --name "Virtual Machine Operator"

Étapes suivantes
Tutoriel : Créer un rôle personnalisé pour les ressources Azure à l’aide d’Azure CLI
Rôles personnalisés pour les ressources Azure
Opérations du fournisseur de ressources Azure Resource Manager
Créer ou mettre à jour des rôles personnalisés pour
les ressources Azure à l’aide de l’API REST
02/03/2020 • 9 minutes to read • Edit Online

Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre
à jour ou supprimer des rôles personnalisés à l’aide de l’API REST.

Répertorier les rôles personnalisés


Pour répertorier tous les rôles personnalisés dans un répertoire, utilisez l’API REST Définitions de rôles - Liste.
1. Commencez par la requête suivante :

GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-
01&$filter={filter}

2. Remplacez {filter } par le type de rôle.

FILTRER DESCRIPTION

$filter=type%20eq%20'CustomRole' Filtre basé sur le type CustomRole

Répertorier les rôles personnalisés dans une étendue


Pour répertorier les rôles personnalisés dans une étendue, utilisez l’API REST Définitions de rôles - Liste.
1. Commencez par la requête suivante :

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions?api-
version=2015-07-01&$filter={filter}

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les rôles.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

3. Remplacez {filter } par le type de rôle.

FILTRER DESCRIPTION

$filter=type%20eq%20'CustomRole' Filtre basé sur le type CustomRole


Lister une définition de rôle personnalisé par nom
Pour obtenir des informations sur le rôle personnalisé en fonction de son nom d’affichage, utilisez l’API REST
Définitions de rôles – Obtenir.
1. Commencez par la requête suivante :

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions?api-
version=2015-07-01&$filter={filter}

2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les rôles.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

3. Remplacez {filter } par le nom d’affichage du rôle.

FILTRER DESCRIPTION

$filter=roleName%20eq%20'{roleDisplayName}' Utilisez la forme codée de l’URL du nom d’affichage exact


du rôle. Par exemple,
$filter=roleName%20eq%20'Virtual%20Machine%20Contributor'
.

Lister une définition de rôle personnalisé par ID


Pour obtenir des informations sur un rôle personnalisé en fonction de son identificateur unique, utilisez l’API
REST Définitions de rôles – Obtenir.
1. Utilisez l’API REST Définitions de rôles – Lister pour obtenir l’identificateur GUID du rôle.
2. Commencez par la requête suivante :

GET
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01

3. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les rôles.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

4. Remplacez {roleDefinitionId } par l’identificateur GUID de la définition du rôle.


Créer un rôle personnalisé
Pour créer un rôle personnalisé, utilisez l’API REST Définitions de rôles – Créer ou mettre à jour. Pour appeler
cette API, vous devez être connecté avec un rôle utilisateur qui dispose de l’autorisation
Microsoft.Authorization/roleDefinitions/write sur tous les assignableScopes . Parmi les rôles prédéfinis, seuls les
rôles Propriétaire et Administrateur de l’accès utilisateur disposent de cette autorisation.
1. Consultez la liste des opérations de fournisseur de ressources disponibles pour créer les autorisations de
votre rôle personnalisé.
2. Utilisez un outil GUID pour générer un identificateur unique qui servira d’identificateur de rôle
personnalisé. Cet identificateur est au format : 00000000-0000-0000-0000-000000000000 .
3. Commencez par la requête et le corps suivants :

PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01

{
"name": "{roleDefinitionId}",
"properties": {
"roleName": "",
"description": "",
"type": "CustomRole",
"permissions": [
{
"actions": [

],
"notActions": [

]
}
],
"assignableScopes": [
"/subscriptions/{subscriptionId}"
]
}
}

4. Dans l’URI, remplacez {scope} par le premier élément assignableScopes du rôle personnalisé.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

5. Remplacez {roleDefinitionId } par l’identificateur GUID du rôle personnalisé.


6. Dans la propriété assignableScopes du corps de la demande, remplacez {roleDefinitionId } par
l’identificateur GUID.
7. Remplacez {subscriptionId } par votre identificateur d’abonnement.
8. Dans la propriété actions , ajoutez les opérations autorisées par le rôle.
9. Dans la propriété notActions , ajoutez les opérations exclues des actions autorisées.
10. Dans les propriétés roleName et description , spécifiez un nom de rôle unique et une description. Pour
plus d’informations sur les propriétés, voir Rôles personnalisés.
Voici un exemple de corps de demande :

{
"name": "88888888-8888-8888-8888-888888888888",
"properties": {
"roleName": "Virtual Machine Operator",
"description": "Can monitor and restart virtual machines.",
"type": "CustomRole",
"permissions": [
{
"actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*"
],
"notActions": []
}
],
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
}

Mettre à jour un rôle personnalisé


Pour mettre à jour un rôle personnalisé, utilisez l’API REST Définitions de rôles – Créer ou mettre à jour. Pour
appeler cette API, vous devez être connecté avec un rôle utilisateur qui dispose de l’autorisation
Microsoft.Authorization/roleDefinitions/write sur tous les assignableScopes . Parmi les rôles prédéfinis, seuls les
rôles Propriétaire et Administrateur de l’accès utilisateur disposent de cette autorisation.
1. Utilisez l’API REST Définitions de rôles – Lister ou Définitions de rôles – Obtenir pour obtenir des
informations sur le rôle personnalisé. Pour plus d’informations, consultez la section précédente Lister les
rôles personnalisés.
2. Commencez par la requête suivante :

PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01

3. Dans l’URI, remplacez {scope} par le premier élément assignableScopes du rôle personnalisé.
ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

4. Remplacez {roleDefinitionId } par l’identificateur GUID du rôle personnalisé.


5. En fonction des informations sur le rôle personnalisé, créez un corps de demande au format suivant :

{
"name": "{roleDefinitionId}",
"properties": {
"roleName": "",
"description": "",
"type": "CustomRole",
"permissions": [
{
"actions": [

],
"notActions": [

]
}
],
"assignableScopes": [
"/subscriptions/{subscriptionId}"
]
}
}

6. Mettez à jour le corps de la demande avec les modifications que vous souhaitez apporter au rôle
personnalisé.
Voici un exemple de corps de demande avec ajout d’une nouvelle action de paramètres de diagnostic :
{
"name": "88888888-8888-8888-8888-888888888888",
"properties": {
"roleName": "Virtual Machine Operator",
"description": "Can monitor and restart virtual machines.",
"type": "CustomRole",
"permissions": [
{
"actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"notActions": []
}
],
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
}

Supprimer un rôle personnalisé


Pour supprimer un rôle personnalisé, utilisez l’API REST Définitions de rôles – Supprimer. Pour appeler cette API,
vous devez être connecté avec un rôle utilisateur qui dispose de l’autorisation
Microsoft.Authorization/roleDefinitions/delete sur tous les assignableScopes . Parmi les rôles prédéfinis, seuls
les rôles Propriétaire et Administrateur de l’accès utilisateur disposent de cette autorisation.
1. Utilisez l’API REST Définitions de rôles – Lister ou Définitions de rôles – Obtenir pour obtenir
l’identificateur GUID du rôle personnalisé. Pour plus d’informations, consultez la section précédente Lister
les rôles personnalisés.
2. Commencez par la requête suivante :

DELETE
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01

3. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez supprimer le rôle personnalisé.

ÉTENDUE TYPE

subscriptions/{subscriptionId} Subscription

Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1

Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1

4. Remplacez {roleDefinitionId } par l’identificateur GUID du rôle personnalisé.


Étapes suivantes
Rôles intégrés pour les ressources Azure
Gérer l'accès aux ressources Azure à l'aide du contrôle RBAC et de l'API REST
Référence de l'API REST Azure
Afficher les journaux d’activité pour voir les
changements RBAC Azure
11/03/2020 • 6 minutes to read • Edit Online

Vous avez parfois besoin d’informations sur les modifications du contrôle d’accès en fonction du rôle Azure (RBAC
Azure), par exemple à des fins d’audit ou de dépannage. Quand un utilisateur apporte des changements à des
attributions ou des définitions de rôle au sein de vos abonnements, ceux-ci sont journalisés dans la catégorie
Journal d’activité Azure. Vous pouvez afficher les journaux d’activité pour voir tous les changements RBAC Azure
des 90 derniers jours.

Opérations journalisées
Voici les opérations RBAC Azure qui sont journalisées dans le journal d’activité :
Créer une attribution de rôle
Supprimer une attribution de rôle
Créer ou mettre à jour une définition de rôle personnalisée
Supprimer la définition de rôle personnalisée

Portail Azure
Pour commencer, le plus simple consiste à afficher les journaux d’activité avec le portail Azure. La capture d’écran
suivante montre un exemple d’opérations d’attribution de rôle dans le journal d’activité. Elle contient également
une option pour télécharger les journaux dans un fichier CSV.

Le journal d’activité dans le portail comporte plusieurs filtres. Voici les filtres RBAC Azure :

FILTRER VALEUR

Catégorie d'événements Administratif


FILTRER VALEUR

Opération Créer une attribution de rôle


Supprimer une attribution de rôle
Créer ou mettre à jour une définition de rôle
personnalisée
Supprimer la définition de rôle personnalisée

Pour plus d’informations sur les journaux d’activité, consultez Afficher les journaux d’activité pour surveiller les
actions sur les ressources.

Azure PowerShell
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Pour afficher les journaux d’activité avec Azure PowerShell, utilisez la commande Get-AzLog.
Cette commande liste tous les changements d’attribution de rôle dans un abonnement au cours des sept derniers
jours :

Get-AzLog -StartTime (Get-Date).AddDays(-7) | Where-Object {$_.Authorization.Action -like


'Microsoft.Authorization/roleAssignments/*'}

Cette commande liste tous les changements de définition de rôle dans un groupe de ressources au cours des sept
derniers jours :

Get-AzLog -ResourceGroupName pharma-sales -StartTime (Get-Date).AddDays(-7) | Where-Object


{$_.Authorization.Action -like 'Microsoft.Authorization/roleDefinitions/*'}

Cette commande liste tous les changements d’attribution de rôle et de définition de rôle dans un abonnement au
cours des sept derniers jours et affiche les résultats dans une liste :

Get-AzLog -StartTime (Get-Date).AddDays(-7) | Where-Object {$_.Authorization.Action -like


'Microsoft.Authorization/role*'} | Format-List Caller,EventTimestamp,{$_.Authorization.Action},Properties
Caller : alain@example.com
EventTimestamp : 2/27/2020 9:18:07 PM
$_.Authorization.Action : Microsoft.Authorization/roleAssignments/write
Properties :
statusCode : Created
serviceRequestId: 11111111-1111-1111-1111-111111111111

Caller : alain@example.com
EventTimestamp : 2/27/2020 9:18:05 PM
$_.Authorization.Action : Microsoft.Authorization/roleAssignments/write
Properties :
requestbody : {"Id":"22222222-2222-2222-2222-222222222222","Properties":
{"PrincipalId":"33333333-3333-3333-3333-333333333333","RoleDefinitionId":"/subscriptions/00000000-0000-0000-
0000-000000000000/providers
/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-
20f7382dd24c","Scope":"/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"}}

Azure CLI
Pour afficher les journaux d’activité avec l’interface de ligne de commande Azure, utilisez la commande az monitor
activity-log list.
Cette commande liste les journaux d’activité d’un groupe de ressources à partir du 27 février sur les sept jours
suivants :

az monitor activity-log list --resource-group pharma-sales --start-time 2020-02-27 --offset 7d

Cette commande liste les journaux d’activité d’un fournisseur de ressources Authorization à partir du 27 février sur
les sept jours suivants :

az monitor activity-log list --namespace "Microsoft.Authorization" --start-time 2020-02-27 --offset 7d

Journaux d’activité Azure Monitor


Les journaux Azure Monitor sont un autre outil que vous pouvez utiliser pour collecter et analyser les changements
RBAC Azure de toutes vos ressources Azure. Les journaux Azure Monitor possèdent les avantages suivants :
Écriture de requêtes et d’une logique complexes
Intégration aux alertes, à Power BI et à d’autres outils
Enregistrement des données pour des périodes de rétention plus longues
Références croisées à d’autres journaux d’activité, tels que ceux liés à la sécurité, aux machines virtuelles et aux
journaux d’activité personnalisés
Voici les étapes de base pour bien démarrer :
1. Créez un espace de travail Log Analytics.
2. Configurez la solution Activity Log Analytics pour vos espaces de travail.
3. Affichez les journaux d’activité. Un moyen rapide d’accéder à la page Vue d’ensemble de la solution Activity
Log Analytics consiste à cliquer sur l’option Journaux.
4. Si vous le souhaitez, vous pouvez utiliser Azure Monitor Log Analytics pour interroger et afficher les
journaux. Pour plus d’informations, consultez Bien démarrer avec les requêtes de journal Azure Monitor.
Voici une requête qui retourne les nouvelles attributions de rôle organisées par fournisseur de ressources cible :

AzureActivity
| where TimeGenerated > ago(60d) and Authorization contains "Microsoft.Authorization/roleAssignments/write" and
ActivityStatus == "Succeeded"
| parse ResourceId with * "/providers/" TargetResourceAuthProvider "/" *
| summarize count(), makeset(Caller) by TargetResourceAuthProvider

Voici une requête qui retourne des changements d’attribution de rôle affichés dans un graphique :

AzureActivity
| where TimeGenerated > ago(60d) and Authorization contains "Microsoft.Authorization/roleAssignments"
| summarize count() by bin(TimeGenerated, 1d), OperationName
| render timechart

Étapes suivantes
Afficher des événements dans le journal d’activité
Surveiller l’activité d’abonnement avec le journal d’activité Azure
minutes to read • Edit Online

En tant qu’administrateur général dans Azure Active Directory (Azure AD ), il est possible que vous n’ayez pas
accès à tous les abonnements et groupes d’administration de votre annuaire. Cet article décrit les méthodes pour
élever votre accès à tous les abonnements et groupes d’administration.

NOTE
Pour plus d’informations sur l’affichage ou la suppression des données personnelles, consultez Requêtes DSR (droits de la
personne concernée) Azure pour le RGPD. Pour plus d’informations sur le RGPD, consultez la section RGPD du portail
Service Trust.

Pourquoi devez-vous élever votre accès ?


Si vous êtes administrateur général, il peut vous arriver de vouloir effectuer les opérations suivantes :
Récupérer l’accès à un abonnement ou groupe d’administration Azure quand un utilisateur a perdu cet accès
Accorder à un autre utilisateur ou à vous-même l’accès à un abonnement ou groupe d’administration Azure
Voir tous les abonnements ou groupes d’administration Azure au sein d’une organisation
Autoriser une application d’automation (telle qu’une application de facturation ou d’audit) à accéder à tous les
abonnements ou groupes d’administration Azure

Comment fonctionne l’accès avec élévation de privilèges ?


Les ressources Azure AD et Azure sont sécurisées de façon indépendante les unes des autres. Ainsi, les
attributions de rôles Azure AD n’accordent pas d’accès aux ressources Azure et inversement, les attributions de
rôles Azure n’accordent pas d’accès à Azure AD. En revanche, si vous êtes administrateur général dans Azure AD,
vous pouvez vous attribuer à vous-même un accès à tous les abonnements et groupes d’administration Azure de
votre annuaire. Utilisez cette fonctionnalité si vous n’avez pas accès aux ressources de l’abonnement Azure,
comme les machines virtuelles ou les comptes de stockage, et que vous voulez utiliser vos privilèges
d’administrateur général pour accéder à ces ressources.
Quand vous élevez votre accès, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure au niveau
de l’étendue racine ( / ).Ceci vous permet de voir toutes les ressources et d’attribuer des accès dans n’importe
quel abonnement ou groupe d’administration de l’annuaire. Les attributions de rôles Administrateur de l’accès
utilisateur peuvent être supprimées à l’aide d’Azure PowerShell, d’Azure CLI ou de l’API REST.
Vous devez supprimer cet accès avec élévation de privilèges après avoir effectué les modifications nécessaires au
niveau de l’étendue racine.
Portail Azure
Élever l’accès d’un administrateur général
Effectuez les étapes suivantes pour élever l’accès d’un administrateur général à l’aide du portail Azure.
1. Connectez-vous au portail Azure ou au Centre d’administration Azure Active Directory en tant
qu’administrateur général.
2. Recherchez et sélectionnez Azure Active Directory.

3. Sous Gérer, sélectionnez Propriétés.


4. Sous Gestion de l’accès pour les ressources Azure, définissez la bascule sur Oui.

Quand vous définissez la bascule sur Oui, le rôle Administrateur de l’accès utilisateur vous est attribué
dans Azure RBAC au niveau de l’étendue racine (/). Ceci vous accorde l’autorisation d’attribuer des rôles
dans tous les abonnements et groupes d’administration Azure associés à cet annuaire Azure AD. Cette
bascule est disponible seulement pour les utilisateurs auxquels le rôle Administrateur général a été
attribué dans Azure AD.
Quand vous définissez la bascule sur Non, le rôle Administrateur de l’accès utilisateur dans Azure RBAC
est supprimé de votre compte d’utilisateur. Vous ne pouvez plus attribuer des rôles dans tous les
abonnements et groupes d’administration Azure associés à cet annuaire Azure AD. Vous pouvez voir et
gérer seulement les abonnements et groupes d’administration Azure auxquels l’accès vous a été accordé.

NOTE
Si vous utilisez Azure AD Privileged Identity Management (PIM), la désactivation de l’attribution de rôle ne définit
pas cette bascule sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons
de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

5. Cliquez sur Enregistrer pour enregistrer votre paramètre.


Ce paramètre n’est pas une propriété globale et s’applique uniquement à l’utilisateur connecté. Vous ne
pouvez pas élever l’accès pour tous les membres du rôle Administrateur général.
6. Déconnectez-vous et reconnectez-vous pour actualiser votre accès.
Vous devez maintenant avoir accès à tous les abonnements et à tous les groupes d’administration de votre
annuaire. Lorsque vous affichez le volet de contrôle d’accès (IAM ), vous pouvez remarquer que le rôle
Administrateur de l’accès utilisateur vous a été attribué au niveau de l’étendue racine.

7. Effectuez les modifications que vous devez apporter via l’accès élevé.
Pour plus d’informations sur l’attribution de rôles, consultez Gérer les accès à l’aide du contrôle d’accès en
fonction du rôle et du portail Azure. Si vous utilisez Azure AD Privileged Identity Management (PIM ),
consultez Découvrir les ressources Azure à gérer dans PIM ou Attribuer des rôles de ressources Azure
dans PIM.
Supprimer l’accès élevé
Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine ( / ),
effectuez les étapes suivantes.
1. Connectez-vous en tant qu’utilisateur avec celui utilisé pour élever l’accès.
2. Dans la liste de navigation, cliquez sur Azure Active Directory, puis sur Propriétés.
3. Définissez la bascule Gestion de l’accès pour les ressources Azure sur Non. Comme il s’agit d’un
paramètre par utilisateur, vous devez être connecté sous le même utilisateur que celui utilisé pour élever
l’accès.
Si vous tentez de supprimer l’attribution de rôle Administrateur de l’accès utilisateur dans le volet de
contrôle d’accès (IAM ), le message suivant s’affiche. Pour supprimer l’attribution de rôle, vous devez
redéfinir la bascule sur Non ou utiliser Azure PowerShell, Azure CLI ou l’API REST.
Azure PowerShell
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.
Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module
Az d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.

Lister une attribution de rôle au niveau de l’étendue racine (/)


Pour lister l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur au niveau de l’étendue
racine ( / ), utilisez la commande Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `


-and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /
DisplayName : username
SignInName : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : User
CanDelegate : False

Supprimer l’accès élevé


Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même ou un autre utilisateur
au niveau de l’étendue racine ( / ), effectuez les étapes suivantes.
1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé. Il peut s’agir du même utilisateur
que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au
niveau de l’étendue racine.
2. Utilisez la commande Remove-AzRoleAssignment pour supprimer l’attribution de rôle Administrateur de
l’accès utilisateur.
Remove-AzRoleAssignment -SignInName <username@example.com> `
-RoleDefinitionName "User Access Administrator" -Scope "/"

Azure CLI
Lister une attribution de rôle au niveau de l’étendue racine (/)
Pour lister l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur au niveau de l’étendue
racine ( / ), utilisez la commande az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
{
"canDelegate": null,
"id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
"name": "11111111-1111-1111-1111-111111111111",
"principalId": "22222222-2222-2222-2222-222222222222",
"principalName": "username@example.com",
"principalType": "User",
"roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-
7773c20a72d9",
"roleDefinitionName": "User Access Administrator",
"scope": "/",
"type": "Microsoft.Authorization/roleAssignments"
}
]

Supprimer l’accès élevé


Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même ou un autre utilisateur
au niveau de l’étendue racine ( / ), effectuez les étapes suivantes.
1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé. Il peut s’agir du même utilisateur
que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au
niveau de l’étendue racine.
2. Utilisez la commande az role assignment delete pour supprimer l’attribution de rôle Administrateur de
l’accès utilisateur.

az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope
"/"

API REST
Élever l’accès d’un administrateur général
Pour élever l’accès d’un administrateur général à l’aide de l’API REST, suivez les étapes de base suivantes.
1. Avec REST, appelez elevateAccess , qui vous accorde le rôle Administrateur de l’accès utilisateur au niveau
de l’étendue racine ( / ).

POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-
01
2. Créez une attribution de rôle pour attribuer le rôle de votre choix quelle que soit l’étendue. L’exemple
suivant montre les propriétés pour l’attribution du rôle {roleDefinitionID } au niveau de l’étendue racine ( /
):

{
"properties": {
"roleDefinitionId": "providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionID}",
"principalId": "{objectID}",
"scope": "/"
},
"id": "providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments",
"name": "11111111-1111-1111-1111-111111111111"
}

3. En tant qu’Administrateur de l’accès utilisateur, vous pouvez également supprimer des attributions de rôle
au niveau de l’étendue racine ( / ).
4. Révoquez vos privilèges d’Administrateur des accès utilisateur jusqu’à ce que vous en ayez de nouveau
besoin.
Lister les attributions de rôle au niveau de l’étendue racine (/)
Vous pouvez lister toutes les attributions de rôle d’un utilisateur au niveau de l’étendue racine ( / ).
Appelez GET roleAssignments, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez
récupérer les attributions de rôles.

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-
07-01&$filter=principalId+eq+'{objectIdOfUser}'

Lister les affectations de refus au niveau de l’étendue racine (/)


Vous pouvez lister toutes les affectations de refus d’un utilisateur au niveau de l’étendue racine ( / ).
Appelez GET denyAssignments où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez
récupérer les affectations de refus.

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-
07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'

Supprimer l’accès élevé


Lorsque vous appelez elevateAccess , vous créez une attribution de rôle pour vous-même. Donc, pour révoquer
ces privilèges, vous devez supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même au
niveau de l’étendue racine ( / ).
1. Appelez GET roleDefinitions, où roleName est l’Administrateur de l’accès utilisateur, pour déterminer l’ID
de nom du rôle Administrateur de l’accès utilisateur.

GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-
07-01&$filter=roleName+eq+'User Access Administrator'
{
"value": [
{
"properties": {
"roleName": "User Access Administrator",
"type": "BuiltInRole",
"description": "Lets you manage user access to Azure resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": []
}
],
"createdOn": "0001-01-01T08:00:00.0000000Z",
"updatedOn": "2016-05-31T23:14:04.6964687Z",
"createdBy": null,
"updatedBy": null
},
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"type": "Microsoft.Authorization/roleDefinitions",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
}
],
"nextLink": null
}

Enregistrez l’ID à partir du paramètre name , en l’occurrence 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 .


2. Vous devez également lister les attributions de rôles pour l’administrateur d’annuaire au niveau de
l’annuaire. Listez toutes les attributions dans l’étendue de l’annuaire pour le principalId de
l’administrateur d’annuaire qui a effectué l’appel d’élévation d’accès. Ceci liste toutes les attributions de
l’annuaire pour l’objectid.

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-
07-01&$filter=principalId+eq+'{objectid}'

NOTE
Un administrateur d’annuaire ne doit normalement pas avoir beaucoup d’attributions. Si la requête précédente
retourne un trop grand nombre d’attributions, vous pouvez aussi interroger toutes les attributions seulement au
niveau de l’étendue de l’annuaire, puis filtrer les résultats :
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-
version=2015-07-01&$filter=atScope()

3. Les appels précédents retournent une liste des attributions de rôle. Recherchez l’attribution de rôle pour
laquelle l’étendue est "/" , où roleDefinitionId se termine par l’ID du nom de rôle trouvé à l’étape 1 et
où principalId correspond à l’objectid de l’administrateur d’annuaire.
Exemple d’attribution de rôle :
{
"value": [
{
"properties": {
"roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-
a5c3-7773c20a72d9",
"principalId": "{objectID}",
"scope": "/",
"createdOn": "2016-08-17T19:21:16.3422480Z",
"updatedOn": "2016-08-17T19:21:16.3422480Z",
"createdBy": "22222222-2222-2222-2222-222222222222",
"updatedBy": "22222222-2222-2222-2222-222222222222"
},
"id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments",
"name": "11111111-1111-1111-1111-111111111111"
}
],
"nextLink": null
}

Là encore, enregistrez l’ID à partir du paramètre name , en l’occurrence 11111111-1111-1111-1111-


111111111111.
4. Enfin, utilisez l’ID d’attribution de rôle pour supprimer l’attribution ajoutée par elevateAccess :

DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-
1111-1111-111111111111?api-version=2015-07-01

Étapes suivantes
Comprendre les différents rôles dans Azure
Gérer l'accès aux ressources Azure à l'aide du contrôle RBAC et de l'API REST
minutes to read • Edit Online

Microsoft vous recommande de gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle
(RBAC ). Toutefois, si vous utilisez toujours le modèle de déploiement classique, vous devrez utiliser un rôle
d’administrateur d'abonnement classique : Administrateur et coadministrateur de service. Pour plus
d’informations, consultez Déploiement Azure Resource Manager et déploiement Classic.
Cet article décrit comment ajouter ou modifier les rôles Coadministrateur et Administrateur de services, et
comment voir l’Administrateur de compte.

Ajouter un coadministrateur
TIP
Vous devez ajouter un coadministrateur uniquement si l’utilisateur a besoin de gérer les déploiements Azure Classic à l’aide
du module PowerShell de gestion des services Azure. Si l’utilisateur utilise uniquement le portail Azure pour gérer les
ressources classiques, vous n’avez pas besoin d’ajouter l’administrateur classique pour l’utilisateur.

1. Connectez-vous au portail Azure en tant qu’administrateur ou coadministrateur du service.


2. Ouvrez Abonnements et sélectionnez un abonnement.
Les coadministrateurs peuvent uniquement être attribués à l’étendue de l’abonnement.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Administrateurs classiques.

5. Cliquez sur Ajouter > Ajouter un coadministrateur pour ouvrir le volet Ajouter des coadministrateurs.
Si l’option Ajouter un coadministrateur est désactivée, cela signifie que vous n’avez pas les autorisations
requises.
6. Sélectionnez l’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter.
Ajoutez un utilisateur invité en tant que coadministrateur
Pour ajouter un utilisateur invité en tant que coadministrateur, suivez les mêmes étapes que celles décrites dans la
section précédente Ajouter un coadministrateur. L’utilisateur invité doit remplir les critères suivants :
L’utilisateur invité doit être présent dans votre annuaire. Cela signifie que l’utilisateur a été invité dans votre
annuaire et a accepté l’invitation.
Pour plus d’informations sur la manière d’ajouter un utilisateur invité à votre annuaire, consultez Ajouter des
utilisateurs Azure Active Directory B2B Collaboration dans le Portail Azure.
Différences pour les utilisateurs invités
Les utilisateurs invités qui ont été affectés au rôle de coadministrateur peuvent constater des différences par
rapport aux utilisateurs membres avec le rôle coadministrateur. Examinez le cas suivant :
L’utilisateur A avec un compte professionnel ou scolaire Azure AD est administrateur de service pour un
abonnement Azure.
L’utilisateur B dispose d’un compte Microsoft.
L’utilisateur A attribue le rôle de coadministrateur à l’utilisateur B.
L’utilisateur B peut presque tout faire, mais il ne peut pas inscrire d’applications ni rechercher des utilisateurs
dans l’annuaire Azure AD.
Vous vous attendiez sans doute à ce que l’utilisateur B puisse tout gérer. La raison de cette différence est que le
compte Microsoft est ajouté à l’abonnement en tant qu’invité utilisateur et non en tant qu’utilisateur membre. Les
utilisateurs invités disposent d’autorisations par défaut différentes dans Azure AD par rapport aux utilisateurs
membres. Par exemple, les utilisateurs membres peuvent voir les autres utilisateurs dans Azure AD, ce que ne
peuvent pas faire les utilisateurs invités. Les utilisateurs membres peuvent inscrire de nouveaux principaux de
service dans Azure AD, ce que ne peuvent pas faire les utilisateurs invités.
Si un utilisateur invité doit pouvoir effectuer ces tâches, une solution possible consiste à lui affecter le rôle
administrateur Azure AD spécifique dont l’utilisateur invité a besoin. Par exemple, dans le scénario précédent,
vous pouvez attribuer le rôle lecteur d’annuaire pour pouvoir lire d’autres utilisateurs et affecter le rôle
développeur d’applications pour pouvoir créer des principaux de service. Pour plus d’informations sur les
membres et les utilisateurs invités et leurs autorisations, consultez Quelles sont les autorisations utilisateur par
défaut dans Azure Active Directory ?. Pour plus d’informations sur l’octroi d’accès pour les utilisateurs invités,
consultez Gérer l’accès aux ressources Azure pour les utilisateurs invités externes à l’aide du contrôle d’accès en
fonction du rôle.
Notez que les rôles intégrés pour les ressources Azure diffèrent de ceux des rôles d’administrateur Azure AD. Les
rôles intégrés n’accordent aucun accès à Azure AD. Pour plus d’informations, consultez Comprendre les différents
rôles.
Pour plus d’informations comparant les utilisateurs membres et les utilisateurs invités, consultez Quelles sont les
autorisations d’utilisateur par défaut dans Azure Active Directory ?.

Supprimer un coadministrateur
1. Connectez-vous au portail Azure en tant qu’administrateur ou coadministrateur du service.
2. Ouvrez Abonnements et sélectionnez un abonnement.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Administrateurs classiques.
5. Ajoutez une coche en regard du Coadministrateur que vous souhaitez supprimer.
6. Cliquez sur Supprimer.
7. Dans la boîte de message qui s’affiche, cliquez sur Oui.

Changement d’administrateur de services


Seul l’administrateur de compte peut modifier l’administrateur de services fédérés d’un abonnement. Par défaut,
quand vous vous inscrivez à un abonnement Azure, l’Administrateur de services est le même que l’Administrateur
de compte. L’utilisateur avec le rôle Administrateur de compte n’a pas accès au portail Azure. L’utilisateur avec le
rôle Administrateur de service a un accès complet au portail Azure. Si l’Administrateur de compte et
l’Administrateur de service sont le même utilisateur et que vous remplacez l’Administrateur de service par un
autre utilisateur, alors l’Administrateur de compte perd l’accès au portail Azure. Toutefois, l’administrateur de
compte peut toujours utiliser le centre des comptes pour se réaffecter le rôle d’administrateur de services fédérés
à lui-même.
Procédez comme suit pour modifier l’administrateur de services fédérés dans le centre des comptes.
Centre des comptes
1. Vérifiez que votre scénario est pris en charge en vérifiant les limites de modification de l’administrateur de
services fédérés.
2. Connectez-vous au Centre des comptes en tant qu’administrateur de compte.
3. Cliquez sur un abonnement.
4. Sur le côté droit, cliquez sur Modifier les détails de l’abonnement.

5. Dans la zone ADMINISTRATEUR DE SERVICES , entrez l’adresse de messagerie du nouvel


administrateur de services fédérés.
6. Cliquez sur la coche pour enregistrer la modification.
Limites de modification de l’Administrateur de service
Il ne peut y avoir qu’un seul administrateur de service par abonnement Azure. La modification de l’administrateur
de service se comporte différemment selon que l’administrateur de compte est un compte Microsoft ou qu’il s’agit
d’un compte Azure AD (professionnel ou scolaire).

EST-IL POSSIBLE DE MODIFIER EST-IL POSSIBLE DE MODIFIER


EST-IL POSSIBLE DE MODIFIER L’ADMINISTRATEUR DE L’ADMINISTRATEUR DE
L’ADMINISTRATEUR DE SERVICE EN UN COMPTE SERVICE EN UN COMPTE
COMPTE D’ADMINISTRATEUR SERVICE EN UN AUTRE COMPTE AZURE AD DANS LE MÊME AZURE AD DANS UN
DE COMPTE MICROSOFT ? ANNUAIRE ? ANNUAIRE DIFFÉRENT ?

Compte Microsoft Oui Non Non

Compte Azure AD Oui Oui Non

Si l’administrateur de compte est un compte Azure AD, vous pouvez modifier l’administrateur de service en un
compte Azure AD dans le même annuaire, mais pas dans un autre. Par exemple, abby@contoso.com peut modifier
l’administrateur de service en bob@contoso.com, mais ne pas en john@notcontoso.com, sauf si
john@notcontoso.com a une présence dans l’annuaire contoso.com.
Pour plus d’informations sur les comptes Microsoft et Azure AD, voir Qu’est-ce qu’Azure Active Directory ?.

Voir l’administrateur de compte


L’Administrateur de compte est l’utilisateur qui a initialement souscrit l’abonnement Azure et qui est responsable
en tant que propriétaire de facturation de l’abonnement. Pour modifier l’administrateur de compte d’un
abonnement, consultez Transférer la propriété d’un abonnement Azure à un autre compte.
Pour voir l’Administrateur de compte, procédez comme suit.
1. Connectez-vous au portail Azure.
2. Ouvrez Abonnements et sélectionnez un abonnement.
3. Cliquez sur Propriétés.
L’administrateur de compte de l’abonnement s’affiche dans la zone Administrateur de compte.

Étapes suivantes
Comprendre les différents rôles dans Azure
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Ajouter ou changer des administrateurs d’abonnements Azure
Résoudre des problèmes liés au contrôle d’accès en
fonction du rôle pour les ressources Azure
02/03/2020 • 17 minutes to read • Edit Online

Cet article répond aux questions fréquentes sur le contrôle d’accès en fonction du rôle pour les ressources Azure,
afin que vous sachiez à quoi vous attendre lorsque vous utilisez les rôles sur le Portail Azure et que vous puissiez
résoudre les problèmes d’accès.

Problèmes liés aux attributions de rôle RBAC


Si vous ne pouvez pas ajouter d’attribution de rôle dans le portail Azure sur Contrôle d’accès (IAM ) car
l’option Ajouter > Ajouter une attribution de rôle est désactivée, ou parce que vous obtenez l’erreur
d’autorisations « Le client avec l’ID d’objet n’est pas autorisé à effectuer l’action », vérifiez que vous êtes
actuellement connecté avec un utilisateur disposant d’un rôle qui a l’autorisation
Microsoft.Authorization/roleAssignments/write , comme Propriétaire ou Administrateur de l’accès utilisateur
dans l’étendue sur laquelle vous essayez d’attribuer le rôle.
Si vous obtenez le message d’erreur « Plus aucune attribution de rôle ne peut être créée (code :
RoleAssignmentLimitExceeded) » lorsque vous tentez d’attribuer un rôle, essayez de réduire le nombre
d’attributions de rôles en attribuant plutôt des rôles à des groupes. Azure prend en charge jusqu’à
2 000 attributions de rôle par abonnement. Cette limite d’attribution de rôle est fixe et ne peut pas être
augmentée.

Problèmes liés aux rôles personnalisés


Si vous avez besoin de connaître les étapes permettant de créer un rôle personnalisé, consultez les tutoriels de
rôle personnalisé en utilisant Azure PowerShell ou Azure CLI.
Si vous ne parvenez pas à mettre à jour un rôle personnalisé existant, vérifiez que vous êtes actuellement
connecté avec un utilisateur disposant d’un rôle qui a l’autorisation
Microsoft.Authorization/roleDefinition/write , comme Propriétaire ou Administrateur de l’accès utilisateur.
Si vous ne pouvez pas supprimer un rôle personnalisé et que vous obtenez le message d’erreur « Certaines
attributions de rôle existantes font référence au rôle (code : RoleDefinitionHasAssignments) », cela signifie que
des attributions de rôle utilisent toujours le rôle personnalisé. Supprimez ces attributions de rôle et réessayez
de supprimer ce rôle.
Si vous obtenez le message d’erreur « La limite de définition de rôle a été dépassée. Plus aucune définition de
rôle ne peut être créée (code : RoleDefinitionLimitExceeded) » quand vous essayez de créer un rôle
personnalisé, supprimez tous les rôles personnalisés qui ne sont pas utilisés. Azure prend en charge jusqu’à
5 000 rôles personnalisés dans un locataire. (Pour les clouds spécialisés, tels que Azure Government, Azure
Allemagne et Azure China 21Vianet, la limite s’élève à 2 000 rôles personnalisés.)
Si vous obtenez une erreur similaire à « Le client a l’autorisation d’effectuer l’action
'Microsoft.Authorization/roleDefinitions/write' sur l’étendue '/subscriptions/{subscriptionid}'. Cependant,
l’abonnement lié est introuvable » quand vous essayez de mettre à jour un rôle personnalisé, vérifiez si une ou
plusieurs étendues attribuables ont été supprimées dans le locataire. Si l’étendue a été supprimée, créez un
ticket de support, car il n’existe aucune solution en libre-service disponible pour l’instant.

Récupérer le contrôle d’accès en fonction du rôle (RBAC) lorsque les


abonnements sont déplacés entre les locataires
Si vous avez besoin de connaître les étapes permettant de transférer un abonnement à un locataire Azure AD
différent, consultez Transférer la propriété d’un abonnement Azure à un autre compte.
Si vous transférez un abonnement vers un autre locataire Azure AD, toutes les attributions de rôle définies sont
définitivement supprimées du locataire Azure AD source et ne sont pas migrées sur le locataire Azure AD cible.
Vous devez recréer vos attributions de rôle dans le locataire cible. Vous devez également recréer manuellement
les identités managées pour les ressources Azure. Pour plus d’informations, consultez Questions fréquentes et
problèmes connus en lien avec les identités managées.
Si vous êtes administrateur général Azure AD et que vous n’avez pas accès à un abonnement après son
déplacement entre des locataires, utilisez l’option Gestion de l’accès pour les ressources Azure afin d’élever
votre accès temporairement et ainsi accéder à l’abonnement.

Problèmes liés aux coadministrateurs ou administrateurs de service


Si vous rencontrez des problèmes avec l’administrateur ou les coadministrateurs du service, consultez Ajouter
ou modifier les administrateurs d’abonnements Azure et Rôles d’administrateur d’abonnement classique, rôles
RBAC Azure et rôles d’administrateur Azure AD.

Accès refusé ou erreurs d’autorisations


Si vous obtenez l’erreur d’autorisations « Le client avec l’ID d’objet n’est pas autorisé à effectuer l’action sur
l’étendue (code : AuthorizationFailed) » lorsque vous tentez de créer une ressource, vérifiez que vous êtes
actuellement connecté avec un utilisateur disposant d’un rôle qui a l’autorisation d’écriture sur la ressource au
niveau de l’étendue sélectionnée. Par exemple, pour gérer les machines virtuelles dans un groupe de
ressources, vous devez disposer du rôle Contributeur de machines virtuelles sur le groupe de ressources (ou
l’étendue parente). Afin d’obtenir la liste des autorisations pour chaque rôle intégré, consultez Rôles intégrés
pour les ressources Azure.
Si vous obtenez l’erreur d’autorisations « Vous n’êtes pas autorisé à créer une demande de support » quand
vous tentez de créer ou de mettre à jour un ticket de support, vérifiez que vous êtes actuellement connecté avec
un utilisateur disposant d’un rôle qui a l’autorisation Microsoft.Support/supportTickets/write , comme
Collaborateur de la demande de support.

Attributions de rôles avec un principal de sécurité inconnu


Si vous attribuez un rôle à un principal de sécurité (utilisateur, groupe, principal du service ou identité gérée), puis
que vous supprimez ensuite ce principal de sécurité sans supprimer l’attribution de rôle, le type de principal de
sécurité pour l’attribution de rôle porte la mention Inconnu. La capture d’écran suivante montre un exemple dans
le Portail Azure. Le nom du principal de sécurité porte les mentions Identité supprimée et L’identité n’existe
plus.
Si vous répertoriez cette attribution de rôle à l’aide d’Azure PowerShell, DisplayName est vide à l’écran et
ObjectType est défini sur Inconnu. Par exemple, Get-AzRoleAssignment retourne une attribution de rôle similaire
à ce qui suit :

RoleAssignmentId : /subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName :
SignInName :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId : 33333333-3333-3333-3333-333333333333
ObjectType : Unknown
CanDelegate : False

De même, si vous répertoriez cette attribution de rôle à l’aide d’Azure CLI, principalName est vide à l’écran. Par
exemple, az role assignment list retourne une attribution de rôle similaire à ce qui suit :

{
"canDelegate": null,
"id": "/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"principalId": "33333333-3333-3333-3333-333333333333",
"principalName": "",
"roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"roleDefinitionName": "Storage Blob Data Contributor",
"scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments"
}

Il n’est pas gênant de conserver ces attributions de rôle, mais vous pouvez les supprimer à l’aide d’étapes
similaires aux autres attributions de rôle. Pour plus d’informations sur la suppression des attributions de rôles,
consultez Portail Azure, Azure PowerShell ou Azure CLI
Dans PowerShell, si vous essayez de supprimer les attributions de rôles à l’aide de l’ID d’objet et du nom de
définition de rôle alors que plusieurs attributions de rôle correspondent à vos paramètres, le message d’erreur
suivant s’affiche : « Les informations fournies ne correspondent pas à une attribution de rôle ». Voici un exemple
du message d’erreur :

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage


Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.


At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Si ce message d’erreur s’affiche, prenez soin de spécifier également les paramètres -Scope ou -ResourceGroupName
.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage


Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Les changements de contrôle d’accès en fonction du rôle ne sont pas


détectés
Azure Resource Manager met parfois en cache des données et des configurations pour améliorer les
performances. Lors de la création ou de la suppression d’attributions de rôles, un délai de 30 minutes maximum
peut être nécessaire avant que les modifications soient prises en compte. Si vous utilisez le portail Azure, Azure
PowerShell ou Azure CLI, vous pouvez forcer une actualisation de vos modifications d’attribution de rôle en vous
déconnectant et en vous reconnectant. Si vous apportez des modifications d’attribution de rôle à l’aide d’appels
d’API REST, vous pouvez forcer une actualisation en actualisant votre jeton d’accès.

Fonctionnalités d’application web qui nécessitent un accès en écriture


Si vous accordez un accès utilisateur en lecture seule à une seule application web, certaines fonctionnalités sont
désactivées, ce que vous n’avez peut-être pas prévu. Les fonctionnalités de gestion suivantes exigent un accès en
écriture à une application web (Collaborateur ou Propriétaire) et ne sont pas disponibles en lecture seule.
Commandes (comme start, stop, etc.)
Modification de paramètres tels que la configuration générale, les paramètres de mise à l’échelle, les
paramètres de sauvegarde et les paramètres d’analyse
Accès aux informations d’identification de publication et autres informations secrètes, telles que les paramètres
d’application et les chaînes de connexion
Diffusion de journaux d’activité
Configuration des journaux de diagnostic
Console (invite de commandes)
Déploiements actifs et récents (pour le déploiement continu Git local)
Estimation de dépense
Tests web
Réseau virtuel (accessible à un lecteur uniquement si un réseau virtuel a été précédemment configuré par un
utilisateur avec accès en écriture).
Si vous ne pouvez accéder à aucune de ces vignettes, vous devez obtenir l’accès Collaborateur à l’application web
auprès de votre administrateur.
Ressources d’application web qui nécessitent un accès en écriture
Les applications web sont compliqués par la présence de quelques ressources différentes qui interagissent. Voici
un groupe de ressources classique avec plusieurs sites web :

En conséquence, si vous accordez à un utilisateur le seul accès à l’application web, la plupart des fonctionnalités du
volet Site web dans le portail Azure sont désactivées.
Les éléments suivants requièrent l’accès en écriture au plan App Service qui correspond à votre site web :
Affichage du niveau tarifaire de l’application web (Gratuit ou Standard)
Configuration de mise à l'échelle (le nombre d'instances, la taille de la machine virtuelle, les paramètres de
mise à l'échelle automatique)
Quotas (stockage, bande passante, UC )
Les éléments suivants requièrent l’accès en écriture à l’ensemble du Groupe de ressources qui contient le site
web :
Certificats et liaisons SSL (les certificats SSL peuvent être partagés entre différents sites dans le même groupe
de ressources et emplacement)
Règles d'alerte
Paramètres de mise à l'échelle automatique
Composants Application Insights
Tests web

Fonctionnalités de machine virtuelle qui nécessitent un accès en


écriture
Comme pour les applications web, certaines fonctionnalités du volet de la machine virtuelle exigent un accès en
écriture à la machine virtuelle ou à d’autres ressources du groupe de ressources.
Les machines virtuelles sont associées aux noms de domaine, réseaux virtuels, comptes de stockage et règles
d'alerte.
Les éléments suivants requièrent l’accès en écriture à la machine virtuelle :
Points de terminaison
Adresses IP
Disques
Extensions
Les éléments suivants requièrent l’accès en écriture à la machine virtuelle, ainsi qu’au Groupe de ressources
(avec le nom de domaine) auxquels ils appartiennent :
Groupe à haute disponibilité
Jeu d'équilibrage de la charge
Règles d'alerte
Si vous ne pouvez accéder à aucune de ces vignettes, demandez l’accès Collaborateur au groupe de ressources à
votre administrateur.

Azure Functions et accès en écriture


Certaines fonctionnalités de Azure Functions nécessitent un accès en écriture. Par exemple, si un utilisateur est
assigné au rôle Lecteur, il ne peut pas voir les fonctions au sein d’une application de fonction. Le portail affiche
(aucun accès) .

Un lecteur peut cliquer sur l’onglet Fonctionnalités de plateforme, puis cliquez sur Tous les paramètres pour
afficher certains paramètres liés à une application de fonction (semblable à une application Web), mais il ne peut
pas modifier ces paramètres. Pour accéder à ces fonctionnalités, vous aurez besoin du rôle Contributeur.

Étapes suivantes
Résolution des problèmes pour les utilisateurs invités
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Afficher les journaux d’activité des changements de contrôle d’accès en fonction du rôle pour les ressources
Azure
Rôles intégrés pour les ressources Azure
04/03/2020 • 155 minutes to read • Edit Online

Le contrôle d’accès en fonction du rôle (RBAC ) a plusieurs rôles intégrés pour les ressources Azure que
vous pouvez affecter aux utilisateurs, groupes, principaux de service et identités managées. Les
attributions de rôles vous permettent de contrôler l’accès aux ressources Azure. Si les rôles intégrés ne
répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles
personnalisés pour les ressources Azure.
Cet article répertorie les rôles intégrés pour les ressources Azure, qui sont en constante évolution. Pour
obtenir les derniers rôles, utilisez la commande Get-AzRoleDefinition ou az role definition list. Si vous
recherchez des rôles d’administrateur pour Azure Active Directory, consultez Autorisations de rôles
d’administrateur dans Azure Active Directory.

Descriptions des rôles intégrés


Le tableau ci-après fournit une brève description de chaque rôle intégré. Cliquez sur le nom d’un rôle
pour voir la liste de Actions , NotActions , DataActions et NotDataActions concernant ce rôle. Pour plus
d’informations sur la signification de ces actions et la manière dont elles s'appliquent en termes de
gestion et de données, consultez Comprendre les définitions de rôle relatives aux ressources Azure.

RÔLE INTÉGRÉ DESCRIPTION ID

Propriétaire Permet de tout gérer, notamment 8e3af657-a8ff-443c-a75c-


l’accès aux ressources. 2fe8c4bcb635

Contributeur Permet de tout gérer, à l’exception b24988ac-6180-42a0-ab88-


de l’octroi de l’accès aux ressources. 20f7382dd24c

Lecteur Vous permet de tout afficher, mais acdd72a7-3385-48ef-bd42-


sans apporter de modifications. f606fba81ae7

AcrDelete acr delete c2f4ef07-c644-48eb-af81-


4b1b4947fb11

AcrImageSigner signataire d’image ACR 6cef56e8-d556-48e5-a04f-


b8e64114680f

AcrPull tirer (pull) acr 7f951dda-4ed3-4680-a7ca-


43fe172d538d

AcrPush envoyer (push) acr 8311e382-0749-4cb8-b61a-


304f252e45ec

AcrQuarantineReader lecteur de données de quarantaine cdda3590-29a3-44f6-95f2-


ACR 9f980659eb04

AcrQuarantineWriter écriture de données de quarantaine c8d4ff99-41c3-41a8-9f60-


ACR 21dfdad59608
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeur du service Gestion Peut gérer le service et les API 312a565d-c81f-4fd8-895a-


des API 4e21e48d571c

Rôle d’opérateur du service Gestion Peut gérer le service, mais pas les e022efe7-f5ba-4159-bbe4-
des API API b44f577e9b61

Rôle de lecteur du service Gestion Accès en lecture seule au service et 71522526-b88f-4d52-b57f-


des API aux API d31fc3546d0d

Propriétaire des données App Permet l’accès total aux données 5ae67dd6-50cb-40e7-96ff-
Configuration App Configuration. dc2bfa4b606b

Lecteur des données App Permet de lire les données App 516239f1-63e1-4d78-a4de-
Configuration Configuration. a74fb236a071

Contributeur de composants Gérer les composants Application ae349356-3a1b-4a5e-921d-


Application Insights Insights 050484c6347e

Débogueur de capture instantanée Autorise l’utilisateur à consulter et à 08954f03-6346-4c2e-81c0-


d’Application Insights télécharger les instantanés de ec3a5cfae23b
débogage collectés à l’aide du
débogueur de capture instantanée
Application Insights. Ces
autorisations ne sont pas incluses
dans les rôles Propriétaire et
Contributeur.

Opérateur de travaux Automation Permet de créer et de gérer des 4fe576fe-1146-4730-92eb-


travaux avec des runbooks 48519fa6bf9f
Automation.

Opérateur Automation Les opérateurs d’Automation sont d3881f73-407a-4167-8283-


en mesure de démarrer, d’arrêter, e981cbba0404
de suspendre et de reprendre des
travaux

Opérateur de runbook Automation Propriétés de lecture du runbook : 5fb5aef8-1081-4b8e-bb16-


pour pouvoir créer des travaux 9d5d0385bab5
depuis le runbook.

Contributeur Avere Peut créer et gérer un cluster Avere 4f8fab4f-1852-4a58-a46a-


vFXT. 8eaf358af14a

Opérateur Avere Utilisé par le cluster Avere vFXT c025889f-8102-4ebf-b32c-


pour gérer le cluster fc0c6f0c6bd9

Intégration de machine connectée à Peut intégrer des machines b64e21ea-ac4e-4cdf-9dc9-


Azure connectées à Azure. 5b892992bee7

Administrateur des ressources de la Peut lire, écrire, supprimer et cd570a14-e51a-42ad-bac8-


machine connectée à Azure réintégrer des machines connectées bafd67325302
à Azure.

Propriétaire de données Azure Permet un accès complet aux f526a384-b230-433a-b45c-


Event Hubs ressources Azure Event Hubs. 95f59c4a2dec
RÔLE INTÉGRÉ DESCRIPTION ID

Récepteur de données Azure Event Permet d’obtenir un accès en a638d3c7-ab3a-418d-83e6-


Hubs réception aux ressources Azure 5f17a39d4fde
Event Hubs.

Expéditeur de données Azure Event Permet d’obtenir un accès en envoi 2b629674-e913-4c01-ae53-


Hubs aux ressources Azure Event Hubs. ef4638d8f975

Rôle d’administrateur de cluster Répertorie les actions relatives aux 0ab0b1a8-8aac-4efd-b8c2-


Azure Kubernetes Service informations d’identification de 3ee1fb270be8
l’administrateur du cluster.

Rôle d’utilisateur de cluster Azure Répertorie les actions relatives aux 4abbcc35-e782-43d8-92c5-
Kubernetes Service informations d’identification de 2d3f1bd2253f
l’utilisateur du cluster.

Lecteur de données Azure Maps Octroie un accès pour lire les 423170ca-a8f6-4b0f-8487-
(préversion) données liées au mappage à partir 9e4eb8f49bfa
d’un compte Azure Maps.

Contributeur Azure Sentinel Contributeur Azure Sentinel ab8e14d6-4a74-4a29-9ba8-


549422addade

Lecteur Azure Sentinel Lecteur Azure Sentinel 8d289c81-5878-46d4-8554-


54e1e3d8b5cb

Répondeur Azure Sentinel Répondeur Azure Sentinel 3e150937-b8fe-4cfb-8069-


0eaf05ecd056

Propriétaire de données Azure Permet un accès total aux 090c5cfd-751d-490a-894a-


Service Bus ressources Azure Service Bus. 3ce6f1109419

Récepteur de données Azure Permet d’obtenir un accès en 4f6d3b9b-027b-4f4c-9142-


Service Bus réception aux ressources Azure 0e5a2a2247e0
Service Bus.

Expéditeur de données Azure Permet d’obtenir un accès en envoi 69a216fc-b8fb-44d8-bc22-


Service Bus aux ressources Azure Service Bus. 1f3c2cd27a39

Propriétaire de l’inscription Azure Permet de gérer les inscriptions 6f12a6df-dd06-4f3e-bcb1-


Stack Azure Stack. ce8be600526a

Contributeur de sauvegarde Permet de gérer le service de 5e467623-bb1f-42f4-a55d-


sauvegarde, mais pas de créer des 6e525e11384b
coffres, ni d’accorder l’accès à
d’autres personnes

Opérateur de sauvegarde Permet de gérer des services de 00c29273-979b-4161-815c-


sauvegarde, à l’exception de la 10b084fb9324
suppression de la sauvegarde, de la
création de coffres et de l’octroi
d’autorisations d’accès à d’autres
personnes
RÔLE INTÉGRÉ DESCRIPTION ID

Lecteur de sauvegarde Peut afficher des services de a795c7a0-d4a2-40c1-ae25-


sauvegarde, mais pas apporter des d81f01202912
modifications

Lecteur de facturation Autorise l’accès en lecture aux fa23ad8b-c56e-40d8-ac0c-


données de facturation ce449e1d2c64

Contributeur BizTalk Permet de gérer des services 5e3c6656-6cfa-4708-81fe-


BizTalk, mais pas d’y accéder. 0de47ac73342

Accès au nœud du membre Permet d’accéder aux nœuds du 31a002a1-acaf-453e-8a5b-


blockchain (préversion) membre blockchain 297c9ca1ea24

Contributeur blueprint Peut gérer les définitions blueprint, 41077137-e803-4205-871c-


mais ne peut pas les affecter. 5a86e6a753b4

Opérateur blueprint Peut affecter des blueprints publiés 437d2ced-4a38-4302-8479-


existants, mais ne peut pas en créer ed2bcb43d090
de nouveaux. REMARQUE : Cela
fonctionne uniquement si
l’affectation est effectuée avec une
identité managée affectée par
l’utilisateur.

Contributeur de point de Peut gérer les points de 426e0c7f-0c7e-4658-b36f-


terminaison CDN terminaison CDN, mais ne peut pas ff54d6c29b45
accorder l’accès à d’autres
utilisateurs.

Lecteur de point de terminaison Peut afficher des points de 871e35f6-b5c1-49cc-a043-


CDN terminaison CDN, mais ne peut pas bde969a0f2cd
effectuer de modifications.

Contributeur de profil CDN Peut gérer des profils CDN et leurs ec156ff8-a8d1-4d15-830c-
points de terminaison, mais ne peut 5b80698ca432
pas accorder l’accès à d’autres
utilisateurs.

Lecteur de profil CDN Peut afficher des profils CDN et 8f96442b-4075-438f-813d-


leurs points de terminaison, mais ne ad51ab4019af
peut pas y apporter des
modifications.

Contributeur de réseau classique Permet de gérer des réseaux b34d265f-36f7-4a0d-a4d4-


classiques, mais pas d’y accéder. e158ca92e90f

Contributeur de compte de Permet de gérer des comptes de 86e8f5dc-a6e9-4c67-9d15-


stockage classique stockage classiques, mais pas d’y de283e8eac25
accéder.

Rôle de service d’opérateur de clé Les opérateurs de clés de comptes 985d6b00-f706-48f5-a6fe-


de compte de stockage classique de stockage classiques sont d0ca12fb668d
autorisés à lister et à régénérer des
clés sur des comptes de stockage
classiques
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeur de machine virtuelle Permet de gérer des machines d73bb868-a0df-4d4d-bd69-


classique virtuelles classiques, mais pas d’y 98a00b01fccb
accéder, ni au réseau virtuel ou au
compte de stockage auquel elles
sont connectées.

Contributeur Cognitive Services Vous permet de créer, lire, mettre à 25fbc0a9-bd7c-42a3-aa1a-


jour, supprimer et gérer les clés de 3b75d497ee68
Cognitive Services.

Lecteur de données Cognitive Permet de lire des données b59867f0-fa02-499b-be73-


Services (préversion) Cognitive Services. 45a86b5b3e1c

Utilisateur Cognitive Services Vous permet de lire et de a97b65f3-24C7-4388-baec-


répertorier les clés de Cognitive 2e87135dc908
Services.

Rôle de lecteur de compte Cosmos Lire les données de comptes Azure fbdf93bf-df7d-467e-a4d2-
DB Cosmos DB. Consultez 9458aa1360c8
Contributeur de compte
DocumentDB pour en savoir plus
sur la gestion des comptes Azure
Cosmos DB.

Opérateur Cosmos DB Permet de gérer des comptes Azure 230815da-be43-4aae-9cb4-


Cosmos DB, mais pas d’accéder aux 875f7bd000aa
données qu’ils contiennent.
Empêche d’accéder aux clés de
compte et aux chaînes de
connexion.

CosmosBackupOperator Peut envoyer une requête de db7b14f2-5adf-42da-9f96-


restauration d’une base de données f2ee17bab5cb
Cosmos DB ou d’un conteneur
pour un compte

Contributeur Cost Management Peut afficher les coûts et gérer la 434105ed-43f6-45c7-a02f-


configuration des coûts (par 909b2ba83430
exemple, budgets, exportations)

Lecteur Cost Management Peut afficher les données et la 72fafb9e-0641-4937-9268-


configuration des coûts (par a91bfd8191a3
exemple, budgets, exportations)

Contributeur Data Box Permet de gérer toutes les add466c9-e687-43fc-8d98-


opérations sous le service Data Box dfcf8d720be5
à l’exception de l’octroi d’accès à
d’autres personnes.

Lecteur Data Box Permet de gérer le service Data 028f4ed7-e2a9-465e-a8f4-


Box, mais ne permet pas de créer 9c0ffdfdc027
une commande, de modifier les
détails d’une commande ou
d’octroyer l’accès à d’autres
personnes.
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeurs de fabrique de Créer et gérer des fabriques de 673868aa-7521-48a0-acc6-


données données, ainsi que les ressources 0f60742d39f5
enfants qu’elles contiennent.

Développeur Data Lake Analytics Permet d’envoyer, de surveiller et 47b7735b-770e-4598-a7da-


de gérer vos propres travaux, mais 8b91488b4c88
pas de créer ni de supprimer des
comptes Data Lake Analytics.

Videur de données Peut vider les données d’analytique 150f5e0c-0603-4f03-8c7f-


cf70034c4e90

Utilisateur de DevTest Labs Permet de connecter, de démarrer, 76283e04-6283-4c54-8f91-


de redémarrer et d’arrêter vos bcf1374a3c64
machines virtuelles dans votre
Azure DevTest Labs.

Contributeur de Zone DNS Permet de gérer des zones DNS et befefa01-2a29-4197-83a8-


des jeux d’enregistrements dans 272ff33ce314
Azure DNS, mais pas de contrôler
qui y a accès.

Contributeur de compte Gérer des comptes Azure Cosmos 5bd9cd88-fe45-4216-938b-


DocumentDB DB. Azure Cosmos DB était f97437e15450
auparavant appelé DocumentDB.

Contributeur EventGrid Vous permet de gérer les 428e0ff0-5e57-4d9c-a221-


EventSubscription opérations d’abonnement aux 2c70d0e0a443
événements EventGrid.

Lecteur EventGrid Vous permet de lire les 2414bbcf-6497-4FAF-8c65-


EventSubscription abonnements aux événements 045460748405
EventGrid.

Opérateur de cluster HDInsight Permet de lire et de modifier des 61ed4efc-fab3-44fd-b111-


configurations de cluster HDInsight. e24485cc132a

Contributeur HDInsight Domain Peut lire, créer, modifier et 8d8d5a11-05d3-4bda-a417-


Services supprimer les opérations Domain a08778121c7c
Services nécessaires pour le pack
Sécurité Entreprise HDInsight

Contributeur de compte Intelligent Permet de gérer des comptes 03a6d094-3444-4b3d-88af-


Systems Intelligent Systems, mais pas d’y 7477090a9e5e
accéder.

Contributeur Key Vault Permet de gérer des coffres de clés, f25e0fa2-a7c8-4377-a976-


mais pas d’y accéder. 54943a77a395

Créateur Lab Permet de créer, de gérer et de b97fb8bc-a8b2-4522-a38b-


supprimer des labs gérés dans vos dd33c7e65ead
comptes Azure Lab.
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeur Log Analytics Peut lire toutes les données de 92aaf0da-9dab-42b6-94a3-


surveillance et modifier les d43ce8d16293
paramètres de surveillance. La
modification des paramètres de
supervision inclut l’ajout de
l’extension de machine virtuelle aux
machines virtuelles, la lecture des
clés de comptes de stockage
permettant de configurer la
collection de journaux d’activité du
stockage Azure, la création et la
configuration de comptes
Automation, l’ajout de solutions et
la configuration de diagnostics
Azure sur toutes les ressources
Azure.

Lecteur Log Analytics Peut afficher et rechercher toutes 73c42c96-874c-492b-b04d-


les données de surveillance, ainsi ab87d138a893
qu’afficher les paramètres de
surveillance, notamment la
configuration des diagnostics Azure
sur toutes les ressources Azure.

Contributeur d’application logique Permet de gérer des applications 87a39d53-fc1b-424a-814c-


logiques, mais pas d’en modifier f7e04687dc9e
l’accès.

Opérateur d’application logique Permet de lire, d’activer et de 515c2055-d9d4-4321-b1b9-


désactiver des applications logiques, bd0c9a0f79fe
mais pas de les modifier ou de les
mettre à jour.

Rôle Contributeur d'application Permet de créer des ressources 641177b8-a67a-45b9-a033-


managée d’application managées. 47bc880bb21e

Rôle opérateur d’application Permet de lire les ressources c7393b34-138c-406f-901b-


managée d’application managée et d’effectuer d8cf2b17e6ae
des actions sur ces ressources.

Lecteur Applications managées Vous permet de lire les ressources b9331d33-8a36-4f8c-b097-


dans une application managée et 4f54124fdb44
de demander un accès JIT.

Contributeur d’identités gérées Peut créer, lire, mettre à jour et e40ec5ca-96e0-45a2-b4ff-


supprimer une identité attribuée à 59039f2c2b59
l’utilisateur.

Opérateur d’identités gérées Peut lire et assigner une identité f1a07417-d97a-45cb-824c-


attribuée à l’utilisateur. 7a7467783830

Suppression du rôle d’attribution La suppression du rôle d’attribution 91c1777a-f3dc-4fae-b103-


d’inscription de services managé d’inscription de services managés 61d183457e46
permet aux utilisateurs du client
gérant de supprimer l’attribution
d’inscription assignée à leur
locataire.
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeur du groupe Rôle de collaborateur du groupe 5d58bcaf-24a5-4b20-bdb6-


d’administration d’administration eed9f69fbe4c

Lecteur du groupe d’administration Rôle de lecteur du groupe ac63b705-f282-497d-ac71-


d’administration 919bf39d939d

Contributeur de surveillance Peut lire toutes les données de 749f88d5-cbae-40b8-bcfc-


surveillance et modifier les e573ddc772fa
paramètres de surveillance.
Consultez aussi Bien démarrer avec
les rôles, les autorisations et la
sécurité dans Azure Monitor.

Publication des métriques de Permet de publier les métriques 3913510d-42f4-4e42-8a64-


surveillance relatives aux ressources Azure 420c390055eb

Lecteur de surveillance Peut lire toutes les données de 43d0d8ad-25c7-4714-9337-


supervision (métriques, journaux 8ba259a9fe05
d’activité, etc.) Consultez aussi Bien
démarrer avec les rôles, les
autorisations et la sécurité dans
Azure Monitor.

Contributeur de réseau Permet de gérer des réseaux, mais 4d97b98b-1d4f-4787-a291-


pas d’y accéder. c67834d212e7

Contributeur de compte NewRelic Vous permet de gérer des comptes 5d28c62d-5b37-4476-8438-


APM et applications New Relic e587778df237
Application Performance
Management, mais pas d’y accéder.

Policy Insights Data Writer Permet de lire les stratégies de 66bb4e9e-b016-4a94-8249-


(préversion) ressources et d’écrire les 4c0511c2be84
événements de stratégie de
composant de ressource.

Lecteur et accès aux données Permet d’afficher tous les éléments, c12c1c16-33a1-487b-954d-
mais pas de supprimer ou de créer 41c89c60f349
un compte de stockage ou une
ressource contenue. En outre,
autorise l’accès en lecture/écriture à
toutes les données contenues dans
un compte de stockage via l’accès
aux clés de compte de stockage.

Contributeur Cache Redis Permet de gérer des caches Redis, e0f68234-74aa-48ed-b826-


mais pas d’y accéder. c38b57376e17

Contributeur de stratégie de Utilisateurs dotés de droits pour 36243c78-bf99-498c-9df9-


ressource créer ou modifier une stratégie de 86d9f8d28608
ressource, créer un ticket de
support et lire des ressources ou la
hiérarchie.
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeur des collections de Permet de gérer des collections de 188a0f2f-5c9e-469b-ae67-


travaux du planificateur tâches du planificateur, mais pas d’y 2aa5ce574b94
accéder.

Contributeur du service de Permet de gérer des services de 7ca78c08-252a-4471-8644-


recherche recherche, mais pas d’y accéder. bb5ff32d4ba0

Administrateur de la sécurité peut afficher les stratégies de fb1c8493-542b-48eb-b624-


sécurité, les états de sécurité, les b4c8fea62acd
alertes et les recommandations,
modifier les stratégies de sécurité et
ignorer les alertes et les
recommandations.

Contributeur d'évaluation de la Vous permet d’envoyer (push) les 612c2aa1-cb24-443b-ac28-


sécurité évaluations à Security Center 3ab7272de6f5

Gestionnaire de sécurité (hérité) Il s’agit d’un rôle hérité. Utilisez e3d13bf0-dd5a-482e-ba6b-


plutôt l’administrateur de sécurité. 9b8433878d10

Lecteur de sécurité Peut afficher les recommandations 39bc4728-0917-49c7-9d2c-


et les alertes, afficher les stratégies d95423bc2eb4
de sécurité, afficher les états de la
sécurité, mais ne peut pas apporter
de modifications.

Contributeur Site Recovery Permet de gérer le service Site 6670b86e-a3f7-4917-ac9b-


Recovery sauf la création de coffre 5d6ab1be4567
et l’attribution de rôle

Opérateur Site Recovery Permet de basculer et de restaurer 494ae006-db33-4328-bf46-


mais pas d’effectuer d’autres 533a6560a3ca
opérations de gestion de Site
Recovery

Lecteur Site Recovery Permet d’afficher l’état de Site dbaa88c4-0c30-4179-9fb3-


Recovery mais pas d’effectuer 46319faa6149
d’autres opérations de gestion

Contributeur de compte Spatial Permet de gérer des ancres 8bbe83f1-e2a6-4df7-8cb4-


Anchors spatiales dans votre compte, mais 4e04d4e5c827
pas de les supprimer

Propriétaire de compte Spatial Permet de gérer des ancres 70bbe301-9835-447d-afdd-


Anchors spatiales dans votre compte, y 19eb3167307c
compris de les supprimer

Lecteur de compte Spatial Anchors Permet de localiser et de lire les 5d51204f-eb77-4b1c-b86a-


propriétés d’ancres spatiales dans 2ec626c49413
votre compte

Contributeur de base de données Permet de gérer des bases de 9b7fa17d-e63e-47b0-bb0a-


SQL données SQL, mais pas d’y accéder. 15c516ac86ec
Vous ne pouvez pas non plus gérer
leurs stratégies de sécurité ni leurs
serveurs SQL parents.
RÔLE INTÉGRÉ DESCRIPTION ID

Contributeur de SQL Managed Permet de gérer des instances SQL 4939a1f6-9ae0-4e48-a1e0-


Instance Managed Instance et la f2cbe897382d
configuration réseau requise, mais
pas d’accorder l’accès à d’autres
personnes.

Gestionnaire de sécurité SQL Permet de gérer les stratégies de 056cd41c-7e88-42e1-933e-


sécurité des serveurs et bases de 88ba6a50c9c3
données SQL, mais pas d’y accéder.

Contributeur SQL Server Permet de gérer des serveurs et 6d8ee4ec-f05a-4a1d-8b00-


bases de données SQL, mais pas d’y a9b17e38b437
accéder, ni de gérer leurs stratégies
de sécurité.

Contributeur de compte de Permet la gestion des comptes de 17d1049b-9a84-46fb-8f53-


stockage stockage. Fournit l’accès à la clé de 869881c3d3ab
compte, qui peut être utilisée pour
accéder aux données par le biais de
l’autorisation de clé partagée.

Rôle de service d’opérateur de clé Permet de répertorier et de 81a9662b-bebf-436f-a333-


de compte de stockage régénérer les clés d’accès au compte f67b29880f12
de stockage.

Contributeur aux données Blob du Lire, écrire et supprimer des ba92f5b4-2d11-453d-a403-


stockage conteneurs et objets blob du e96b0029c9fe
stockage Azure. Pour savoir quelles
actions sont requises pour une
opération de données spécifique,
consultez Autorisations pour
appeler les opérations de données
d’objet blob et de file d’attente.

Propriétaire des données Blob du Fournit un accès total aux b7e6dc6d-f1e8-4753-8033-


stockage conteneurs d’objets blob et aux 0f276bb0955b
données du Stockage Azure,
notamment l’attribution du contrôle
d’accès POSIX. Pour savoir quelles
actions sont requises pour une
opération de données spécifique,
consultez Autorisations pour
appeler les opérations de données
d’objet blob et de file d’attente.

Lecteur des données blob du Lire et répertorier des conteneurs 2a2b9908-6ea1-4ae2-8e65-


stockage et objets blob du stockage Azure. a410df84e7d1
Pour savoir quelles actions sont
requises pour une opération de
données spécifique, consultez
Autorisations pour appeler les
opérations de données d’objet blob
et de file d’attente.
RÔLE INTÉGRÉ DESCRIPTION ID

Délégation du Stockage Blob Obtenez une clé de délégation db58b8e5-c6ad-4a2a-8342-


d’utilisateur qui peut être utilisée 4190687cbf4a
pour créer une signature d’accès
partagé pour un conteneur ou un
objet blob signé avec les
informations d’identification Azure
AD. Pour en savoir plus, consultez
Créer une SAP de délégation
d’utilisateur.

Contributeur de partage SMB de Permet l'accès en lecture, en 0c867c2a-1d8c-454a-a3db-


données de fichier de stockage écriture et en suppression aux ab2ea1bdc8bb
fichiers/répertoires des partages de
fichiers Azure. Ce rôle n'a pas
d'équivalent intégré sur les serveurs
de fichiers Windows.

Contributeur élevé de partage SMB Permet la lecture, l'écriture, la a7264617-510b-434b-a828-


de données de fichier de stockage suppression et la modification des 9731dc254ea7
listes de contrôle d'accès sur les
fichiers/répertoires des partages de
fichiers Azure. Ce rôle équivaut à
une liste de contrôle d'accès de
partage de fichiers en modification
sur les serveurs de fichiers
Windows.

Lecteur de partage SMB de Permet l'accès en lecture aux aba4ae5f-2193-4029-9191-


données de fichier de stockage fichiers/répertoires des partages de 0cb91df5e314
fichiers Azure. Ce rôle équivaut à
une liste de contrôle d'accès de
partage de fichiers en lecture sur les
serveurs de fichiers Windows.

Contributeur aux données en file Lire, écrire et supprimer des files 974c5e8b-45b9-4653-ba55-
d’attente du stockage d'attente et messages en file 5f855dd0fb88
d'attente du stockage Azure. Pour
savoir quelles actions sont requises
pour une opération de données
spécifique, consultez Autorisations
pour appeler les opérations de
données d’objet blob et de file
d’attente.

Processeur de messages de Récupérer et supprimer un 8a0f0c08-91a1-4084-bc3d-


données en file d’attente du message, ou en afficher un aperçu à 661d67233fed
stockage partir d’une file d’attente Stockage
Azure. Pour savoir quelles actions
sont requises pour une opération
de données spécifique, consultez
Autorisations pour appeler les
opérations de données d’objet blob
et de file d’attente.
RÔLE INTÉGRÉ DESCRIPTION ID

Expéditeur de messages de Ajoutez des messages à une file c6a89b2d-59bc-44d0-9896-


données en file d’attente du d’attente de stockage Azure. Pour 0f6e12d7b80a
stockage savoir quelles actions sont requises
pour une opération de données
spécifique, consultez Autorisations
pour appeler les opérations de
données d’objet blob et de file
d’attente.

Lecteur des données en file Lire et répertorier des files d’attente 19e7f393-937e-4f77-808e-
d’attente du stockage et messages en file d’attente du 94535e297925
stockage Azure. Pour savoir quelles
actions sont requises pour une
opération de données spécifique,
consultez Autorisations pour
appeler les opérations de données
d’objet blob et de file d’attente.

Contributeur de demande de Permet de créer et de gérer des cfd33db0-3dd1-45e3-aa9d-


support demandes de support cdbdf3b6f24e

Contributeur Traffic Manager Permet de gérer des profils Traffic a4b10055-b0c7-44c2-b00f-


Manager, mais pas de contrôler qui c7b5b3550cf7
y a accès.

Administrateur de l'accès utilisateur Vous permet de gérer l'accès 18d7d88d-d35e-4fb5-a5c3-


utilisateur aux ressources Azure. 7773c20a72d9

Connexion de l’administrateur aux Afficher les machines virtuelles dans 1c0163c0-47e6-4577-8991-


machines virtuelles le portail et se connecter en tant ea5c82e286e4
qu’administrateur

Contributeur de machine virtuelle Permet de gérer des machines 9980e02c-c2be-4d73-94e8-


virtuelles, mais pas d’y accéder, ni 173b1dc7cf3c
au réseau virtuel ou au compte de
stockage auquel elles sont
connectées.

Connexion de l’utilisateur aux Affichez les machines virtuelles dans fb879df8-f326-4884-b1cf-


machines virtuelles le portail et connectez-vous en tant 06f3ad86be52
qu’utilisateur normal.

Contributeur de plan web Permet de gérer des plans web 2cc479cb-7b4d-49a8-b449-


pour des sites web, mais pas d’y 8c00fd0f0a4b
accéder.

Contributeur de site web Permet de gérer des sites web (pas de139f84-1756-47ae-9be6-
des plans web), mais pas d’y 808fbbe84772
accéder.

Contributeur de classeur Peut enregistrer les classeurs e8ddcd69-c73f-4f9f-9844-


partagés. 4100522f16ad

Lecteur de classeur Peut lire les classeurs. b279062a-9be3-42a0-92ae-


8b3cf002ec4d
Propriétaire

Description Permet de tout gérer, notamment l’accès aux ressources.

Id 8e3af657-a8ff-443c-a75c-2fe8c4bcb635

Actions

* Créer et gérer les ressources de tous les types

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur

Description Permet de tout gérer, à l’exception de l’octroi de l’accès


aux ressources.

Id b24988ac-6180-42a0-ab88-20f7382dd24c

Actions

* Créer et gérer les ressources de tous les types

NotActions

Microsoft.Authorization/*/Delete Supprimer des rôles, des affectations de stratégie, des


définitions de stratégie et des définitions d’ensemble de
stratégies

Microsoft.Authorization/*/Write Créer des rôles, des attributions de rôle, des affectations


de stratégie, des définitions de stratégie et des
définitions d’ensemble de stratégies

Microsoft.Authorization/elevateAccess/Action Accorde à l’appelant un accès Administrateur de l’accès


utilisateur au niveau de la portée du client

Microsoft.Blueprint/blueprintAssignments/write Créer ou mettre à jour toutes les affectations de


blueprint

Microsoft.Blueprint/blueprintAssignments/delete Supprimer toutes les affectations de blueprint


DataActions

Aucune

NotDataActions

Aucune

Lecteur

Description Vous permet de tout afficher, mais sans apporter de


modifications.

Id acdd72a7-3385-48ef-bd42-f606fba81ae7

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

AcrDelete

Description acr delete

Id c2f4ef07-c644-48eb-af81-4b1b4947fb11

Actions

Microsoft.ContainerRegistry/registries/artifacts/delete Supprimer l’artefact dans un registre de conteneurs.

NotActions

Aucune

DataActions
Aucune

NotDataActions

Aucune

AcrImageSigner

Description signataire d’image ACR

Id 6cef56e8-d556-48e5-a04f-b8e64114680f

Actions

Microsoft.ContainerRegistry/registries/sign/write Envoie ou tire des métadonnées d’approbation du


contenu pour un registre de conteneurs.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

AcrPull

Description tirer (pull) acr

Id 7f951dda-4ed3-4680-a7ca-43fe172d538d

Actions

Microsoft.ContainerRegistry/registries/pull/read Tire (pull) ou obtient des images à partir d’un registre


de conteneurs.

NotActions

Aucune

DataActions

Aucune
NotDataActions

Aucune

AcrPush

Description envoyer (push) acr

Id 8311e382-0749-4cb8-b61a-304f252e45ec

Actions

Microsoft.ContainerRegistry/registries/pull/read Tire (pull) ou obtient des images à partir d’un registre


de conteneurs.

Microsoft.ContainerRegistry/registries/push/write Envoie (push) ou écrit des images dans un registre de


conteneurs.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

AcrQuarantineReader

Description lecteur de données de quarantaine ACR

Id cdda3590-29a3-44f6-95f2-9f980659eb04

Actions

Microsoft.ContainerRegistry/registries/quarantine/read Tire (pull) ou obtient des images en quarantaine à partir


du registre de conteneurs

NotActions

Aucune

DataActions
Aucune

NotDataActions

Aucune

AcrQuarantineWriter

Description écriture de données de quarantaine ACR

Id c8d4ff99-41c3-41a8-9f60-21dfdad59608

Actions

Microsoft.ContainerRegistry/registries/quarantine/read Tire (pull) ou obtient des images en quarantaine à partir


du registre de conteneurs

Microsoft.ContainerRegistry/registries/quarantine/write Écrit ou modifie l’état des images en quarantaine

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur du service de gestion des API

Description Peut gérer le service et les API

Id 312a565d-c81f-4fd8-895a-4e21e48d571c

Actions

Microsoft.ApiManagement/service/* Créer et gérer le service Gestion des API

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de
ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Rôle d’opérateur du service Gestion des API

Description Peut gérer le service, mais pas les API

Id e022efe7-f5ba-4159-bbe4-b44f577e9b61

Actions

Microsoft.ApiManagement/service/*/read Lire les instances du service Gestion des API

Microsoft.ApiManagement/service/backup/action Sauvegarder le service Gestion des API dans le


conteneur spécifié dans un compte de stockage fourni
par l’utilisateur

Microsoft.ApiManagement/service/delete Supprimer l’instance du service Gestion des API

Microsoft.ApiManagement/service/managedeployments Modifier une référence/unité, ajouter/supprimer des


/action déploiements régionaux du service Gestion des API

Microsoft.ApiManagement/service/read Lire les métadonnées d’une instance du service Gestion


des API

Microsoft.ApiManagement/service/restore/action Restaurer le service Gestion des API à partir du


conteneur spécifié dans un compte de stockage fourni
par l’utilisateur

Microsoft.ApiManagement/service/updatecertificate/acti Télécharger le certificat SSL pour un service Gestion des


on API

Microsoft.ApiManagement/service/updatehostname/acti Configurer, mettre à jour ou supprimer des noms de


on domaine personnalisés pour un service Gestion des API
Microsoft.ApiManagement/service/write Créer ou mettre à jour une instance du service Gestion
des API

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Microsoft.ApiManagement/service/users/keys/read Obtenir les clés associées à un utilisateur

DataActions

Aucune

NotDataActions

Aucune

Rôle de lecteur du service Gestion des API

Description Accès en lecture seule au service et aux API

Id 71522526-b88f-4d52-b57f-d31fc3546d0d

Actions

Microsoft.ApiManagement/service/*/read Lire les instances du service Gestion des API

Microsoft.ApiManagement/service/read Lire les métadonnées d’une instance du service Gestion


des API

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de
ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Microsoft.ApiManagement/service/users/keys/read Obtenir les clés associées à un utilisateur

DataActions

Aucune

NotDataActions

Aucune

Propriétaire des données App Configuration

Description Permet l’accès total aux données App Configuration.

Id 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.AppConfiguration/configurationStores/*/read

Microsoft.AppConfiguration/configurationStores/*/write

Microsoft.AppConfiguration/configurationStores/*/delet
e

NotDataActions

Aucune

Lecteur des données App Configuration


Description Permet de lire les données App Configuration.

Id 516239f1-63e1-4d78-a4de-a74fb236a071

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.AppConfiguration/configurationStores/*/read

NotDataActions

Aucune

Contributeur de composants Application Insights

Description Gérer les composants Application Insights

Id ae349356-3a1b-4a5e-921d-050484c6347e

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte classiques

Microsoft.Insights/metricAlerts/* Créer et gérer de nouvelles règles d’alerte

Microsoft.Insights/components/* Créer et gérer les composants Insights

Microsoft.Insights/webtests/* Créer et gérer les tests web

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions
Aucune

DataActions

Aucune

NotDataActions

Aucune

Débogueur de capture instantanée d’Application Insights

Description Autorise l’utilisateur à consulter et à télécharger les


instantanés de débogage collectés à l’aide du
débogueur de capture instantanée Application Insights.
Ces autorisations ne sont pas incluses dans les rôles
Propriétaire et Contributeur.

Id 08954f03-6346-4c2e-81c0-ec3a5cfae23b

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Insights/components/*/read

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur de travaux Automation


Description Permet de créer et de gérer des travaux avec des
runbooks Automation.

Id 4fe576fe-1146-4730-92eb-48519fa6bf9f

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Automation/automationAccounts/hybridRunb Lit des ressources Runbook Worker hybrides


ookWorkerGroups/read

Microsoft.Automation/automationAccounts/jobs/read Obtient un travail Azure Automation

Microsoft.Automation/automationAccounts/jobs/resum Reprend un travail Azure Automation


e/action

Microsoft.Automation/automationAccounts/jobs/stop/a Arrête un travail Azure Automation


ction

Microsoft.Automation/automationAccounts/jobs/stream Obtient un flux de travail Azure Automation


s/read

Microsoft.Automation/automationAccounts/jobs/suspen Suspend un travail Azure Automation


d/action

Microsoft.Automation/automationAccounts/jobs/write Crée un travail Azure Automation

Microsoft.Automation/automationAccounts/jobs/output Obtient le résultat d’un travail


/read

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur Automation
Opérateur Automation

Description Les opérateurs d’Automation sont en mesure de


démarrer, d’arrêter, de suspendre et de reprendre des
travaux

Id d3881f73-407a-4167-8283-e981cbba0404

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Automation/automationAccounts/hybridRunb Lit des ressources Runbook Worker hybrides


ookWorkerGroups/read

Microsoft.Automation/automationAccounts/jobs/read Obtient un travail Azure Automation

Microsoft.Automation/automationAccounts/jobs/resum Reprend un travail Azure Automation


e/action

Microsoft.Automation/automationAccounts/jobs/stop/a Arrête un travail Azure Automation


ction

Microsoft.Automation/automationAccounts/jobs/stream Obtient un flux de travail Azure Automation


s/read

Microsoft.Automation/automationAccounts/jobs/suspen Suspend un travail Azure Automation


d/action

Microsoft.Automation/automationAccounts/jobs/write Crée un travail Azure Automation

Microsoft.Automation/automationAccounts/jobSchedule Obtient une planification du travail Azure Automation


s/read

Microsoft.Automation/automationAccounts/jobSchedule Crée une planification du travail Azure Automation


s/write

Microsoft.Automation/automationAccounts/linkedWork Obtient l’espace de travail lié au compte Automation.


space/read

Microsoft.Automation/automationAccounts/read Obtient un compte Azure Automation

Microsoft.Automation/automationAccounts/runbooks/r Obtient un runbook Azure Automation


ead

Microsoft.Automation/automationAccounts/schedules/r Obtient une ressource de planification Azure


ead Automation

Microsoft.Automation/automationAccounts/schedules/ Crée ou met à jour une ressource de planification Azure


write Automation

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights


Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les
ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Automation/automationAccounts/jobs/output Obtient le résultat d’un travail


/read

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur de runbook Automation

Description Propriétés de lecture du runbook : pour pouvoir créer


des travaux depuis le runbook.

Id 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Automation/automationAccounts/runbooks/r Obtient un runbook Azure Automation


ead

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions
Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur Avere

Description Peut créer et gérer un cluster Avere vFXT.

Id 4f8fab4f-1852-4a58-a46a-8eaf358af14a

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Compute/*/read

Microsoft.Compute/availabilitySets/*

Microsoft.Compute/virtualMachines/*

Microsoft.Compute/disks/*

Microsoft.Network/*/read

Microsoft.Network/networkInterfaces/*

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.Network/virtualNetworks/subnets/read Obtient une définition de sous-réseau de réseau virtuel.

Microsoft.Network/virtualNetworks/subnets/join/action Joint un réseau virtuel. Impossible à alerter.

Microsoft.Network/virtualNetworks/subnets/joinViaServi Joint des ressources telles qu’un compte de stockage ou


ceEndpoint/action une base de données SQL à un sous-réseau. Impossible
à alerter.

Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights


Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/*/read

Microsoft.Storage/storageAccounts/*

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Resources/subscriptions/resourceGroups/reso Obtient les ressources du groupe de ressources.


urces/read

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/blobServices/contai Retourner le résultat de la suppression d’un objet blob


ners/blobs/delete

Microsoft.Storage/storageAccounts/blobServices/contai Retourne un objet blob ou une liste d'objets blob


ners/blobs/read

Microsoft.Storage/storageAccounts/blobServices/contai Retourner le résultat de l’écriture d’un objet blob


ners/blobs/write

NotDataActions

Aucune

Opérateur Avere

Description Utilisé par le cluster Avere vFXT pour gérer le cluster

Id c025889f-8102-4ebf-b32c-fc0c6f0c6bd9

Actions

Microsoft.Compute/virtualMachines/read Obtenir les propriétés d’une machine virtuelle

Microsoft.Network/networkInterfaces/read Obtient une définition d’interface réseau.

Microsoft.Network/networkInterfaces/write Crée une interface réseau ou met à jour une interface


réseau existante.

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.Network/virtualNetworks/subnets/read Obtient une définition de sous-réseau de réseau virtuel.

Microsoft.Network/virtualNetworks/subnets/join/action Joint un réseau virtuel. Impossible à alerter.


Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/blobServices/contai Retourne le résultat de la suppression d’un conteneur


ners/delete

Microsoft.Storage/storageAccounts/blobServices/contai Retourne la liste des conteneurs


ners/read

Microsoft.Storage/storageAccounts/blobServices/contai Retourne le résultat du conteneur put blob


ners/write

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/blobServices/contai Retourner le résultat de la suppression d’un objet blob


ners/blobs/delete

Microsoft.Storage/storageAccounts/blobServices/contai Retourne un objet blob ou une liste d'objets blob


ners/blobs/read

Microsoft.Storage/storageAccounts/blobServices/contai Retourner le résultat de l’écriture d’un objet blob


ners/blobs/write

NotDataActions

Aucune

Intégration de machine connectée à Azure

Description Peut intégrer des machines connectées à Azure.

Id b64e21ea-ac4e-4cdf-9dc9-5b892992bee7

Actions

Microsoft.HybridCompute/machines/read Lit les données des machines Azure Arc

Microsoft.HybridCompute/machines/write Écrit toutes les machines Azure Arc

Microsoft.GuestConfiguration/guestConfigurationAssign Obtient l’attribution de la configuration des invités.


ments/read

NotActions

Aucune
DataActions

Aucune

NotDataActions

Aucune

Administrateur des ressources de la machine connectée à Azure

Description Peut lire, écrire, supprimer et réintégrer des machines


connectées à Azure.

Id cd570a14-e51a-42ad-bac8-bafd67325302

Actions

Microsoft.HybridCompute/machines/read Lit les données des machines Azure Arc

Microsoft.HybridCompute/machines/write Écrit toutes les machines Azure Arc

Microsoft.HybridCompute/machines/delete Supprime toutes les machines Azure Arc

Microsoft.HybridCompute/machines/reconnect/action Reconnecte toutes les machines Azure Arc

Microsoft.HybridCompute/*/read

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Propriétaire de données Azure Event Hubs

Description Permet un accès complet aux ressources Azure Event


Hubs.

Id f526a384-b230-433a-b45c-95f59c4a2dec

Actions
Microsoft.EventHub/*

NotActions

Aucune

DataActions

Microsoft.EventHub/*

NotDataActions

Aucune

Récepteur de données Azure Event Hubs

Description Permet d’obtenir un accès en réception aux ressources


Azure Event Hubs.

Id a638d3c7-ab3a-418d-83e6-5f17a39d4fde

Actions

Microsoft.EventHub/*/eventhubs/consumergroups/read

NotActions

Aucune

DataActions

Microsoft.EventHub/*/receive/action

NotDataActions

Aucune

Expéditeur de données Azure Event Hubs

Description Permet d’obtenir un accès en envoi aux ressources


Azure Event Hubs.

Id 2b629674-e913-4c01-ae53-ef4638d8f975

Actions

Microsoft.EventHub/*/eventhubs/read
NotActions

Aucune

DataActions

Microsoft.EventHub/*/send/action

NotDataActions

Aucune

Rôle d’administrateur de cluster Azure Kubernetes Service

Description Répertorie les actions relatives aux informations


d’identification de l’administrateur du cluster.

Id 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8

Actions

Microsoft.ContainerService/managedClusters/listCluster Répertorier les informations d’identification


AdminCredential/action clusterAdmin d’un cluster géré

Microsoft.ContainerService/managedClusters/accessProf Obtient un profil d’accès au cluster géré en fonction du


iles/listCredential/action nom de rôle à l’aide des informations d’identification de
la liste

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Rôle d’utilisateur de cluster Azure Kubernetes Service

Description Répertorie les actions relatives aux informations


d’identification de l’utilisateur du cluster.

Id 4abbcc35-e782-43d8-92c5-2d3f1bd2253f

Actions
Microsoft.ContainerService/managedClusters/listCluster Répertorier les informations d’identification
UserCredential/action clusterAdmin d’un cluster géré

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de données Azure Maps (préversion)

Description Octroie un accès pour lire les données liées au mappage


à partir d’un compte Azure Maps.

Id 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.Maps/accounts/data/read Accorde à un compte Maps l’accès en lecture aux


données.

NotDataActions

Aucune

Contributeur Azure Sentinel

Description Contributeur Azure Sentinel

Id ab8e14d6-4a74-4a29-9ba8-549422addade

Actions
Microsoft.SecurityInsights/*

Microsoft.OperationalInsights/workspaces/analytics/que Effectue les recherches à l’aide d’un nouveau moteur.


ry/action

Microsoft.OperationalInsights/workspaces/read Obtient un espace de travail existant.

Microsoft.OperationalInsights/workspaces/savedSearche
s/*

Microsoft.OperationsManagement/solutions/read Obtenir la solution OMS existante.

Microsoft.OperationalInsights/workspaces/query/read Exécuter des requêtes sur les données dans l’espace de


travail

Microsoft.OperationalInsights/workspaces/query/*/read

Microsoft.OperationalInsights/workspaces/dataSources/ Obtenir des sources de données sous un espace de


read travail.

Microsoft.Insights/workbooks/*

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur Azure Sentinel

Description Lecteur Azure Sentinel

Id 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Actions

Microsoft.SecurityInsights/*/read

Microsoft.OperationalInsights/workspaces/analytics/que Effectue les recherches à l’aide d’un nouveau moteur.


ry/action

Microsoft.OperationalInsights/workspaces/read Obtient un espace de travail existant.

Microsoft.OperationalInsights/workspaces/savedSearche Obtient une requête de recherche enregistrée.


s/read

Microsoft.OperationsManagement/solutions/read Obtenir la solution OMS existante.

Microsoft.OperationalInsights/workspaces/query/read Exécuter des requêtes sur les données dans l’espace de


travail

Microsoft.OperationalInsights/workspaces/query/*/read

Microsoft.OperationalInsights/workspaces/dataSources/ Obtenir des sources de données sous un espace de


read travail.

Microsoft.Insights/workbooks/read Lire un classeur

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Répondeur Azure Sentinel

Description Répondeur Azure Sentinel


Id 3e150937-b8fe-4cfb-8069-0eaf05ecd056

Actions

Microsoft.SecurityInsights/*/read

Microsoft.SecurityInsights/cases/*

Microsoft.OperationalInsights/workspaces/analytics/que Effectue les recherches à l’aide d’un nouveau moteur.


ry/action

Microsoft.OperationalInsights/workspaces/read Obtient un espace de travail existant.

Microsoft.OperationalInsights/workspaces/dataSources/ Obtenir des sources de données sous un espace de


read travail.

Microsoft.OperationalInsights/workspaces/savedSearche Obtient une requête de recherche enregistrée.


s/read

Microsoft.OperationsManagement/solutions/read Obtenir la solution OMS existante.

Microsoft.OperationalInsights/workspaces/query/read Exécuter des requêtes sur les données dans l’espace de


travail

Microsoft.OperationalInsights/workspaces/query/*/read

Microsoft.OperationalInsights/workspaces/dataSources/ Obtenir des sources de données sous un espace de


read travail.

Microsoft.Insights/workbooks/read Lire un classeur

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions
Aucune

Propriétaire de données Azure Service Bus

Description Permet un accès total aux ressources Azure Service Bus.

Id 090c5cfd-751d-490a-894a-3ce6f1109419

Actions

Microsoft.ServiceBus/*

NotActions

Aucune

DataActions

Microsoft.ServiceBus/*

NotDataActions

Aucune

Récepteur de données Azure Service Bus

Description Permet d’obtenir un accès en réception aux ressources


Azure Service Bus.

Id 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0

Actions

Microsoft.ServiceBus/*/queues/read

Microsoft.ServiceBus/*/topics/read

Microsoft.ServiceBus/*/topics/subscriptions/read

NotActions

Aucune

DataActions

Microsoft.ServiceBus/*/receive/action
NotDataActions

Aucune

Expéditeur de données Azure Service Bus

Description Permet d’obtenir un accès en envoi aux ressources


Azure Service Bus.

Id 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39

Actions

Microsoft.ServiceBus/*/queues/read

Microsoft.ServiceBus/*/topics/read

Microsoft.ServiceBus/*/topics/subscriptions/read

NotActions

Aucune

DataActions

Microsoft.ServiceBus/*/send/action

NotDataActions

Aucune

Propriétaire de l’inscription Azure Stack

Description Permet de gérer les inscriptions Azure Stack.

Id 6f12a6df-dd06-4f3e-bcb1-ce8be600526a

Actions

Microsoft.AzureStack/registrations/products/*/action

Microsoft.AzureStack/registrations/products/read Obtient les propriétés d’un produit de la place de


marché Azure Stack.

Microsoft.AzureStack/registrations/read Obtient les propriétés d’une inscription Azure Stack.

NotActions
Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de sauvegarde

Description Permet de gérer le service de sauvegarde, mais pas de


créer des coffres, ni d’accorder l’accès à d’autres
personnes

Id 5e467623-bb1f-42f4-a55d-6e525e11384b

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.RecoveryServices/locations/*

Microsoft.RecoveryServices/Vaults/backupFabrics/operat Gérer les résultats des opérations de gestion des


ionResults/* sauvegardes

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Créer et gérer des conteneurs de sauvegarde dans les


tionContainers/* structures de sauvegarde du coffre Recovery Services

Microsoft.RecoveryServices/Vaults/backupFabrics/refresh Actualise la liste de conteneurs.


Containers/action

Microsoft.RecoveryServices/Vaults/backupJobs/* Créer et gérer des travaux de sauvegarde

Microsoft.RecoveryServices/Vaults/backupJobsExport/act Travaux d’exportation


ion

Microsoft.RecoveryServices/Vaults/backupOperationRes Créer et gérer les résultats des opérations de gestion


ults/* des sauvegardes

Microsoft.RecoveryServices/Vaults/backupPolicies/* Créer et gérer des stratégies de sauvegarde

Microsoft.RecoveryServices/Vaults/backupProtectableIte Créer et gérer les éléments qui peuvent être


ms/* sauvegardés

Microsoft.RecoveryServices/Vaults/backupProtectedItem Créer et gérer les éléments sauvegardés


s/*
Microsoft.RecoveryServices/Vaults/backupProtectionCon Créer et gérer les conteneurs contenant les éléments de
tainers/* sauvegarde

Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*

Microsoft.RecoveryServices/Vaults/backupUsageSummar Renvoie des résumés pour les éléments protégés et les


ies/read serveurs protégés d’un coffre Recovery Services.

Microsoft.RecoveryServices/Vaults/certificates/* Créer et gérer des certificats associés à la sauvegarde


dans le coffre Recovery Services

Microsoft.RecoveryServices/Vaults/extendedInformation/ Créer et gérer des informations étendues associées au


* coffre

Microsoft.RecoveryServices/Vaults/monitoringAlerts/rea Obtient les alertes pour le coffre Recovery Services.


d

Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/*

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/registeredIdentities/* Créer et gérer les identités inscrites

Microsoft.RecoveryServices/Vaults/usages/* Créer et gérer l’utilisation du coffre Recovery Services

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

Microsoft.RecoveryServices/Vaults/backupstorageconfig/
*

Microsoft.RecoveryServices/Vaults/backupconfig/*

Microsoft.RecoveryServices/Vaults/backupValidateOpera Valider l’opération sur l’élément protégé.


tion/action

Microsoft.RecoveryServices/Vaults/write L’opération de création de coffre entraîne la création


d’une ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/backupOperations/re Renvoie l’état de l’opération de sauvegarde pour le


ad coffre Recovery Services.

Microsoft.RecoveryServices/Vaults/backupEngines/read Retourne tous les serveurs d’administration de


sauvegarde inscrits auprès du coffre.

Microsoft.RecoveryServices/Vaults/backupFabrics/backu
pProtectionIntent/*
Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient tous les conteneurs protégeables
tableContainers/read

Microsoft.RecoveryServices/locations/backupStatus/actio Vérifie l’état de la sauvegarde pour les coffres Recovery


n Services

Microsoft.RecoveryServices/locations/backupPreValidate
Protection/action

Microsoft.RecoveryServices/locations/backupValidateFea Valide des fonctionnalités


tures/action

Microsoft.RecoveryServices/Vaults/monitoringAlerts/writ Résout l’alerte.


e

Microsoft.RecoveryServices/operations/read Retourne la liste d’opérations pour un fournisseur de


ressources

Microsoft.RecoveryServices/locations/operationStatus/re Obtient l’état de l’opération pour une opération donnée.


ad

Microsoft.RecoveryServices/Vaults/backupProtectionInte Répertorier tous les intentions de protection de


nts/read sauvegarde

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur de sauvegarde

Description Permet de gérer des services de sauvegarde, à


l’exception de la suppression de la sauvegarde, de la
création de coffres et de l’octroi d’autorisations d’accès à
d’autres personnes

Id 00c29273-979b-4161-815c-10b084fb9324

Actions
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.RecoveryServices/Vaults/backupFabrics/operat Renvoie l’état de l’opération.


ionResults/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient les résultats de l’opération effectuée sur le


tionContainers/operationResults/read conteneur de protection.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Effectue la sauvegarde d’un élément protégé.


tionContainers/protectedItems/backup/action

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient les résultats de l’opération effectuée sur les


tionContainers/protectedItems/operationResults/read éléments protégés.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie l’état de l’opération effectuée sur les éléments


tionContainers/protectedItems/operationsStatus/read protégés.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie des détails d’objet de l’élément protégé.


tionContainers/protectedItems/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Approvisionner la récupération d’éléments instantanée


tionContainers/protectedItems/recoveryPoints/provision pour l’élément protégé.
InstantItemRecovery/action

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtenir les points de récupération des éléments


tionContainers/protectedItems/recoveryPoints/read protégés.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Restaurer les points de récupération des éléments


tionContainers/protectedItems/recoveryPoints/restore/a protégés.
ction

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Révoquer la récupération d’éléments instantanée pour


tionContainers/protectedItems/recoveryPoints/revokeIn l’élément protégé.
stantItemRecovery/action

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Créer un élément protégé de sauvegarde.


tionContainers/protectedItems/write

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie tous les conteneurs inscrits.


tionContainers/read

Microsoft.RecoveryServices/Vaults/backupFabrics/refresh Actualise la liste de conteneurs.


Containers/action

Microsoft.RecoveryServices/Vaults/backupJobs/* Créer et gérer des travaux de sauvegarde

Microsoft.RecoveryServices/Vaults/backupJobsExport/act Travaux d’exportation


ion

Microsoft.RecoveryServices/Vaults/backupOperationRes Créer et gérer les résultats des opérations de gestion


ults/* des sauvegardes
Microsoft.RecoveryServices/Vaults/backupPolicies/operat Obtenir les résultats de l’opération de stratégie.
ionResults/read

Microsoft.RecoveryServices/Vaults/backupPolicies/read Renvoie toutes les stratégies de protection.

Microsoft.RecoveryServices/Vaults/backupProtectableIte Créer et gérer les éléments qui peuvent être


ms/* sauvegardés

Microsoft.RecoveryServices/Vaults/backupProtectedItem Renvoie la liste de tous les éléments protégés.


s/read

Microsoft.RecoveryServices/Vaults/backupProtectionCon Renvoie tous les conteneurs appartenant à


tainers/read l’abonnement.

Microsoft.RecoveryServices/Vaults/backupUsageSummar Renvoie des résumés pour les éléments protégés et les


ies/read serveurs protégés d’un coffre Recovery Services.

Microsoft.RecoveryServices/Vaults/certificates/write L’opération de mise à jour de certificat de ressource met


à jour le certificat d’identification du coffre/de la
ressource.

Microsoft.RecoveryServices/Vaults/extendedInformation/ L’opération d’obtention d’informations étendues obtient


read les informations étendues d’un objet représentant la
ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/extendedInformation/ L’opération d’obtention d’informations étendues obtient


write les informations étendues d’un objet représentant la
ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/monitoringAlerts/rea Obtient les alertes pour le coffre Recovery Services.


d

Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/*

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/registeredIdentities/o L’opération d’obtention des résultats d’une opération


perationResults/read peut être utilisée pour obtenir l’état de l’opération et le
résultat de l’opération envoyée de manière asynchrone.

Microsoft.RecoveryServices/Vaults/registeredIdentities/r L’opération d’obtention de conteneurs peut être utilisée


ead pour obtenir les conteneurs inscrits pour une ressource.

Microsoft.RecoveryServices/Vaults/registeredIdentities/w L’opération d’inscription d’un conteneur de service peut


rite être utilisée pour inscrire un conteneur avec Recovery
Services.

Microsoft.RecoveryServices/Vaults/usages/read Renvoie des détails d’utilisation d’un coffre Recovery


Services.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

Microsoft.RecoveryServices/Vaults/backupstorageconfig/
*

Microsoft.RecoveryServices/Vaults/backupValidateOpera Valider l’opération sur l’élément protégé.


tion/action

Microsoft.RecoveryServices/Vaults/backupOperations/re Renvoie l’état de l’opération de sauvegarde pour le


ad coffre Recovery Services.

Microsoft.RecoveryServices/Vaults/backupPolicies/operat Obtenir l’état de l’opération de stratégie.


ions/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Crée un conteneur inscrit


tionContainers/write

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Recherche les charges de travail dans un conteneur


tionContainers/inquire/action

Microsoft.RecoveryServices/Vaults/backupEngines/read Retourne tous les serveurs d’administration de


sauvegarde inscrits auprès du coffre.

Microsoft.RecoveryServices/Vaults/backupFabrics/backu Crée une intention de protection de sauvegarde.


pProtectionIntent/write

Microsoft.RecoveryServices/Vaults/backupFabrics/backu Créer une intention de protection de sauvegarde


pProtectionIntent/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient tous les conteneurs protégeables


tableContainers/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient tous les éléments figurant dans un conteneur


tionContainers/items/read

Microsoft.RecoveryServices/locations/backupStatus/actio Vérifie l’état de la sauvegarde pour les coffres Recovery


n Services

Microsoft.RecoveryServices/locations/backupPreValidate
Protection/action

Microsoft.RecoveryServices/locations/backupValidateFea Valide des fonctionnalités


tures/action

Microsoft.RecoveryServices/Vaults/monitoringAlerts/writ Résout l’alerte.


e

Microsoft.RecoveryServices/operations/read Retourne la liste d’opérations pour un fournisseur de


ressources
Microsoft.RecoveryServices/locations/operationStatus/re Obtient l’état de l’opération pour une opération donnée.
ad

Microsoft.RecoveryServices/Vaults/backupProtectionInte Répertorier tous les intentions de protection de


nts/read sauvegarde

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de sauvegarde

Description Peut afficher des services de sauvegarde, mais pas


apporter des modifications

Id a795c7a0-d4a2-40c1-ae25-d81f01202912

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.RecoveryServices/locations/allocatedStamp/re GetAllocatedStamp est une opération interne utilisée


ad par le service.

Microsoft.RecoveryServices/Vaults/backupFabrics/operat Renvoie l’état de l’opération.


ionResults/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient les résultats de l’opération effectuée sur le


tionContainers/operationResults/read conteneur de protection.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient les résultats de l’opération effectuée sur les


tionContainers/protectedItems/operationResults/read éléments protégés.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie l’état de l’opération effectuée sur les éléments


tionContainers/protectedItems/operationsStatus/read protégés.

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie des détails d’objet de l’élément protégé.


tionContainers/protectedItems/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtenir les points de récupération des éléments


tionContainers/protectedItems/recoveryPoints/read protégés.
Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie tous les conteneurs inscrits.
tionContainers/read

Microsoft.RecoveryServices/Vaults/backupJobs/operatio Renvoie le résultat de l’opération de travail.


nResults/read

Microsoft.RecoveryServices/Vaults/backupJobs/read Renvoie tous les objets de travail.

Microsoft.RecoveryServices/Vaults/backupJobsExport/act Travaux d’exportation


ion

Microsoft.RecoveryServices/Vaults/backupOperationRes Renvoie le résultat de l’opération de sauvegarde pour le


ults/read coffre Recovery Services.

Microsoft.RecoveryServices/Vaults/backupPolicies/operat Obtenir les résultats de l’opération de stratégie.


ionResults/read

Microsoft.RecoveryServices/Vaults/backupPolicies/read Renvoie toutes les stratégies de protection.

Microsoft.RecoveryServices/Vaults/backupProtectedItem Renvoie la liste de tous les éléments protégés.


s/read

Microsoft.RecoveryServices/Vaults/backupProtectionCon Renvoie tous les conteneurs appartenant à


tainers/read l’abonnement.

Microsoft.RecoveryServices/Vaults/backupUsageSummar Renvoie des résumés pour les éléments protégés et les


ies/read serveurs protégés d’un coffre Recovery Services.

Microsoft.RecoveryServices/Vaults/extendedInformation/ L’opération d’obtention d’informations étendues obtient


read les informations étendues d’un objet représentant la
ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/monitoringAlerts/rea Obtient les alertes pour le coffre Recovery Services.


d

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/registeredIdentities/o L’opération d’obtention des résultats d’une opération


perationResults/read peut être utilisée pour obtenir l’état de l’opération et le
résultat de l’opération envoyée de manière asynchrone.

Microsoft.RecoveryServices/Vaults/registeredIdentities/r L’opération d’obtention de conteneurs peut être utilisée


ead pour obtenir les conteneurs inscrits pour une ressource.

Microsoft.RecoveryServices/Vaults/backupstorageconfig/ Renvoie la configuration de stockage pour le coffre


read Recovery Services.

Microsoft.RecoveryServices/Vaults/backupconfig/read Renvoie la configuration pour le coffre Recovery


Services.

Microsoft.RecoveryServices/Vaults/backupOperations/re Renvoie l’état de l’opération de sauvegarde pour le


ad coffre Recovery Services.
Microsoft.RecoveryServices/Vaults/backupPolicies/operat Obtenir l’état de l’opération de stratégie.
ions/read

Microsoft.RecoveryServices/Vaults/backupEngines/read Retourne tous les serveurs d’administration de


sauvegarde inscrits auprès du coffre.

Microsoft.RecoveryServices/Vaults/backupFabrics/backu Créer une intention de protection de sauvegarde


pProtectionIntent/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient tous les éléments figurant dans un conteneur


tionContainers/items/read

Microsoft.RecoveryServices/locations/backupStatus/actio Vérifie l’état de la sauvegarde pour les coffres Recovery


n Services

Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/*

Microsoft.RecoveryServices/Vaults/monitoringAlerts/writ Résout l’alerte.


e

Microsoft.RecoveryServices/operations/read Retourne la liste d’opérations pour un fournisseur de


ressources

Microsoft.RecoveryServices/locations/operationStatus/re Obtient l’état de l’opération pour une opération donnée.


ad

Microsoft.RecoveryServices/Vaults/backupProtectionInte Répertorier tous les intentions de protection de


nts/read sauvegarde

Microsoft.RecoveryServices/Vaults/usages/read Renvoie des détails d’utilisation d’un coffre Recovery


Services.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de facturation

Description Autorise l’accès en lecture aux données de facturation

Id fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Billing/*/read Lire les informations de facturation

Microsoft.Commerce/*/read

Microsoft.Consumption/*/read

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.

Microsoft.CostManagement/*/read

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur BizTalk

Description Permet de gérer des services BizTalk, mais pas d’y


accéder.

Id 5e3c6656-6cfa-4708-81fe-0de47ac73342

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.BizTalkServices/BizTalk/* Créer et gérer BizTalk Services

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Accès au nœud du membre blockchain (préversion)

Description Permet d’accéder aux nœuds du membre blockchain

Id 31a002a1-acaf-453e-8a5b-297c9ca1ea24

Actions

Microsoft.Blockchain/blockchainMembers/transactionNo Crée ou répertorie un ou plusieurs nœuds de


des/read transaction existants du membre blockchain.

NotActions

Aucune

DataActions

Microsoft.Blockchain/blockchainMembers/transactionNo Connecte à un nœud de transaction d’un membre


des/connect/action blockchain.

NotDataActions

Aucune

Contributeur blueprint

Description Peut gérer les définitions blueprint, mais ne peut pas les
affecter.

Id 41077137-e803-4205-871c-5a86e6a753b4
Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Blueprint/blueprints/* Créer et gérer des définitions de blueprint ou des


artefacts de blueprint.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur blueprint

Description Peut affecter des blueprints publiés existants, mais ne


peut pas en créer de nouveaux. REMARQUE : Cela
fonctionne uniquement si l’affectation est effectuée avec
une identité managée affectée par l’utilisateur.

Id 437d2ced-4a38-4302-8479-ed2bcb43d090

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Blueprint/blueprintAssignments/* Créer et gérer des affectations de blueprint

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Support/* Créer et gérer les tickets de support

NotActions
Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de point de terminaison CDN

Description Peut gérer les points de terminaison CDN, mais ne peut


pas accorder l’accès à d’autres utilisateurs.

Id 426e0c7f-0c7e-4658-b36f-ff54d6c29b45

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Cdn/edgenodes/read

Microsoft.Cdn/operationresults/*

Microsoft.Cdn/profiles/endpoints/*

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de point de terminaison CDN


Description Peut afficher des points de terminaison CDN, mais ne
peut pas effectuer de modifications.

Id 871e35f6-b5c1-49cc-a043-bde969a0f2cd

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Cdn/edgenodes/read

Microsoft.Cdn/operationresults/*

Microsoft.Cdn/profiles/endpoints/*/read

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de profil CDN

Description Peut gérer des profils CDN et leurs points de


terminaison, mais ne peut pas accorder l’accès à d’autres
utilisateurs.

Id ec156ff8-a8d1-4d15-830c-5b80698ca432

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*

Microsoft.Cdn/profiles/*

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de profil CDN

Description Peut afficher des profils CDN et leurs points de


terminaison, mais ne peut pas y apporter des
modifications.

Id 8f96442b-4075-438f-813d-ad51ab4019af

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Cdn/edgenodes/read

Microsoft.Cdn/operationresults/*

Microsoft.Cdn/profiles/*/read

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.


Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de réseau classique

Description Permet de gérer des réseaux classiques, mais pas d’y


accéder.

Id b34d265f-36f7-4a0d-a4d4-e158ca92e90f

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.ClassicNetwork/* Créer et gérer des réseaux classiques

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions
Aucune

Contributeur de compte de stockage classique

Description Permet de gérer des comptes de stockage classiques,


mais pas d’y accéder.

Id 86e8f5dc-a6e9-4c67-9d15-de283e8eac25

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.ClassicStorage/storageAccounts/* Créer et gérer les comptes de stockage

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Rôle de service d’opérateur de clé de compte de stockage


classique

Description Les opérateurs de clés de comptes de stockage


classiques sont autorisés à lister et à régénérer des clés
sur des comptes de stockage classiques

Id 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Actions

Microsoft.ClassicStorage/storageAccounts/listkeys/actio Répertorie les clés d’accès des comptes de stockage.


n

Microsoft.ClassicStorage/storageAccounts/regenerateke Régénère les clés d’accès existantes du compte de


y/action stockage.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de machine virtuelle classique

Description Permet de gérer des machines virtuelles classiques, mais


pas d’y accéder, ni au réseau virtuel ou au compte de
stockage auquel elles sont connectées.

Id d73bb868-a0df-4d4d-bd69-98a00b01fccb

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.ClassicCompute/domainNames/* Créer et gérer des noms de domaine de calcul classique

Microsoft.ClassicCompute/virtualMachines/* Créer et gérer les machines virtuelles

Microsoft.ClassicNetwork/networkSecurityGroups/join/a
ction

Microsoft.ClassicNetwork/reservedIps/link/action Lier une adresse IP réservée

Microsoft.ClassicNetwork/reservedIps/read Obtient les adresses IP réservées

Microsoft.ClassicNetwork/virtualNetworks/join/action Joint le réseau virtuel.

Microsoft.ClassicNetwork/virtualNetworks/read Obtenez le réseau virtuel.

Microsoft.ClassicStorage/storageAccounts/disks/read Retourne le disque du compte de stockage.


Microsoft.ClassicStorage/storageAccounts/images/read Retourne l’image du compte de stockage. (Déconseillé.
Utilisez
« Microsoft.ClassicStorage/storageAccounts/vmImages
»)

Microsoft.ClassicStorage/storageAccounts/listKeys/actio Répertorie les clés d’accès des comptes de stockage.


n

Microsoft.ClassicStorage/storageAccounts/read Retourne le compte de stockage avec le compte


spécifique.

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur Cognitive Services

Description Vous permet de créer, lire, mettre à jour, supprimer et


gérer les clés de Cognitive Services.

Id 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.CognitiveServices/*

Microsoft.Features/features/read Afficher les fonctionnalités d’un abonnement


Microsoft.Features/providers/features/read Afficher les fonctionnalités d’un abonnement pour un
fournisseur de ressources donné

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Insights/diagnosticSettings/* Crée, met à jour ou lit le paramètre de diagnostic pour


Analysis Server.

Microsoft.Insights/logDefinitions/read Lire les définitions de journal

Microsoft.Insights/metricdefinitions/read Lire les définitions des mesures

Microsoft.Insights/metrics/read Lire des mesures

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.

Microsoft.Resources/subscriptions/operationresults/read Obtenir les résultats de l’opération de l’abonnement.

Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.

Microsoft.Resources/subscriptions/resourcegroups/depl
oyments/*

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de données Cognitive Services (préversion)

Description Permet de lire des données Cognitive Services.

Id b59867f0-fa02-499b-be73-45a86b5b3e1c
Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.CognitiveServices/*/read

NotDataActions

Aucune

Utilisateur Cognitive Services

Description Vous permet de lire et de répertorier les clés de


Cognitive Services.

Id a97b65f3-24C7-4388-baec-2e87135dc908

Actions

Microsoft.CognitiveServices/*/read

Microsoft.CognitiveServices/accounts/listkeys/action Afficher la liste des clés

Microsoft.Insights/alertRules/read Lire une alerte de métrique classique

Microsoft.Insights/diagnosticSettings/read Lire un paramètre de diagnostic de ressource

Microsoft.Insights/logDefinitions/read Lire les définitions de journal

Microsoft.Insights/metricdefinitions/read Lire les définitions des mesures

Microsoft.Insights/metrics/read Lire des mesures

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.

Microsoft.Resources/subscriptions/operationresults/read Obtenir les résultats de l’opération de l’abonnement.

Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.


Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Microsoft.CognitiveServices/*

NotDataActions

Aucune

Rôle de lecteur de compte Cosmos DB

Description Lire les données de comptes Azure Cosmos DB.


Consultez Contributeur de compte DocumentDB pour
en savoir plus sur la gestion des comptes Azure Cosmos
DB.

Id fbdf93bf-df7d-467e-a4d2-9458aa1360c8

Actions

Microsoft.Authorization/*/read Lire les rôles et les attributions de rôle, lire les


autorisations accordées à chaque utilisateur

Microsoft.DocumentDB/*/read Lire n’importe quelle collection

Microsoft.DocumentDB/databaseAccounts/readonlykeys Lire les clés en lecture seule du compte de base de


/action données.

Microsoft.Insights/MetricDefinitions/read Lire les définitions des mesures

Microsoft.Insights/Metrics/read Lire des mesures

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions
Aucune

Opérateur Cosmos DB

Description Permet de gérer des comptes Azure Cosmos DB, mais


pas d’accéder aux données qu’ils contiennent. Empêche
d’accéder aux clés de compte et aux chaînes de
connexion.

Id 230815da-be43-4aae-9cb4-875f7bd000aa

Actions

Microsoft.DocumentDb/databaseAccounts/*

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Network/virtualNetworks/subnets/joinViaServi Joint des ressources telles qu’un compte de stockage ou


ceEndpoint/action une base de données SQL à un sous-réseau. Impossible
à alerter.

NotActions

Microsoft.DocumentDB/databaseAccounts/readonlyKey
s/*

Microsoft.DocumentDB/databaseAccounts/regenerateK
ey/*

Microsoft.DocumentDB/databaseAccounts/listKeys/*

Microsoft.DocumentDB/databaseAccounts/listConnectio
nStrings/*

DataActions

Aucune

NotDataActions
Aucune

CosmosBackupOperator

Description Peut envoyer une requête de restauration d’une base


de données Cosmos DB ou d’un conteneur pour un
compte

Id db7b14f2-5adf-42da-9f96-f2ee17bab5cb

Actions

Microsoft.DocumentDB/databaseAccounts/backup/actio Soumettre une demande pour configurer la sauvegarde


n

Microsoft.DocumentDB/databaseAccounts/restore/actio Soumettre une demande de restauration


n

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur Cost Management

Description Peut afficher les coûts et gérer la configuration des


coûts (par exemple, budgets, exportations)

Id 434105ed-43f6-45c7-a02f-909b2ba83430

Actions

Microsoft.Consumption/*

Microsoft.CostManagement/*

Microsoft.Billing/billingPeriods/read

Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.


Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Advisor/configurations/read Obtenir des configurations

Microsoft.Advisor/recommendations/read Lit les recommandations

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur Cost Management

Description Peut afficher les données et la configuration des coûts


(par exemple, budgets, exportations)

Id 72fafb9e-0641-4937-9268-a91bfd8191a3

Actions

Microsoft.Consumption/*/read

Microsoft.CostManagement/*/read

Microsoft.Billing/billingPeriods/read

Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Advisor/configurations/read Obtenir des configurations

Microsoft.Advisor/recommendations/read Lit les recommandations

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.
NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur Data Box

Description Permet de gérer toutes les opérations sous le service


Data Box à l’exception de l’octroi d’accès à d’autres
personnes.

Id add466c9-e687-43fc-8d98-dfcf8d720be5

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Databox/*

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur Data Box


Description Permet de gérer le service Data Box, mais ne permet
pas de créer une commande, de modifier les détails
d’une commande ou d’octroyer l’accès à d’autres
personnes.

Id 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Databox/*/read

Microsoft.Databox/jobs/listsecrets/action

Microsoft.Databox/jobs/listcredentials/action Répertorie les informations d’identification non chiffrées


liées à la commande

Microsoft.Databox/locations/availableSkus/action Retourner la liste des références (SKU) disponibles

Microsoft.Databox/locations/validateInputs/action Cette méthode effectue tous les types de validations.

Microsoft.Databox/locations/regionConfiguration/action Cette méthode retourne les configurations pour la


région.

Microsoft.Databox/locations/validateAddress/action Valider l'adresse de livraison et fournir d'autres adresses


s’il en est

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeurs de fabrique de données

Description Créer et gérer des fabriques de données, ainsi que les


ressources enfants qu’elles contiennent.
Id 673868aa-7521-48a0-acc6-0f60742d39f5

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.DataFactory/dataFactories/* Créer et gérer des fabriques de données ainsi que leurs


ressources enfants

Microsoft.DataFactory/factories/* Créer et gérer des fabriques de données ainsi que leurs


ressources enfants

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.EventGrid/eventSubscriptions/write Créer ou mettre à jour un abonnement à un événement

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Développeur Data Lake Analytics

Description Permet d’envoyer, de surveiller et de gérer vos propres


travaux, mais pas de créer ni de supprimer des comptes
Data Lake Analytics.

Id 47b7735b-770e-4598-a7da-8b91488b4c88

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles


Microsoft.BigAnalytics/accounts/*

Microsoft.DataLakeAnalytics/accounts/*

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Microsoft.BigAnalytics/accounts/Delete

Microsoft.BigAnalytics/accounts/TakeOwnership/action

Microsoft.BigAnalytics/accounts/Write

Microsoft.DataLakeAnalytics/accounts/Delete Supprime un compte Data Lake Analytics.

Microsoft.DataLakeAnalytics/accounts/TakeOwnership/a Accorde des autorisations pour annuler des travaux


ction soumis par d’autres utilisateurs.

Microsoft.DataLakeAnalytics/accounts/Write Crée ou met à jour un compte Data Lake Analytics.

Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAcc Crée ou met à jour un compte Data Lake Store lié d’un
ounts/Write compte Data Lake Analytics.

Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAcc Dissocie un compte Data Lake Store d’un compte Data


ounts/Delete Lake Analytics.

Microsoft.DataLakeAnalytics/accounts/storageAccounts/ Crée ou met à jour un compte de stockage lié d’un


Write compte Data Lake Analytics.

Microsoft.DataLakeAnalytics/accounts/storageAccounts/ Dissocie un compte de stockage d’un compte Data Lake


Delete Analytics.

Microsoft.DataLakeAnalytics/accounts/firewallRules/Writ Créer ou mettre à jour une règle de pare-feu.


e

Microsoft.DataLakeAnalytics/accounts/firewallRules/Dele Supprimer une règle de pare-feu.


te

Microsoft.DataLakeAnalytics/accounts/computePolicies/ Crée ou met à jour une stratégie de calcul.


Write
Microsoft.DataLakeAnalytics/accounts/computePolicies/ Supprime une stratégie de calcul.
Delete

DataActions

Aucune

NotDataActions

Aucune

Videur de données

Description Peut vider les données d’analytique

Id 150f5e0c-0603-4f03-8c7f-cf70034c4e90

Actions

Microsoft.Insights/components/*/read

Microsoft.Insights/components/purge/action Vider des données d’Application Insights

Microsoft.OperationalInsights/workspaces/*/read

Microsoft.OperationalInsights/workspaces/purge/action Supprime les données spécifiées de l’espace de travail

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Utilisateur de DevTest Labs

Description Permet de connecter, de démarrer, de redémarrer et


d’arrêter vos machines virtuelles dans votre Azure
DevTest Labs.

Id 76283e04-6283-4c54-8f91-bcf1374a3c64
Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Compute/availabilitySets/read Obtenir les propriétés d’un groupe à haute disponibilité

Microsoft.Compute/virtualMachines/*/read Lire les propriétés d’une machine virtuelle (tailles de


machine virtuelle, état de l’exécution, extensions de
machine virtuelle, etc.)

Microsoft.Compute/virtualMachines/deallocate/action Mettre hors tension la machine virtuelle et libérer les


ressources de calcul

Microsoft.Compute/virtualMachines/read Obtenir les propriétés d’une machine virtuelle

Microsoft.Compute/virtualMachines/restart/action Redémarrer la machine virtuelle

Microsoft.Compute/virtualMachines/start/action Démarrer la machine virtuelle

Microsoft.DevTestLab/*/read Lire les propriétés d’un laboratoire

Microsoft.DevTestLab/labs/claimAnyVm/action Revendiquer une machine virtuelle exigible aléatoire


dans le laboratoire.

Microsoft.DevTestLab/labs/createEnvironment/action Créer des machines virtuelles dans un laboratoire.

Microsoft.DevTestLab/labs/ensureCurrentUserProfile/act Vérifiez que l’utilisateur actuel dispose d’un profil valide


ion dans le labo.

Microsoft.DevTestLab/labs/formulas/delete Supprimer des formules.

Microsoft.DevTestLab/labs/formulas/read Lire des formules.

Microsoft.DevTestLab/labs/formulas/write Ajouter ou modifier des formules.

Microsoft.DevTestLab/labs/policySets/evaluatePolicies/ac Évaluer la stratégie de laboratoire.


tion

Microsoft.DevTestLab/labs/virtualMachines/claim/action Prendre possession d’une machine virtuelle existante.

Microsoft.DevTestLab/labs/virtualmachines/listApplicable Répertorie les planifications de démarrage/arrêt


Schedules/action applicables, le cas échéant.

Microsoft.DevTestLab/labs/virtualMachines/getRdpFileC Obtenir une chaîne qui représente le contenu du fichier


ontents/action RDP pour la machine virtuelle

Microsoft.Network/loadBalancers/backendAddressPools/ Joint un pool d’adresses principales d’équilibrage de


join/action charge. Impossible à alerter.

Microsoft.Network/loadBalancers/inboundNatRules/join/ Joint une règle nat de trafic entrant d’équilibrage de


action charge. Impossible à alerter.
Microsoft.Network/networkInterfaces/*/read Lire les propriétés d’une interface réseau (par exemple,
tous les équilibreurs de charge dont l’interface réseau
fait partie)

Microsoft.Network/networkInterfaces/join/action Joint une machine virtuelle à une interface réseau.


Impossible à alerter.

Microsoft.Network/networkInterfaces/read Obtient une définition d’interface réseau.

Microsoft.Network/networkInterfaces/write Crée une interface réseau ou met à jour une interface


réseau existante.

Microsoft.Network/publicIPAddresses/*/read Lire les propriétés d’une adresse IP publique

Microsoft.Network/publicIPAddresses/join/action Joint une adresse IP publique. Impossible à alerter.

Microsoft.Network/publicIPAddresses/read Obtient une définition de l’adresse IP publique.

Microsoft.Network/virtualNetworks/subnets/join/action Joint un réseau virtuel. Impossible à alerter.

Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.

Microsoft.Resources/deployments/read Obtient ou répertorie les déploiements.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/listKeys/action Retourne les clés d’accès au compte de stockage


spécifié.

NotActions

Microsoft.Compute/virtualMachines/vmSizes/read Répertorier les tailles disponibles pour la mise à jour de


la machine virtuelle

DataActions

Aucune

NotDataActions

Aucune

Contributeur de Zone DNS

Description Permet de gérer des zones DNS et des jeux


d’enregistrements dans Azure DNS, mais pas de
contrôler qui y a accès.

Id befefa01-2a29-4197-83a8-272ff33ce314
Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.Network/dnsZones/* Créer et gérer des enregistrements et zones DNS

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de compte DocumentDB

Description Gérer des comptes Azure Cosmos DB. Azure Cosmos


DB était auparavant appelé DocumentDB.

Id 5bd9cd88-fe45-4216-938b-f97437e15450

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.DocumentDb/databaseAccounts/* Créer et gérer des comptes Azure Cosmos DB

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Network/virtualNetworks/subnets/joinViaServi Joint des ressources telles qu’un compte de stockage ou


ceEndpoint/action une base de données SQL à un sous-réseau. Impossible
à alerter.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur EventGrid EventSubscription

Description Vous permet de gérer les opérations d’abonnement aux


événements EventGrid.

Id 428e0ff0-5e57-4d9c-a221-2c70d0e0a443

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.EventGrid/eventSubscriptions/*

Microsoft.EventGrid/topicTypes/eventSubscriptions/read Lister les abonnements à des événements globaux par


type de rubrique

Microsoft.EventGrid/locations/eventSubscriptions/read Lister les abonnements à des événements régionaux

Microsoft.EventGrid/locations/topicTypes/eventSubscrip Lister des abonnements à des événements régionaux


tions/read par type de rubrique

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support


NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur EventGrid EventSubscription

Description Vous permet de lire les abonnements aux événements


EventGrid.

Id 2414bbcf-6497-4FAF-8c65-045460748405

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.EventGrid/eventSubscriptions/read Lit un abonnement à un événement

Microsoft.EventGrid/topicTypes/eventSubscriptions/read Lister les abonnements à des événements globaux par


type de rubrique

Microsoft.EventGrid/locations/eventSubscriptions/read Lister les abonnements à des événements régionaux

Microsoft.EventGrid/locations/topicTypes/eventSubscrip Lister des abonnements à des événements régionaux


tions/read par type de rubrique

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur de cluster HDInsight


Description Permet de lire et de modifier des configurations de
cluster HDInsight.

Id 61ed4efc-fab3-44fd-b111-e24485cc132a

Actions

Microsoft.HDInsight/*/read

Microsoft.HDInsight/clusters/getGatewaySettings/action Obtenir les paramètres de passerelle pour un HDInsight


Cluster

Microsoft.HDInsight/clusters/updateGatewaySettings/ac Mettre à jour les paramètres de passerelle pour un


tion HDInsight Cluster

Microsoft.HDInsight/clusters/configurations/*

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur HDInsight Domain Services

Description Peut lire, créer, modifier et supprimer les opérations


Domain Services nécessaires pour le pack Sécurité
Entreprise HDInsight

Id 8d8d5a11-05d3-4bda-a417-a08778121c7c

Actions

Microsoft.AAD/*/read
Microsoft.AAD/domainServices/*/read

Microsoft.AAD/domainServices/oucontainer/*

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de compte Intelligent Systems

Description Permet de gérer des comptes Intelligent Systems, mais


pas d’y accéder.

Id 03a6d094-3444-4b3d-88af-7477090a9e5e

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.IntelligentSystems/accounts/* Créer et gérer les comptes Intelligent Systems

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune
NotDataActions

Aucune

Contributeur Key Vault

Description Permet de gérer des coffres de clés, mais pas d’y


accéder.

Id f25e0fa2-a7c8-4377-a976-54943a77a395

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.KeyVault/*

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Microsoft.KeyVault/locations/deletedVaults/purge/action Vider un coffre Key Vault supprimé de manière


réversible

Microsoft.KeyVault/hsmPools/*

DataActions

Aucune

NotDataActions

Aucune

Créateur Lab

Description Permet de créer, de gérer et de supprimer des labs


gérés dans vos comptes Azure Lab.

Id b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.LabServices/labAccounts/*/read

Microsoft.LabServices/labAccounts/createLab/action Crée un lab dans un compte lab.

Microsoft.LabServices/labAccounts/sizes/getRegionalAva
ilability/action

Microsoft.LabServices/labAccounts/getRegionalAvailabili Obtenir des informations de disponibilité régionale pour


ty/action chaque catégorie de taille configurée sous un compte
Lab

Microsoft.LabServices/labAccounts/getPricingAndAvaila Permet d'obtenir le prix et la disponibilité de


bility/action combinaisons de tailles, de zones géographiques et de
systèmes d'exploitation pour le compte Lab.

Microsoft.LabServices/labAccounts/getRestrictionsAndU Permet d'obtenir les informations principales sur les


sage/action restrictions et l'utilisation de cet abonnement

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur Log Analytics

Description Peut lire toutes les données de surveillance et modifier


les paramètres de surveillance. La modification des
paramètres de supervision inclut l’ajout de l’extension de
machine virtuelle aux machines virtuelles, la lecture des
clés de comptes de stockage permettant de configurer
la collection de journaux d’activité du stockage Azure, la
création et la configuration de comptes Automation,
l’ajout de solutions et la configuration de diagnostics
Azure sur toutes les ressources Azure.

Id 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.Automation/automationAccounts/*

Microsoft.ClassicCompute/virtualMachines/extensions/*

Microsoft.ClassicStorage/storageAccounts/listKeys/actio Répertorie les clés d’accès des comptes de stockage.


n

Microsoft.Compute/virtualMachines/extensions/*

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Insights/diagnosticSettings/* Crée, met à jour ou lit le paramètre de diagnostic pour


Analysis Server.

Microsoft.OperationalInsights/*

Microsoft.OperationsManagement/*

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourcegroups/depl
oyments/*

Microsoft.Storage/storageAccounts/listKeys/action Retourne les clés d’accès au compte de stockage


spécifié.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur Log Analytics


Description Peut afficher et rechercher toutes les données de
surveillance, ainsi qu’afficher les paramètres de
surveillance, notamment la configuration des
diagnostics Azure sur toutes les ressources Azure.

Id 73c42c96-874c-492b-b04d-ab87d138a893

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.OperationalInsights/workspaces/analytics/que Effectue les recherches à l’aide d’un nouveau moteur.


ry/action

Microsoft.OperationalInsights/workspaces/search/action Exécute une requête de recherche.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Microsoft.OperationalInsights/workspaces/sharedKeys/r Récupère les clés partagées de l’espace de travail. Ces


ead clés sont utilisées pour connecter les agents Microsoft
Operational Insights à l’espace de travail.

DataActions

Aucune

NotDataActions

Aucune

Contributeur d’application logique

Description Permet de gérer des applications logiques, mais pas d’en


modifier l’accès.

Id 87a39d53-fc1b-424a-814c-f7e04687dc9e

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.ClassicStorage/storageAccounts/listKeys/actio Répertorie les clés d’accès des comptes de stockage.


n

Microsoft.ClassicStorage/storageAccounts/read Retourne le compte de stockage avec le compte


spécifique.

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights


Microsoft.Insights/metricAlerts/*

Microsoft.Insights/diagnosticSettings/* Crée, met à jour ou lit le paramètre de diagnostic pour


Analysis Server.

Microsoft.Insights/logdefinitions/* Cette autorisation est nécessaire pour les utilisateurs qui


doivent accéder aux journaux d’activité via le portail.
Répertorier les catégories de journaux dans le journal
d’activité.

Microsoft.Insights/metricDefinitions/* Lire des définitions de mesure (liste de types de mesure


disponibles pour une ressource).

Microsoft.Logic/* Gère les ressources Logic Apps.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/operationresults/read Obtenir les résultats de l’opération de l’abonnement.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/listkeys/action Retourne les clés d’accès au compte de stockage


spécifié.

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Web/connectionGateways/* Crée et gère une passerelle de connexion.

Microsoft.Web/connections/* Crée et gère une connexion.

Microsoft.Web/customApis/* Crée et gère une API personnalisée.

Microsoft.Web/serverFarms/join/action

Microsoft.Web/serverFarms/read Récupère les propriétés d’un plan App Service.

Microsoft.Web/sites/functions/listSecrets/action Liste les secrets de fonction.

NotActions

Aucune

DataActions

Aucune

NotDataActions
Aucune

Opérateur d’application logique

Description Permet de lire, d’activer et de désactiver des applications


logiques, mais pas de les modifier ou de les mettre à
jour.

Id 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/*/read Lit les règles d’alerte d’Insights.

Microsoft.Insights/metricAlerts/*/read

Microsoft.Insights/diagnosticSettings/*/read Obtient les paramètres de diagnostic de Logic Apps.

Microsoft.Insights/metricDefinitions/*/read Obtient les mesures disponibles pour Logic Apps.

Microsoft.Logic/*/read Lit les ressources Logic Apps.

Microsoft.Logic/workflows/disable/action Désactive le workflow.

Microsoft.Logic/workflows/enable/action Active le workflow.

Microsoft.Logic/workflows/validate/action Valide le workflow.

Microsoft.Resources/deployments/operations/read Obtient ou répertorie les opérations de déploiement.

Microsoft.Resources/subscriptions/operationresults/read Obtenir les résultats de l’opération de l’abonnement.

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Web/connectionGateways/*/read Lit les passerelles de connexion.

Microsoft.Web/connections/*/read Lit les connexions.

Microsoft.Web/customApis/*/read Lit l’API personnalisée.

Microsoft.Web/serverFarms/read Récupère les propriétés d’un plan App Service.

NotActions

Aucune
DataActions

Aucune

NotDataActions

Aucune

Rôle Contributeur d'application managée

Description Permet de créer des ressources d’application managées.

Id 641177b8-a67a-45b9-a033-47bc880bb21e

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.Solutions/applications/*

Microsoft.Solutions/register/action Inscrit à Solutions.

Microsoft.Resources/subscriptions/resourceGroups/*

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Rôle opérateur d’application managée

Description Permet de lire les ressources d’application managée et


d’effectuer des actions sur ces ressources.

Id c7393b34-138c-406f-901b-d8cf2b17e6ae
Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.Solutions/applications/read Récupère une liste d’applications.

Microsoft.Solutions/*/action

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur Applications managées

Description Vous permet de lire les ressources dans une application


managée et de demander un accès JIT.

Id b9331d33-8a36-4f8c-b097-4f54124fdb44

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Solutions/jitRequests/*

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Contributeur d’identités gérées

Description Peut créer, lire, mettre à jour et supprimer une identité


attribuée à l’utilisateur.

Id e40ec5ca-96e0-45a2-b4ff-59039f2c2b59

Actions

Microsoft.ManagedIdentity/userAssignedIdentities/read Obtient l’identité assignée d’un utilisateur existant

Microsoft.ManagedIdentity/userAssignedIdentities/write Crée une identité assignée d’utilisateur ou met à jour les


balises associées à l’identité assignée d’un utilisateur
existant

Microsoft.ManagedIdentity/userAssignedIdentities/delet Supprime l’identité assignée d’un utilisateur existant


e

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Opérateur d’identités gérées

Description Peut lire et assigner une identité attribuée à l’utilisateur.

Id f1a07417-d97a-45cb-824c-7a7467783830

Actions
Microsoft.ManagedIdentity/userAssignedIdentities/*/rea
d

Microsoft.ManagedIdentity/userAssignedIdentities/*/ass
ign/action

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Suppression du rôle d’attribution d’inscription de services


managé

Description La suppression du rôle d’attribution d’inscription de


services managés permet aux utilisateurs du client
gérant de supprimer l’attribution d’inscription assignée à
leur locataire.

Id 91c1777a-f3dc-4fae-b103-61d183457e46

Actions

Microsoft.ManagedServices/registrationAssignments/rea Récupère la liste des affectations d'inscription des


d services managés.

Microsoft.ManagedServices/registrationAssignments/del Supprime l'affectation d'inscription des services


ete managés.

Microsoft.ManagedServices/operationStatuses/read Lit l’état de l’opération pour la ressource.

NotActions
Aucune

DataActions

Aucune

NotDataActions

Aucune

Collaborateur du groupe d’administration

Description Rôle de collaborateur du groupe d’administration

Id 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c

Actions

Microsoft.Management/managementGroups/delete Supprime un groupe d’administration.

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.

Microsoft.Management/managementGroups/subscripti Dissocie un abonnement du groupe d’administration.


ons/delete

Microsoft.Management/managementGroups/subscripti Associe un abonnement existant au groupe


ons/write d’administration.

Microsoft.Management/managementGroups/write Crée ou met à jour un groupe d’administration.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur du groupe d’administration

Description Rôle de lecteur du groupe d’administration


Id ac63b705-f282-497d-ac71-919bf39d939d

Actions

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur d’analyse

Description Peut lire toutes les données de surveillance et modifier


les paramètres de surveillance. Consultez aussi Bien
démarrer avec les rôles, les autorisations et la sécurité
dans Azure Monitor.

Id 749f88d5-cbae-40b8-bcfc-e573ddc772fa

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.AlertsManagement/alerts/*

Microsoft.AlertsManagement/alertsSummary/*

Microsoft.Insights/actiongroups/*

Microsoft.Insights/activityLogAlerts/*

Microsoft.Insights/AlertRules/* Règles d’alerte en lecture/écriture/suppression.

Microsoft.Insights/components/* Lire/écrire/supprimer des composants Application


Insights.

Microsoft.Insights/DiagnosticSettings/* Paramètres de diagnostic en


lecture/écriture/suppression.
Microsoft.Insights/eventtypes/* Événements du journal d’activité, (événements de
gestion) dans un abonnement. Cette autorisation est
applicable pour l’accès par programme et portail dans le
journal d’activité.

Microsoft.Insights/LogDefinitions/* Cette autorisation est nécessaire pour les utilisateurs qui


doivent accéder aux journaux d’activité via le portail.
Répertorier les catégories de journaux dans le journal
d’activité.

Microsoft.Insights/metricalerts/*

Microsoft.Insights/MetricDefinitions/* Lire des définitions de mesure (liste de types de mesure


disponibles pour une ressource).

Microsoft.Insights/Metrics/* Lire des mesures pour une ressource.

Microsoft.Insights/Register/Action Inscrire le fournisseur Microsoft Insights

Microsoft.Insights/scheduledqueryrules/*

Microsoft.Insights/webtests/* Lire/écrire/supprimer des tests web Application Insights.

Microsoft.Insights/workbooks/*

Microsoft.OperationalInsights/workspaces/intelligencepa Lire/écrire/supprimer des packs de solution Log


cks/* Analytics.

Microsoft.OperationalInsights/workspaces/savedSearche Lire/écrire/supprimer des recherches enregistrées Log


s/* Analytics.

Microsoft.OperationalInsights/workspaces/search/action Exécute une requête de recherche.

Microsoft.OperationalInsights/workspaces/sharedKeys/a Récupère les clés partagées de l’espace de travail. Ces


ction clés sont utilisées pour connecter les agents Microsoft
Operational Insights à l’espace de travail.

Microsoft.OperationalInsights/workspaces/storageinsigh Lire/écrire/supprimer les configurations des insights de


tconfigs/* stockage Log Analytics.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.WorkloadMonitor/monitors/*

Microsoft.WorkloadMonitor/notificationSettings/*

Microsoft.AlertsManagement/smartDetectorAlertRules/*

NotActions

Aucune

DataActions
Aucune

NotDataActions

Aucune

Publication des métriques de surveillance

Description Permet de publier les métriques relatives aux ressources


Azure

Id 3913510d-42f4-4e42-8a64-420c390055eb

Actions

Microsoft.Insights/Register/Action Inscrire le fournisseur Microsoft Insights

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

NotActions

Aucune

DataActions

Microsoft.Insights/Metrics/Write Écrit des métriques

NotDataActions

Aucune

Lecteur d’analyse

Description Peut lire toutes les données de supervision (métriques,


journaux d’activité, etc.) Consultez aussi Bien démarrer
avec les rôles, les autorisations et la sécurité dans Azure
Monitor.

Id 43d0d8ad-25c7-4714-9337-8ba259a9fe05

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.OperationalInsights/workspaces/search/action Exécute une requête de recherche.


Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de réseau

Description Permet de gérer des réseaux, mais pas d’y accéder.

Id 4d97b98b-1d4f-4787-a291-c67834d212e7

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.Network/* Créer et gérer des réseaux

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Contributeur de compte NewRelic APM

Description Vous permet de gérer des comptes et applications New


Relic Application Performance Management, mais pas
d’y accéder.

Id 5d28c62d-5b37-4476-8438-e587778df237

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NewRelic.APM/accounts/*

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Policy Insights Data Writer (préversion)

Description Permet de lire les stratégies de ressources et d’écrire les


événements de stratégie de composant de ressource.

Id 66bb4e9e-b016-4a94-8249-4c0511c2be84

Actions

Microsoft.Authorization/policyassignments/read Obtenez des informations sur une affectation de


stratégie.
Microsoft.Authorization/policydefinitions/read Obtenez des informations sur une définition de
stratégie.

Microsoft.Authorization/policysetdefinitions/read Obtient des informations sur une définition d’ensemble


de stratégies

NotActions

Aucune

DataActions

Microsoft.PolicyInsights/checkDataPolicyCompliance/acti Vérifie l’état de conformité d’un composant donné par


on rapport aux stratégies de données.

Microsoft.PolicyInsights/policyEvents/logDataEvents/acti Journalise les événements de stratégie de composant de


on ressource.

NotDataActions

Aucune

Lecteur et accès aux données

Description Permet d’afficher tous les éléments, mais pas de


supprimer ou de créer un compte de stockage ou une
ressource contenue. En outre, autorise l’accès en
lecture/écriture à toutes les données contenues dans un
compte de stockage via l’accès aux clés de compte de
stockage.

Id c12c1c16-33a1-487b-954d-41c89c60f349

Actions

Microsoft.Storage/storageAccounts/listKeys/action Retourne les clés d’accès au compte de stockage


spécifié.

Microsoft.Storage/storageAccounts/ListAccountSas/acti Retourne le jeton SAS du compte de stockage spécifié.


on

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

NotActions

Aucune

DataActions

Aucune
NotDataActions

Aucune

Contributeur Cache Redis

Description Permet de gérer des caches Redis, mais pas d’y accéder.

Id e0f68234-74aa-48ed-b826-c38b57376e17

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Cache/redis/* Créer et gérer les caches Redis

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de la stratégie de ressource

Description Utilisateurs dotés de droits pour créer ou modifier une


stratégie de ressource, créer un ticket de support et lire
des ressources ou la hiérarchie.

Id 36243c78-bf99-498c-9df9-86d9f8d28608
Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.Authorization/policyassignments/* Créer et gérer des attributions de stratégies

Microsoft.Authorization/policydefinitions/* Créer et gérer des définitions de stratégies

Microsoft.Authorization/policysetdefinitions/* Créer et gérer des ensembles de stratégies

Microsoft.PolicyInsights/*

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur des collections de travaux du planificateur

Description Permet de gérer des collections de tâches du


planificateur, mais pas d’y accéder.

Id 188a0f2f-5c9e-469b-ae67-2aa5ce574b94

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Scheduler/jobcollections/* Créer et gérer des collections de travaux


Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur du service de recherche

Description Permet de gérer des services de recherche, mais pas d’y


accéder.

Id 7ca78c08-252a-4471-8644-bb5ff32d4ba0

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Search/searchServices/* Créer et gérer les services de recherche

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions
Aucune

Administrateur de la sécurité

Description peut afficher les stratégies de sécurité, les états de


sécurité, les alertes et les recommandations, modifier les
stratégies de sécurité et ignorer les alertes et les
recommandations.

Id fb1c8493-542b-48eb-b624-b4c8fea62acd

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Authorization/policyAssignments/* Créer et gérer des attributions de stratégies

Microsoft.Authorization/policyDefinitions/* Créer et gérer des définitions de stratégies

Microsoft.Authorization/policySetDefinitions/* Créer et gérer des ensembles de stratégies

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.

Microsoft.operationalInsights/workspaces/*/read Afficher les données Log Analytics

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Security/*

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Contributeur d'évaluation de la sécurité

Description Vous permet d’envoyer (push) les évaluations à Security


Center

Id 612c2aa1-cb24-443b-ac28-3ab7272de6f5

Actions

Microsoft.Security/assessments/write Créer ou mettre à jour des évaluations de la sécurité de


votre abonnement

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Gestionnaire de sécurité (hérité)

Description Il s’agit d’un rôle hérité. Utilisez plutôt l’administrateur


de sécurité.

Id e3d13bf0-dd5a-482e-ba6b-9b8433878d10

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.ClassicCompute/*/read Lire les informations de configuration relatives aux


machines virtuelles classiques

Microsoft.ClassicCompute/virtualMachines/*/write Écrire la configuration des machines virtuelles classiques

Microsoft.ClassicNetwork/*/read Lire les informations de configuration relatives au réseau


classique

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Security/* Créer et gérer des stratégies et des composants de


sécurité

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur de sécurité

Description Peut afficher les recommandations et les alertes, afficher


les stratégies de sécurité, afficher les états de la sécurité,
mais ne peut pas apporter de modifications.

Id 39bc4728-0917-49c7-9d2c-d95423bc2eb4

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.operationalInsights/workspaces/*/read Afficher les données Log Analytics

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Security/*/read Lire des stratégies et des composants de sécurité

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Management/managementGroups/read Répertorie les groupes d’administration de l’utilisateur


authentifié.

NotActions

Aucune
DataActions

Aucune

NotDataActions

Aucune

Contributeur Site Recovery

Description Permet de gérer le service Site Recovery sauf la création


de coffre et l’attribution de rôle

Id 6670b86e-a3f7-4917-ac9b-5d6ab1be4567

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.RecoveryServices/locations/allocatedStamp/re GetAllocatedStamp est une opération interne utilisée


ad par le service.

Microsoft.RecoveryServices/locations/allocateStamp/acti AllocateStamp est une opération interne utilisée par le


on service.

Microsoft.RecoveryServices/Vaults/certificates/write L’opération de mise à jour de certificat de ressource met


à jour le certificat d’identification du coffre/de la
ressource.

Microsoft.RecoveryServices/Vaults/extendedInformation/ Créer et gérer des informations étendues associées au


* coffre

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/refreshContainers/rea
d

Microsoft.RecoveryServices/Vaults/registeredIdentities/* Créer et gérer les identités inscrites

Microsoft.RecoveryServices/vaults/replicationAlertSettin Créer ou mettre à jour les paramètres d’alerte de


gs/* réplication

Microsoft.RecoveryServices/vaults/replicationEvents/rea Lire des événements.


d

Microsoft.RecoveryServices/vaults/replicationFabrics/* Créer et gérer des structures de réplication


Microsoft.RecoveryServices/vaults/replicationJobs/* Créer et gérer des travaux de réplication

Microsoft.RecoveryServices/vaults/replicationPolicies/* Créer et gérer des stratégies de réplication

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Créer et gérer des plans de récupération


ans/*

Microsoft.RecoveryServices/Vaults/storageConfig/* Créer et gérer la configuration de stockage du coffre


Recovery Services

Microsoft.RecoveryServices/Vaults/tokenInfo/read

Microsoft.RecoveryServices/Vaults/usages/read Renvoie des détails d’utilisation d’un coffre Recovery


Services.

Microsoft.RecoveryServices/Vaults/vaultTokens/read L’opération de jeton de coffre peut être utilisée pour


obtenir un jeton de coffre pour les opérations de
serveur principal au niveau du coffre.

Microsoft.RecoveryServices/Vaults/monitoringAlerts/* Lire les alertes pour le coffre Recovery Services

Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/notificationConfiguration/read

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

Microsoft.RecoveryServices/vaults/replicationOperationS Lit tout état de l’opération de réplication du coffre


tatus/read

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Opérateur Site Recovery

Description Permet de basculer et de restaurer mais pas d’effectuer


d’autres opérations de gestion de Site Recovery

Id 494ae006-db33-4328-bf46-533a6560a3ca

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.RecoveryServices/locations/allocatedStamp/re GetAllocatedStamp est une opération interne utilisée


ad par le service.

Microsoft.RecoveryServices/locations/allocateStamp/acti AllocateStamp est une opération interne utilisée par le


on service.

Microsoft.RecoveryServices/Vaults/extendedInformation/ L’opération d’obtention d’informations étendues obtient


read les informations étendues d’un objet représentant la
ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/refreshContainers/rea
d

Microsoft.RecoveryServices/Vaults/registeredIdentities/o L’opération d’obtention des résultats d’une opération


perationResults/read peut être utilisée pour obtenir l’état de l’opération et le
résultat de l’opération envoyée de manière asynchrone.

Microsoft.RecoveryServices/Vaults/registeredIdentities/r L’opération d’obtention de conteneurs peut être utilisée


ead pour obtenir les conteneurs inscrits pour une ressource.

Microsoft.RecoveryServices/vaults/replicationAlertSettin Lire des paramètres d’alertes.


gs/read

Microsoft.RecoveryServices/vaults/replicationEvents/rea Lire des événements.


d

Microsoft.RecoveryServices/vaults/replicationFabrics/che Vérifie la cohérence de la structure.


ckConsistency/action

Microsoft.RecoveryServices/vaults/replicationFabrics/rea Lire des structures.


d

Microsoft.RecoveryServices/vaults/replicationFabrics/rea Réassocier une passerelle.


ssociateGateway/action
Microsoft.RecoveryServices/vaults/replicationFabrics/ren Renouveler le certificat pour Fabric
ewcertificate/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des réseaux.


icationNetworks/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des mappages réseau.


icationNetworks/replicationNetworkMappings/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des conteneurs de protection.


icationProtectionContainers/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des éléments pouvant être protégés.


icationProtectionContainers/replicationProtectableItems
/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Appliquer un point de récupération.


icationProtectionContainers/replicationProtectedItems/a
pplyRecoveryPoint/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Validation du basculement.


icationProtectionContainers/replicationProtectedItems/f
ailoverCommit/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Basculement planifié.


icationProtectionContainers/replicationProtectedItems/p
lannedFailover/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des éléments protégés.


icationProtectionContainers/replicationProtectedItems/r
ead

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des points de récupération de réplication.


icationProtectionContainers/replicationProtectedItems/r
ecoveryPoints/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Réparer la réplication.


icationProtectionContainers/replicationProtectedItems/r
epairReplication/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Reprotéger l’élément protégé.


icationProtectionContainers/replicationProtectedItems/r
eProtect/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Basculer un conteneur de protection.


icationProtectionContainers/switchprotection/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Test Failover


icationProtectionContainers/replicationProtectedItems/t
estFailover/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Nettoyage de basculement test.


icationProtectionContainers/replicationProtectedItems/t
estFailoverCleanup/action
Microsoft.RecoveryServices/vaults/replicationFabrics/repl Basculement
icationProtectionContainers/replicationProtectedItems/u
nplannedFailover/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Mettre à jour le service Mobilité.


icationProtectionContainers/replicationProtectedItems/u
pdateMobilityService/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des mappages de conteneurs de protection.


icationProtectionContainers/replicationProtectionContai
nerMappings/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des fournisseurs Recovery Services.


icationRecoveryServicesProviders/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Actualiser un fournisseur.


icationRecoveryServicesProviders/refreshProvider/action

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des classifications de stockage.


icationStorageClassifications/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des mappages de classifications de stockage.


icationStorageClassifications/replicationStorageClassifica
tionMappings/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des serveurs vCenter.


icationvCenters/read

Microsoft.RecoveryServices/vaults/replicationJobs/* Créer et gérer des travaux de réplication

Microsoft.RecoveryServices/vaults/replicationPolicies/rea Lire des stratégies.


d

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Plan de récupération de validation de basculement.


ans/failoverCommit/action

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Plan de récupération de basculement planifié.


ans/plannedFailover/action

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Lire des plans de récupération.


ans/read

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Reprotéger le plan de récupération.


ans/reProtect/action

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Plan de récupération de basculement test.


ans/testFailover/action

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Plan de récupération de nettoyage de basculement test.


ans/testFailoverCleanup/action

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Plan de récupération de basculement.


ans/unplannedFailover/action
Microsoft.RecoveryServices/Vaults/monitoringAlerts/* Lire les alertes pour le coffre Recovery Services

Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/notificationConfiguration/read

Microsoft.RecoveryServices/Vaults/storageConfig/read

Microsoft.RecoveryServices/Vaults/tokenInfo/read

Microsoft.RecoveryServices/Vaults/usages/read Renvoie des détails d’utilisation d’un coffre Recovery


Services.

Microsoft.RecoveryServices/Vaults/vaultTokens/read L’opération de jeton de coffre peut être utilisée pour


obtenir un jeton de coffre pour les opérations de
serveur principal au niveau du coffre.

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Lecteur Site Recovery

Description Permet d’afficher l’état de Site Recovery mais pas


d’effectuer d’autres opérations de gestion

Id dbaa88c4-0c30-4179-9fb3-46319faa6149

Actions
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.RecoveryServices/locations/allocatedStamp/re GetAllocatedStamp est une opération interne utilisée


ad par le service.

Microsoft.RecoveryServices/Vaults/extendedInformation/ L’opération d’obtention d’informations étendues obtient


read les informations étendues d’un objet représentant la
ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/monitoringAlerts/rea Obtient les alertes pour le coffre Recovery Services.


d

Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/notificationConfiguration/read

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/refreshContainers/rea
d

Microsoft.RecoveryServices/Vaults/registeredIdentities/o L’opération d’obtention des résultats d’une opération


perationResults/read peut être utilisée pour obtenir l’état de l’opération et le
résultat de l’opération envoyée de manière asynchrone.

Microsoft.RecoveryServices/Vaults/registeredIdentities/r L’opération d’obtention de conteneurs peut être utilisée


ead pour obtenir les conteneurs inscrits pour une ressource.

Microsoft.RecoveryServices/vaults/replicationAlertSettin Lire des paramètres d’alertes.


gs/read

Microsoft.RecoveryServices/vaults/replicationEvents/rea Lire des événements.


d

Microsoft.RecoveryServices/vaults/replicationFabrics/rea Lire des structures.


d

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des réseaux.


icationNetworks/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des mappages réseau.


icationNetworks/replicationNetworkMappings/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des conteneurs de protection.


icationProtectionContainers/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des éléments pouvant être protégés.


icationProtectionContainers/replicationProtectableItems
/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des éléments protégés.


icationProtectionContainers/replicationProtectedItems/r
ead
Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des points de récupération de réplication.
icationProtectionContainers/replicationProtectedItems/r
ecoveryPoints/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des mappages de conteneurs de protection.


icationProtectionContainers/replicationProtectionContai
nerMappings/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des fournisseurs Recovery Services.


icationRecoveryServicesProviders/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des classifications de stockage.


icationStorageClassifications/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des mappages de classifications de stockage.


icationStorageClassifications/replicationStorageClassifica
tionMappings/read

Microsoft.RecoveryServices/vaults/replicationFabrics/repl Lire des serveurs vCenter.


icationvCenters/read

Microsoft.RecoveryServices/vaults/replicationJobs/read Lire des travaux.

Microsoft.RecoveryServices/vaults/replicationPolicies/rea Lire des stratégies.


d

Microsoft.RecoveryServices/vaults/replicationRecoveryPl Lire des plans de récupération.


ans/read

Microsoft.RecoveryServices/Vaults/storageConfig/read

Microsoft.RecoveryServices/Vaults/tokenInfo/read

Microsoft.RecoveryServices/Vaults/usages/read Renvoie des détails d’utilisation d’un coffre Recovery


Services.

Microsoft.RecoveryServices/Vaults/vaultTokens/read L’opération de jeton de coffre peut être utilisée pour


obtenir un jeton de coffre pour les opérations de
serveur principal au niveau du coffre.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Contributeur de compte Spatial Anchors

Description Permet de gérer des ancres spatiales dans votre


compte, mais pas de les supprimer

Id 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.MixedReality/SpatialAnchorsAccounts/create/a Créer des ancres spatiales


ction

Microsoft.MixedReality/SpatialAnchorsAccounts/discover Détecter des ancres spatiales proches


y/read

Microsoft.MixedReality/SpatialAnchorsAccounts/properti Obtenir les propriétés d’ancres spatiales


es/read

Microsoft.MixedReality/SpatialAnchorsAccounts/query/r Localiser des ancres spatiales


ead

Microsoft.MixedReality/SpatialAnchorsAccounts/submitd Envoyer des données de diagnostic pour aider à


iag/read améliorer la qualité du service Azure Spatial Anchors

Microsoft.MixedReality/SpatialAnchorsAccounts/write Mettre à jour les propriétés d’ancres spatiales

NotDataActions

Aucune

Propriétaire de compte Spatial Anchors

Description Permet de gérer des ancres spatiales dans votre


compte, y compris de les supprimer

Id 70bbe301-9835-447d-afdd-19eb3167307c

Actions

Aucune

NotActions
Aucune

DataActions

Microsoft.MixedReality/SpatialAnchorsAccounts/create/a Créer des ancres spatiales


ction

Microsoft.MixedReality/SpatialAnchorsAccounts/delete Supprimer des ancres spatiales

Microsoft.MixedReality/SpatialAnchorsAccounts/discover Détecter des ancres spatiales proches


y/read

Microsoft.MixedReality/SpatialAnchorsAccounts/properti Obtenir les propriétés d’ancres spatiales


es/read

Microsoft.MixedReality/SpatialAnchorsAccounts/query/r Localiser des ancres spatiales


ead

Microsoft.MixedReality/SpatialAnchorsAccounts/submitd Envoyer des données de diagnostic pour aider à


iag/read améliorer la qualité du service Azure Spatial Anchors

Microsoft.MixedReality/SpatialAnchorsAccounts/write Mettre à jour les propriétés d’ancres spatiales

NotDataActions

Aucune

Lecteur de compte Spatial Anchors

Description Permet de localiser et de lire les propriétés d’ancres


spatiales dans votre compte

Id 5d51204f-eb77-4b1c-b86a-2ec626c49413

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.MixedReality/SpatialAnchorsAccounts/discover Détecter des ancres spatiales proches


y/read

Microsoft.MixedReality/SpatialAnchorsAccounts/properti Obtenir les propriétés d’ancres spatiales


es/read
Microsoft.MixedReality/SpatialAnchorsAccounts/query/r Localiser des ancres spatiales
ead

Microsoft.MixedReality/SpatialAnchorsAccounts/submitd Envoyer des données de diagnostic pour aider à


iag/read améliorer la qualité du service Azure Spatial Anchors

NotDataActions

Aucune

Contributeur de base de données SQL

Description Permet de gérer des bases de données SQL, mais pas


d’y accéder. Vous ne pouvez pas non plus gérer leurs
stratégies de sécurité ni leurs serveurs SQL parents.

Id 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Sql/locations/*/read

Microsoft.Sql/servers/databases/* Créer et gérer les bases de données SQL

Microsoft.Sql/servers/read Retourner la liste des serveurs ou obtenir les propriétés


pour le serveur spécifié.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Insights/metrics/read Lire des mesures

Microsoft.Insights/metricDefinitions/read Lire les définitions des mesures

NotActions

Microsoft.Sql/managedInstances/databases/currentSensi
tivityLabels/*
Microsoft.Sql/managedInstances/databases/recommend
edSensitivityLabels/*

Microsoft.Sql/managedInstances/databases/schemas/ta
bles/columns/sensitivityLabels/*

Microsoft.Sql/managedInstances/databases/securityAler
tPolicies/*

Microsoft.Sql/managedInstances/databases/sensitivityLa
bels/*

Microsoft.Sql/managedInstances/databases/vulnerability
Assessments/*

Microsoft.Sql/managedInstances/securityAlertPolicies/*

Microsoft.Sql/managedInstances/vulnerabilityAssessmen
ts/*

Microsoft.Sql/servers/databases/auditingPolicies/* Modifier les stratégies d'audit

Microsoft.Sql/servers/databases/auditingSettings/* Modifier les paramètres d'audit

Microsoft.Sql/servers/databases/auditRecords/read Récupère les enregistrements d’audit d’objet blob de


base de données.

Microsoft.Sql/servers/databases/connectionPolicies/* Modifier les stratégies de connexion

Microsoft.Sql/servers/databases/currentSensitivityLabels
/*

Microsoft.Sql/servers/databases/dataMaskingPolicies/* Modifier les stratégies de masquage des données

Microsoft.Sql/servers/databases/extendedAuditingSettin
gs/*

Microsoft.Sql/servers/databases/recommendedSensitivit
yLabels/*

Microsoft.Sql/servers/databases/schemas/tables/column
s/sensitivityLabels/*

Microsoft.Sql/servers/databases/securityAlertPolicies/* Modifier les stratégies d'alerte de sécurité

Microsoft.Sql/servers/databases/securityMetrics/* Modifier les mesures de sécurité

Microsoft.Sql/servers/databases/sensitivityLabels/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
s/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Scans/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
Settings/*

Microsoft.Sql/servers/vulnerabilityAssessments/*

DataActions

Aucune

NotDataActions

Aucune

Contributeur d’Instance managée SQL

Description Permet de gérer des instances SQL Managed Instance


et la configuration réseau requise, mais pas d’accorder
l’accès à d’autres personnes.

Id 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d

Actions

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Network/networkSecurityGroups/*

Microsoft.Network/routeTables/*

Microsoft.Sql/locations/*/read

Microsoft.Sql/managedInstances/*

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Network/virtualNetworks/subnets/*

Microsoft.Network/virtualNetworks/*

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles


Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Insights/metrics/read Lire des mesures

Microsoft.Insights/metricDefinitions/read Lire les définitions des mesures

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Gestionnaire de sécurité SQL

Description Permet de gérer les stratégies de sécurité des serveurs


et bases de données SQL, mais pas d’y accéder.

Id 056cd41c-7e88-42e1-933e-88ba6a50c9c3

Actions

Microsoft.Authorization/*/read Autorisation de lecture Microsoft

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Network/virtualNetworks/subnets/joinViaServi Joint des ressources telles qu’un compte de stockage ou


ceEndpoint/action une base de données SQL à un sous-réseau. Impossible
à alerter.

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Sql/managedInstances/databases/currentSensi
tivityLabels/*

Microsoft.Sql/managedInstances/databases/recommend
edSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/ta
bles/columns/sensitivityLabels/*

Microsoft.Sql/managedInstances/databases/securityAler
tPolicies/*

Microsoft.Sql/managedInstances/databases/sensitivityLa
bels/*

Microsoft.Sql/managedInstances/databases/vulnerability
Assessments/*

Microsoft.Sql/managedInstances/securityAlertPolicies/*

Microsoft.Sql/managedInstances/databases/transparent
DataEncryption/*

Microsoft.Sql/managedInstances/vulnerabilityAssessmen
ts/*

Microsoft.Sql/servers/auditingPolicies/* Créer et gérer les stratégies d’audit de serveur SQL

Microsoft.Sql/servers/auditingSettings/* Créer et gérer les paramètres d’audit de serveur SQL

Microsoft.Sql/servers/extendedAuditingSettings/read Récupère les détails de la stratégie étendue d’audit des


objets blob de serveur configurée sur un serveur
spécifié

Microsoft.Sql/servers/databases/auditingPolicies/* Créer et gérer les stratégies d’audit de base de données


de serveur SQL

Microsoft.Sql/servers/databases/auditingSettings/* Créer et gérer les paramètres d’audit de base de


données de serveur SQL

Microsoft.Sql/servers/databases/auditRecords/read Lire les enregistrements d’audit

Microsoft.Sql/servers/databases/connectionPolicies/* Créer et gérer les stratégies de connexion de base de


données de serveur SQL

Microsoft.Sql/servers/databases/currentSensitivityLabels
/*

Microsoft.Sql/servers/databases/dataMaskingPolicies/* Créer et gérer les stratégies de masquage de données


de base de données de serveur SQL

Microsoft.Sql/servers/databases/extendedAuditingSettin Récupère les détails de la stratégie étendue d’audit


gs/read d’objets blob configurée dans une base de données
spécifique

Microsoft.Sql/servers/databases/read Retourner la liste des bases de données ou obtenir les


propriétés pour la base de données spécifiée.

Microsoft.Sql/servers/databases/recommendedSensitivit
yLabels/*
Microsoft.Sql/servers/databases/schemas/read Obtenir un schéma de base de données.

Microsoft.Sql/servers/databases/schemas/tables/column Obtenir une colonne de base de données.


s/read

Microsoft.Sql/servers/databases/schemas/tables/column
s/sensitivityLabels/*

Microsoft.Sql/servers/databases/schemas/tables/read Obtenir un tableau de base de données.

Microsoft.Sql/servers/databases/securityAlertPolicies/* Créer et gérer les stratégies d’alerte de sécurité de base


de données de serveur SQL

Microsoft.Sql/servers/databases/securityMetrics/* Créer et gérer les mesures de sécurité de base de


données de serveur SQL

Microsoft.Sql/servers/databases/sensitivityLabels/*

Microsoft.Sql/servers/databases/transparentDataEncrypt
ion/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
s/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
Scans/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
Settings/*

Microsoft.Sql/servers/firewallRules/*

Microsoft.Sql/servers/read Retourner la liste des serveurs ou obtenir les propriétés


pour le serveur spécifié.

Microsoft.Sql/servers/securityAlertPolicies/* Créer et gérer les stratégies d’alerte de sécurité de


serveur SQL

Microsoft.Sql/servers/vulnerabilityAssessments/*

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Contributeur SQL Server

Description Permet de gérer des serveurs et bases de données SQL,


mais pas d’y accéder, ni de gérer leurs stratégies de
sécurité.

Id 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Sql/locations/*/read

Microsoft.Sql/servers/* Créer et gérer les serveurs SQL

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Insights/metrics/read Lire des mesures

Microsoft.Insights/metricDefinitions/read Lire les définitions des mesures

NotActions

Microsoft.Sql/managedInstances/databases/currentSensi
tivityLabels/*

Microsoft.Sql/managedInstances/databases/recommend
edSensitivityLabels/*

Microsoft.Sql/managedInstances/databases/schemas/ta
bles/columns/sensitivityLabels/*

Microsoft.Sql/managedInstances/databases/securityAler
tPolicies/*

Microsoft.Sql/managedInstances/databases/sensitivityLa
bels/*

Microsoft.Sql/managedInstances/databases/vulnerability
Assessments/*

Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessmen
ts/*

Microsoft.Sql/servers/auditingPolicies/* Modifier les stratégies d'audit d'un serveur SQL

Microsoft.Sql/servers/auditingSettings/* Modifier les paramètres d'audit d'un serveur SQL

Microsoft.Sql/servers/databases/auditingPolicies/* Modifier les stratégies d'audit d'une base de données de


serveur SQL

Microsoft.Sql/servers/databases/auditingSettings/* Modifier les paramètres d'audit d'une base de données


de serveur SQL

Microsoft.Sql/servers/databases/auditRecords/read Lire les enregistrements d’audit

Microsoft.Sql/servers/databases/connectionPolicies/* Modifier les stratégies de connexion d'une base de


données de serveur SQL

Microsoft.Sql/servers/databases/currentSensitivityLabels
/*

Microsoft.Sql/servers/databases/dataMaskingPolicies/* Modifier les stratégies de masquage de données d'une


base de données de serveur SQL

Microsoft.Sql/servers/databases/extendedAuditingSettin
gs/*

Microsoft.Sql/servers/databases/recommendedSensitivit
yLabels/*

Microsoft.Sql/servers/databases/schemas/tables/column
s/sensitivityLabels/*

Microsoft.Sql/servers/databases/securityAlertPolicies/* Modifier les stratégies d'alerte de sécurité d'une base de


données de serveur SQL

Microsoft.Sql/servers/databases/securityMetrics/* Modifier les mesures de sécurité d'une base de données


de serveur SQL

Microsoft.Sql/servers/databases/sensitivityLabels/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
s/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
Scans/*

Microsoft.Sql/servers/databases/vulnerabilityAssessment
Settings/*

Microsoft.Sql/servers/extendedAuditingSettings/*

Microsoft.Sql/servers/securityAlertPolicies/* Modifier les stratégies d'alerte de sécurité du serveur


SQL
Microsoft.Sql/servers/vulnerabilityAssessments/*

DataActions

Aucune

NotDataActions

Aucune

Contributeur de compte de stockage

Description Permet la gestion des comptes de stockage. Fournit


l’accès à la clé de compte, qui peut être utilisée pour
accéder aux données par le biais de l’autorisation de clé
partagée.

Id 17d1049b-9a84-46fb-8f53-869881c3d3ab

Actions

Microsoft.Authorization/*/read Autorisation de lecture totale

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Insights/diagnosticSettings/* Gérer les paramètres de diagnostic

Microsoft.Network/virtualNetworks/subnets/joinViaServi Joint des ressources telles qu’un compte de stockage ou


ceEndpoint/action une base de données SQL à un sous-réseau. Impossible
à alerter.

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Storage/storageAccounts/* Créer et gérer les comptes de stockage

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune
DataActions

Aucune

NotDataActions

Aucune

Rôle de service d’opérateur de clé de compte de stockage

Description Permet de répertorier et de régénérer les clés d’accès au


compte de stockage.

Id 81a9662b-bebf-436f-a333-f67b29880f12

Actions

Microsoft.Storage/storageAccounts/listkeys/action Retourne les clés d’accès au compte de stockage


spécifié.

Microsoft.Storage/storageAccounts/regeneratekey/actio Régénère les clés d’accès au compte de stockage


n spécifié.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur aux données Blob du stockage

Description Lire, écrire et supprimer des conteneurs et objets blob


du stockage Azure. Pour savoir quelles actions sont
requises pour une opération de données spécifique,
consultez Autorisations pour appeler les opérations de
données d’objet blob et de file d’attente.

Id ba92f5b4-2d11-453d-a403-e96b0029c9fe

Actions
Microsoft.Storage/storageAccounts/blobServices/contai Supprimer un conteneur.
ners/delete

Microsoft.Storage/storageAccounts/blobServices/contai Retourner un conteneur ou une liste de conteneurs.


ners/read

Microsoft.Storage/storageAccounts/blobServices/contai Modifier les métadonnées ou les propriétés d’un


ners/write conteneur.

Microsoft.Storage/storageAccounts/blobServices/genera Retourne une clé de délégation d’utilisateur pour le


teUserDelegationKey/action service Blob.

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/blobServices/contai Supprimer un objet blob.


ners/blobs/delete

Microsoft.Storage/storageAccounts/blobServices/contai Retourner un objet blob ou une liste d'objets blob.


ners/blobs/read

Microsoft.Storage/storageAccounts/blobServices/contai Écrire dans un objet blob.


ners/blobs/write

NotDataActions

Aucune

Propriétaire des données Blob du stockage

Description Fournit un accès total aux conteneurs d’objets blob et


aux données du Stockage Azure, notamment
l’attribution du contrôle d’accès POSIX. Pour savoir
quelles actions sont requises pour une opération de
données spécifique, consultez Autorisations pour
appeler les opérations de données d’objet blob et de file
d’attente.

Id b7e6dc6d-f1e8-4753-8033-0f276bb0955b

Actions

Microsoft.Storage/storageAccounts/blobServices/contai Toutes les autorisations sur les conteneurs.


ners/*

Microsoft.Storage/storageAccounts/blobServices/genera Retourne une clé de délégation d’utilisateur pour le


teUserDelegationKey/action service Blob.

NotActions
Aucune

DataActions

Microsoft.Storage/storageAccounts/blobServices/contai Toutes les autorisations sur les objets blob.


ners/blobs/*

NotDataActions

Aucune

Lecteur des données blob du stockage

Description Lire et répertorier des conteneurs et objets blob du


stockage Azure. Pour savoir quelles actions sont
requises pour une opération de données spécifique,
consultez Autorisations pour appeler les opérations de
données d’objet blob et de file d’attente.

Id 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1

Actions

Microsoft.Storage/storageAccounts/blobServices/contai Retourner un conteneur ou une liste de conteneurs.


ners/read

Microsoft.Storage/storageAccounts/blobServices/genera Retourne une clé de délégation d’utilisateur pour le


teUserDelegationKey/action service Blob.

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/blobServices/contai Retourner un objet blob ou une liste d'objets blob.


ners/blobs/read

NotDataActions

Aucune

Délégation du Stockage Blob


Description Obtenez une clé de délégation d’utilisateur qui peut être
utilisée pour créer une signature d’accès partagé pour
un conteneur ou un objet blob signé avec les
informations d’identification Azure AD. Pour en savoir
plus, consultez Créer une SAP de délégation
d’utilisateur.

Id db58b8e5-c6ad-4a2a-8342-4190687cbf4a

Actions

Microsoft.Storage/storageAccounts/blobServices/genera Retourne une clé de délégation d’utilisateur pour le


teUserDelegationKey/action service Blob.

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de partage SMB de données de fichier de stockage

Description Permet l'accès en lecture, en écriture et en suppression


aux fichiers/répertoires des partages de fichiers Azure.
Ce rôle n'a pas d'équivalent intégré sur les serveurs de
fichiers Windows.

Id 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne un fichier/dossier ou une liste de


s/files/read fichiers/dossiers.

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne le résultat de l’écriture d’un fichier ou de la


s/files/write création d’un dossier.
Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne le résultat de la suppression d’un
s/files/delete fichier/dossier.

NotDataActions

Aucune

Contributeur élevé de partage SMB de données de fichier de


stockage

Description Permet la lecture, l'écriture, la suppression et la


modification des listes de contrôle d'accès sur les
fichiers/répertoires des partages de fichiers Azure. Ce
rôle équivaut à une liste de contrôle d'accès de partage
de fichiers en modification sur les serveurs de fichiers
Windows.

Id a7264617-510b-434b-a828-9731dc254ea7

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne un fichier/dossier ou une liste de


s/files/read fichiers/dossiers.

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne le résultat de l’écriture d’un fichier ou de la


s/files/write création d’un dossier.

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne le résultat de la suppression d’un


s/files/delete fichier/dossier.

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne le résultat de la modification de l’autorisation


s/files/modifypermissions/action sur un fichier/dossier.

NotDataActions

Aucune

Lecteur de partage SMB de données de fichier de stockage


Description Permet l'accès en lecture aux fichiers/répertoires des
partages de fichiers Azure. Ce rôle équivaut à une liste
de contrôle d'accès de partage de fichiers en lecture sur
les serveurs de fichiers Windows.

Id aba4ae5f-2193-4029-9191-0cb91df5e314

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/fileServices/fileshare Retourne un fichier/dossier ou une liste de


s/files/read fichiers/dossiers.

NotDataActions

Aucune

Contributeur aux données en file d’attente du stockage

Description Lire, écrire et supprimer des files d'attente et messages


en file d'attente du stockage Azure. Pour savoir quelles
actions sont requises pour une opération de données
spécifique, consultez Autorisations pour appeler les
opérations de données d’objet blob et de file d’attente.

Id 974c5e8b-45b9-4653-ba55-5f855dd0fb88

Actions

Microsoft.Storage/storageAccounts/queueServices/queu Supprimer une file d’attente.


es/delete

Microsoft.Storage/storageAccounts/queueServices/queu Retourner une file d’attente ou une liste de files


es/read d’attente.

Microsoft.Storage/storageAccounts/queueServices/queu Modifier les métadonnées ou propriétés en file


es/write d’attente.

NotActions

Aucune

DataActions
Microsoft.Storage/storageAccounts/queueServices/queu Supprimer un ou plusieurs messages à partir d’une file
es/messages/delete d’attente.

Microsoft.Storage/storageAccounts/queueServices/queu Récupérer un ou plusieurs messages à partir d’une file


es/messages/read d’attente, ou en afficher un aperçu.

Microsoft.Storage/storageAccounts/queueServices/queu Ajouter un message à une file d'attente.


es/messages/write

NotDataActions

Aucune

Processeur de messages de données en file d’attente du


stockage

Description Récupérer et supprimer un message, ou en afficher un


aperçu à partir d’une file d’attente Stockage Azure. Pour
savoir quelles actions sont requises pour une opération
de données spécifique, consultez Autorisations pour
appeler les opérations de données d’objet blob et de file
d’attente.

Id 8a0f0c08-91a1-4084-bc3d-661d67233fed

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/queueServices/queu Afficher l’aperçu d’un message.


es/messages/read

Microsoft.Storage/storageAccounts/queueServices/queu Récupérer et supprimer un message.


es/messages/process/action

NotDataActions

Aucune

Expéditeur de messages de données en file d’attente du


stockage
Description Ajoutez des messages à une file d’attente de stockage
Azure. Pour savoir quelles actions sont requises pour
une opération de données spécifique, consultez
Autorisations pour appeler les opérations de données
d’objet blob et de file d’attente.

Id c6a89b2d-59bc-44d0-9896-0f6e12d7b80a

Actions

Aucune

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/queueServices/queu Ajouter un message à une file d'attente.


es/messages/add/action

NotDataActions

Aucune

Lecteur des données en file d’attente du stockage

Description Lire et répertorier des files d’attente et messages en file


d’attente du stockage Azure. Pour savoir quelles actions
sont requises pour une opération de données
spécifique, consultez Autorisations pour appeler les
opérations de données d’objet blob et de file d’attente.

Id 19e7f393-937e-4f77-808e-94535e297925

Actions

Microsoft.Storage/storageAccounts/queueServices/queu Retourne une file d’attente ou une liste de files d’attente.


es/read

NotActions

Aucune

DataActions

Microsoft.Storage/storageAccounts/queueServices/queu Récupérer un ou plusieurs messages à partir d’une file


es/messages/read d’attente, ou en afficher un aperçu.

NotDataActions
Aucune

Contributeur de demande de support

Description Permet de créer et de gérer des demandes de support

Id cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur Traffic Manager

Description Permet de gérer des profils Traffic Manager, mais pas de


contrôler qui y a accès.

Id a4b10055-b0c7-44c2-b00f-c7b5b3550cf7

Actions

Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Network/trafficManagerProfiles/*

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de
ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Administrateur de l'accès utilisateur

Description Vous permet de gérer l'accès utilisateur aux ressources


Azure.

Id 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9

Actions

*/read Lire les ressources de tous les types, à l’exception des


secrets.

Microsoft.Authorization/* Gérer les autorisations

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Connexion de l’administrateur aux machines virtuelles


Description Afficher les machines virtuelles dans le portail et se
connecter en tant qu’administrateur

Id 1c0163c0-47e6-4577-8991-ea5c82e286e4

Actions

Microsoft.Network/publicIPAddresses/read Obtient une définition de l’adresse IP publique.

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.Network/loadBalancers/read Obtient une définition d’équilibrage de charge.

Microsoft.Network/networkInterfaces/read Obtient une définition d’interface réseau.

Microsoft.Compute/virtualMachines/*/read

NotActions

Aucune

DataActions

Microsoft.Compute/virtualMachines/login/action Se connecter à la machine virtuelle comme utilisateur


normal

Microsoft.Compute/virtualMachines/loginAsAdmin/actio Se connecter à une machine virtuelle avec des privilèges


n d’administrateur Windows ou d’utilisateur racine Linux

NotDataActions

Aucune

Contributeur de machine virtuelle

Description Permet de gérer des machines virtuelles, mais pas d’y


accéder, ni au réseau virtuel ou au compte de stockage
auquel elles sont connectées.

Id 9980e02c-c2be-4d73-94e8-173b1dc7cf3c

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Compute/availabilitySets/* Créer et gérer des groupes à haute disponibilité de


calcul

Microsoft.Compute/locations/* Créer et gérer des emplacements de calcul


Microsoft.Compute/virtualMachines/* Créer et gérer les machines virtuelles

Microsoft.Compute/virtualMachineScaleSets/* Créez et gérez des jeux de mise à l’échelle des machines


virtuelles

Microsoft.Compute/disks/write Créer ou mettre à jour un disque

Microsoft.Compute/disks/read Obtenir les propriétés d’un disque

Microsoft.Compute/disks/delete Supprimer le disque

Microsoft.DevTestLab/schedules/*

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Network/applicationGateways/backendAddres Joint un pool d’adresses principales de passerelle


sPools/join/action d’application. Impossible à alerter.

Microsoft.Network/loadBalancers/backendAddressPools/ Joint un pool d’adresses principales d’équilibrage de


join/action charge. Impossible à alerter.

Microsoft.Network/loadBalancers/inboundNatPools/join/ Joint un pool NAT entrant d’équilibrage de charge.


action Impossible à alerter.

Microsoft.Network/loadBalancers/inboundNatRules/join/ Joint une règle nat de trafic entrant d’équilibrage de


action charge. Impossible à alerter.

Microsoft.Network/loadBalancers/probes/join/action Autorise l’utilisation des sondes d’un équilibreur de


charge. Par exemple, avec cette autorisation, la propriété
healthProbe du groupe de machines virtuelles
identiques peut faire référence à la sonde. Impossible à
alerter.

Microsoft.Network/loadBalancers/read Obtient une définition d’équilibrage de charge.

Microsoft.Network/locations/* Créer et gérer des emplacements réseau

Microsoft.Network/networkInterfaces/* Créer et gérer des interfaces réseau

Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.

Microsoft.Network/networkSecurityGroups/read Obtient une définition de groupe de sécurité réseau.

Microsoft.Network/publicIPAddresses/join/action Joint une adresse IP publique. Impossible à alerter.

Microsoft.Network/publicIPAddresses/read Obtient une définition de l’adresse IP publique.

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.Network/virtualNetworks/subnets/join/action Joint un réseau virtuel. Impossible à alerter.

Microsoft.RecoveryServices/locations/*
Microsoft.RecoveryServices/Vaults/backupFabrics/backu Crée une intention de protection de sauvegarde.
pProtectionIntent/write

Microsoft.RecoveryServices/Vaults/backupFabrics/protec
tionContainers/protectedItems/*/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Renvoie des détails d’objet de l’élément protégé.


tionContainers/protectedItems/read

Microsoft.RecoveryServices/Vaults/backupFabrics/protec Créer un élément protégé de sauvegarde.


tionContainers/protectedItems/write

Microsoft.RecoveryServices/Vaults/backupPolicies/read Renvoie toutes les stratégies de protection.

Microsoft.RecoveryServices/Vaults/backupPolicies/write Crée une stratégie de protection.

Microsoft.RecoveryServices/Vaults/read L’opération d’obtention de coffre obtient un objet


représentant la ressource Azure de type « coffre ».

Microsoft.RecoveryServices/Vaults/usages/read Renvoie des détails d’utilisation d’un coffre Recovery


Services.

Microsoft.RecoveryServices/Vaults/write L’opération de création de coffre entraîne la création


d’une ressource Azure de type « coffre ».

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.SqlVirtualMachine/*

Microsoft.Storage/storageAccounts/listKeys/action Retourne les clés d’accès au compte de stockage


spécifié.

Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère


les propriétés du compte de stockage spécifié.

Microsoft.Support/* Créer et gérer les tickets de support

NotActions

Aucune

DataActions

Aucune

NotDataActions
Aucune

Connexion de l’utilisateur aux machines virtuelles

Description Affichez les machines virtuelles dans le portail et


connectez-vous en tant qu’utilisateur normal.

Id fb879df8-f326-4884-b1cf-06f3ad86be52

Actions

Microsoft.Network/publicIPAddresses/read Obtient une définition de l’adresse IP publique.

Microsoft.Network/virtualNetworks/read Obtenir la définition de réseau virtuel.

Microsoft.Network/loadBalancers/read Obtient une définition d’équilibrage de charge.

Microsoft.Network/networkInterfaces/read Obtient une définition d’interface réseau.

Microsoft.Compute/virtualMachines/*/read

NotActions

Aucune

DataActions

Microsoft.Compute/virtualMachines/login/action Se connecter à la machine virtuelle comme utilisateur


normal

NotDataActions

Aucune

Contributeur de plan web

Description Permet de gérer des plans web pour des sites web, mais
pas d’y accéder.

Id 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights


Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les
ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support

Microsoft.Web/serverFarms/* Créer et gérer des batteries de serveurs

Microsoft.Web/hostingEnvironments/Join/Action Joint un environnement App Service Environment

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de site web

Description Permet de gérer des sites web (pas des plans web), mais
pas d’y accéder.

Id de139f84-1756-47ae-9be6-808fbbe84772

Actions

Microsoft.Authorization/*/read Autorisation de lecture

Microsoft.Insights/alertRules/* Créer et gérer des règles d’alerte Insights

Microsoft.Insights/components/* Créer et gérer les composants Insights

Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les


ressources dans l’étendue spécifiée.

Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de


ressources

Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.

Microsoft.Support/* Créer et gérer les tickets de support


Microsoft.Web/certificates/* Créer et gérer les certificats de site web

Microsoft.Web/listSitesAssignedToHostName/read Récupère les noms de sites affectés à un nom d’hôte.

Microsoft.Web/serverFarms/join/action

Microsoft.Web/serverFarms/read Récupère les propriétés d’un plan App Service.

Microsoft.Web/sites/* Créer et gérer des sites web (la création de sites


nécessite également des autorisations d’écriture pour le
plan App Service associé)

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Contributeur de classeur

Description Peut enregistrer les classeurs partagés.

Id e8ddcd69-c73f-4f9f-9844-4100522f16ad

Actions

Microsoft.Insights/workbooks/write Créer ou mettre à jour un classeur

Microsoft.Insights/workbooks/delete Supprimer un classeur

Microsoft.Insights/workbooks/read Lire un classeur

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune
Lecteur de classeur

Description Peut lire les classeurs.

Id b279062a-9be3-42a0-92ae-8b3cf002ec4d

Actions

microsoft.insights/workbooks/read Lire un classeur

NotActions

Aucune

DataActions

Aucune

NotDataActions

Aucune

Étapes suivantes
Fournisseur de ressources correspondant au service
Rôles intégrés pour les ressources Azure
Autorisations dans Azure Security Center
Opérations du fournisseur de ressources Azure
Resource Manager
03/03/2020 • 676 minutes to read • Edit Online

Cet article répertorie les opérations disponibles pour chaque fournisseur de ressources Azure Resource
Manager. Ces opérations peuvent être utilisées dans des rôles personnalisés pour fournir un contrôle d’accès
en fonction du rôle (RBAC ) granulaire aux ressources dans Azure. Les chaînes d’opération suivent ce format :
{Company}.{ProviderName}/{resourceType}/{action} . Pour obtenir la liste des correspondances entre les espaces
de noms de fournisseur de ressources et les services Azure, consultez Fournisseur de ressources
correspondant au service.
Les opérations du fournisseur de ressources évoluent sans cesse. Pour obtenir les dernières opérations, utilisez
Get-AzProviderOperation ou az provider operation list.

NOTE
Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le
cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des
informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.

Microsoft.AAD
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AAD/domainServices/delete Supprimer le service de domaine

Action Microsoft.AAD/domainServices/oucont Supprimer le conteneur d’unité


ainer/delete d’organisation

Action Microsoft.AAD/domainServices/oucont Lire les conteneurs d’unité


ainer/read d’organisation

Action Microsoft.AAD/domainServices/oucont Écrire le conteneur d’unité


ainer/write d’organisation

Action Microsoft.AAD/domainServices/read Lire les services de domaine

Action Microsoft.AAD/domainServices/write Écrire le service de domaine

Action Microsoft.AAD/locations/operationres
ults/read

Action Microsoft.AAD/Operations/read

Action Microsoft.AAD/register/action Inscrire le service de domaine

Action Microsoft.AAD/unregister/action Annule l’inscription du service de


domaine
microsoft.aadiam
TYPE D’ACTION OPÉRATION DESCRIPTION

Action microsoft.aadiam/diagnosticsettings/d Désactive un paramètre de diagnostic


elete

Action microsoft.aadiam/diagnosticsettings/re Lit un paramètre de diagnostic


ad

Action microsoft.aadiam/diagnosticsettings/w Écrit un paramètre de diagnostic


rite

Action microsoft.aadiam/diagnosticsettingsca Lit les catégories d’un paramètre de


tegories/read diagnostic

Action microsoft.aadiam/metricDefinitions/rea Lit les définitions des métriques au


d niveau du locataire

Action microsoft.aadiam/metrics/read Lit les métriques au niveau du


locataire

Microsoft.Addons
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Addons/operations/read Obtient les opérations du fournisseur


de ressources, qui sont prises en
charge.

Action Microsoft.Addons/register/action Enregistre l’abonnement spécifié avec


Microsoft.Addons

Action Microsoft.Addons/supportProviders/lis Répertorie les informations de plan de


tsupportplaninfo/action support en cours pour l’abonnement
spécifié.

Action Microsoft.Addons/supportProviders/s Supprime le plan de support Canonical


upportPlanTypes/delete spécifié

Action Microsoft.Addons/supportProviders/s Obtient l’état du plan de support


upportPlanTypes/read Canonical spécifié.

Action Microsoft.Addons/supportProviders/s Ajoute le type de plan de support


upportPlanTypes/write Canonical spécifié.

Microsoft.ADHybridHealthService
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/add Crée une forêt pour le locataire.


sservices/action
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/add Obtient tous les serveurs pour le nom


sservices/addomainservicemembers/re de service spécifié.
ad

Action Microsoft.ADHybridHealthService/add Obtient les détails de l’alerte pour la


sservices/alerts/read forêt, comme l’ID d’alerte, la date de
déclenchement de l’alerte, la dernière
alerte détectée, la description de
l’alerte, la dernière alerte mise à jour, le
niveau d’alerte, l’état de l’alerte, les
liens de résolution des problèmes
relatifs à l’alerte, etc.

Action Microsoft.ADHybridHealthService/add Obtient la configuration de service


sservices/configuration/read pour la forêt. Exemple : nom de la
forêt, niveau fonctionnel, rôle FSMO
du maître d’opérations des noms de
domaine, rôle FSMO du contrôleur de
schéma, etc.

Action Microsoft.ADHybridHealthService/add Supprime un service et ses serveurs,


sservices/delete ainsi que les données de contrôle
d’intégrité.

Action Microsoft.ADHybridHealthService/add Obtient les détails des domaines et


sservices/dimensions/read des sites de la forêt. Exemple : état
d’intégrité, alertes actives, alertes
résolues, propriétés telles que Niveau
fonctionnel du domaine, Forêt, Maître
d’infrastructure, Contrôleur de
domaine principal, Maître RID, etc.

Action Microsoft.ADHybridHealthService/add Obtient le paramètre de préférence


sservices/features/userpreference/read utilisateur pour la forêt.
Exemple : MetricCounterName,
comme ldapsuccessfulbinds,
ntlmauthentications,
kerberosauthentications,
addsinsightsagentprivatebytes ou
ldapsearches.
Paramètres des graphiques de
l’interface utilisateur, etc.

Action Microsoft.ADHybridHealthService/add Obtient le résumé de la forêt donnée :


sservices/forestsummary/read nom de la forêt, nombre de domaines
dans cette forêt, nombre de sites,
détails des sites, etc.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/add Obtient la liste des métriques prises en


sservices/metricmetadata/read charge pour un service donné.
Exemple : verrouillages de comptes
extranet, nombre total de requêtes
ayant échoué, demandes de jeton en
attente (proxy), demandes de jetons
par seconde, etc. pour le service ADFS.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour
ADDomainService.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service ADSync.

Action Microsoft.ADHybridHealthService/add Pour un service donné, cette API


sservices/metrics/groups/read obtient les informations relatives aux
métriques.
Par exemple, cette API permet
d’obtenir des informations
concernant : les verrouillages de
comptes extranet, le nombre total de
requêtes ayant échoué, les demandes
de jeton en attente (proxy), les
demandes de jetons par seconde, etc.
pour le service ADFederation.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour le service
ADDomain.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service de synchronisation.

Action Microsoft.ADHybridHealthService/add Cette API permet d’obtenir la liste de


sservices/premiumcheck/read tous les ADDomainServices
embarqués pour un locataire
premium.

Action Microsoft.ADHybridHealthService/add Obtient les détails de service relatifs


sservices/read au nom de service spécifié.

Action Microsoft.ADHybridHealthService/add Obtient les détails de réplication de


sservices/replicationdetails/read tous les serveurs pour le nom de
service spécifié.

Action Microsoft.ADHybridHealthService/add Obtient le nombre de contrôleurs de


sservices/replicationstatus/read domaine et leurs erreurs de
réplication, le cas échéant.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/add Obtient la liste complète des


sservices/replicationsummary/read contrôleurs de domaine ainsi que les
détails de la réplication pour la forêt
donnée.

Action Microsoft.ADHybridHealthService/add Ajoute une instance de serveur au


sservices/servicemembers/action service.

Action Microsoft.ADHybridHealthService/add Pendant l’enregistrement du serveur


sservices/servicemembers/credentials/r d’ADDomainService, cette API est
ead appelée pour obtenir les informations
d’identification relatives à l’intégration
de nouveaux serveurs.

Action Microsoft.ADHybridHealthService/add Supprime un serveur pour un service


sservices/servicemembers/delete et un locataire donnés.

Action Microsoft.ADHybridHealthService/add Crée ou met à jour l’instance


sservices/write ADDomainService pour le locataire.

Action Microsoft.ADHybridHealthService/conf Met à jour la configuration du client.


iguration/action

Action Microsoft.ADHybridHealthService/conf Lit la configuration du client.


iguration/read

Action Microsoft.ADHybridHealthService/conf Crée une configuration de client.


iguration/write

Action Microsoft.ADHybridHealthService/logs Obtient le contenu des journaux


/contents/read d’activité d’installation et
d’enregistrement de l’agent, qui sont
stockés dans le blob.

Action Microsoft.ADHybridHealthService/logs Obtient les journaux d’activité


/read d’installation et d’enregistrement de
l’agent pour le locataire.

Action Microsoft.ADHybridHealthService/oper Obtient la liste des opérations prises


ations/read en charge par le système.

Action Microsoft.ADHybridHealthService/regi Enregistre le fournisseur de ressources


ster/action du service de contrôle d’intégrité
ADHybrid et permet la création de la
ressource du service de contrôle
d’intégrité ADHybrid.

Action Microsoft.ADHybridHealthService/repo Obtient la liste des régions


rts/availabledeployments/read disponibles, utilisées par DevOps pour
prendre en charge les incidents clients.

Action Microsoft.ADHybridHealthService/repo Obtient la liste des tentatives


rts/badpassword/read incorrectes de mot de passe pour tous
les utilisateurs dans Active Directory
Federation Service.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/repo Obtient l’URI SAS d’un blob contenant


rts/badpassworduseridipfrequency/rea l’état et le résultat final du travail de
d rapport qui vient d’être ajouté en file
d’attente, pour la fréquence de
tentatives incorrectes de nom
d’utilisateur/mot de passe par ID
d’utilisateur et par adresse IP par jour
pour un locataire donné.

Action Microsoft.ADHybridHealthService/repo Obtient la liste des locataires autorisés


rts/consentedtodevopstenants/read par DevOps. Sert généralement au
support technique.

Action Microsoft.ADHybridHealthService/repo Obtient une valeur indiquant si le


rts/isdevops/read locataire est autorisé par DevOps ou
non.

Action Microsoft.ADHybridHealthService/repo Met à jour l’ID utilisateur (ID objet) en


rts/selectdevopstenant/read fonction du locataire DevOps
sélectionné.

Action Microsoft.ADHybridHealthService/repo Obtient le déploiement sélectionné


rts/selecteddeployment/read pour le locataire donné.

Action Microsoft.ADHybridHealthService/repo Pour un ID de locataire donné, obtient


rts/tenantassigneddeployment/read l’emplacement de stockage du
locataire.

Action Microsoft.ADHybridHealthService/repo Obtient l’emplacement géographique


rts/updateselecteddeployment/read des données.

Action Microsoft.ADHybridHealthService/servi Met à jour une instance de service


ces/action dans le client.

Action Microsoft.ADHybridHealthService/servi Lit les alertes pour un service.


ces/alerts/read

Action Microsoft.ADHybridHealthService/servi Lit les alertes pour un service.


ces/alerts/read

Action Microsoft.ADHybridHealthService/servi Pour un nom de fonctionnalité donné,


ces/checkservicefeatureavailibility/read vérifie si un service dispose de tous les
éléments requis afin d’utiliser cette
fonctionnalité.

Action Microsoft.ADHybridHealthService/servi Supprime une instance de service dans


ces/delete le client.

Action Microsoft.ADHybridHealthService/servi Obtient les erreurs d’exportation pour


ces/exporterrors/read un service de synchronisation donné.

Action Microsoft.ADHybridHealthService/servi Obtient l’état d’exportation pour un


ces/exportstatus/read service donné.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/servi Obtient les commentaires d’alerte


ces/feedbacktype/feedback/read pour un service et un serveur donnés.

Action Microsoft.ADHybridHealthService/servi Obtient la liste des métriques prises en


ces/metricmetadata/read charge pour un service donné.
Exemple : verrouillages de comptes
extranet, nombre total de requêtes
ayant échoué, demandes de jeton en
attente (proxy), demandes de jetons
par seconde, etc. pour le service ADFS.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour
ADDomainService.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service ADSync.

Action Microsoft.ADHybridHealthService/servi Pour un service donné, cette API


ces/metrics/groups/average/read obtient la moyenne des métriques.
Par exemple, cette API permet
d’obtenir des informations
concernant : les verrouillages de
comptes extranet, le nombre total de
requêtes ayant échoué, les demandes
de jeton en attente (proxy), les
demandes de jetons par seconde, etc.
pour le service ADFederation.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour le service
ADDomain.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service de synchronisation.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/servi Pour un service donné, cette API


ces/metrics/groups/read obtient les informations relatives aux
métriques.
Par exemple, cette API permet
d’obtenir des informations
concernant : les verrouillages de
comptes extranet, le nombre total de
requêtes ayant échoué, les demandes
de jeton en attente (proxy), les
demandes de jetons par seconde, etc.
pour le service ADFederation.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour le service
ADDomain.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service de synchronisation.

Action Microsoft.ADHybridHealthService/servi Pour un service donné, cette API


ces/metrics/groups/sum/read obtient la vue agrégée des métriques.
Par exemple, cette API permet
d’obtenir des informations
concernant : les verrouillages de
comptes extranet, le nombre total de
requêtes ayant échoué, les demandes
de jeton en attente (proxy), les
demandes de jetons par seconde, etc.
pour le service ADFederation.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour le service
ADDomain.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service de synchronisation.

Action Microsoft.ADHybridHealthService/servi Ajoute ou met à jour la configuration


ces/monitoringconfiguration/write de surveillance d’un service.

Action Microsoft.ADHybridHealthService/servi Obtient les configurations de


ces/monitoringconfigurations/read surveillance d’un service donné.

Action Microsoft.ADHybridHealthService/servi Ajoute ou met à jour les


ces/monitoringconfigurations/write configurations de surveillance d’un
service.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/servi Cette API permet d’obtenir la liste de


ces/premiumcheck/read tous les services embarqués pour un
locataire premium.

Action Microsoft.ADHybridHealthService/servi Lit les instances de service dans le


ces/read client.

Action Microsoft.ADHybridHealthService/servi Obtient tous les URI de rapports


ces/reports/blobUris/read d’adresse IP risquée pour les 7
derniers jours.

Action Microsoft.ADHybridHealthService/servi Obtient les rapports des 50 principaux


ces/reports/details/read utilisateurs ayant effectué des erreurs
de mot de passe depuis les 7 derniers
jours

Action Microsoft.ADHybridHealthService/servi Génère un rapport d’adresse IP


ces/reports/generateBlobUri/action risquée et retourne un URI qui pointe
dessus.

Action Microsoft.ADHybridHealthService/servi Crée une instance de serveur dans le


ces/servicemembers/action service.

Action Microsoft.ADHybridHealthService/servi Affiche les alertes correspondant à un


ces/servicemembers/alerts/read serveur.

Action Microsoft.ADHybridHealthService/servi Pendant l’enregistrement du serveur,


ces/servicemembers/credentials/read cette API est appelée pour obtenir les
informations d’identification relatives à
l’intégration de nouveaux serveurs.

Action Microsoft.ADHybridHealthService/servi Pour un serveur donné, cette API


ces/servicemembers/datafreshness/rea obtient la liste des types de données
d que les serveurs sont en train de
charger, ainsi que l’heure de chaque
chargement le plus récent.

Action Microsoft.ADHybridHealthService/servi Supprime une instance de serveur


ces/servicemembers/delete dans le service.

Action Microsoft.ADHybridHealthService/servi Obtient les informations détaillées


ces/servicemembers/exportstatus/read relatives à l’erreur d’exportation de
synchronisation pour un service de
synchronisation donné.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ADHybridHealthService/servi Pour un service donné, cette API


ces/servicemembers/metrics/groups/re obtient les informations relatives aux
ad métriques.
Par exemple, cette API permet
d’obtenir des informations
concernant : les verrouillages de
comptes extranet, le nombre total de
requêtes ayant échoué, les demandes
de jeton en attente (proxy), les
demandes de jetons par seconde, etc.
pour le service ADFederation.
Authentifications NTLM par seconde,
liaisons LDAP réussies par seconde,
durée de liaison LDAP, nombre de
threads LDAP actifs, authentifications
Kerberos par seconde, nombre total
de threads ATQ, etc. pour le service
ADDomain.
Latence du profil d’exécution,
connexions TCP établies, octets privés
de l’agent Insights, statistiques
d’exportation vers Azure AD pour le
service de synchronisation.

Action Microsoft.ADHybridHealthService/servi Obtient la liste des connecteurs et des


ces/servicemembers/metrics/read noms de profil d’exécution pour le
service et le membre de service
donnés.

Action Microsoft.ADHybridHealthService/servi Affiche l’instance de serveur du


ces/servicemembers/read service.

Action Microsoft.ADHybridHealthService/servi Obtient la configuration de service


ces/servicemembers/serviceconfigurati pour un locataire donné.
on/read

Action Microsoft.ADHybridHealthService/servi Obtient l’état de la liste verte des


ces/tenantwhitelisting/read fonctionnalités pour un locataire
donné.

Action Microsoft.ADHybridHealthService/servi Crée une instance de service dans le


ces/write client.

Action Microsoft.ADHybridHealthService/unre Annule l’enregistrement de


gister/action l’abonnement du fournisseur de
ressources du service de contrôle
d’intégrité ADHybrid.

Microsoft.Advisor
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Advisor/configurations/read Obtenir des configurations

Action Microsoft.Advisor/configurations/write Crée/met à jour la configuration


TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Advisor/generateRecommen Obtient l’état de génération de


dations/action recommandations

Action Microsoft.Advisor/generateRecommen Obtient l’état de génération de


dations/read recommandations

Action Microsoft.Advisor/metadata/read Get Metadata

Action Microsoft.Advisor/operations/read Obtient les opérations pour le


Microsoft Advisor

Action Microsoft.Advisor/recommendations/a La nouvelle recommandation est


vailable/action disponible dans Microsoft Advisor

Action Microsoft.Advisor/recommendations/r Lit les recommandations


ead

Action Microsoft.Advisor/recommendations/s Supprime la suppression


uppressions/delete

Action Microsoft.Advisor/recommendations/s Obtient les suppressions


uppressions/read

Action Microsoft.Advisor/recommendations/s Crée/met à jour des suppressions


uppressions/write

Action Microsoft.Advisor/register/action Inscrit l’abonnement pour Microsoft


Advisor

Action Microsoft.Advisor/suppressions/delete Supprime la suppression

Action Microsoft.Advisor/suppressions/read Obtient les suppressions

Action Microsoft.Advisor/suppressions/write Crée/met à jour des suppressions

Action Microsoft.Advisor/unregister/action Désinscrit l’abonnement pour le


Microsoft Advisor

Microsoft.AlertsManagement
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AlertsManagement/actionRu Supprimer une règle d’action dans un


les/delete abonnement donné.

Action Microsoft.AlertsManagement/actionRu Obtenir toutes les règles d’action pour


les/read les filtres d’entrée.

Action Microsoft.AlertsManagement/actionRu Créer ou mettre à jour une règle


les/write d’action dans un abonnement donné.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AlertsManagement/alerts/ch Modifie l’état de l’alerte.


angestate/action

Action Microsoft.AlertsManagement/alerts/di Obtenir tous les diagnostics pour


agnostics/read l’alerte

Action Microsoft.AlertsManagement/alerts/hi Obtenir l’historique de l’alerte


story/read

Action Microsoft.AlertsManagement/alerts/re Obtient toutes les alertes pour les


ad filtres d’entrée

Action Microsoft.AlertsManagement/alertsLis Obtenir toutes les alertes des filtres


t/read d’entrée dans des abonnements.

Action Microsoft.AlertsManagement/alertsMe Obtenez les métadonnées d’alertes


taData/read pour le paramètre d’entrée.

Action Microsoft.AlertsManagement/alertsSu Obtient le résumé des alertes


mmary/read

Action Microsoft.AlertsManagement/alertsSu Obtenir le résumé des alertes dans les


mmaryList/read abonnements.

Action Microsoft.AlertsManagement/Operati Lit les opérations fournies


ons/read

Action Microsoft.AlertsManagement/register/ Inscrit l’abonnement pour la Gestion


action des alertes Microsoft

Action Microsoft.AlertsManagement/smartDe Supprimer la règle d’alerte Smart


tectorAlertRules/delete Detector dans un abonnement donné

Action Microsoft.AlertsManagement/smartDe Obtenir toutes les règles d’alerte de


tectorAlertRules/read Smart Detector pour les filtres d’entrée

Action Microsoft.AlertsManagement/smartDe Créer ou mettre à jour une règle


tectorAlertRules/write d’alerte Smart Detector dans un
abonnement donné

Action Microsoft.AlertsManagement/smartGr Modifie l’état du groupe intelligent


oups/changestate/action

Action Microsoft.AlertsManagement/smartGr Obtenir l’historique du groupe


oups/history/read intelligent

Action Microsoft.AlertsManagement/smartGr Obtient tous les groupes intelligents


oups/read pour les filtres d’entrée

Microsoft.AnalysisServices
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AnalysisServices/locations/ch Vérifie que le nom d’Analysis Server


eckNameAvailability/action donné est valide et non utilisé.

Action Microsoft.AnalysisServices/locations/o Récupère les informations du résultat


perationresults/read de l’opération spécifiée

Action Microsoft.AnalysisServices/locations/o Récupère les informations de l’état de


perationstatuses/read l’opération spécifiée

Action Microsoft.AnalysisServices/operations/ Récupère les informations d’opérations


read

Action Microsoft.AnalysisServices/register/acti Inscrit le fournisseur de ressources


on Analysis Services

Action Microsoft.AnalysisServices/servers/dele Supprime l’Analysis Server.


te

Action Microsoft.AnalysisServices/servers/list Affiche l’état de la passerelle associée


GatewayStatus/action au serveur

Action Microsoft.AnalysisServices/servers/rea Récupère les informations de l’Analysis


d Server spécifié.

Action Microsoft.AnalysisServices/servers/res Reprend l’Analysis Server.


ume/action

Action Microsoft.AnalysisServices/servers/sku Récupère les informations de référence


s/read (SKU) disponibles pour le serveur

Action Microsoft.AnalysisServices/servers/sus Suspend l’Analysis Server.


pend/action

Action Microsoft.AnalysisServices/servers/writ Crée ou met à jour l’Analysis Server


e spécifié.

Action Microsoft.AnalysisServices/skus/read Récupère les informations de


références (SKU)

Microsoft.ApiManagement
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/checkNam Vérifie si le nom du service indiqué est


eAvailability/read disponible

Action Microsoft.ApiManagement/operations Lit toutes les opérations API


/read disponibles pour la ressource
Microsoft.ApiManagement

Action Microsoft.ApiManagement/register/ac Inscrire l’abonnement pour le


tion fournisseur de ressources
Microsoft.ApiManagement
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/reports/rea Obtient des rapports agrégés par


d période de temps, région
géographique, développeur, produit,
API, opération, abonnement et
demande.

Action Microsoft.ApiManagement/service/api Supprime l’API spécifiée de l’instance


s/delete de service de gestion des API.

Action Microsoft.ApiManagement/service/api Supprime le diagnostic spécifié d’une


s/diagnostics/delete API.

Action Microsoft.ApiManagement/service/api Répertorie tous les diagnostics d’une


s/diagnostics/read API. ou obtient les détails du
diagnostic pour une API spécifiée par
son identificateur.

Action Microsoft.ApiManagement/service/api Crée un diagnostic pour une API ou


s/diagnostics/write met à jour celui qui existe. ou met à
jour les détails du diagnostic pour une
API spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/api Supprime le commentaire spécifié d’un


s/issues/attachments/delete problème.

Action Microsoft.ApiManagement/service/api Répertorie toutes les pièces jointes


s/issues/attachments/read pour le problème associé à l’API
spécifiée. ou obtient les détails de la
pièce jointe du problème pour une API
spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/api Crée une nouvelle pièce jointe pour le


s/issues/attachments/write problème dans une API ou la met à
jour.

Action Microsoft.ApiManagement/service/api Supprime le commentaire spécifié d’un


s/issues/comments/delete problème.

Action Microsoft.ApiManagement/service/api Répertorie tous les commentaires pour


s/issues/comments/read le problème associé à l’API spécifiée.
ou obtient les détails du commentaire
sur le problème pour une API spécifiée
par son identificateur.

Action Microsoft.ApiManagement/service/api Crée un nouveau commentaire pour le


s/issues/comments/write problème dans une API ou le met jour.

Action Microsoft.ApiManagement/service/api Supprime le problème spécifié d’une


s/issues/delete API.

Action Microsoft.ApiManagement/service/api Répertorie tous les problèmes associés


s/issues/read à l’API spécifiée. ou obtient les détails
du problème pour une API spécifiée
par son identificateur.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/api Crée un problème pour une API ou


s/issues/write met à jour celui qui existe. ou met à
jour un problème existant pour une
API.

Action Microsoft.ApiManagement/service/api Supprime l’opération spécifiée dans


s/operations/delete l’API.

Action Microsoft.ApiManagement/service/api Supprime la configuration de stratégie


s/operations/policies/delete de l’opération d’API.

Action Microsoft.ApiManagement/service/api Obtient la liste de configurations de


s/operations/policies/read stratégie au niveau de l’opération
d’API. ou obtient la configuration de
stratégie au niveau de l’opération
d’API.

Action Microsoft.ApiManagement/service/api Crée ou met à jour la configuration de


s/operations/policies/write stratégie pour le niveau de l’opération
d’API.

Action Microsoft.ApiManagement/service/api Supprimer la configuration de


s/operations/policy/delete stratégie au niveau de l’opération

Action Microsoft.ApiManagement/service/api Obtenir la configuration de stratégie


s/operations/policy/read au niveau de l’opération

Action Microsoft.ApiManagement/service/api Créer la configuration de stratégie au


s/operations/policy/write niveau de l’opération

Action Microsoft.ApiManagement/service/api Répertorie une collection des


s/operations/read opérations pour l’API spécifiée. ou
obtient les détails de l’opération d’API
spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/api Détacher la balise de l’opération.


s/operations/tags/delete

Action Microsoft.ApiManagement/service/api Répertorie toutes les balises associées


s/operations/tags/read à l’opération. ou obtenez la balise
associée à l’opération.

Action Microsoft.ApiManagement/service/api Affectez la balise à l’opération.


s/operations/tags/write

Action Microsoft.ApiManagement/service/api Crée une nouvelle opération dans l’API


s/operations/write ou la met à jour. ou met à jour les
détails de l’opération dans l’API
spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/api Répertorie un ensemble d’opérations


s/operationsByTags/read associées aux balises.

Action Microsoft.ApiManagement/service/api Supprime la configuration de stratégie


s/policies/delete de l’API.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/api Obtient la configuration de stratégie


s/policies/read au niveau de l’API. ou obtient la
configuration de stratégie au niveau
de l’API.

Action Microsoft.ApiManagement/service/api Crée ou met à jour la configuration de


s/policies/write stratégie pour l’API.

Action Microsoft.ApiManagement/service/api Supprimer la configuration de


s/policy/delete stratégie au niveau de l’API

Action Microsoft.ApiManagement/service/api Obtenir la configuration de stratégie


s/policy/read au niveau de l’API

Action Microsoft.ApiManagement/service/api Créer la configuration de stratégie au


s/policy/write niveau de l’API

Action Microsoft.ApiManagement/service/api Répertorie tous les produits dont l’API


s/products/read fait partie.

Action Microsoft.ApiManagement/service/api Répertorie toutes les API de l’instance


s/read de service de gestion des API. ou
obtient les détails de l’API spécifiée par
son identificateur.

Action Microsoft.ApiManagement/service/api Supprime toutes les versions de l’API


s/releases/delete ou la version spécifiée dans l’API.

Action Microsoft.ApiManagement/service/api Répertorie toutes les versions d’une


s/releases/read API.
Une version d’API est créée lorsqu’une
révision d’API est rendue actuelle.
Les versions sont également utilisées
pour restaurer une révision
précédente.
Les résultats sont paginés et peuvent
être contraints par les paramètres
$top et $skip.
ou renvoie les détails d’une version de
l’API.

Action Microsoft.ApiManagement/service/api Crée une nouvelle version de l’API. ou


s/releases/write met à jour les détails de la version de
l’API spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/api Supprime toutes les révisions d’une


s/revisions/delete API

Action Microsoft.ApiManagement/service/api Répertorie toutes les révisions d’une


s/revisions/read API.

Action Microsoft.ApiManagement/service/api Supprime la configuration du schéma


s/schemas/delete de l’API.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/api Obtient la configuration du schéma au


s/schemas/read niveau de l’API. ou obtient la
configuration du schéma au niveau de
l’API.

Action Microsoft.ApiManagement/service/api Crée ou met à jour la configuration de


s/schemas/write schéma pour l’API.

Action Microsoft.ApiManagement/service/api Supprimer la description de balise


s/tagDescriptions/delete pour l’API.

Action Microsoft.ApiManagement/service/api Répertorie toutes les descriptions de


s/tagDescriptions/read balises dans la portée de l’API. Modèle
similaire à swagger - tagDescription
est défini au niveau de l’API, mais la
balise peut être affectée à la
description Operations ou Get Tag de
l’API

Action Microsoft.ApiManagement/service/api Crée/met à jour une description de


s/tagDescriptions/write balise dans la portée de l’API.

Action Microsoft.ApiManagement/service/api Détache la balise de l’API.


s/tags/delete

Action Microsoft.ApiManagement/service/api Répertorie toutes les balises associées


s/tags/read à l’API. ou obtient la balise associée à
l’API.

Action Microsoft.ApiManagement/service/api Assigne une balise à l’API.


s/tags/write

Action Microsoft.ApiManagement/service/api Crée de nouvelles API ou met à jour


s/write celles spécifiées pour l’instance de
service de gestion des API. ou met à
jour l’API spécifiée de l’instance de
service de gestion des API.

Action Microsoft.ApiManagement/service/api Répertorie un ensemble d’API


sByTags/read associées aux balises.

Action Microsoft.ApiManagement/service/api Supprime un ensemble de versions


VersionSets/delete d’API spécifique.

Action Microsoft.ApiManagement/service/api Répertorie une collection d’ensembles


VersionSets/read de versions d’API dans l’instance de
service spécifiée. ou obtient les détails
de l’ensemble de versions d’API
spécifié par son identificateur.

Action Microsoft.ApiManagement/service/api Obtient la liste des entités de version


VersionSets/versions/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/api Crée ou met à jour un ensemble de


VersionSets/write versions d’API. ou met à jour les
détails de l’ensemble de versions d’API
spécifié par son identificateur.

Action Microsoft.ApiManagement/service/ap Met à jour les ressources


plynetworkconfigurationupdates/actio Microsoft.ApiManagement exécutées
n dans le réseau virtuel pour
sélectionner les paramètres réseau mis
à jour.

Action Microsoft.ApiManagement/service/aut Supprime une instance de serveur


horizationServers/delete d’autorisation spécifique.

Action Microsoft.ApiManagement/service/aut Obtient les secrets pour le serveur


horizationServers/listSecrets/action d’autorisation.

Action Microsoft.ApiManagement/service/aut Répertorie un ensemble de serveurs


horizationServers/read d’autorisation définis dans une
instance de service. Ou obtient les
détails du serveur d’autorisation sans
secrets.

Action Microsoft.ApiManagement/service/aut Crée un nouveau serveur


horizationServers/write d’autorisation ou met à jour un
serveur d’autorisation existant. ou met
à jour les détails du serveur
d’autorisation spécifié par son
identificateur.

Action Microsoft.ApiManagement/service/bac Supprime le back-end spécifié.


kends/delete

Action Microsoft.ApiManagement/service/bac Répertorie un ensemble de serveurs


kends/read principaux dans l’instance de service
spécifié. ou obtient les détails du
serveur principal spécifié par son
identificateur.

Action Microsoft.ApiManagement/service/bac Indique au proxy APIM de créer une


kends/reconnect/action nouvelle connexion au serveur
principal après le délai d’attente
spécifié. Si aucun délai d’attente n’a été
spécifié, le délai de 2 minutes est
utilisé.

Action Microsoft.ApiManagement/service/bac Crée ou met à jour un back-end. ou


kends/write met à jour un serveur principal
existant.

Action Microsoft.ApiManagement/service/bac Sauvegarder le service Gestion des API


kup/action dans le conteneur spécifié dans un
compte de stockage fourni par
l’utilisateur
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/cac Supprime un cache spécifique.


hes/delete

Action Microsoft.ApiManagement/service/cac Répertorie une collection de tous les


hes/read caches externes de l’instance de
service spécifiée. ou obtient les détails
du cache spécifié par son identificateur.

Action Microsoft.ApiManagement/service/cac Crée ou met à jour un cache externe à


hes/write utiliser dans une instance de gestion
des API. ou met à jour les détails du
cache spécifié par son identificateur.

Action Microsoft.ApiManagement/service/cer Supprime un certificat spécifique.


tificates/delete

Action Microsoft.ApiManagement/service/cer Répertorie une collection de tous les


tificates/read certificats dans l’instance de service
spécifiée. ou obtient les détails du
certificat spécifié par son identificateur.

Action Microsoft.ApiManagement/service/cer Crée ou met à jour le certificat utilisé


tificates/write pour l’authentification avec le serveur
principal.

Action Microsoft.ApiManagement/service/con Supprime l’élément de contenu


tentTypes/contentItems/delete spécifié.

Action Microsoft.ApiManagement/service/con Retourne la liste ou les détails des


tentTypes/contentItems/read éléments de contenu

Action Microsoft.ApiManagement/service/con Crée un élément de contenu ou met à


tentTypes/contentItems/write jour un élément de contenu spécifié

Action Microsoft.ApiManagement/service/con Retourne la liste des types de contenu


tentTypes/read

Action Microsoft.ApiManagement/service/del Supprimer l’instance du service


ete Gestion des API

Action Microsoft.ApiManagement/service/dia Supprime le diagnostic spécifié.


gnostics/delete

Action Microsoft.ApiManagement/service/dia Répertorie tous les diagnostics de


gnostics/read l’instance de service de gestion des
API. ou obtient les détails du
diagnostic spécifié par son
identificateur.

Action Microsoft.ApiManagement/service/dia Crée un diagnostic ou met à jour celui


gnostics/write qui existe. ou met à jour les détails du
diagnostic spécifié par son
identificateur.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/gat Récupère la configuration de la


eways/action passerelle. ou met à jour la pulsation
de la passerelle.

Action Microsoft.ApiManagement/service/gat Supprime l’API spécifiée de la


eways/apis/delete passerelle spécifié.

Action Microsoft.ApiManagement/service/gat Répertorie une collection des API


eways/apis/read associées à une passerelle.

Action Microsoft.ApiManagement/service/gat Ajoute une API à la passerelle


eways/apis/write spécifiée.

Action Microsoft.ApiManagement/service/gat Supprime une passerelle spécifique.


eways/delete

Action Microsoft.ApiManagement/service/gat Répertorie la collection de


eways/hostnameConfigurations/read configurations de nom d’hôte pour la
passerelle spécifiée.

Action Microsoft.ApiManagement/service/gat Récupère les clés de passerelle.


eways/keys/action

Action Microsoft.ApiManagement/service/gat Répertorie une collection de


eways/read passerelles inscrites auprès de
l’instance de service. ou obtient les
détails de la passerelle spécifiée par
son identificateur.

Action Microsoft.ApiManagement/service/gat Régénère la clé de passerelle


eways/regeneratePrimaryKey/action principale, ce qui invalide tous les
jetons créés avec celle-ci.

Action Microsoft.ApiManagement/service/gat Régénère la clé de passerelle


eways/regenerateSecondaryKey/action secondaire, ce qui invalide tous les
jetons créés avec celle-ci.

Action Microsoft.ApiManagement/service/gat Obtient le jeton d’autorisation d’accès


eways/token/action partagé pour la passerelle.

Action Microsoft.ApiManagement/service/gat Crée ou met à jour une passerelle à


eways/write utiliser dans une instance de gestion
des API. ou met à jour les détails de la
passerelle spécifiée par son
identificateur.

Action Microsoft.ApiManagement/service/get Obtient le jeton d’authentification


ssotoken/action unique qui peut être utilisé pour se
connecter au portail hérité du service
Gestion des API en tant
qu’administrateur

Action Microsoft.ApiManagement/service/gro Supprime un groupe spécifique de


ups/delete l’instance de service de gestion des
API.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/gro Répertorie une collection de groupes


ups/read définis dans une instance de service.
ou obtient les détails du groupe
spécifié par son identificateur.

Action Microsoft.ApiManagement/service/gro Supprimer un utilisateur existant d’un


ups/users/delete groupe existant.

Action Microsoft.ApiManagement/service/gro Répertorie une collection d’entités


ups/users/read utilisateur associées au groupe.

Action Microsoft.ApiManagement/service/gro Ajouter un utilisateur existant à un


ups/users/write groupe existant

Action Microsoft.ApiManagement/service/gro Crée ou met à jour un groupe. ou met


ups/write à jour ou les détails du groupe spécifié
par son identificateur.

Action Microsoft.ApiManagement/service/ide Supprime la configuration du


ntityProviders/delete fournisseur d’identité spécifié.

Action Microsoft.ApiManagement/service/ide Obtient les secrets du fournisseur


ntityProviders/listSecrets/action d’identité.

Action Microsoft.ApiManagement/service/ide Répertorie un ensemble de


ntityProviders/read fournisseurs d’identité configurés dans
l’instance de service spécifié. Ou
obtient les détails de configuration du
fournisseur d’identité sans secrets.

Action Microsoft.ApiManagement/service/ide Crée ou met à jour la configuration du


ntityProviders/write fournisseur d’identité. ou met à jour
une configuration de fournisseur
d’identité existante.

Action Microsoft.ApiManagement/service/iss Répertorie l’ensemble des problèmes


ues/read dans l’instance de service spécifiée. ou
obtient les détails du problème de
gestion des API

Action Microsoft.ApiManagement/service/loc Obtient l’état de l’accès réseau des


ations/networkstatus/read ressources dont le service dépend
dans l’emplacement

Action Microsoft.ApiManagement/service/log Supprime l’enregistreur spécifié.


gers/delete

Action Microsoft.ApiManagement/service/log Répertorie une collection


gers/read d’enregistreurs d’événements dans
l’instance de service spécifié. ou
obtient les détails de l’enregistreur
d’événements spécifié par son
identificateur.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/log Crée ou met à jour un enregistreur. ou


gers/write met à jour un enregistreur
d’événements existant.

Action Microsoft.ApiManagement/service/ma Modifier une référence/unité,


nagedeployments/action ajouter/supprimer des déploiements
régionaux du service Gestion des API

Action Microsoft.ApiManagement/service/na Supprime une valeur nommée


medValues/delete spécifique de l’instance de service
Gestion des API.

Action Microsoft.ApiManagement/service/na Obtient les secrets de la valeur


medValues/listSecrets/action nommée spécifiée par son
identificateur.

Action Microsoft.ApiManagement/service/na Répertorie une collection de valeurs


medValues/read nommées définies au sein d’une
instance de service. Ou obtient les
détails de la valeur nommée spécifiée
par son identificateur.

Action Microsoft.ApiManagement/service/na Crée ou met à jour la valeur nommée.


medValues/write Ou met à jour la valeur nommée
spécifique.

Action Microsoft.ApiManagement/service/net Obtient l’état de l’accès réseau des


workstatus/read ressources dont le service dépend

Action Microsoft.ApiManagement/service/not Envoie une notification à un utilisateur


ifications/action spécifié

Action Microsoft.ApiManagement/service/not Répertorie une collection de propriétés


ifications/read définies au sein d’une instance de
service. ou obtient les détails de la
notification spécifiée par son
identificateur.

Action Microsoft.ApiManagement/service/not Supprime l’e-mail de la liste de la


ifications/recipientEmails/delete notification.

Action Microsoft.ApiManagement/service/not Obtient la liste des e-mails de


ifications/recipientEmails/read destinataires abonnés à une
notification.

Action Microsoft.ApiManagement/service/not Ajoute l’adresse e-mail à la liste de


ifications/recipientEmails/write destinataires pour la notification.

Action Microsoft.ApiManagement/service/not Supprime l’utilisateur de gestion des


ifications/recipientUsers/delete API de la liste de la notification.

Action Microsoft.ApiManagement/service/not Obtient la liste d’utilisateurs


ifications/recipientUsers/read destinataires abonnés à la notification.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/not Ajoute l’utilisateur de gestion des API


ifications/recipientUsers/write à la liste de destinataires pour la
notification.

Action Microsoft.ApiManagement/service/not Crée ou met à jour une notification de


ifications/write l’éditeur Gestion des API.

Action Microsoft.ApiManagement/service/op Supprime un fournisseur OpenID


enidConnectProviders/delete Connect spécifique de l’instance de
service de gestion des API.

Action Microsoft.ApiManagement/service/op Ou obtient les secrets du fournisseur


enidConnectProviders/listSecrets/actio OpenID Connect spécifique.
n

Action Microsoft.ApiManagement/service/op Répertorie tous les fournisseurs


enidConnectProviders/read OpenId Connect. Ou obtient un
fournisseur OpenID Connect
spécifique sans secrets.

Action Microsoft.ApiManagement/service/op Crée ou met à jour le fournisseur


enidConnectProviders/write OpenID Connect. ou met à jour le
fournisseur OpenID Connect
spécifique.

Action Microsoft.ApiManagement/service/op Obtient l’état actuel d’une opération


erationresults/read longue

Action Microsoft.ApiManagement/service/poli Supprime la configuration de la


cies/delete stratégie globale du service de gestion
des API.

Action Microsoft.ApiManagement/service/poli Répertorie toutes les définitions de


cies/read stratégie globale du service de gestion
des API. ou obtient la définition de
stratégie globale du service de gestion
des API.

Action Microsoft.ApiManagement/service/poli Crée ou met à jour la configuration de


cies/write la stratégie globale du service de
gestion des API.

Action Microsoft.ApiManagement/service/poli Supprimer la configuration de


cy/delete stratégie au niveau du locataire

Action Microsoft.ApiManagement/service/poli Obtenir la configuration de stratégie


cy/read au niveau du locataire

Action Microsoft.ApiManagement/service/poli Créer la configuration de stratégie au


cy/write niveau du locataire

Action Microsoft.ApiManagement/service/poli Liste toutes les descriptions de


cyDescriptions/read stratégies.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/poli Répertorie tous les extraits de code de


cySnippets/read stratégie.

Action Microsoft.ApiManagement/service/por Obtient la clé de validation des


talsettings/listSecrets/action paramètres de délégation du portail.

Action Microsoft.ApiManagement/service/por Répertorie un ensemble de paramètres


talsettings/read du portail. Ou permet d'obtenir les
paramètres de connexion, d'inscription
ou de délégation du portail.

Action Microsoft.ApiManagement/service/por Met à jour les paramètres de


talsettings/write connexion. ou crée ou met à jour les
paramètres de connexion. ou met à
jour les paramètres d’inscription ou de
délégation. ou crée ou met à jour les
paramètres de délégation.

Action Microsoft.ApiManagement/service/pro Supprime l’API spécifiée du produit


ducts/apis/delete spécifié.

Action Microsoft.ApiManagement/service/pro Répertorie une collection d’API


ducts/apis/read associées à un produit.

Action Microsoft.ApiManagement/service/pro Ajoute une API au produit spécifié.


ducts/apis/write

Action Microsoft.ApiManagement/service/pro Supprime un produit.


ducts/delete

Action Microsoft.ApiManagement/service/pro Supprime l’association entre le groupe


ducts/groups/delete et le produit spécifiés.

Action Microsoft.ApiManagement/service/pro Répertorie la collection de groupes de


ducts/groups/read développeurs associés au produit
spécifié.

Action Microsoft.ApiManagement/service/pro Ajoute l’association entre le groupe de


ducts/groups/write développeurs spécifié et le produit
spécifié.

Action Microsoft.ApiManagement/service/pro Supprime la configuration de stratégie


ducts/policies/delete du produit.

Action Microsoft.ApiManagement/service/pro Obtient la configuration de stratégie


ducts/policies/read au niveau du produit. ou obtient la
configuration de stratégie au niveau
du produit.

Action Microsoft.ApiManagement/service/pro Crée ou met à jour de configuration


ducts/policies/write de stratégie pour le produit.

Action Microsoft.ApiManagement/service/pro Supprimer la configuration de


ducts/policy/delete stratégie au niveau du produit
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/pro Obtenir la configuration de stratégie


ducts/policy/read au niveau du produit

Action Microsoft.ApiManagement/service/pro Créer la configuration de stratégie au


ducts/policy/write niveau du produit

Action Microsoft.ApiManagement/service/pro Répertorie un ensemble de produits


ducts/read dans l’instance de service spécifiée. ou
obtient les détails du produit spécifié
par son identificateur.

Action Microsoft.ApiManagement/service/pro Répertorie la collection d’abonnements


ducts/subscriptions/read au produit spécifié.

Action Microsoft.ApiManagement/service/pro Détache la balise du produit.


ducts/tags/delete

Action Microsoft.ApiManagement/service/pro Répertorie toutes les balises associées


ducts/tags/read au produit. ou obtient la balise
associée au produit.

Action Microsoft.ApiManagement/service/pro Assigne une balise au produit.


ducts/tags/write

Action Microsoft.ApiManagement/service/pro Crée ou met à jour un produit. ou met


ducts/write à jour les détails d’un produit existant.

Action Microsoft.ApiManagement/service/pro Répertorie un ensemble de produits


ductsByTags/read associés à des balises.

Action Microsoft.ApiManagement/service/pro Supprime une propriété spécifique de


perties/delete l’instance de service de gestion des
API.

Action Microsoft.ApiManagement/service/pro Ou obtient les secrets de la propriété


perties/listSecrets/action spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/pro Répertorie une collection de propriétés


perties/read définies au sein d’une instance de
service. ou obtient les détails de la
propriété spécifiée par son
identificateur.

Action Microsoft.ApiManagement/service/pro Crée ou met à jour une propriété. ou


perties/write met à jour la propriété spécifique.

Action Microsoft.ApiManagement/service/qu Obtient la valeur de compteur de


otas/periods/read quota pour une période

Action Microsoft.ApiManagement/service/qu Définit la valeur actuelle du compteur


otas/periods/write de quota

Action Microsoft.ApiManagement/service/qu Obtient les valeurs pour le quota


otas/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/qu Définit la valeur actuelle du compteur


otas/write de quota

Action Microsoft.ApiManagement/service/rea Lire les métadonnées d’une instance


d du service Gestion des API

Action Microsoft.ApiManagement/service/reg Répertorie toutes les régions Azure


ions/read dans lesquelles le service existe.

Action Microsoft.ApiManagement/service/rep Obtient un rapport agrégé par


orts/read période de temps, par région
géographique ou par développeur
Ou obtient un rapport agrégé par
produit
Ou obtient un rapport agrégé par API,
par opération ou par abonnement
Ou obtient des données pour le
rapport de demandes

Action Microsoft.ApiManagement/service/res Restaurer le service Gestion des API à


tore/action partir du conteneur spécifié dans un
compte de stockage fourni par
l’utilisateur

Action Microsoft.ApiManagement/service/sub Supprime l’abonnement spécifié.


scriptions/delete

Action Microsoft.ApiManagement/service/sub Obtient les clés d’abonnement


scriptions/listSecrets/action spécifiées.

Action Microsoft.ApiManagement/service/sub Répertorie tous les abonnements de


scriptions/read l’instance de service de gestion des
API. Ou obtient l’entité d’abonnement
spécifiée (sans clés).

Action Microsoft.ApiManagement/service/sub Régénère la clé primaire d’un


scriptions/regeneratePrimaryKey/actio abonnement existant de l’instance de
n service de gestion des API.

Action Microsoft.ApiManagement/service/sub Régénère la clé secondaire d’un


scriptions/regenerateSecondaryKey/ac abonnement existant de l’instance de
tion service de gestion des API.

Action Microsoft.ApiManagement/service/sub Crée ou met à jour de l’abonnement


scriptions/write de l’utilisateur spécifié au produit
spécifié. ou met à jour les détails d’un
abonnement spécifié par son
identificateur.

Action Microsoft.ApiManagement/service/tag Répertorie un ensemble de ressources


Resources/read associées à des balises.

Action Microsoft.ApiManagement/service/tag Supprime une balise spécifique de


s/delete l’instance de service de gestion des
API.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/tag Répertorie une collection de balises


s/read définies dans une instance de service.
ou obtient les détails de la balise
spécifiée par son identificateur.

Action Microsoft.ApiManagement/service/tag Crée une balise. ou met à jour ou les


s/write détails de la balise spécifiée par son
identificateur.

Action Microsoft.ApiManagement/service/te Réinitialise le modèle d’e-mail par


mplates/delete défaut de Gestion des API

Action Microsoft.ApiManagement/service/te Obtient tous les modèles d’e-mail ou


mplates/read les détails d’un modèle d’e-mail de
Gestion des API

Action Microsoft.ApiManagement/service/te Crée ou met à jour le modèle d’e-mail


mplates/write de Gestion des API

Action Microsoft.ApiManagement/service/ten Supprimer la configuration de la


ant/delete stratégie du client

Action Microsoft.ApiManagement/service/ten Exécute une tâche de déploiement


ant/deploy/action pour appliquer les modifications de la
branche git spécifiée à la configuration
dans la base de données.

Action Microsoft.ApiManagement/service/ten Obtenir les informations d’accès client


ant/listSecrets/action

Action Microsoft.ApiManagement/service/ten Obtenir la liste des résultats


ant/operationResults/read d’opération ou obtenir le résultat
d’une opération spécifique

Action Microsoft.ApiManagement/service/ten Obtient la définition de stratégie


ant/read globale du service de gestion des API.
ou obtenir les informations d’accès
client

Action Microsoft.ApiManagement/service/ten Régénérer la clé d’accès primaire


ant/regeneratePrimaryKey/action

Action Microsoft.ApiManagement/service/ten Régénérer la clé d’accès secondaire


ant/regenerateSecondaryKey/action

Action Microsoft.ApiManagement/service/ten Crée une validation avec un instantané


ant/save/action de configuration dans la branche
spécifiée du référentiel

Action Microsoft.ApiManagement/service/ten Obtenir l’état de la dernière


ant/syncState/read synchronisation git

Action Microsoft.ApiManagement/service/ten Valide les modifications de la branche


ant/validate/action git spécifiée
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/service/ten Définit la configuration de stratégie


ant/write pour le client ou met à jour les détails
des informations d’accès du client

Action Microsoft.ApiManagement/service/up Télécharger le certificat SSL pour un


datecertificate/action service Gestion des API

Action Microsoft.ApiManagement/service/up Configurer, mettre à jour ou


datehostname/action supprimer des noms de domaine
personnalisés pour un service Gestion
des API

Action Microsoft.ApiManagement/service/use Enregistre un nouvel utilisateur


rs/action

Action Microsoft.ApiManagement/service/use Envoie une confirmation


rs/confirmations/send/action

Action Microsoft.ApiManagement/service/use Supprime un utilisateur spécifique.


rs/delete

Action Microsoft.ApiManagement/service/use Récupère une URL de redirection


rs/generateSsoUrl/action contenant un jeton d’authentification
pour connecter un utilisateur donné
au portail des développeurs.

Action Microsoft.ApiManagement/service/use Répertorie tous les groupes


rs/groups/read d’utilisateurs.

Action Microsoft.ApiManagement/service/use Répertorie toutes les identités


rs/identities/read d’utilisateur.

Action Microsoft.ApiManagement/service/use Obtenir les clés associées à un


rs/keys/read utilisateur

Action Microsoft.ApiManagement/service/use Répertorie une collection d’utilisateurs


rs/read enregistrés dans l’instance de service
spécifiée. ou obtient les détails de
l’utilisateur spécifié par son
identificateur.

Action Microsoft.ApiManagement/service/use Répertorie la collection d’abonnements


rs/subscriptions/read de l’utilisateur spécifié.

Action Microsoft.ApiManagement/service/use Obtient le jeton d’autorisation d’accès


rs/token/action partagé pour l’utilisateur.

Action Microsoft.ApiManagement/service/use Crée ou met à jour un utilisateur. ou


rs/write met à jour ou les détails de l’utilisateur
spécifié par son identificateur.

Action Microsoft.ApiManagement/service/wri Crée ou met à jour une instance du


te service Gestion des API
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ApiManagement/unregister/ Annuler l’inscription de l’abonnement


action pour le fournisseur de ressources
Microsoft.ApiManagement

Microsoft.AppConfiguration
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AppConfiguration/checkNa Vérifie que le nom de la ressource est


meAvailability/read disponible.

Action Microsoft.AppConfiguration/configura Supprime un magasin de


tionStores/delete configuration.

Action Microsoft.AppConfiguration/configura Supprime un filtre Event Grid de


tionStores/eventGridFilters/delete magasin de configuration.

Action Microsoft.AppConfiguration/configura Permet d'obtenir les propriétés du


tionStores/eventGridFilters/read filtre Event Grid de magasin de
configuration spécifié ou de
répertorier tous les filtres Event Grid
de magasin de configuration
disponibles sous le magasin de
configuration spécifié.

Action Microsoft.AppConfiguration/configura Crée ou met à jour un filtre Event Grid


tionStores/eventGridFilters/write de magasin de configuration avec les
paramètres spécifiés.

DataAction Microsoft.AppConfiguration/configura Supprime une paire clé-valeur


tionStores/keyValues/delete existante du magasin de configuration.

DataAction Microsoft.AppConfiguration/configura Lit une paire clé-valeur dans le


tionStores/keyValues/read magasin de configuration.

DataAction Microsoft.AppConfiguration/configura Crée ou met à jour une paire clé-


tionStores/keyValues/write valeur dans le magasin de
configuration.

Action Microsoft.AppConfiguration/configura Répertorie les clés API du magasin de


tionStores/ListKeys/action configuration spécifié.

Action Microsoft.AppConfiguration/configura Répertorie une paire clé-valeur pour le


tionStores/ListKeyValue/action magasin de configuration spécifié.

Action Microsoft.AppConfiguration/configura Supprime un proxy de connexion de


tionStores/privateEndpointConnection point de terminaison privé sous le
Proxies/delete magasin de configuration spécifié.

Action Microsoft.AppConfiguration/configura Permet d'obtenir un proxy de


tionStores/privateEndpointConnection connexion de point de terminaison
Proxies/read privé sous le magasin de configuration
spécifié.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AppConfiguration/configura Valide un proxy de connexion de point


tionStores/privateEndpointConnection de terminaison privé sous le magasin
Proxies/validate/action de configuration spécifié.

Action Microsoft.AppConfiguration/configura Crée ou met jour un proxy de


tionStores/privateEndpointConnection connexion de point de terminaison
Proxies/write privé sous le magasin de configuration
spécifié.

Action Microsoft.AppConfiguration/configura Supprime une connexion de point de


tionStores/privateEndpointConnection terminaison privé du magasin de
s/delete configurations spécifié.

Action Microsoft.AppConfiguration/configura Obtient une connexion de point de


tionStores/privateEndpointConnection terminaison privé ou répertorie les
s/read connexions de point de terminaison
privé dans le magasin de
configurations spécifié.

Action Microsoft.AppConfiguration/configura Approuve ou refuse une connexion de


tionStores/privateEndpointConnection point de terminaison privé dans le
s/write magasin de configurations spécifié.

Action Microsoft.AppConfiguration/configura Approuve automatiquement une


tionStores/PrivateEndpointConnection connexion de point de terminaison
sApproval/action privé dans le magasin de
configurations spécifié.

Action Microsoft.AppConfiguration/configura Répertorie toutes les ressources de


tionStores/privateLinkResources/read liaison privée dans le magasin de
configurations spécifié.

Action Microsoft.AppConfiguration/configura Lit toutes les valeurs des paramètres


tionStores/providers/Microsoft.Insight de diagnostic d'un magasin de
s/diagnosticSettings/read configuration.

Action Microsoft.AppConfiguration/configura Écrit/remplace les paramètres de


tionStores/providers/Microsoft.Insight diagnostic de Microsoft App
s/diagnosticSettings/write Configuration.

Action Microsoft.AppConfiguration/configura Récupère toutes les définitions de


tionStores/providers/Microsoft.Insight métriques de Microsoft App
s/metricDefinitions/read Configuration.

Action Microsoft.AppConfiguration/configura Permet d'obtenir les propriétés du


tionStores/read magasin de configuration spécifié ou
d'afficher tous les magasins de
configuration disponibles sous le
groupe de ressources ou
l'abonnement spécifiés.

Action Microsoft.AppConfiguration/configura Régénère les clés API du magasin de


tionStores/RegenerateKey/action configuration spécifié.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AppConfiguration/configura Supprime une tâche de


tionStores/syncTasks/delete synchronisation de magasin de
configuration.

Action Microsoft.AppConfiguration/configura Permet d'obtenir les propriétés de la


tionStores/syncTasks/read tâche de synchronisation de magasin
de configuration spécifiée ou de
répertorier toutes les tâches de
synchronisation de magasin de
configuration disponibles sous le
magasin de configuration spécifié.

Action Microsoft.AppConfiguration/configura Crée ou met à jour une tâche de


tionStores/syncTasks/write synchronisation de magasin de
configuration avec les paramètres
spécifiés.

Action Microsoft.AppConfiguration/configura Crée ou met à jour un magasin de


tionStores/write configuration avec les paramètres
spécifiés.

Action Microsoft.AppConfiguration/locations/ Permet d'obtenir l'état d'une


operationsStatus/read opération.

Action Microsoft.AppConfiguration/operation Répertorie toutes les opérations prises


s/read en charge par Microsoft App
Configuration.

Action Microsoft.AppConfiguration/register/a Inscrit un abonnement pour utiliser


ction Microsoft App Configuration.

Microsoft.Authorization
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Authorization/classicAdminis Supprime l’administrateur de


trators/delete l’abonnement.

Action Microsoft.Authorization/classicAdminis Obtient les états de l’opération


trators/operationstatuses/read d’administrateur de l’abonnement.

Action Microsoft.Authorization/classicAdminis Lit les administrateurs de


trators/read l’abonnement.

Action Microsoft.Authorization/classicAdminis Ajoutez ou modifiez un administrateur


trators/write à un abonnement.

Action Microsoft.Authorization/denyAssignm Supprime un refus d’affectation dans


ents/delete l’étendue spécifiée.

Action Microsoft.Authorization/denyAssignm Obtient des informations sur un refus


ents/read d’affectation.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Authorization/denyAssignm Crée un refus d’affectation dans


ents/write l’étendue spécifiée.

Action Microsoft.Authorization/elevateAccess Accorde à l’appelant un accès


/action Administrateur de l’accès utilisateur au
niveau de la portée du client

Action Microsoft.Authorization/locks/delete Supprime des verrous au niveau de la


portée spécifiée.

Action Microsoft.Authorization/locks/read Obtient des verrous au niveau de la


portée spécifiée.

Action Microsoft.Authorization/locks/write Ajoute des verrous au niveau de la


portée spécifiée.

Action Microsoft.Authorization/operations/re Obtient la liste des opérations


ad

Action Microsoft.Authorization/permissions/r Répertorie toutes les autorisations


ead dont dispose l’appelant au niveau
d’une portée donnée.

Action Microsoft.Authorization/policies/audit/ Action effectuée à la suite d’une


action évaluation d’Azure Policy avec effet
« audit »

Action Microsoft.Authorization/policies/auditI Action effectuée à la suite d’une


fNotExists/action évaluation d’Azure Policy avec effet
« auditIfNotExists »

Action Microsoft.Authorization/policies/deny/ Action effectuée à la suite d’une


action évaluation d’Azure Policy avec effet
« deny »

Action Microsoft.Authorization/policies/deplo Action effectuée à la suite d’une


yIfNotExists/action évaluation d’Azure Policy avec effet
« deployIfNotExists »

Action Microsoft.Authorization/policyAssignm Supprimez une affectation de stratégie


ents/delete au niveau de la portée spécifiée.

Action Microsoft.Authorization/policyAssignm Obtenez des informations sur une


ents/read affectation de stratégie.

Action Microsoft.Authorization/policyAssignm Créez une affectation de stratégie au


ents/write niveau de la portée spécifiée.

Action Microsoft.Authorization/policyDefinitio Supprimez une définition de stratégie.


ns/delete

Action Microsoft.Authorization/policyDefinitio Obtenez des informations sur une


ns/read définition de stratégie.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Authorization/policyDefinitio Créez une définition de stratégie


ns/write personnalisée.

Action Microsoft.Authorization/policySetDefin Supprime une définition d’ensemble de


itions/delete stratégies

Action Microsoft.Authorization/policySetDefin Obtient des informations sur une


itions/read définition d’ensemble de stratégies

Action Microsoft.Authorization/policySetDefin Crée une définition d’ensemble de


itions/write stratégies personnalisé

Action Microsoft.Authorization/providerOper Obtenez des opérations pour tous les


ations/read fournisseurs de ressources qui
peuvent être utilisées dans les
définitions de rôles.

Action Microsoft.Authorization/roleAssignme Supprimez une affectation de rôle au


nts/delete niveau de la portée spécifiée.

Action Microsoft.Authorization/roleAssignme Obtenez des informations sur une


nts/read affectation de rôle.

Action Microsoft.Authorization/roleAssignme Créez une affectation de rôle au


nts/write niveau de la portée spécifiée.

Action Microsoft.Authorization/roleDefinition Supprimez la définition de rôle


s/delete personnalisé spécifiée.

Action Microsoft.Authorization/roleDefinition Obtenez des informations sur une


s/read définition de rôle.

Action Microsoft.Authorization/roleDefinition Créez ou mettez à jour une définition


s/write de rôle personnalisé avec des
autorisations spécifiées et des portées
pouvant être affectées.

Microsoft.Automation
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Lit les informations d’inscription


ounts/agentRegistrationInformation/r d’Azure Automation DSC
ead

Action Microsoft.Automation/automationAcc Écrit une demande de régénération de


ounts/agentRegistrationInformation/r clés Azure Automation DSC
egenerateKey/action

Action Microsoft.Automation/automationAcc Supprime une ressource de certificat


ounts/certificates/delete Azure Automation
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Affiche le nombre de certificats


ounts/certificates/getCount/action

Action Microsoft.Automation/automationAcc Obtient une ressource de certificat


ounts/certificates/read Azure Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour une ressource de


ounts/certificates/write certificat Azure Automation

Action Microsoft.Automation/automationAcc Lit une compilation d’Azure


ounts/compilationjobs/read Automation DSC

Action Microsoft.Automation/automationAcc Lit une compilation d’Azure


ounts/compilationjobs/read Automation DSC

Action Microsoft.Automation/automationAcc Écrit une compilation d’Azure


ounts/compilationjobs/write Automation DSC

Action Microsoft.Automation/automationAcc Écrit une compilation d’Azure


ounts/compilationjobs/write Automation DSC

Action Microsoft.Automation/automationAcc Affiche le contenu de support de


ounts/configurations/content/read configuration

Action Microsoft.Automation/automationAcc Supprime un contenu d’Azure


ounts/configurations/delete Automation DSC

Action Microsoft.Automation/automationAcc Lit le nombre d’un contenu d’Azure


ounts/configurations/getCount/action Automation DSC

Action Microsoft.Automation/automationAcc Obtient un contenu d’Azure


ounts/configurations/read Automation DSC

Action Microsoft.Automation/automationAcc Écrit un contenu d’Azure Automation


ounts/configurations/write DSC

Action Microsoft.Automation/automationAcc Supprime une ressource de connexion


ounts/connections/delete Azure Automation

Action Microsoft.Automation/automationAcc Affiche le nombre de connexions


ounts/connections/getCount/action

Action Microsoft.Automation/automationAcc Obtient une ressource de connexion


ounts/connections/read Azure Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour une ressource de


ounts/connections/write connexion Azure Automation

Action Microsoft.Automation/automationAcc Supprime une ressource de type de


ounts/connectionTypes/delete connexion Azure Automation

Action Microsoft.Automation/automationAcc Obtient une ressource de type de


ounts/connectionTypes/read connexion Azure Automation
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Crée une ressource de type de


ounts/connectionTypes/write connexion Azure Automation

Action Microsoft.Automation/automationAcc Supprime une ressource d’information


ounts/credentials/delete d’identification Azure Automation

Action Microsoft.Automation/automationAcc Affiche le nombre d’informations


ounts/credentials/getCount/action d’identification

Action Microsoft.Automation/automationAcc Obtient une ressource d’information


ounts/credentials/read d’identification Azure Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour une ressource


ounts/credentials/write d’information d’identification Azure
Automation

Action Microsoft.Automation/automationAcc Supprime un compte Azure


ounts/delete Automation

Action Microsoft.Automation/automationAcc Supprime des ressources Runbook


ounts/hybridRunbookWorkerGroups/ Worker hybrides
delete

Action Microsoft.Automation/automationAcc Lit des ressources Runbook Worker


ounts/hybridRunbookWorkerGroups/r hybrides
ead

Action Microsoft.Automation/automationAcc Obtient le résultat d’un travail


ounts/jobs/output/read

Action Microsoft.Automation/automationAcc Obtient un travail Azure Automation


ounts/jobs/read

Action Microsoft.Automation/automationAcc Reprend un travail Azure Automation


ounts/jobs/resume/action

Action Microsoft.Automation/automationAcc Obtient le contenu du runbook Azure


ounts/jobs/runbookContent/action Automation au moment de l’exécution
du travail

Action Microsoft.Automation/automationAcc Arrête un travail Azure Automation


ounts/jobs/stop/action

Action Microsoft.Automation/automationAcc Obtient un flux de travail Azure


ounts/jobs/streams/read Automation

Action Microsoft.Automation/automationAcc Obtient un flux de travail Azure


ounts/jobs/streams/read Automation

Action Microsoft.Automation/automationAcc Suspend un travail Azure Automation


ounts/jobs/suspend/action

Action Microsoft.Automation/automationAcc Crée un travail Azure Automation


ounts/jobs/write
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Supprime une planification du travail


ounts/jobSchedules/delete Azure Automation

Action Microsoft.Automation/automationAcc Obtient une planification du travail


ounts/jobSchedules/read Azure Automation

Action Microsoft.Automation/automationAcc Crée une planification du travail Azure


ounts/jobSchedules/write Automation

Action Microsoft.Automation/automationAcc Obtient l’espace de travail lié au


ounts/linkedWorkspace/read compte Automation.

Action Microsoft.Automation/automationAcc Affiche les clés pour le compte


ounts/listKeys/action Automation.

Action Microsoft.Automation/automationAcc Obtient les activités d’Azure


ounts/modules/activities/read Automation

Action Microsoft.Automation/automationAcc Supprime un module PowerShell Azure


ounts/modules/delete Automation

Action Microsoft.Automation/automationAcc Obtient le nombre de modules


ounts/modules/getCount/action PowerShell au sein du compte
Automation

Action Microsoft.Automation/automationAcc Obtient un module PowerShell Azure


ounts/modules/read Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour un module


ounts/modules/write PowerShell Azure Automation

Action Microsoft.Automation/automationAcc Supprime une configuration de nœud


ounts/nodeConfigurations/delete d’Azure Automation DSC

Action Microsoft.Automation/automationAcc Lit le contenu d’une configuration de


ounts/nodeConfigurations/rawConten nœud d’Azure Automation DSC
t/action

Action Microsoft.Automation/automationAcc Lit une configuration de nœud d’Azure


ounts/nodeConfigurations/read Automation DSC

Action Microsoft.Automation/automationAcc Écrit une configuration de nœud


ounts/nodeConfigurations/write d’Azure Automation DSC

Action Microsoft.Automation/automationAcc Affiche le résumé du nombre de


ounts/nodecounts/read nœuds pour le type spécifié

Action Microsoft.Automation/automationAcc Supprime des nœuds Azure


ounts/nodes/delete Automation DSC

Action Microsoft.Automation/automationAcc Lit des nœuds Azure Automation DSC


ounts/nodes/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Affiche le contenu d’un rapport Azure


ounts/nodes/reports/content/read Automation DSC

Action Microsoft.Automation/automationAcc Lit un rapport Azure Automation DSC


ounts/nodes/reports/read

Action Microsoft.Automation/automationAcc Crée ou met à jour des nœuds Azure


ounts/nodes/write Automation DSC

Action Microsoft.Automation/automationAcc Obtient les TypeFields Azure


ounts/objectDataTypes/fields/read Automation

Action Microsoft.Automation/automationAcc Supprime un package Python 2 Azure


ounts/python2Packages/delete Automation

Action Microsoft.Automation/automationAcc Obtient un package Python 2 Azure


ounts/python2Packages/read Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour un package Python


ounts/python2Packages/write 2 Azure Automation

Action Microsoft.Automation/automationAcc Supprime un package Python 3 Azure


ounts/python3Packages/delete Automation

Action Microsoft.Automation/automationAcc Obtient un package Python 3 Azure


ounts/python3Packages/read Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour un package Python


ounts/python3Packages/write 3 Azure Automation

Action Microsoft.Automation/automationAcc Obtient un compte Azure Automation


ounts/read

Action Microsoft.Automation/automationAcc Obtient le contenu d’un runbook


ounts/runbooks/content/read Azure Automation

Action Microsoft.Automation/automationAcc Supprime un


ounts/runbooks/delete runbook Azure Automation

Action Microsoft.Automation/automationAcc Crée le contenu d’un brouillon de


ounts/runbooks/draft/content/write runbook Azure Automation

Action Microsoft.Automation/automationAcc Obtient les résultats d’opération de


ounts/runbooks/draft/operationResult brouillon de runbook Azure
s/read Automation

Action Microsoft.Automation/automationAcc Obtient un brouillon de


ounts/runbooks/draft/read runbook Azure Automation

Action Microsoft.Automation/automationAcc Obtient un travail de test de brouillon


ounts/runbooks/draft/testJob/read de runbook Azure Automation
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Reprend un travail de test de brouillon


ounts/runbooks/draft/testJob/resume/ de runbook Azure Automation
action

Action Microsoft.Automation/automationAcc Arrête un travail de test de brouillon


ounts/runbooks/draft/testJob/stop/act de runbook Azure Automation
ion

Action Microsoft.Automation/automationAcc Suspend un travail de test de brouillon


ounts/runbooks/draft/testJob/suspen de runbook Azure Automation
d/action

Action Microsoft.Automation/automationAcc Crée un travail de test de brouillon de


ounts/runbooks/draft/testJob/write runbook Azure Automation

Action Microsoft.Automation/automationAcc Annule les modifications apportées à


ounts/runbooks/draft/undoEdit/action un brouillon de
runbook Azure Automation

Action Microsoft.Automation/automationAcc Obtient le nombre de runbooks Azure


ounts/runbooks/getCount/action Automation

Action Microsoft.Automation/automationAcc Publie un brouillon de


ounts/runbooks/publish/action runbook Azure Automation

Action Microsoft.Automation/automationAcc Obtient un


ounts/runbooks/read runbook Azure Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour un runbook Azure


ounts/runbooks/write Automation

Action Microsoft.Automation/automationAcc Supprime une ressource de


ounts/schedules/delete planification Azure Automation

Action Microsoft.Automation/automationAcc Obtient le nombre de planifications


ounts/schedules/getCount/action Azure Automation

Action Microsoft.Automation/automationAcc Obtient une ressource de planification


ounts/schedules/read Azure Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour une ressource de


ounts/schedules/write planification Azure Automation

Action Microsoft.Automation/automationAcc Obtient une exécution de machine de


ounts/softwareUpdateConfigurationM configuration de mise à jour de logiciel
achineRuns/read Azure Automation

Action Microsoft.Automation/automationAcc Obtient une exécution de


ounts/softwareUpdateConfigurationR configuration de mise à jour de logiciel
uns/read Azure Automation

Action Microsoft.Automation/automationAcc Supprime une configuration de mise à


ounts/softwareUpdateConfigurations/ jour de logiciel Azure Automation.
delete
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Supprime une configuration de mise à


ounts/softwareUpdateConfigurations/ jour de logiciel Azure Automation.
delete

Action Microsoft.Automation/automationAcc Obtient une configuration de mise à


ounts/softwareUpdateConfigurations/ jour de logiciel Azure Automation.
read

Action Microsoft.Automation/automationAcc Obtient une configuration de mise à


ounts/softwareUpdateConfigurations/ jour de logiciel Azure Automation.
read

Action Microsoft.Automation/automationAcc Crée ou met à jour une configuration


ounts/softwareUpdateConfigurations/ de mise à jour de logiciel Azure
write Automation.

Action Microsoft.Automation/automationAcc Crée ou met à jour une configuration


ounts/softwareUpdateConfigurations/ de mise à jour de logiciel Azure
write Automation.

Action Microsoft.Automation/automationAcc Obtient les statistiques d’Azure


ounts/statistics/read Automation

Action Microsoft.Automation/automationAcc Obtient une machine de déploiement


ounts/updateDeploymentMachineRun de mise à jour Azure Automation
s/read

Action Microsoft.Automation/automationAcc Obtient un travail de correctif de


ounts/updateManagementPatchJob/r gestion de mise à jour Azure
ead Automation

Action Microsoft.Automation/automationAcc Obtient l’utilisation d’Azure


ounts/usages/read Automation

Action Microsoft.Automation/automationAcc Supprime une ressource de variable


ounts/variables/delete Azure Automation

Action Microsoft.Automation/automationAcc Lit une ressource de variable Azure


ounts/variables/read Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour une ressource de


ounts/variables/write variable Azure Automation

Action Microsoft.Automation/automationAcc Supprime un travail d’observateur


ounts/watchers/delete Azure Automation

Action Microsoft.Automation/automationAcc Obtient un travail d’observateur Azure


ounts/watchers/read Automation

Action Microsoft.Automation/automationAcc Lance un travail d’observateur Azure


ounts/watchers/start/action Automation

Action Microsoft.Automation/automationAcc Interrompt un travail d’observateur


ounts/watchers/stop/action Azure Automation
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Automation/automationAcc Obtient un flux de tâches Automation


ounts/watchers/streams/read Watcher Azure

Action Microsoft.Automation/automationAcc Supprime des actions de travail


ounts/watchers/watcherActions/delete d’observateur Azure Automation

Action Microsoft.Automation/automationAcc Obtient des actions de travail


ounts/watchers/watcherActions/read d’observateur Azure Automation

Action Microsoft.Automation/automationAcc Crée des actions de travail


ounts/watchers/watcherActions/write d’observateur Azure Automation

Action Microsoft.Automation/automationAcc Crée un travail d’observateur Azure


ounts/watchers/write Automation

Action Microsoft.Automation/automationAcc Génère un URI pour un webhook


ounts/webhooks/action Azure Automation

Action Microsoft.Automation/automationAcc Supprime un webhook


ounts/webhooks/delete Azure Automation

Action Microsoft.Automation/automationAcc Lit un webhook Azure Automation


ounts/webhooks/read

Action Microsoft.Automation/automationAcc Crée ou met à jour un webhook Azure


ounts/webhooks/write Automation

Action Microsoft.Automation/automationAcc Crée ou met à jour un compte Azure


ounts/write Automation

Action Microsoft.Automation/operations/read Obtient les opérations disponibles


pour les ressources Azure Automation

Action Microsoft.Automation/register/action Enregistre l’abonnement dans Azure


Automation

Microsoft.AzureActiveDirectory
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AzureActiveDirectory/b2cDir Supprime une ressource de répertoire


ectories/delete B2C

Action Microsoft.AzureActiveDirectory/b2cDir Affiche une ressource de répertoire


ectories/read B2C

Action Microsoft.AzureActiveDirectory/b2cDir Créer ou mettre à jour une ressource


ectories/write d’annuaire B2C

Action Microsoft.AzureActiveDirectory/b2cten Répertorie tous les locataires B2C où


ants/read l’utilisateur est un membre
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AzureActiveDirectory/operat Lit toutes les opérations d’API


ions/read disponibles pour le fournisseur de
ressources
Microsoft.AzureActiveDirectory

Action Microsoft.AzureActiveDirectory/registe Enregistre l’abonnement à un


r/action fournisseur de ressources
Microsoft.AzureActiveDirectory

Microsoft.AzureStack
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AzureStack/Operations/read Obtient les propriétés d’une opération


de fournisseur de ressources

Action Microsoft.AzureStack/register/action Inscrit l’abonnement auprès du


fournisseur de ressources
Microsoft.AzureStack

Action Microsoft.AzureStack/registrations/cus Supprime un abonnement client Azure


tomerSubscriptions/delete Stack

Action Microsoft.AzureStack/registrations/cus Obtient les propriétés d’un


tomerSubscriptions/read abonnement client Azure Stack

Action Microsoft.AzureStack/registrations/cus Crée ou met à jour un abonnement


tomerSubscriptions/write client Azure Stack

Action Microsoft.AzureStack/registrations/del Vérifie une inscription Azure Stack


ete

Action Microsoft.AzureStack/registrations/get Obtient la dernière clé d’activation


ActivationKey/action Azure Stack

Action Microsoft.AzureStack/registrations/pro Récupère le produit de la place de


ducts/getProduct/action marché Azure Stack

Action Microsoft.AzureStack/registrations/pro Récupère une liste des produits de la


ducts/getProducts/action place de marché Azure Stack

Action Microsoft.AzureStack/registrations/pro Récupère les détails étendus d’un


ducts/listDetails/action produit de la place de marché Azure
Stack.

Action Microsoft.AzureStack/registrations/pro Obtient les propriétés d’un produit de


ducts/read la place de marché Azure Stack.

Action Microsoft.AzureStack/registrations/pro Enregistre l’horodateur et l’état de


ducts/uploadProductLog/action l’opération de produit de la place de
marché Azure Stack
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.AzureStack/registrations/rea Obtient les propriétés d’une


d inscription Azure Stack.

Action Microsoft.AzureStack/registrations/wri Crée ou met à jour une inscription


te Azure Stack

Action Microsoft.AzureStack/verificationKeys/ Obtient la version actuelle de la clé


getCurrentKey/action publique de signature Azure Stack

Microsoft.Batch
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Batch/batchAccounts/applic Supprime une application


ations/delete

Action Microsoft.Batch/batchAccounts/applic Répertorie les applications ou obtient


ations/read les propriétés d’une application

Action Microsoft.Batch/batchAccounts/applic Active un package d’application


ations/versions/activate/action

Action Microsoft.Batch/batchAccounts/applic Supprime un package d’application


ations/versions/delete

Action Microsoft.Batch/batchAccounts/applic Obtient les propriétés d’un package


ations/versions/read d’application

Action Microsoft.Batch/batchAccounts/applic Crée une nouveau package


ations/versions/write d’application ou met à jour un package
d’application existant

Action Microsoft.Batch/batchAccounts/applic Crée une nouvelle application ou met


ations/write à jour une application existante

Action Microsoft.Batch/batchAccounts/certific Obtient les résultats d’une opération


ateOperationResults/read de certificat de longue durée sur un
compte Batch

Action Microsoft.Batch/batchAccounts/certific Annule la suppression manquée d’un


ates/cancelDelete/action certificat sur un compte Batch

Action Microsoft.Batch/batchAccounts/certific Supprime un certificat d’un compte


ates/delete Batch

Action Microsoft.Batch/batchAccounts/certific Répertorie les certificats sur un


ates/read compte Batch ou obtient les
propriétés d’un certificat

Action Microsoft.Batch/batchAccounts/certific Crée un certificat sur un compte Batch


ates/write ou met à jour un certificat existant

Action Microsoft.Batch/batchAccounts/delete Supprime un compte Batch


TYPE D’ACTION OPÉRATION DESCRIPTION

DataAction Microsoft.Batch/batchAccounts/jobs/d Supprime un travail d’un compte


elete Batch

DataAction Microsoft.Batch/batchAccounts/jobs/r Répertorie les travaux sur un compte


ead Batch ou obtient les propriétés d’un
travail

DataAction Microsoft.Batch/batchAccounts/jobs/w Crée un travail sur un compte Batch


rite ou met à jour un travail existant

DataAction Microsoft.Batch/batchAccounts/jobSch Supprime une planification de travail


edules/delete d’un compte Batch

DataAction Microsoft.Batch/batchAccounts/jobSch Répertorie les planifications de travail


edules/read sur un compte Batch ou obtient les
propriétés d’une planification de travail

DataAction Microsoft.Batch/batchAccounts/jobSch Crée une planification de travail sur un


edules/write compte Batch ou met à jour une
planification de travail existante

Action Microsoft.Batch/batchAccounts/listkey Répertorie les clés d’accès pour un


s/action compte Batch

Action Microsoft.Batch/batchAccounts/operat Obtient les résultats d’une opération


ionResults/read de compte Batch de longue durée

Action Microsoft.Batch/batchAccounts/poolO Obtient les résultats d’une opération


perationResults/read de pool de longue durée sur un
compte Batch

Action Microsoft.Batch/batchAccounts/pools/ Supprime un pool d’un compte Batch


delete

Action Microsoft.Batch/batchAccounts/pools/ Désactive la mise à l’échelle


disableAutoscale/action automatique pour un pool de comptes
Batch

Action Microsoft.Batch/batchAccounts/pools/ Répertorie les pools sur un compte


read Batch ou obtient les propriétés d’un
pool

Action Microsoft.Batch/batchAccounts/pools/ Arrête une opération de


stopResize/action redimensionnement en cours sur un
pool de comptes Batch

Action Microsoft.Batch/batchAccounts/pools/ Crée un pool sur un compte Batch ou


write met à jour un pool existant

Action Microsoft.Batch/batchAccounts/read Répertorie les comptes Batch ou


obtient les propriétés d’un compte
Batch

Action Microsoft.Batch/batchAccounts/regen Régénère les clés d’accès pour un


eratekeys/action compte Batch
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Batch/batchAccounts/syncA Synchronise les clés d’accès pour le


utoStorageKeys/action compte de stockage automatique
configuré pour un compte Batch

Action Microsoft.Batch/batchAccounts/write Crée un nouveau compte Batch ou


met à jour un compte Batch existant

Action Microsoft.Batch/locations/accountOpe Obtient les résultats d’une opération


rationResults/read de compte Batch de longue durée

Action Microsoft.Batch/locations/checkName Vérifie que le nom de compte est


Availability/action valide et qu’il n’est pas utilisé

Action Microsoft.Batch/locations/quotas/read Obtient les quotas Batch de


l’abonnement spécifié au niveau de la
région Azure spécifiée

Action Microsoft.Batch/operations/read Répertorie les opérations disponibles


sur le fournisseur de ressources
Microsoft.Batch

Action Microsoft.Batch/register/action Inscrit l’abonnement pour le


fournisseur de ressources Batch et
permet la création de comptes Batch

Action Microsoft.Batch/unregister/action Désinscrit l’abonnement pour le


fournisseur de ressources Batch en
empêchant la création de comptes
Batch

Microsoft.Billing
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Billing/billingAccounts/agree
ments/read

Action Microsoft.Billing/billingAccounts/billing
Permissions/read

Action Microsoft.Billing/billingAccounts/billing
Profiles/billingPermissions/read

Action Microsoft.Billing/billingAccounts/billing
Profiles/customers/read

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoices/pricesheet/download/
action
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingPermissi
ons/read

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingSubscrip
tions/move/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingSubscrip
tions/transfer/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingSubscrip
tions/validateMoveEligibility/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/products/mov
e/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/products/trans
fer/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/products/valid
ateMoveEligibility/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/read

Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/write

Action Microsoft.Billing/billingAccounts/billing
Profiles/pricesheet/download/action

Action Microsoft.Billing/billingAccounts/billing
Profiles/read

Action Microsoft.Billing/billingAccounts/billing
Profiles/write

Action Microsoft.Billing/billingAccounts/billing
Profiles/write

Action Microsoft.Billing/billingAccounts/billing
Subscriptions/read

Action Microsoft.Billing/billingAccounts/custo
mers/billingPermissions/read

Action Microsoft.Billing/billingAccounts/custo
mers/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Billing/billingAccounts/depar
tments/read

Action Microsoft.Billing/billingAccounts/enroll
mentAccounts/billingPermissions/read

Action Microsoft.Billing/billingAccounts/enroll
mentAccounts/read

Action Microsoft.Billing/billingAccounts/enroll
mentDepartments/billingPermissions/r
ead

Action Microsoft.Billing/billingAccounts/listInv
oiceSectionsWithCreateSubscriptionPe
rmission/action

Action Microsoft.Billing/billingAccounts/produ
cts/read

Action Microsoft.Billing/billingAccounts/read

Action Microsoft.Billing/billingAccounts/write

Action Microsoft.Billing/departments/read

Action Microsoft.Billing/invoices/download/ac Télécharge la facture à l’aide du lien de


tion téléchargement de la liste

Action Microsoft.Billing/invoices/read

Action Microsoft.Billing/register/action

Action Microsoft.Billing/validateAddress/actio
n

Microsoft.BingMaps
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.BingMaps/listCommunicatio Obtient les préférences de


nPreference/action communication pour le propriétaire de
Microsoft.BingMaps

Action Microsoft.BingMaps/mapApis/Delete Supprime la ressource pour


Microsoft.BingMaps/mapApis

Action Microsoft.BingMaps/mapApis/listSecre Répertorie les secrets pour


ts/action Microsoft.BingMaps/mapApis

Action Microsoft.BingMaps/mapApis/listUsag Répertorie les métriques pour


eMetrics/action Microsoft.BingMaps/mapApis
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.BingMaps/mapApis/Read Obtient la ressource pour


Microsoft.BingMaps/mapApis

Action Microsoft.BingMaps/mapApis/regener Régénère des clés pour


ateKey/action Microsoft.BingMaps/mapApis

Action Microsoft.BingMaps/mapApis/Write Met à jour la ressource pour


Microsoft.BingMaps/mapApis

Action Microsoft.BingMaps/Operations/read Répertorie les opérations pour


Microsoft.BingMaps

Action Microsoft.BingMaps/updateCommunic Met à jour les préférences de


ationPreference/action communication pour le propriétaire de
Microsoft.BingMaps

Microsoft.Blockchain
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Blockchain/blockchainMemb Supprime un membre de blockchain


ers/delete existant.

Action Microsoft.Blockchain/blockchainMemb Obtient ou répertorie les clés API de


ers/listApiKeys/action membre de blockchain existantes.

Action Microsoft.Blockchain/blockchainMemb Obtient ou répertorie les membres de


ers/read blockchain existants.

DataAction Microsoft.Blockchain/blockchainMemb Connecte à un nœud de transaction


ers/transactionNodes/connect/action d’un membre blockchain.

Action Microsoft.Blockchain/blockchainMemb Supprime un nœud de transaction


ers/transactionNodes/delete existant du membre blockchain.

Action Microsoft.Blockchain/blockchainMemb Obtient ou répertorie une ou plusieurs


ers/transactionNodes/listApiKeys/actio clés d’API de nœud de transaction du
n membre blockchain.

Action Microsoft.Blockchain/blockchainMemb Crée ou répertorie un ou plusieurs


ers/transactionNodes/read nœuds de transaction existants du
membre blockchain.

Action Microsoft.Blockchain/blockchainMemb Crée ou met à jour un nœud de


ers/transactionNodes/write transaction d’un membre blockchain.

Action Microsoft.Blockchain/blockchainMemb Crée ou met à jour un membre de


ers/write blockchain.

Action Microsoft.Blockchain/cordaMembers/d Supprime un membre Blockchain


elete Corda existant.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Blockchain/cordaMembers/r Obtient ou répertorie les membres


ead Blockchain Corda existants.

Action Microsoft.Blockchain/cordaMembers/ Crée ou met à jour un membre


write Blockchain Corda.

Action Microsoft.Blockchain/locations/blockch Obtient les résultats de l’opération des


ainMemberOperationResults/read membres de blockchain.

Action Microsoft.Blockchain/locations/checkN Vérifie que le nom de ressource est


ameAvailability/action valide et qu’il n’est pas déjà utilisé.

Action Microsoft.Blockchain/operations/read Répertorie toutes les opérations dans


le fournisseur de ressources blockchain
Microsoft.

Action Microsoft.Blockchain/register/action Enregistre l’abonnement pour le


fournisseur de ressources Blockchain.

Microsoft.Blueprint
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Blueprint/blueprintAssignme Lire tous les artefacts de blueprint


nts/assignmentOperations/read

Action Microsoft.Blueprint/blueprintAssignme Supprimer tous les artefacts de


nts/delete blueprint

Action Microsoft.Blueprint/blueprintAssignme Lire tous les artefacts de blueprint


nts/read

Action Microsoft.Blueprint/blueprintAssignme Obtient l’ID d’objet principal du service


nts/whoisblueprint/action Azure Blueprints.

Action Microsoft.Blueprint/blueprintAssignme Créer ou mettre à jour tous les


nts/write artefacts de blueprint

Action Microsoft.Blueprint/blueprints/artifacts Supprimer tous les artefacts de


/delete blueprint

Action Microsoft.Blueprint/blueprints/artifacts Lire tous les artefacts de blueprint


/read

Action Microsoft.Blueprint/blueprints/artifacts Créer ou mettre à jour tous les


/write artefacts de blueprint

Action Microsoft.Blueprint/blueprints/delete Supprimer tous les blueprints

Action Microsoft.Blueprint/blueprints/read Lire tous les blueprints


TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Blueprint/blueprints/version Lire tous les artefacts de blueprint


s/artifacts/read

Action Microsoft.Blueprint/blueprints/version Supprimer tous les blueprints


s/delete

Action Microsoft.Blueprint/blueprints/version Lire tous les blueprints


s/read

Action Microsoft.Blueprint/blueprints/version Créer ou mettre à jour tous les


s/write blueprints

Action Microsoft.Blueprint/blueprints/write Créer ou mettre à jour tous les


blueprints

Action Microsoft.Blueprint/register/action Inscrire le fournisseur de ressources


blueprint Azure

Microsoft.BotService
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.BotService/botServices/chan Supprime un canal de service Bot


nels/delete

Action Microsoft.BotService/botServices/chan Répertorie les canaux de service Bot


nels/listchannelwithkeys/action avec des secrets

Action Microsoft.BotService/botServices/chan Lit un canal de service Bot


nels/read

Action Microsoft.BotService/botServices/chan Écrit un canal de service Bot


nels/write

Action Microsoft.BotService/botServices/conn Supprime une connexion de service


ections/delete Bot

Action Microsoft.BotService/botServices/conn Écrit une liste de connexions de service


ections/listwithsecrets/write Bot

Action Microsoft.BotService/botServices/conn Lit une connexion de service Bot


ections/read

Action Microsoft.BotService/botServices/conn Écrit une connexion de service Bot


ections/write

Action Microsoft.BotService/botServices/delet Supprimer un service Bot


e

Action Microsoft.BotService/botServices/read Lire un service Bot

Action Microsoft.BotService/botServices/write Écrire un service Bot


TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.BotService/checknameavaila Vérifie la disponibilité du nom d’un bot


bility/action

Action Microsoft.BotService/listauthservicepro Répertorie les fournisseurs de services


viders/action d’authentification

Action Microsoft.BotService/locations/operati Lire l’état d’une opération asynchrone


onresults/read

Action Microsoft.BotService/Operations/read Lire les opérations pour tous les types


de ressources

Microsoft.Cache
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cache/checknameavailability Vérifie si un nom peut être utilisé avec


/action un nouveau cache Redis

Action Microsoft.Cache/locations/operationre Obtient le résultat d’une opération de


sults/read longue durée pour laquelle l’en-tête
Location a été précédemment
retourné au client

Action Microsoft.Cache/operations/read Répertorie les opérations que le


fournisseur Microsoft.Cache prend en
charge.

Action Microsoft.Cache/redis/delete Supprimer l’intégralité du cache Redis

Action Microsoft.Cache/redis/export/action Exporter des données Redis vers des


objets blob préfixés dans un format
spécifié

Action Microsoft.Cache/redis/firewallRules/del Supprimer des règles de pare-feu IP


ete d’un cache Redis

Action Microsoft.Cache/redis/firewallRules/rea Obtenir les règles de pare-feu IP d’un


d cache Redis

Action Microsoft.Cache/redis/firewallRules/wri Modifier les règles de pare-feu IP d’un


te cache Redis

Action Microsoft.Cache/redis/forceReboot/act Forcez le redémarrage d’instance de


ion cache, potentiellement avec une perte
de données.

Action Microsoft.Cache/redis/import/action Importer des données d’un format


spécifié à partir de plusieurs objets
blob dans Redis

Action Microsoft.Cache/redis/linkedservers/de Supprimer un serveur lié d’un cache


lete Redis
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cache/redis/linkedservers/re Obtenez les serveurs liés associés à un


ad cache Redis.

Action Microsoft.Cache/redis/linkedservers/wr Ajouter un serveur lié à un cache Redis


ite

Action Microsoft.Cache/redis/listKeys/action Afficher la valeur des clés d’accès du


cache Redis dans le portail de gestion

Action Microsoft.Cache/redis/metricDefinition Obtient les mesures disponibles pour


s/read un cache Redis

Action Microsoft.Cache/redis/patchSchedules/ Supprimer la planification de correctif


delete d’un cache Redis

Action Microsoft.Cache/redis/patchSchedules/ Obtient la planification de mise à jour


read corrective d’un cache Redis

Action Microsoft.Cache/redis/patchSchedules/ Modifier la planification de mise à jour


write corrective d’un cache Redis

Action Microsoft.Cache/redis/read Afficher les paramètres et la


configuration du cache Redis dans le
portail de gestion

Action Microsoft.Cache/redis/regenerateKey/ Modifier la valeur des clés d’accès du


action cache Redis dans le portail de gestion

Action Microsoft.Cache/redis/start/action Démarrez une instance de cache.

Action Microsoft.Cache/redis/stop/action Arrêtez une instance de cache.

Action Microsoft.Cache/redis/write Modifier les paramètres et la


configuration du cache Redis dans le
portail de gestion

Action Microsoft.Cache/register/action Inscrit le fournisseur de ressources «


Microsoft.Cache » à un abonnement

Action Microsoft.Cache/unregister/action Annule l’inscription du fournisseur de


ressources « Microsoft.Cache » à un
abonnement

Microsoft.Capacity
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Capacity/appliedreservations Lit toutes les réservations


/read

Action Microsoft.Capacity/calculateexchange/ Calcule le montant de l’échange et le


action prix des nouveaux achats et retourne
les erreurs de stratégie.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Capacity/calculateprice/actio Calculer tous les prix de réservation


n

Action Microsoft.Capacity/catalogs/read Lire le catalogue de réservation

Action Microsoft.Capacity/checkoffers/action Vérifier toutes les offres d’abonnement

Action Microsoft.Capacity/checkscopes/action Vérifier tous les abonnements

Action Microsoft.Capacity/commercialreservat Obtenir les demandes de réservation


ionorders/read créées dans n’importe quel locataire

Action Microsoft.Capacity/exchange/action Échanger toute réservation

Action Microsoft.Capacity/operations/read Lire toutes les opérations

Action Microsoft.Capacity/register/action Inscrit le fournisseur de ressources de


capacité et active la création de
ressources de capacité.

Action Microsoft.Capacity/reservationorders/ Met à jour une réservation


action

Action Microsoft.Capacity/reservationorders/ Rechercher toutes les étendues


availablescopes/action disponibles

Action Microsoft.Capacity/reservationorders/c Calcule le montant du remboursement


alculaterefund/action et le prix des nouveaux achats et
retourne les erreurs de stratégie.

Action Microsoft.Capacity/reservationorders/ Supprime une réservation


delete

Action Microsoft.Capacity/reservationorders/ Fusionner toutes les réservations


merge/action

Action Microsoft.Capacity/reservationorders/ Interroge une opération de fusion


mergeoperationresults/read

Action Microsoft.Capacity/reservationorders/r Lit toutes les réservations


ead

Action Microsoft.Capacity/reservationorders/r Met à jour une réservation


eservations/action

Action Microsoft.Capacity/reservationorders/r Rechercher toutes les étendues


eservations/availablescopes/action disponibles

Action Microsoft.Capacity/reservationorders/r Supprime une réservation


eservations/delete

Action Microsoft.Capacity/reservationorders/r Lit toutes les réservations


eservations/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Capacity/reservationorders/r Lit toutes les réservations


eservations/revisions/read

Action Microsoft.Capacity/reservationorders/r Crée une réservation


eservations/write

Action Microsoft.Capacity/reservationorders/r Retourner toutes les réservations


eturn/action

Action Microsoft.Capacity/reservationorders/s Diviser toutes les réservations


plit/action

Action Microsoft.Capacity/reservationorders/s Interroge une opération de


plitoperationresults/read fractionnement

Action Microsoft.Capacity/reservationorders/s Échanger toutes les réservations


wap/action

Action Microsoft.Capacity/reservationorders/ Crée une réservation


write

Action Microsoft.Capacity/tenants/register/ac Inscrire tous les locataires


tion

Action Microsoft.Capacity/unregister/action Annuler l’inscription de tous les


locataires

Action Microsoft.Capacity/validatereservation Valider toutes les réservations


order/action

Microsoft.Cdn
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cdn/cdnwebapplicationfirew
allmanagedrulesets/delete

Action Microsoft.Cdn/cdnwebapplicationfirew
allmanagedrulesets/read

Action Microsoft.Cdn/cdnwebapplicationfirew
allmanagedrulesets/write

Action Microsoft.Cdn/cdnwebapplicationfirew
allpolicies/delete

Action Microsoft.Cdn/cdnwebapplicationfirew
allpolicies/read

Action Microsoft.Cdn/cdnwebapplicationfirew
allpolicies/write
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cdn/CheckNameAvailability/
action

Action Microsoft.Cdn/CheckResourceUsage/a
ction

Action Microsoft.Cdn/edgenodes/delete

Action Microsoft.Cdn/edgenodes/read

Action Microsoft.Cdn/edgenodes/write

Action Microsoft.Cdn/operationresults/cdnwe
bapplicationfirewallpolicyresults/delete

Action Microsoft.Cdn/operationresults/cdnwe
bapplicationfirewallpolicyresults/read

Action Microsoft.Cdn/operationresults/cdnwe
bapplicationfirewallpolicyresults/write

Action Microsoft.Cdn/operationresults/delete

Action Microsoft.Cdn/operationresults/profile
results/CheckResourceUsage/action

Action Microsoft.Cdn/operationresults/profile
results/delete

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/CheckResourc
eUsage/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/delete

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/DisableCustomHttps/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/EnableCustomHttps/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/read

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/write
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/delete

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Load/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/originresults/d
elete

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/originresults/r
ead

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/originresults/w
rite

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Purge/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/read

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Start/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Stop/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/ValidateCusto
mDomain/action

Action Microsoft.Cdn/operationresults/profile
results/endpointresults/write

Action Microsoft.Cdn/operationresults/profile
results/GenerateSsoUri/action

Action Microsoft.Cdn/operationresults/profile
results/GetSupportedOptimizationTyp
es/action

Action Microsoft.Cdn/operationresults/profile
results/read

Action Microsoft.Cdn/operationresults/profile
results/write

Action Microsoft.Cdn/operationresults/read

Action Microsoft.Cdn/operationresults/write
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cdn/operations/read

Action Microsoft.Cdn/profiles/CheckResource
Usage/action

Action Microsoft.Cdn/profiles/delete

Action Microsoft.Cdn/profiles/endpoints/Chec
kResourceUsage/action

Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/delete

Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/DisableCustomHttps/acti
on

Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/EnableCustomHttps/actio
n

Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/read

Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/write

Action Microsoft.Cdn/profiles/endpoints/delet
e

Action Microsoft.Cdn/profiles/endpoints/Load
/action

Action Microsoft.Cdn/profiles/endpoints/origi
ns/delete

Action Microsoft.Cdn/profiles/endpoints/origi
ns/read

Action Microsoft.Cdn/profiles/endpoints/origi
ns/write

Action Microsoft.Cdn/profiles/endpoints/Purg
e/action

Action Microsoft.Cdn/profiles/endpoints/read

Action Microsoft.Cdn/profiles/endpoints/Start
/action

Action Microsoft.Cdn/profiles/endpoints/Stop
/action
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.Cdn/profiles/endpoints/Valid
ateCustomDomain/action

Action Microsoft.Cdn/profiles/endpoints/write

Action Microsoft.Cdn/profiles/GenerateSsoUri
/action

Action Microsoft.Cdn/profiles/GetSupported
OptimizationTypes/action

Action Microsoft.Cdn/profiles/read

Action Microsoft.Cdn/profiles/write

Action Microsoft.Cdn/register/action Inscrit l’abonnement pour le


fournisseur de ressources CDN et
active la création de profils CDN

Action Microsoft.Cdn/ValidateProbe/action

Microsoft.CertificateRegistration
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.CertificateRegistration/certifi Supprimer un certificat existant


cateOrders/certificates/Delete

Action Microsoft.CertificateRegistration/certifi Obtenir la liste des certificats


cateOrders/certificates/Read

Action Microsoft.CertificateRegistration/certifi Ajouter un nouveau certificat ou en


cateOrders/certificates/Write mettre un existant à jour

Action Microsoft.CertificateRegistration/certifi Supprimer un AppServiceCertificate


cateOrders/Delete existant

Action Microsoft.CertificateRegistration/certifi Obtenir la liste des CertificateOrders


cateOrders/Read

Action Microsoft.CertificateRegistration/certifi Réémettre un certificateorder existant


cateOrders/reissue/Action

Action Microsoft.CertificateRegistration/certifi Renouveler un certificateorder existant


cateOrders/renew/Action

Action Microsoft.CertificateRegistration/certifi Renvoyer l’e-mail de certificat


cateOrders/resendEmail/Action

Action Microsoft.CertificateRegistration/certifi Renvoyer des e-mails de demande à


cateOrders/resendRequestEmails/Actio une autre adresse de messagerie
n
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.CertificateRegistration/certifi Récupérer le Seal de site pour un App


cateOrders/resendRequestEmails/Actio Service Certificate émis
n

Action Microsoft.CertificateRegistration/certifi Récupérer la liste des actions de


cateOrders/retrieveCertificateActions/ certificat
Action

Action Microsoft.CertificateRegistration/certifi Récupérer l’historique d’e-mails de


cateOrders/retrieveEmailHistory/Actio certificat
n

Action Microsoft.CertificateRegistration/certifi Vérifier la propriété du domaine


cateOrders/verifyDomainOwnership/A
ction

Action Microsoft.CertificateRegistration/certifi Ajouter un nouveau certificateOrder


cateOrders/Write ou en mettre un existant à jour

Action Microsoft.CertificateRegistration/opera Liste de toutes les opérations de


tions/Read l’enregistrement de certificat de
service d’application

Action Microsoft.CertificateRegistration/provi Approvisionner le principal de service


sionGlobalAppServicePrincipalInUserTe pour un principal d’application de
nant/Action service

Action Microsoft.CertificateRegistration/regist Inscrire le fournisseur de ressources de


er/action certificats Microsoft pour
l’abonnement

Action Microsoft.CertificateRegistration/valida Valider l’objet d’achat de certificat sans


teCertificateRegistrationInformation/A le soumettre
ction

Microsoft.ClassicCompute
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/capabilities/ Affiche les fonctionnalités


read

Action Microsoft.ClassicCompute/checkDoma Vérifie la disponibilité d’un nom de


inNameAvailability/action domaine donné.

Action Microsoft.ClassicCompute/checkDoma Obtient la disponibilité d’un nom de


inNameAvailability/read domaine donné.

Action Microsoft.ClassicCompute/domainNa Définit le nom de domaine actif.


mes/active/write

Action Microsoft.ClassicCompute/domainNa Affichez le groupe à haute disponibilité


mes/availabilitySets/read de la ressource.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/domainNa Affiche les fonctionnalités de nom de


mes/capabilities/read domaine

Action Microsoft.ClassicCompute/domainNa Supprimez les noms de domaine pour


mes/delete les ressources.

Action Microsoft.ClassicCompute/domainNa Affiche les emplacements de


mes/deploymentslots/read déploiement.

Action Microsoft.ClassicCompute/domainNa Obtenir le rôle sur l’emplacement de


mes/deploymentslots/roles/read déploiement du nom de domaine

Action Microsoft.ClassicCompute/domainNa Obtenir l’instance de rôle pour le rôle


mes/deploymentslots/roles/roleinstanc sur l’emplacement de déploiement du
es/read nom de domaine

Action Microsoft.ClassicCompute/domainNa Obtenir l’état des emplacements de


mes/deploymentslots/state/read déploiement.

Action Microsoft.ClassicCompute/domainNa Ajouter l’état des emplacements de


mes/deploymentslots/state/write déploiement.

Action Microsoft.ClassicCompute/domainNa Obtenir le domaine de mise à niveau


mes/deploymentslots/upgradedomain pour l’emplacement de déploiement
/read sur le nom de domaine

Action Microsoft.ClassicCompute/domainNa Mettre à jour le domaine de mise à


mes/deploymentslots/upgradedomain niveau pour l’emplacement de
/write déploiement sur le nom de domaine

Action Microsoft.ClassicCompute/domainNa Crée ou met à jour le déploiement.


mes/deploymentslots/write

Action Microsoft.ClassicCompute/domainNa Supprimez les extensions de nom de


mes/extensions/delete domaine.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/extensions/operationStatuses/rea extensions de noms de domaine.
d

Action Microsoft.ClassicCompute/domainNa Retourne les extensions de nom de


mes/extensions/read domaine.

Action Microsoft.ClassicCompute/domainNa Ajoutez les extensions de nom de


mes/extensions/write domaine.

Action Microsoft.ClassicCompute/domainNa Supprimez un nouvel équilibrage de


mes/internalLoadBalancers/delete charge interne.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/internalLoadBalancers/operationS équilibreurs de charge interne de
tatuses/read noms de domaine.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/domainNa Obtient les équilibreurs de charge


mes/internalLoadBalancers/read interne.

Action Microsoft.ClassicCompute/domainNa Crée un nouvel équilibrage de charge


mes/internalLoadBalancers/write interne.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/loadBalancedEndpointSets/operat ensembles de points de terminaison à
ionStatuses/read charge équilibrée de noms de
domaine.

Action Microsoft.ClassicCompute/domainNa Obtenir les jeux de points de


mes/loadBalancedEndpointSets/read terminaison à charge équilibrée.

Action Microsoft.ClassicCompute/domainNa Ajouter le jeu de points de terminaison


mes/loadBalancedEndpointSets/write à charge équilibrée.

Action Microsoft.ClassicCompute/domainNa Obtenir l’état des opérations du nom


mes/operationstatuses/read de domaine.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/operationStatuses/read extensions de noms de domaine.

Action Microsoft.ClassicCompute/domainNa Retournez les noms de domaine pour


mes/read les ressources.

Action Microsoft.ClassicCompute/domainNa Supprimez les certificats de service


mes/serviceCertificates/delete utilisés.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/serviceCertificates/operationStatu certificats de service de noms de
ses/read domaine.

Action Microsoft.ClassicCompute/domainNa Retourne les certificats de service


mes/serviceCertificates/read utilisés.

Action Microsoft.ClassicCompute/domainNa Ajoutez ou modifiez les certificats de


mes/serviceCertificates/write service utilisés.

Action Microsoft.ClassicCompute/domainNa Abandonne la migration d’un


mes/slots/abortMigration/action emplacement de déploiement.

Action Microsoft.ClassicCompute/domainNa Valide la migration d’un emplacement


mes/slots/commitMigration/action de déploiement.

Action Microsoft.ClassicCompute/domainNa Supprime un emplacement de


mes/slots/delete déploiement donné.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/slots/operationStatuses/read emplacements de noms de domaine.

Action Microsoft.ClassicCompute/domainNa Prépare la migration d’un


mes/slots/prepareMigration/action emplacement de déploiement.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/domainNa Affiche les emplacements de


mes/slots/read déploiement.

Action Microsoft.ClassicCompute/domainNa Supprimez la référence d’extension


mes/slots/roles/extensionReferences/d pour le rôle d’emplacement de
elete déploiement.

Action Microsoft.ClassicCompute/domainNa Lit l’état de l’opération pour les


mes/slots/roles/extensionReferences/o références d’extension de rôles
perationStatuses/read d’emplacements de noms de domaine.

Action Microsoft.ClassicCompute/domainNa Retourne la référence d’extension pour


mes/slots/roles/extensionReferences/r le rôle d’emplacement de déploiement.
ead

Action Microsoft.ClassicCompute/domainNa Ajoutez ou modifiez la référence


mes/slots/roles/extensionReferences/w d’extension pour le rôle
rite d’emplacement de déploiement.

Action Microsoft.ClassicCompute/domainNa Obtenir la définition de la métrique


mes/slots/roles/metricdefinitions/read des rôles du nom de domaine.

Action Microsoft.ClassicCompute/domainNa Obtenir la métrique des rôles du nom


mes/slots/roles/metrics/read de domaine.

Action Microsoft.ClassicCompute/domainNa Obtenir l’état des opérations du rôle


mes/slots/roles/operationstatuses/rea d’emplacement des noms de domaine.
d

Action Microsoft.ClassicCompute/domainNa Obtient les paramètres des


mes/slots/roles/providers/Microsoft.In diagnostics.
sights/diagnosticSettings/read

Action Microsoft.ClassicCompute/domainNa Ajoutez ou modifiez des paramètres


mes/slots/roles/providers/Microsoft.In de diagnostics.
sights/diagnosticSettings/write

Action Microsoft.ClassicCompute/domainNa Obtient les définitions de mesures.


mes/slots/roles/providers/Microsoft.In
sights/metricDefinitions/read

Action Microsoft.ClassicCompute/domainNa Obtenez le rôle de l’emplacement de


mes/slots/roles/read déploiement.

Action Microsoft.ClassicCompute/domainNa Télécharge le fichier de connexion


mes/slots/roles/roleInstances/downloa Bureau à distance de l’instance de rôle
dremotedesktopconnectionfile/action sur le rôle d’emplacement de nom de
domaine.

Action Microsoft.ClassicCompute/domainNa Obtient l’état des opérations de


mes/slots/roles/roleInstances/operatio l’instance de rôle sur le rôle
nStatuses/read d’emplacement des noms de domaine.

Action Microsoft.ClassicCompute/domainNa Obtenez l’instance de rôle.


mes/slots/roles/roleInstances/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/domainNa Regénère l’instance de rôle


mes/slots/roles/roleInstances/rebuild/a
ction

Action Microsoft.ClassicCompute/domainNa Réinitialise l’instance de rôle.


mes/slots/roles/roleInstances/reimage/
action

Action Microsoft.ClassicCompute/domainNa Redémarre des instances de rôle.


mes/slots/roles/roleInstances/restart/a
ction

Action Microsoft.ClassicCompute/domainNa Obtenir la référence SKU du rôle pour


mes/slots/roles/skus/read l’emplacement de déploiement.

Action Microsoft.ClassicCompute/domainNa Ajouter un rôle pour l’emplacement de


mes/slots/roles/write déploiement.

Action Microsoft.ClassicCompute/domainNa Démarre un emplacement de


mes/slots/start/action déploiement.

Action Microsoft.ClassicCompute/domainNa Modifie l’état d’emplacement de


mes/slots/state/start/write déploiement sur arrêté.

Action Microsoft.ClassicCompute/domainNa Modifie l’état d’emplacement de


mes/slots/state/stop/write déploiement sur démarré.

Action Microsoft.ClassicCompute/domainNa Suspend l’emplacement de


mes/slots/stop/action déploiement.

Action Microsoft.ClassicCompute/domainNa Parcourez la mise à niveau du


mes/slots/upgradeDomain/write domaine.

Action Microsoft.ClassicCompute/domainNa Valide la migration d’un emplacement


mes/slots/validateMigration/action de déploiement.

Action Microsoft.ClassicCompute/domainNa Crée ou met à jour le déploiement.


mes/slots/write

Action Microsoft.ClassicCompute/domainNa Permute l’emplacement intermédiaire


mes/swap/action vers l’emplacement de production.

Action Microsoft.ClassicCompute/domainNa Ajoutez ou modifiez les noms de


mes/write domaine pour les ressources.

Action Microsoft.ClassicCompute/moveSubsc Déplacez toutes les ressources


riptionResources/action classiques vers un autre abonnement.

Action Microsoft.ClassicCompute/operatingSy Répertorie les familles de systèmes


stemFamilies/read d’exploitation invités disponibles dans
Microsoft Azure ainsi que les versions
de système d’exploitation disponibles
pour chaque famille
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/operatingSy Répertorie les versions de système


stems/read d’exploitation invité qui sont
actuellement disponibles dans
Microsoft Azure.

Action Microsoft.ClassicCompute/operations/ Obtient la liste des opérations.


read

Action Microsoft.ClassicCompute/operationSt Lit l’état de l’opération pour la


atuses/read ressource.

Action Microsoft.ClassicCompute/quotas/rea Obtient le quota de l’abonnement.


d

Action Microsoft.ClassicCompute/register/acti S’inscrire à Classic Compute


on

Action Microsoft.ClassicCompute/resourceTy Obtient la liste des références (SKU)


pes/skus/read pour les types de ressources pris en
charge.

Action Microsoft.ClassicCompute/validateSub Validez la disponibilité de


scriptionMoveAvailability/action l’abonnement pour l’opération de
déplacement classique.

Action Microsoft.ClassicCompute/virtualMach Supprime le groupe de sécurité réseau


ines/associatedNetworkSecurityGroup associé à la machine virtuelle.
s/delete

Action Microsoft.ClassicCompute/virtualMach Lit l’état de l’opération pour les


ines/associatedNetworkSecurityGroup machines virtuelles associées à des
s/operationStatuses/read groupes de sécurité réseau.

Action Microsoft.ClassicCompute/virtualMach Obtient le groupe de sécurité réseau


ines/associatedNetworkSecurityGroup associé à la machine virtuelle.
s/read

Action Microsoft.ClassicCompute/virtualMach Ajoute un groupe de sécurité réseau


ines/associatedNetworkSecurityGroup associé à la machine virtuelle.
s/write

Action Microsoft.ClassicCompute/virtualMach Obtient les opérations asynchrones


ines/asyncOperations/read possibles

Action Microsoft.ClassicCompute/virtualMach Attache un disque de données à une


ines/attachDisk/action machine virtuelle.

Action Microsoft.ClassicCompute/virtualMach Capturer une machine virtuelle.


ines/capture/action

Action Microsoft.ClassicCompute/virtualMach Supprime des machines virtuelles.


ines/delete

Action Microsoft.ClassicCompute/virtualMach Détache un disque de données d’une


ines/detachDisk/action machine virtuelle.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/virtualMach Obtenir les paramètres de diagnostic


ines/diagnosticsettings/read de machine virtuelle.

Action Microsoft.ClassicCompute/virtualMach Récupère la liste des disques de


ines/disks/read données

Action Microsoft.ClassicCompute/virtualMach Télécharge le fichier RDP pour la


ines/downloadRemoteDesktopConnec machine virtuelle.
tionFile/action

Action Microsoft.ClassicCompute/virtualMach Lit l’état de l’opération pour les


ines/extensions/operationStatuses/rea extensions de machines virtuelles.
d

Action Microsoft.ClassicCompute/virtualMach Obtient l’extension de machine


ines/extensions/read virtuelle.

Action Microsoft.ClassicCompute/virtualMach Place l’extension de machine virtuelle.


ines/extensions/write

Action Microsoft.ClassicCompute/virtualMach Obtenir la définition de la métrique de


ines/metricdefinitions/read machine virtuelle.

Action Microsoft.ClassicCompute/virtualMach Obtient les mesures.


ines/metrics/read

Action Microsoft.ClassicCompute/virtualMach Supprime le groupe de sécurité réseau


ines/networkInterfaces/associatedNet associé à l’interface réseau.
workSecurityGroups/delete

Action Microsoft.ClassicCompute/virtualMach Lit l’état de l’opération pour les


ines/networkInterfaces/associatedNet machines virtuelles associées à des
workSecurityGroups/operationStatuse groupes de sécurité réseau.
s/read

Action Microsoft.ClassicCompute/virtualMach Obtient le groupe de sécurité réseau


ines/networkInterfaces/associatedNet associé à l’interface réseau.
workSecurityGroups/read

Action Microsoft.ClassicCompute/virtualMach Ajoute un groupe de sécurité réseau


ines/networkInterfaces/associatedNet associé à l’interface réseau.
workSecurityGroups/write

Action Microsoft.ClassicCompute/virtualMach Lit l’état de l’opération pour les


ines/operationStatuses/read machines virtuelles.

Action Microsoft.ClassicCompute/virtualMach Effectue la maintenance de la machine


ines/performMaintenance/action virtuelle

Action Microsoft.ClassicCompute/virtualMach Obtient les paramètres des


ines/providers/Microsoft.Insights/diag diagnostics.
nosticSettings/read
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicCompute/virtualMach Ajoutez ou modifiez des paramètres


ines/providers/Microsoft.Insights/diag de diagnostics.
nosticSettings/write

Action Microsoft.ClassicCompute/virtualMach Obtient les définitions de mesures.


ines/providers/Microsoft.Insights/metr
icDefinitions/read

Action Microsoft.ClassicCompute/virtualMach Récupère la liste des machines


ines/read virtuelles.

Action Microsoft.ClassicCompute/virtualMach Redéploie la machine virtuelle.


ines/redeploy/action

Action Microsoft.ClassicCompute/virtualMach Redémarre des machines virtuelles.


ines/restart/action

Action Microsoft.ClassicCompute/virtualMach Arrêtez la machine virtuelle.


ines/shutdown/action

Action Microsoft.ClassicCompute/virtualMach Démarrez la machine virtuelle.


ines/start/action

Action Microsoft.ClassicCompute/virtualMach Arrête la machine virtuelle.


ines/stop/action

Action Microsoft.ClassicCompute/virtualMach Ajouter ou modifier des machines


ines/write virtuelles.

Microsoft.ClassicNetwork
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicNetwork/expressroute Obtenir l'état d'une opération


crossconnections/operationstatuses/re d’interconnexion ExpressRoute
ad

Action Microsoft.ClassicNetwork/expressroute Supprimer le peering d’interconnexion


crossconnections/peerings/delete ExpressRoute

Action Microsoft.ClassicNetwork/expressroute Obtenir l'état d'une opération de


crossconnections/peerings/operationst peering d’interconnexion ExpressRoute
atuses/read

Action Microsoft.ClassicNetwork/expressroute Obtenir un peering d’interconnexion


crossconnections/peerings/read ExpressRoute

Action Microsoft.ClassicNetwork/expressroute Ajouter un peering d’interconnexion


crossconnections/peerings/write ExpressRoute
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicNetwork/expressroute Obtenir les interconnexions


crossconnections/read ExpressRoute

Action Microsoft.ClassicNetwork/expressroute Ajouter des interconnexions


crossconnections/write ExpressRoute

Action Microsoft.ClassicNetwork/gatewaySup Récupère la liste des appareils pris en


portedDevices/read charge.

Action Microsoft.ClassicNetwork/networkSecu Supprime le groupe de sécurité réseau.


rityGroups/delete

Action Microsoft.ClassicNetwork/networkSecu Lit l’état de l’opération pour le groupe


rityGroups/operationStatuses/read de sécurité réseau.

Action Microsoft.ClassicNetwork/networksecu Obtient les paramètres de diagnostic


ritygroups/providers/Microsoft.Insight des groupes de sécurité réseau
s/diagnosticSettings/read

Action Microsoft.ClassicNetwork/networksecu Créer ou mettre à jour les paramètres


ritygroups/providers/Microsoft.Insight de diagnostic des groupes de sécurité
s/diagnosticSettings/write réseau, cette opération étant
complétée par le fournisseur de
ressources Insights.

Action Microsoft.ClassicNetwork/networksecu Obtient les événements pour le


ritygroups/providers/Microsoft.Insight groupe de sécurité réseau
s/logDefinitions/read

Action Microsoft.ClassicNetwork/networkSecu Obtient le groupe de sécurité réseau.


rityGroups/read

Action Microsoft.ClassicNetwork/networkSecu Supprime la règle de sécurité.


rityGroups/securityRules/delete

Action Microsoft.ClassicNetwork/networkSecu Lit l’état de l’opération pour les règles


rityGroups/securityRules/operationSta de sécurité du groupe de sécurité
tuses/read réseau.

Action Microsoft.ClassicNetwork/networkSecu Obtient la règle de sécurité.


rityGroups/securityRules/read

Action Microsoft.ClassicNetwork/networkSecu Ajoute ou met à jour une règle de


rityGroups/securityRules/write sécurité.

Action Microsoft.ClassicNetwork/networkSecu Ajoute un nouveau groupe de sécurité


rityGroups/write réseau.

Action Microsoft.ClassicNetwork/operations/r Obtenir les opérations réseau


ead classiques

Action Microsoft.ClassicNetwork/quotas/read Obtient le quota de l’abonnement.


TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicNetwork/register/acti S’inscrire à un réseau classique


on

Action Microsoft.ClassicNetwork/reservedIps/ Supprimez une adresse IP réservée.


delete

Action Microsoft.ClassicNetwork/reservedIps/j Joindre une adresse IP réservée


oin/action

Action Microsoft.ClassicNetwork/reservedIps/l Lier une adresse IP réservée


ink/action

Action Microsoft.ClassicNetwork/reservedIps/ Lit l’état de l’opération pour les


operationStatuses/read adresses IP réservées.

Action Microsoft.ClassicNetwork/reservedIps/ Obtient les adresses IP réservées


read

Action Microsoft.ClassicNetwork/reservedIps/ Ajouter une nouvelle adresse IP


write réservée

Action Microsoft.ClassicNetwork/virtualNetwo Abandonner la migration d'un réseau


rks/abortMigration/action virtuel

Action Microsoft.ClassicNetwork/virtualNetwo Affiche les fonctionnalités


rks/capabilities/read

Action Microsoft.ClassicNetwork/virtualNetwo Vérifie la disponibilité d’une adresse IP


rks/checkIPAddressAvailability/action donnée dans un réseau virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Confirmer la migration d'un réseau


rks/commitMigration/action virtuel

Action Microsoft.ClassicNetwork/virtualNetwo Supprime le réseau virtuel.


rks/delete

Action Microsoft.ClassicNetwork/virtualNetwo Annule la révocation d’un certificat


rks/gateways/clientRevokedCertificates client.
/delete

Action Microsoft.ClassicNetwork/virtualNetwo Lisez les certificats clients révoqués.


rks/gateways/clientRevokedCertificates
/read

Action Microsoft.ClassicNetwork/virtualNetwo Révoque un certificat client.


rks/gateways/clientRevokedCertificates
/write

Action Microsoft.ClassicNetwork/virtualNetwo Supprime le certificat client de


rks/gateways/clientRootCertificates/del passerelle de réseau virtuel.
ete
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicNetwork/virtualNetwo Télécharge le certificat par empreinte.


rks/gateways/clientRootCertificates/do
wnload/action

Action Microsoft.ClassicNetwork/virtualNetwo Répertorie le package de certificat de


rks/gateways/clientRootCertificates/list passerelle de réseau virtuel.
Package/action

Action Microsoft.ClassicNetwork/virtualNetwo Recherchez les certificats racine client.


rks/gateways/clientRootCertificates/re
ad

Action Microsoft.ClassicNetwork/virtualNetwo Télécharge un nouveau certificat racine


rks/gateways/clientRootCertificates/wri client.
te

Action Microsoft.ClassicNetwork/virtualNetwo Établit une connexion de passerelle


rks/gateways/connections/connect/act site à site.
ion

Action Microsoft.ClassicNetwork/virtualNetwo Déconnecte une connexion de


rks/gateways/connections/disconnect/ passerelle site à site.
action

Action Microsoft.ClassicNetwork/virtualNetwo Récupère la liste des connexions.


rks/gateways/connections/read

Action Microsoft.ClassicNetwork/virtualNetwo Teste une connexion de passerelle site


rks/gateways/connections/test/action à site.

Action Microsoft.ClassicNetwork/virtualNetwo Supprime la passerelle de réseau


rks/gateways/delete virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Télécharge le script de configuration


rks/gateways/downloadDeviceConfigu d’appareil.
rationScript/action

Action Microsoft.ClassicNetwork/virtualNetwo Télécharge les diagnostics de la


rks/gateways/downloadDiagnostics/ac passerelle.
tion

Action Microsoft.ClassicNetwork/virtualNetwo Récupère la clé de service du circuit.


rks/gateways/listCircuitServiceKey/acti
on

Action Microsoft.ClassicNetwork/virtualNetwo Répertorie le package de passerelle de


rks/gateways/listPackage/action réseau virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Lit l’état de l’opération pour les


rks/gateways/operationStatuses/read passerelles de réseaux virtuels.

Action Microsoft.ClassicNetwork/virtualNetwo Obtient le package de passerelle de


rks/gateways/packages/read réseau virtuel.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicNetwork/virtualNetwo Obtient les passerelles de réseau


rks/gateways/read virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Démarre le diagnostic pour la


rks/gateways/startDiagnostics/action passerelle de réseau virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Arrête le diagnostic pour la passerelle


rks/gateways/stopDiagnostics/action de réseau virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Ajoute une passerelle de réseau


rks/gateways/write virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Joint le réseau virtuel.


rks/join/action

Action Microsoft.ClassicNetwork/virtualNetwo Lit l’état de l’opération pour les


rks/operationStatuses/read réseaux virtuels.

Action Microsoft.ClassicNetwork/virtualNetwo Appaire un réseau virtuel avec un


rks/peer/action autre réseau virtuel.

Action Microsoft.ClassicNetwork/virtualNetwo Préparer la migration d'un réseau


rks/prepareMigration/action virtuel

Action Microsoft.ClassicNetwork/virtualNetwo Obtenez le réseau virtuel.


rks/read

Action Microsoft.ClassicNetwork/virtualNetwo Supprimer le proxy de peering de


rks/remoteVirtualNetworkPeeringProxi réseau virtuel distant
es/delete

Action Microsoft.ClassicNetwork/virtualNetwo Obtenir le proxy de peering de réseau


rks/remoteVirtualNetworkPeeringProxi virtuel distant
es/read

Action Microsoft.ClassicNetwork/virtualNetwo Ajouter ou mettre à jour le proxy de


rks/remoteVirtualNetworkPeeringProxi peering de réseau virtuel distant
es/write

Action Microsoft.ClassicNetwork/virtualNetwo Supprime le groupe de sécurité réseau


rks/subnets/associatedNetworkSecurit associé au sous-réseau.
yGroups/delete

Action Microsoft.ClassicNetwork/virtualNetwo Lit l’état de l’opération pour le sous-


rks/subnets/associatedNetworkSecurit réseau de réseau virtuel associé au
yGroups/operationStatuses/read groupe de sécurité réseau.

Action Microsoft.ClassicNetwork/virtualNetwo Obtient le groupe de sécurité réseau


rks/subnets/associatedNetworkSecurit associé au sous-réseau.
yGroups/read

Action Microsoft.ClassicNetwork/virtualNetwo Ajoute un groupe de sécurité réseau


rks/subnets/associatedNetworkSecurit associé au sous-réseau.
yGroups/write
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicNetwork/virtualNetwo Valider la migration d'un réseau virtuel


rks/validateMigration/action

Action Microsoft.ClassicNetwork/virtualNetwo Obtenir le peering de réseau virtuel


rks/virtualNetworkPeerings/read

Action Microsoft.ClassicNetwork/virtualNetwo Ajoutez un nouveau réseau virtuel.


rks/write

Microsoft.ClassicStorage
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicStorage/capabilities/re Affiche les fonctionnalités


ad

Action Microsoft.ClassicStorage/checkStorage Vérifie la disponibilité d’un compte de


AccountAvailability/action stockage.

Action Microsoft.ClassicStorage/checkStorage Obtenir la disponibilité d'un compte


AccountAvailability/read de stockage

Action Microsoft.ClassicStorage/disks/read Retourne le disque du compte de


stockage.

Action Microsoft.ClassicStorage/images/opera Obtenir l'état d'une opération d'image


tionstatuses/read

Action Microsoft.ClassicStorage/images/read Retourne l’image.

Action Microsoft.ClassicStorage/operations/re Obtenir les opérations de stockage


ad classique

Action Microsoft.ClassicStorage/osImages/rea Retourne l’image du système


d d’exploitation.

Action Microsoft.ClassicStorage/osPlatformIm Obtenir l'image de plateforme du


ages/read système d'exploitation

Action Microsoft.ClassicStorage/publicImages Obtient l’image de machine virtuelle


/read publique.

Action Microsoft.ClassicStorage/quotas/read Obtient le quota de l’abonnement.

Action Microsoft.ClassicStorage/register/actio S’inscrire à un stockage classique


n

Action Microsoft.ClassicStorage/storageAccou Abandonner la migration d'un compte


nts/abortMigration/action de stockage
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicStorage/storageAccou Obtient les paramètres des


nts/blobServices/providers/Microsoft.I diagnostics.
nsights/diagnosticSettings/read

Action Microsoft.ClassicStorage/storageAccou Ajoutez ou modifiez des paramètres


nts/blobServices/providers/Microsoft.I de diagnostics.
nsights/diagnosticSettings/write

Action Microsoft.ClassicStorage/storageAccou Obtient les définitions de mesures.


nts/blobServices/providers/Microsoft.I
nsights/metricDefinitions/read

Action Microsoft.ClassicStorage/storageAccou Valider la migration d'un compte de


nts/commitMigration/action stockage

Action Microsoft.ClassicStorage/storageAccou Supprime le compte de stockage.


nts/delete

Action Microsoft.ClassicStorage/storageAccou Supprime un disque de compte de


nts/disks/delete stockage spécifique.

Action Microsoft.ClassicStorage/storageAccou Lit l’état de l’opération pour la


nts/disks/operationStatuses/read ressource.

Action Microsoft.ClassicStorage/storageAccou Retourne le disque du compte de


nts/disks/read stockage.

Action Microsoft.ClassicStorage/storageAccou Ajoute un disque de compte de


nts/disks/write stockage.

Action Microsoft.ClassicStorage/storageAccou Obtient les paramètres des


nts/fileServices/providers/Microsoft.Ins diagnostics.
ights/diagnosticSettings/read

Action Microsoft.ClassicStorage/storageAccou Ajoutez ou modifiez des paramètres


nts/fileServices/providers/Microsoft.Ins de diagnostics.
ights/diagnosticSettings/write

Action Microsoft.ClassicStorage/storageAccou Obtient les définitions de mesures.


nts/fileServices/providers/Microsoft.Ins
ights/metricDefinitions/read

Action Microsoft.ClassicStorage/storageAccou Supprime une image du compte de


nts/images/delete stockage spécifique. (Déconseillé.
Utilisez
« Microsoft.ClassicStorage/storageAcc
ounts/vmImages »)

Action Microsoft.ClassicStorage/storageAccou Retourner l'état d'opération d'image


nts/images/operationstatuses/read du compte de stockage

Action Microsoft.ClassicStorage/storageAccou Retourne l’image du compte de


nts/images/read stockage. (Déconseillé. Utilisez
« Microsoft.ClassicStorage/storageAcc
ounts/vmImages »)
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicStorage/storageAccou Répertorie les clés d’accès des comptes


nts/listKeys/action de stockage.

Action Microsoft.ClassicStorage/storageAccou Lit l’état de l’opération pour la


nts/operationStatuses/read ressource.

Action Microsoft.ClassicStorage/storageAccou Supprime une image du système


nts/osImages/delete d’exploitation de compte de stockage
spécifique.

Action Microsoft.ClassicStorage/storageAccou Retourne l’image du système


nts/osImages/read d’exploitation de compte de stockage.

Action Microsoft.ClassicStorage/storageAccou Ajouter une image du système


nts/osImages/write d'exploitation du compte de stockage
donné

Action Microsoft.ClassicStorage/storageAccou Préparer la migration d'un compte de


nts/prepareMigration/action stockage

Action Microsoft.ClassicStorage/storageAccou Obtient les paramètres des


nts/providers/Microsoft.Insights/diagn diagnostics.
osticSettings/read

Action Microsoft.ClassicStorage/storageAccou Ajoutez ou modifiez des paramètres


nts/providers/Microsoft.Insights/diagn de diagnostics.
osticSettings/write

Action Microsoft.ClassicStorage/storageAccou Obtient les définitions de mesures.


nts/providers/Microsoft.Insights/metri
cDefinitions/read

Action Microsoft.ClassicStorage/storageAccou Obtient les paramètres des


nts/queueServices/providers/Microsoft diagnostics.
.Insights/diagnosticSettings/read

Action Microsoft.ClassicStorage/storageAccou Ajoutez ou modifiez des paramètres


nts/queueServices/providers/Microsoft de diagnostics.
.Insights/diagnosticSettings/write

Action Microsoft.ClassicStorage/storageAccou Obtient les définitions de mesures.


nts/queueServices/providers/Microsoft
.Insights/metricDefinitions/read

Action Microsoft.ClassicStorage/storageAccou Retourne le compte de stockage avec


nts/read le compte spécifique.

Action Microsoft.ClassicStorage/storageAccou Régénère les clés d’accès existantes du


nts/regenerateKey/action compte de stockage.

Action Microsoft.ClassicStorage/storageAccou Obtient les paramètres des


nts/services/diagnosticSettings/read diagnostics.

Action Microsoft.ClassicStorage/storageAccou Ajoutez ou modifiez des paramètres


nts/services/diagnosticSettings/write de diagnostics.
TYPE D’ACTION OPÉRATION DESCRIPTION

Action Microsoft.ClassicStorage/storageAccou Obtient les définitions de mesures.


nts/services/metricDefinitions/read

Action Microsoft.ClassicStorage/storageAccou Obtient les mesures.


nts/services/metrics/read

Action Microsoft.ClassicStorage/storageAccou Obtient les services disponibles.


nts/services/read

Action Microsoft.ClassicStorage/storageAccou Obtient les paramètres des


nts/tableServices/providers/Microsoft.I diagnostics.
nsights/diagnosticSettings/read

Action Microsoft.ClassicStorage/storageAccou Ajoutez ou modifiez des paramètres


nts/tableServices/providers/Microsoft.I de diagnostics.
nsights/diagnosticSettings/write

Action Microsoft.ClassicStorage/storageAccou Obtient les définitions de mesures.


nts/tableServices/providers/Microsoft.I
nsights/metricDefinitions/read

Action Microsoft.ClassicStorage/storageAccou Confirmer la migration d'un compte


nts/validateMigration/action de stockage

Action Microsoft.ClassicStorage/storageAccou Supprimer une image de machine


nts/vmImages/delete virtuelle spécifique

Action Microsoft.ClassicStorage/storageAccou Obtenir l'état d'une opération d'image


nts/vmImages/operationstatuses/read de machine virtuelle donnée

Action Microsoft.ClassicStorage/storageAccou Retourner l'image de machine virtuelle


nts/vmImages/read

Action Microsoft.ClassicStorage/storageAccou Ajouter une image de machine


nts/vmImages/write virtuelle donnée

Action Microsoft.ClassicStorage/storageAccou Ajoute un nouveau compte de


nts/write stockage.

Action Microsoft.ClassicStorage/vmImages/re Répertorier les images de machine


ad virtuelle

Microsoft.CognitiveServices
TYPE D’ACTION OPÉRATION DESCRIPTION
TYPE D’ACTION OPÉRATION DESCRIPTION

DataAction Microsoft.CognitiveServices/accounts/ Cette opération génère un modèle à


AnomalyDetector/timeseries/entire/de l’aide d’une série entière, chaque point
tect/action étant détecté avec le même modèle.
Avec cette méthode, les points avant
et après un certain point sont utilisés
pour déterminer s’il s’agit d’une