Académique Documents
Professionnel Documents
Culture Documents
Il est vital pour toute organisation qui utilise le cloud de pouvoir gérer les accès aux ressources situées dans
cloud. Le contrôle d’accès basé sur un rôle (RBAC ) permet de gérer les utilisateurs ayant accès aux
ressources Azure, les modes d’utilisation des ressources par ces derniers et les zones auxquelles ils ont
accès.
Le RBAC est un système d’autorisation basé sur Azure Resource Manager qui propose une gestion affinée
des accès des ressources Azure.
Utilisateur : personne disposant d’un profil dans Azure Active Directory. Vous pouvez également
attribuer des rôles aux utilisateurs dans les autres locataires. Pour plus d’informations sur les utilisateurs
des autres organisations, consultez Azure Active Directory B2B.
Groupe : ensemble d’utilisateurs créés dans Azure Active Directory. Lorsque vous attribuez un rôle à un
groupe, vous l’attribuez également à tous les utilisateurs de ce groupe.
Principal de service : identité de sécurité utilisée par des applications ou des services permettant
d’accéder aux ressources Azure spécifiques. Vous pouvez la considérer comme une identité utilisateur
(nom d’utilisateur, mot de passe ou certificat) pour une application.
Identité managée : identité dans Azure Active Directory qui est managée automatiquement par Azure.
Vous utilisez généralement des identités managées lors du développement d’applications cloud afin de
gérer les informations d’identification pour l’authentification auprès des services Azure.
Définition de rôle
Une définition de rôle est une collection d’autorisations. Elle est généralement simplement appelée rôle. Une
définition de rôle répertorie les opérations qui peuvent être effectuées, telles que lire, écrire et supprimer.
Les rôles peuvent être de haut niveau, comme propriétaire, ou spécifiques, comme lecteur de machines
virtuelles.
Azure inclut plusieurs rôles intégrés que vous pouvez utiliser. Voici les quatre rôles fondamentaux intégrés :
Les trois premiers s’appliquent à tous les types de ressources.
Propriétaire : dispose d’un accès total à toutes les ressources, ainsi que le droit de déléguer l’accès à
d’autres personnes.
Contributeur : peut créer et gérer tous les types de ressources Azure, mais ne peut pas accorder l’accès à
d’autres personnes.
Lecteur : peut consulter les ressources Azure existantes.
Administrateur de l’accès utilisateur : vous permet de gérer l’accès des utilisateurs aux ressources Azure.
Les autres rôles intégrés permettent de gérer des ressources Azure spécifiques. Par exemple, le rôle de
contributeur de machine virtuelle permet à l’utilisateur de créer et gérer des machines virtuelles. Si les rôles
intégrés ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres
rôles personnalisés pour les ressources Azure.
Azure propose des opérations de données qui vous permettent d’accorder l’accès aux données au sein d’un
objet. Par exemple, si un utilisateur dispose d’un accès en lecture aux données d’un compte de stockage, il
peut lire les objets blob ou les messages de ce compte de stockage. Pour plus d’informations, consultez
Comprendre les définitions de rôle pour les ressources Azure.
Étendue
Étendue représente l’ensemble des ressources auxquelles l’accès s’applique. Lorsque vous attribuez un rôle,
vous pouvez restreindre les actions autorisées en définissant une étendue. Cette possibilité s’avère utile si
vous voulez par exemple attribuer le rôle de contributeur de site web à quelqu’un, mais seulement pour un
groupe de ressources.
Dans Azure, vous pouvez spécifier une étendue à plusieurs niveaux : groupe d'administration, abonnement,
groupe de ressources ou ressource. Les étendues sont structurées dans une relation parent-enfant.
Lorsque vous accordez l’accès à une étendue parente, ces autorisations sont héritées par les étendues enfant.
Par exemple :
Si vous affectez le rôle de propriétaire à un utilisateur dans l’étendue de groupe d’administration, cet
utilisateur peut gérer tous les éléments de tous les abonnements dans le groupe d’administration.
Si vous affectez le rôle de lecteur à un groupe au niveau de l’étendue de l’abonnement, les membres de
ce groupe peuvent afficher chaque groupe de ressources et la ressource dans l’abonnement.
Si vous affectez le rôle de contributeur à une application au niveau du groupe de ressources, il peut gérer
tous les types de ressources dans ce groupe de ressources, mais aucun groupe de ressources dans
l’abonnement.
Affectations de rôles
Une attribution de rôle est le processus d’attachement d’une définition de rôle à un utilisateur, un groupe, un
principal de service ou une identité managée au niveau d’une étendue spécifique pour accorder des accès.
La création d’une attribution de rôle permet d’accorder un accès, qui peut être révoqué par la suppression
d’une attribution de rôle.
Le diagramme suivant montre un exemple d’attribution de rôle. Dans cet exemple, le rôle de contributeur a
été attribué au groupe Marketing pour le groupe de ressources pharma-sales. Cela signifie que les
utilisateurs du groupe Marketing peuvent créer ou gérer n’importe quelle ressource Azure dans le groupe
de ressources pharma-sales. Les utilisateurs Marketing n’ont pas accès aux ressources en dehors du groupe
de ressources pharma-sales, sauf si elles font partie d’une autre attribution de rôle.
Vous pouvez créer des attributions de rôles à l’aide du Portail Azure, d’Azure CLI, d’Azure PowerShell, des
kits de développement logiciel (SDK) Azure ou d’API REST. Vous pouvez avoir jusqu’à 2 000 attributions de
rôle dans chaque abonnement et 500 attributions de rôle dans chaque groupe d’administration. Pour créer
et supprimer des attributions de rôles, les utilisateurs doivent disposer de l’autorisation
Microsoft.Authorization/roleAssignments/* . Cette autorisation est accordée par le biais des rôles
Propriétaire ou Administrateur de l’accès utilisateur.
Conditions de licence :
L'utilisation de cette fonctionnalité est gratuite et incluse dans votre abonnement Azure.
Étapes suivantes
Démarrage rapide : Afficher l’accès dont dispose un utilisateur aux ressources Azure avec le portail Azure
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Comprendre les différents rôles dans Azure
Adoption du cloud d’entreprise : Gestion de l’accès aux ressources dans Azure
minutes to read • Edit Online
Si vous débutez sur Azure, vous trouverez peut-être un peu difficile de comprendre l’ensemble des différents rôles
dans Azure. Cet article vous aide en décrivant les rôles suivants et en indiquant quand les utiliser :
Rôles d’administrateur d’abonnements classique
Rôles de contrôle d’accès en fonction du rôle (RBAC ) Azure
Rôles d’administrateur Azure Active Directory (Azure AD )
ADMINISTRATEUR
D’ABONNEMENTS CLASSIQUES LIMITE AUTORISATIONS NOTES
Administrateur de comptes 1 par compte Azure Accès au Centre des Le concept est qu’il est
comptes Azure propriétaire de la facturation
Gestion de tous les de l’abonnement.
abonnements d’un L’Administrateur de compte
compte n’a pas accès au portail
Création de Azure.
nouveaux
abonnements
Annulation
d’abonnements
Changement du
mode de facturation
d’un abonnement
Changement
d’administrateur de
services
Administrateur de services 1 par abonnement Azure Gestion des services Par défaut, pour un nouvel
dans le portail Azure abonnement,
Annuler l’administrateur de compte
l’abonnement est également
Attribution l’administrateur de services
d’utilisateurs au rôle fédérés.
Coadministrateur L’administrateur de services
dispose de l’accès équivalent
à un utilisateur qui se voit
attribuer le rôle Propriétaire
sur l’étendue de
l’abonnement.
L’Administrateur de service
a un accès complet au
portail Azure.
Sur le portail Azure, vous pouvez gérer les Coadministrateurs ou afficher l’Administrateur de Service sous l’onglet
Administrateurs classiques.
Sur le portail Azure, vous pouvez afficher ou modifier l’Administrateur de Service ou afficher l’Administrateur de
compte dans le panneau des propriétés de votre abonnement.
Les autres rôles intégrés permettent de gérer des ressources Azure spécifiques. Par exemple, le rôle Contributeur
de machines virtuelles permet à l’utilisateur de créer et de gérer des machines virtuelles. Pour obtenir la liste de
tous les rôles intégrés, consultez Rôles intégrés pour les ressources Azure.
Seuls le portail Azure et les API Azure Resource Manager prennent en charge RBAC. Les utilisateurs, les groupes
et les applications qui se voient attribuer des rôles RBAC ne peuvent pas utiliser les API du modèle de
déploiement classique Azure.
Dans le portail Azure, les attributions de rôles avec RBAC s’affichent dans le panneau Contrôle d’accès (IAM ) .
Ce panneau se trouve dans le portail, notamment pour les groupes d’administration, les abonnements, les
groupes de ressources et diverses ressources.
Quand vous cliquez sur l’onglet Rôles, vous voyez la liste des rôles intégrés et personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux ressources Azure à l’aide de RBAC et du portail Azure.
Rôles d’administrateur Azure AD
Les rôles d’administrateur Azure AD sont utilisés pour gérer les ressources Azure AD d’un annuaire, par exemple
pour créer ou changer des utilisateurs, attribuer des rôles d’administration à d’autres personnes, réinitialiser les
mots de passe des utilisateurs, gérer les licences utilisateur et gérer les domaines. Le tableau suivant décrit
quelques-uns des rôles d’administrateur Azure AD plus importants.
Administrateur général Gestion de l’accès à toutes les La personne qui s’inscrit au locataire
fonctionnalités d’administration Azure Active Directory devient
dans Azure Active Directory, administrateur général.
ainsi que les services qui sont
fédérés à Azure Active Directory
Attribution des rôles
d’administrateur à d’autres
personnes
Réinitialisation des mots de
passe des utilisateurs et de tous
les autres administrateurs
Dans le portail Azure, vous pouvez voir la liste des rôles d’administrateur Azure AD dans le panneau Rôles et
administrateurs. Pour obtenir une liste de tous les rôles d’administrateur Azure AD, consultez Autorisations des
rôles d’administrateur dans Azure Active Directory.
Différences entre les rôles RBAC Azure et les rôles d’administrateur
Azure AD
Globalement, les rôles RBAC Azure contrôlent les autorisations pour gérer les ressources Azure, tandis que les
rôles d’administrateur Azure AD contrôlent les autorisations pour gérer les ressources Azure Active Directory. Le
tableau suivant compare quelques différences.
Gérer l’accès aux ressources Azure Gérer l’accès aux ressources Azure Active Directory
Prise en charge des rôles personnalisés Prise en charge des rôles personnalisés
L’étendue peut être spécifiée à plusieurs niveaux (groupe L’étendue est au niveau du locataire
d’administration, abonnement, groupe de ressources,
ressource)
Les informations sur les rôles sont accessibles dans le portail Les informations sur les rôles sont accessibles dans le portail
Azure, Azure CLI, Azure PowerShell, les modèles Azure d’administration Azure, le centre d’administration Office 365,
Resource Manager et l’API REST Microsoft Graph et AzureAD PowerShell
Étapes suivantes
Qu’est-ce que le contrôle d’accès en fonction du rôle (RBAC ) pour les ressources Azure ?
Autorisations des rôles d'administrateur dans Azure Active Directory
Administrateurs d’abonnement Azure Classic
minutes to read • Edit Online
Vous pouvez utiliser le panneau Contrôle d’accès (IAM ) dans Contrôle d’accès en fonction du rôle (RBAC ) pour
afficher l’accès dont dispose un utilisateur ou un autre principal de sécurité aux ressources Azure. Cependant, vous
devez parfois simplement afficher rapidement l’accès pour un seul utilisateur ou un autre principal de sécurité.
Pour cela, le moyen le plus simple consiste à utiliser la fonctionnalité Vérifier l’accès dans le portail Azure.
5. Dans la liste Rechercher, sélectionnez le type principal de sécurité dont vous souhaitez contrôler l’accès.
6. Dans la zone de recherche, entrez une chaîne afin de rechercher, dans le répertoire, des noms d’affichage,
des adresses e-mail ou des identificateurs d’objet.
7. Cliquez sur le principal de sécurité pour ouvrir le volet Affectations.
Dans ce volet, vous pouvez voir les rôles attribués au principal de sécurité sélectionné et la portée. S’il existe
des affectations de refus dans cette étendue, ou héritées par cette étendue, elles sont listées.
Étapes suivantes
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
minutes to read • Edit Online
Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce tutoriel,
vous allez autoriser un utilisateur à créer et à gérer des machines virtuelles dans un groupe de ressources.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un utilisateur au niveau du groupe de ressources
Suppression d'accès
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Connexion à Azure
Connectez-vous au portail Azure sur https://portal.azure.com.
Accorder l'accès
Dans le contrôle d’accès en fonction du rôle, vous créez une attribution de rôle pour accorder l’accès.
1. Dans la liste Groupes de ressources, cliquez sur le nouveau groupe de ressources rbac-resource-group.
2. Cliquez sur Contrôle d’accès (IAM ) .
3. Cliquez sur l’onglet Attributions de rôles pour afficher la liste actuelle des attributions de rôles.
4. Cliquez sur Ajouter > Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de
rôle.
Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera
désactivée.
5. Dans la liste déroulante Rôle, sélectionnez Contributeur de machines virtuelles.
6. Dans la liste Sélectionner, sélectionnez un utilisateur : vous-même ou un autre.
7. Cliquez sur Enregistrer pour créer l’attribution de rôle.
Après quelques instants, l’utilisateur se voit attribuer le rôle Contributeur de machines virtuelles dans
l’étendue du groupe de ressources rbac-resource-group.
Suppression d'accès
Dans le RBAC, vous supprimez une attribution de rôle pour supprimer un accès.
1. Dans la liste des attributions de rôles, ajoutez une coche en regard de l’utilisateur titulaire du rôle
Contributeur de machines virtuelles.
2. Cliquez sur Supprimer.
Nettoyer
1. Dans la liste de navigation, cliquez sur Groupes de ressources.
2. Cliquez sur rbac-resource-group pour ouvrir le groupe de ressources.
3. Cliquez sur Supprimer le groupe de ressources pour supprimer le groupe de ressources.
4. Dans le panneau Voulez-vous vraiment supprimer, tapez le nom du groupe de ressources : rbac-
resource-group.
5. Cliquez sur Supprimer pour supprimer le groupe de ressources.
Étapes suivantes
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
minutes to read • Edit Online
Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce
tutoriel, vous accordez l’accès à un utilisateur pour afficher tous les éléments d’un abonnement et gérer tous les
éléments d’un groupe de ressources à l’aide d’Azure PowerShell.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un utilisateur dans différentes étendues
Répertorier les accès
Suppression d'accès
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
Affectations de rôles
Dans le contrôle d’accès en fonction du rôle, vous créez une attribution de rôle pour accorder l’accès. Une
attribution de rôle se compose de trois éléments : un principal de sécurité, une définition de rôle et une étendue.
Voici deux attributions de rôles que vous allez effectuer dans ce tutoriel :
2. Créez un nouvel utilisateur pour votre domaine à l’aide de la commande New -AzureADUser.
$location = "westus"
Accorder l'accès
Pour accorder l’accès à l’utilisateur, utilisez la commande New -AzRoleAssignment afin d’attribuer un rôle. Vous
devez spécifier le principal de sécurité, la définition de rôle et l’étendue.
1. Obtenez l’ID de votre abonnement à l’aide de la commande Get-AzSubscription.
Get-AzSubscription
Name : Pay-As-You-Go
Id : 00000000-0000-0000-0000-000000000000
TenantId : 22222222-2222-2222-2222-222222222222
State : Enabled
$subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False
Dans la sortie, vous pouvez voir que le rôle de Lecteur a été attribué à l’utilisateur du tutoriel RBAC dans
l’étendue de l’abonnement.
2. Pour vérifier l’accès au groupe de ressources, utilisez la commande Get-AzRoleAssignment afin de lister les
attributions de rôle.
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial User
SignInName : rbacuser@example.com
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : User
CanDelegate : False
Dans la sortie, vous pouvez voir que les rôles de Collaborateur et de Lecteur ont été attribués à l’utilisateur
du tutoriel RBAC. Le rôle de Contributeur est dans l’étendue rbac-tutorial-resource-group et le rôle de
Lecteur est hérité dans l’étendue de l’abonnement.
2. Utilisez la commande suivante pour supprimer l’attribution de rôle de Lecteur pour l’utilisateur dans
l’étendue d’abonnement.
Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
2. Lorsque vous êtes invité à confirmer votre choix, saisissez Y. La suppression prendra quelques secondes.
3. Supprimez l’utilisateur à l’aide de la commande Remove-AzureADUser.
Étapes suivantes
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
minutes to read • Edit Online
Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce tutoriel,
vous allez créer un groupe de ressources et autoriser un utilisateur à créer et à gérer des machines virtuelles dans
le groupe de ressources. Ce tutoriel porte essentiellement sur le déploiement d’un modèle Resource Manager en
vue d’accorder l’accès. Pour plus d’informations sur le développement de modèles Resource Manager, consultez la
documentation Resource Manager et les informations de référence sur les modèles.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un utilisateur au niveau du groupe de ressources
Valider le déploiement
Nettoyer
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Accorder l'accès
Le modèle utilisé dans ce guide de démarrage rapide est tiré des modèles de démarrage rapide Azure. D’autres
modèles d’autorisation Azure sont disponibles ici.
Pour déployer le modèle, sélectionnez Try it afin d’ouvrir Azure Cloud Shell, puis collez le script PowerShell suivant
dans la fenêtre de l’interpréteur de commandes. Pour coller le code, cliquez avec le bouton droit sur la fenêtre de
l’interpréteur de commandes, puis sélectionnez Coller.
$projectName = Read-Host -Prompt "Enter a project name that is used to generate Azure resource names"
$emailAddress = Read-Host -Prompt "Enter your email address that is associated with your Azure subscription
(used to find the principal ID)"
$location = Read-Host -Prompt "Enter the location (i.e. centralus)"
$resourceGroupName = "${projectName}rg"
$roleAssignmentName = New-Guid
$principalId = (Get-AzAdUser -Mail $emailAddress).id
$roleDefinitionId = (Get-AzRoleDefinition -name "Virtual Machine Contributor").id
$templateUri = "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/101-rbac-builtinrole-
resourcegroup/azuredeploy.json"
Valider le déploiement
1. Connectez-vous au portail Azure.
2. Ouvrez le groupe de ressources créé dans la dernière procédure. Le nom par défaut est le nom du projet avec
rg ajouté.
3. Sélectionnez Contrôle d’accès (IAM ) à partir du menu de gauche.
4. Sélectionnez Attributions de rôles.
5. Dans Nom, entrez l’adresse e-mail que vous avez entrée dans la dernière procédure. Vous devez voir que
l’utilisateur ayant l’adresse e-mail a le rôle Contributeur de machines virtuelles.
Nettoyer
Pour supprimer le groupe de ressources créé dans la dernière procédure, sélectionnez Try it pour ouvrir Azure
Cloud Shell, puis collez le script PowerShell suivant dans la fenêtre de l’interpréteur de commandes.
$projectName = Read-Host -Prompt "Enter a same project name you used in the last procedure"
$resourceGroupName = "${projectName}rg"
Étapes suivantes
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
minutes to read • Edit Online
Le contrôle d'accès en fonction du rôle (RBAC ) vous permet de gérer l'accès aux ressources Azure. Dans ce tutoriel,
vous accordez l’accès à un groupe pour afficher tous les éléments d’un abonnement et gérer tous les éléments d’un
groupe de ressources à l’aide d’Azure PowerShell.
Dans ce tutoriel, vous allez apprendre à :
Accorder l’accès à un groupe dans différentes étendues
Répertorier les accès
Suppression d'accès
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
Affectations de rôles
Dans le contrôle d’accès en fonction du rôle, vous créez une attribution de rôle pour accorder l’accès. Une
attribution de rôle se compose de trois éléments : un principal de sécurité, une définition de rôle et une étendue.
Voici deux attributions de rôles que vous allez effectuer dans ce tutoriel :
Si vous n’avez pas les autorisations pour créer des groupes, vous pouvez suivre le Tutoriel : Accorder un accès
utilisateur aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell.
$location = "westus"
ResourceGroupName : rbac-tutorial-resource-group
Location : westus
ProvisioningState : Succeeded
Tags :
ResourceId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
Accorder l'accès
Pour accorder l’accès au groupe, utilisez la commande New -AzRoleAssignment afin d’attribuer un rôle. Vous devez
spécifier le principal de sécurité, la définition de rôle et l’étendue.
1. Obtenez l’ID d’objet du groupe en utilisant la commande Get-AzureADGroup.
$groupId = "11111111-1111-1111-1111-111111111111"
Get-AzSubscription
Name : Pay-As-You-Go
Id : 00000000-0000-0000-0000-000000000000
TenantId : 22222222-2222-2222-2222-222222222222
State : Enabled
$subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-
resource-group
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False
Dans la sortie, vous pouvez voir que le rôle de Lecteur a été attribué au groupe du tutoriel RBAC dans
l’étendue de l’abonnement.
2. Pour vérifier l’accès au groupe de ressources, utilisez la commande Get-AzRoleAssignment afin de lister les
attributions de rôle.
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 11111111-1111-1111-1111-111111111111
ObjectType : Group
CanDelegate : False
Dans la sortie, vous pouvez voir que les rôles de Collaborateur et de Lecteur ont été attribués au groupe du
tutoriel RBAC. Le rôle de Contributeur est dans l’étendue rbac-tutorial-resource-group et le rôle de Lecteur
est hérité dans l’étendue de l’abonnement.
2. Utilisez la commande suivante pour supprimer l’attribution de rôle de Lecteur pour le groupe dans l’étendue
d’abonnement.
Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
2. Lorsque vous êtes invité à confirmer votre choix, saisissez Y. La suppression prendra quelques secondes.
3. Supprimez le groupe à l’aide de la commande Remove-AzureADGroup.
Si vous recevez une erreur lorsque vous essayez de supprimer le groupe, vous pouvez également supprimer
le groupe dans le portail.
Étapes suivantes
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et d’Azure PowerShell
Tutoriel : Créer un rôle personnalisé pour les
ressources Azure à l’aide d’Azure PowerShell
02/03/2020 • 8 minutes to read • Edit Online
Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Pour ce tutoriel, vous allez créer un rôle
personnalisé nommé Reader Support Tickets à l’aide d’Azure PowerShell. Le rôle personnalisé permet à
l’utilisateur de consulter tous les éléments du plan de gestion d’un abonnement et d’ouvrir des tickets de support.
Dans ce tutoriel, vous allez apprendre à :
Créer un rôle personnalisé
Répertorier les rôles personnalisés
Mettre à jour un rôle personnalisé
Supprimer un rôle personnalisé
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.
Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module
Az d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
{
"Name": "Reader",
"Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"IsCustom": false,
"Description": "Lets you view everything, but not make any changes.",
"Actions": [
"*/read"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}
4. Modifiez le fichier JSON pour ajouter l’opération "Microsoft.Support/*" à la propriété Actions . Veillez à
inclure une virgule après l’opération de lecture. Cette action autorise l’utilisateur à créer des tickets de
support.
5. Obtenez l’ID de votre abonnement à l’aide de la commande Get-AzSubscription.
Get-AzSubscription
Vous devez ajouter des ID d’abonnements explicites, sinon vous ne serez pas autorisé à importer le rôle
dans votre abonnement.
7. Supprimez la ligne de propriété Id et affectez la valeur true à la propriété IsCustom .
8. Remplacez les valeurs de propriétés Name et Description par « Reader Support Tickets » et « View
everything in the subscription and also open support tickets ».
Votre fichier JSON doit ressembler à ceci :
{
"Name": "Reader Support Tickets",
"IsCustom": true,
"Description": "View everything in the subscription and also open support tickets.",
"Actions": [
"*/read",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
9. Pour créer le rôle personnalisé, utilisez la commande New -AzRoleDefinition et spécifiez le fichier de
définition de rôle JSON.
Le nouveau rôle personnalisé est maintenant disponible dans le portail Azure et peut être affecté à des
utilisateurs, des groupes ou des principaux de service tout comme des rôles intégrés.
Name IsCustom
---- --------
Reader Support Tickets True
1. Pour mettre à jour le fichier JSON, utilisez la commande Get-AzRoleDefinition afin d’afficher le rôle
personnalisé au format JSON.
4. Pour mettre à jour le rôle personnalisé, utilisez la commande Set-AzRoleDefinition et spécifiez le fichier
JSON mis à jour.
5. Pour mettre à jour votre rôle personnalisé à l’aide de l’objet PSRoleDefintion , utilisez d’abord la commande
Get-AzRoleDefinition afin d’obtenir le rôle.
6. Appelez la méthode Add pour ajouter l’opération de lecture des paramètres de diagnostic.
$role.Actions.Add("Microsoft.Insights/diagnosticSettings/*/read")
Confirm
Are you sure you want to remove role definition with id '22222222-2222-2222-2222-222222222222'.
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
Étapes suivantes
Créer des rôles personnalisés pour les ressources Azure à l’aide d’Azure PowerShell
Tutoriel : Créer un rôle personnalisé pour les
ressources Azure à l’aide d’Azure CLI
02/03/2020 • 6 minutes to read • Edit Online
Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Pour ce tutoriel, vous allez créer un rôle
personnalisé nommé Reader Support Tickets à l’aide d’Azure CLI. Le rôle personnalisé permet à l’utilisateur de
consulter tous les éléments du plan de gestion d’un abonnement et d’ouvrir des tickets de support.
Dans ce tutoriel, vous allez apprendre à :
Créer un rôle personnalisé
Répertorier les rôles personnalisés
Mettre à jour un rôle personnalisé
Supprimer un rôle personnalisé
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
OPÉRATION DESCRIPTION
{
"Name": "",
"IsCustom": true,
"Description": "",
"Actions": [],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}"
]
}
4. Ajoutez les opérations suivantes à la propriété Actions . Ces actions permettent à l’utilisateur de consulter
tous les éléments de l’abonnement et de créer des tickets de support.
"*/read",
"Microsoft.Support/*"
8. Pour créer le rôle personnalisé, utilisez la commande az role definition create et spécifiez le fichier de
définition de rôle JSON.
{
"additionalProperties": {},
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
],
"description": "View everything in the subscription and also open support tickets.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Support/*"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Reader Support Tickets",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Le nouveau rôle personnalisé est maintenant disponible et peut être affecté à des utilisateurs, des groupes
ou des principaux de service tout comme des rôles intégrés.
{
"Name": "Reader Support Tickets",
"IsCustom": true,
"Description": "View everything in the subscription and also open support tickets.",
"Actions": [
"*/read",
"Microsoft.Support/*",
"Microsoft.Resources/deployments/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
3. Pour mettre à jour le rôle personnalisé, utilisez la commande az role definition update et spécifiez le fichier
JSON mis à jour.
{
"additionalProperties": {},
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
],
"description": "View everything in the subscription and also open support tickets.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Support/*",
"Microsoft.Resources/deployments/*"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Reader Support Tickets",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Étapes suivantes
Créer des rôles personnalisés pour les ressources Azure à l’aide d’Azure CLI
minutes to read • Edit Online
Pour protéger des comptes privilégiés contre les cyberattaques malveillantes, vous pouvez utiliser Azure Active
Directory Privileged Identity Management (PIM ) afin de réduire le temps d’exposition des privilèges et
d’augmenter la visibilité quant à leur utilisation via des rapports et des alertes. Pour cela, PIM n’autorise les
utilisateurs à utiliser ces privilèges que pendant une période précise (« just in time » (JIT)), ou en leur attribuant des
privilèges pour une plus courte durée après laquelle les privilèges sont automatiquement révoqués.
Vous pouvez maintenant utiliser PIM avec le contrôle d’accès en fonction du rôle (RBAC ) Azure pour gérer,
contrôler et surveiller l’accès aux ressources Azure. PIM peut gérer l’appartenance des rôles intégrés et
personnalisés pour vous aider à :
Activer à la demande l’accès aux ressources Windows Azure pendant une période précise (JIT)
Faire automatiquement expirer l’accès aux ressources pour des utilisateurs et groupes attribués
Attribuer un accès temporaire à des ressources Azure pour les tâches rapides ou les planifications de l’appel
Obtenir des alertes lorsque de nouveaux utilisateurs ou groupes se voient assigner un accès à des ressources, et
lorsqu’ils activent des attributions éligibles
Pour plus d’informations, consultez Qu’est-ce qu’Azure AD Privileged Identity Management ?.
minutes to read • Edit Online
Cau t i on
Vous devez comprendre le fonctionnement de l’accès conditionnel avant de configurer une stratégie pour gérer
l’accès à la gestion Azure. Veillez à ne pas créer de conditions susceptibles de bloquer votre propre accès au portail.
L’accès conditionnel dans Azure Active Directory (Azure AD ) contrôle l’accès aux applications cloud en fonction de
conditions spécifiées par vos soins. Pour autoriser l’accès, vous créez des stratégies d’accès conditionnel qui
autorisent ou interdisent l’accès selon que les exigences définies dans la stratégie sont respectées ou non.
En règle générale, vous utilisez l’accès conditionnel pour contrôler l’accès à vos applications cloud. Vous pouvez
également définir des stratégies pour contrôler l’accès à la gestion Azure en fonction de certaines conditions (par
exemple, le risque de connexion, l’emplacement ou l’appareil) et pour appliquer des exigences, telles que
l’authentification multifacteur.
Pour créer une stratégie pour la gestion Azure, sélectionnez Gestion Microsoft Azure sous Applications cloud
quand vous choisissez l’application à laquelle appliquer la stratégie.
La stratégie que vous créez s’applique à tous les points de terminaison de gestion Azure, notamment :
Portail Azure
Fournisseur Azure Resource Manager
API Gestion des services classiques
Azure PowerShell
Portail de l’administrateur d’abonnements Visual Studio
Azure DevOps
Portail Azure Data Factory
Notez que la stratégie s’applique à Azure PowerShell, qui appelle l’API Azure Resource Manager. Elle ne s’applique
pas à Azure AD PowerShell, qui appelle Microsoft Graph.
Pour plus d’informations sur la configuration et l’utilisation de l’accès conditionnel, consultez Accès conditionnel
dans Azure Active Directory.
Comprendre les définitions de rôle relatives aux
ressources Azure
02/03/2020 • 16 minutes to read • Edit Online
Si vous essayez de comprendre comment un rôle fonctionne, ou si vous créez votre propre rôle personnalisé pour
des ressources Azure, il est utile de comprendre la façon dont les rôles sont définis. Cet article décrit en détail les
définitions de rôles et fournit quelques exemples.
Name
Id
IsCustom
Description
Actions []
NotActions []
DataActions []
NotDataActions []
AssignableScopes []
Les opérations sont spécifiées à l’aide de chaînes dont le format est le suivant :
{Company}.{ProviderName}/{resourceType}/{action}
La portion {action} d’une chaîne d’opération spécifie le type des opérations que vous pouvez effectuer sur un type
de ressource. Par exemple, vous verrez les sous-chaînes suivantes dans {action} :
Voici la définition du rôle Contributeur au format JSON. L’opération de caractère générique ( * ) sous Actions
indique que le principal affecté à ce rôle peut effectuer toutes les actions, ou, en d’autres termes, tout gérer. Cela
inclut les actions qui seront définies dans le futur, à mesure qu’Azure ajoutera de nouveaux types de ressources. Les
opérations sous NotActions sont soustraites de Actions . Dans le cas du rôle Contributeur, NotActions supprime la
possibilité pour ce rôle de gérer et d’autoriser l’accès aux ressources.
{
"Name": "Contributor",
"Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"IsCustom": false,
"Description": "Lets you manage everything except access to resources.",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action"
],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}
Seules des opérations sur les données peuvent être ajoutées aux propriétés DataActions et NotDataActions . Les
fournisseurs de ressources identifient quelles opérations sont des opérations sur les données, en définissant la
propriété isDataAction sur true . Pour afficher la liste des opérations où isDataAction est true , consultez
Opérations de fournisseur de ressources. Les rôles qui n’ont pas d’opérations sur les données ne sont pas obligés
d’avoir les propriétés DataActions et NotDataActions dans la définition de rôle.
L’autorisation pour tous les appels d’API des opérations de gestion est gérée par Azure Resource Manager.
L’autorisation pour les appels d’API des opérations sur les données est gérée par un fournisseur de ressources ou
Azure Resource Manager.
Exemple d’opérations sur les données
Pour mieux comprendre comment fonctionnent les opérations de gestion et les opérations sur les données, prenons
un exemple spécifique. Alice a reçu le rôle Propriétaire au niveau de l’étendue de l’abonnement. Bob a reçu le rôle
Contributeur aux données blob du stockage dans une étendue de compte de stockage. Le diagramme qui suit
présente cet exemple.
Le rôle Propriétaire pour Alice et le rôle Contributeur aux données blob du stockage pour Bob effectuent les actions
suivantes :
Propriétaire
Actions
*
Comme Alice dispose d’une action avec caractère générique ( * ) à une étendue de l’abonnement, elle hérite
d’autorisations lui permettant d’effectuer toutes les actions de gestion. Alice peut lire, écrire et supprimer des
conteneurs. En revanche, elle ne peut pas effectuer d’opérations sur des données sans passer par des étapes
supplémentaires. Par exemple, par défaut, Alice ne peut pas lire les objets blob à l’intérieur d’un conteneur. Pour
cela, elle doit récupérer les clés d’accès de stockage et les utiliser pour accéder aux objets blob.
Les autorisations de Bob se limitent aux actions Actions et DataActions spécifiées dans le rôle Contributeur aux
données blob du stockage. En fonction du rôle, Bob peut effectuer à la fois des opérations de gestion et des
opérations sur les données. Par exemple, Bob peut lire, écrire et supprimer des conteneurs du compte de stockage
spécifié, mais aussi lire, écrire et supprimer les objets blob.
Pour plus d’informations sur la gestion et la sécurité du plan de données pour le stockage, consultez le guide de
sécurité Stockage Microsoft Azure.
Quels outils prennent en charge l’utilisation de RBAC pour les opérations sur les données ?
Pour afficher et utiliser des opérations sur les données, vous devez disposer des versions appropriées des outils ou
des kits de développement logiciel (SDK) :
OUTIL VERSION
Kit de développement logiciel (SDK) Azure pour Ruby 0.17.1 ou version ultérieure
Pour afficher et utiliser les opérations de données dans l’API REST, vous devez définir le paramètre api-version sur
la version suivante ou ultérieure :
01-07-2018
Actions
L’autorisation Actions spécifie les opérations d’administration que le rôle autorise. Il s’agit d’un ensemble de
chaînes d’opération qui identifient les opérations sécurisables des fournisseurs de ressources Azure. Voici quelques
exemples d’opérations de gestion qui peuvent être utilisées dans Actions .
*/read Accorde l’accès aux opérations de lecture pour tous les types
de ressources de l’ensemble des fournisseurs de ressources
Azure.
Microsoft.Compute/* Accorde l’accès à l’ensemble des opérations pour tous les types
de ressources dans le fournisseur de ressources
Microsoft.Compute.
Microsoft.Network/*/read Accorde l’accès aux opérations de lecture pour tous les types
de ressources dans le fournisseur de ressources
Microsoft.Network d’Azure.
NotActions
L’autorisation NotActions spécifie les opérations de gestion qui sont exclues des Actions autorisées. Utilisez
l’autorisation NotActions si l’ensemble des opérations que vous souhaitez autoriser est plus facile à définir en
excluant les opérations restreintes. L’accès accordé par un rôle (autorisations effectives) est calculé en soustrayant
les opérations NotActions des opérations Actions .
NOTE
Si un utilisateur se voit attribuer un rôle qui exclut une opération dans NotActions , et un second rôle qui accorde l’accès à
cette même opération, il est autorisé à effectuer celle-ci. NotActions n’est pas une règle de refus : il s’agit simplement d’un
moyen pratique pour créer un ensemble d’opérations autorisées lorsque des opérations spécifiques doivent être exclues.
DataActions
L’autorisation DataActions spécifie les opérations de données que le rôle autorise sur vos données au sein de cet
objet. Par exemple, si un utilisateur dispose d’un accès en lecture aux données blob d’un compte de stockage, il peut
lire les objets blob de ce compte de stockage. Voici quelques exemples d’opérations sur les données qui peuvent être
utilisées dans DataActions .
NOTE
Si un utilisateur se voit attribuer un rôle qui exclut une opération sur les données dans NotDataActions , et un second rôle
qui accorde l’accès à cette même opération, il est autorisé à effectuer celle-ci. NotDataActions n’est pas une règle de refus : il
s’agit simplement d’un moyen pratique pour créer un ensemble d’opérations sur les données autorisées lorsque des
opérations sur les données spécifiques doivent être exclues.
AssignableScopes
La propriété AssignableScopes spécifie les étendues (groupes d’administration, abonnements, groupes de
ressources ou ressources) qui disposent de cette définition de rôle. Vous pouvez mettre le rôle à disposition pour
pouvoir l’attribuer uniquement dans les groupes d’administration, les abonnements ou les groupes de ressources
qui en ont besoin. Vous devez utiliser au moins un groupe de gestion, abonnement, groupe de ressources ou ID de
ressource.
La chaîne AssignableScopes est définie sur l’étendue racine ( "/" ) pour les rôles intégrés. L’étendue racine indique
que le rôle est disponible pour attribution dans toutes les étendues. Voici des exemples d’étendues assignables
valides :
Pour plus d’informations sur AssignableScopes pour des rôles personnalisés, consultez Rôles personnalisés pour les
ressources Azure.
Étapes suivantes
Rôles intégrés pour les ressources Azure
Rôles intégrés pour les ressources Azure
Opérations du fournisseur de ressources Azure Resource Manager
Lister les définitions de rôles dans le RBAC Azure
02/03/2020 • 5 minutes to read • Edit Online
Une définition de rôle est une collection d’autorisations qui peuvent être effectuées, comme lire, écrire et supprimer.
Elle est généralement simplement appelée « rôle ». Le contrôle d’accès en fonction du rôle (RBAC ) Azure compte
plus de 120 rôles intégrés. Vous pouvez également créer vos propres rôles personnalisés. Cet article explique
comment lister les rôles intégrés et personnalisés que vous pouvez utiliser pour accorder l’accès aux ressources
Azure.
Pour voir la liste des rôles d’administrateur pour Azure Active Directory, consultez Autorisations des rôles
d’administrateur dans Azure Active Directory.
Portail Azure
Répertorier tous les rôles
Suivez ces étapes pour lister tous les rôles dans le portail Azure.
1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez n’importe quelle étendue. Par
exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources,
ou une ressource.
2. Cliquez sur la ressource spécifique.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.
Vous pouvez voir le nombre d’utilisateurs et de groupes affectés à chaque rôle dans cette étendue.
Azure PowerShell
Répertorier tous les rôles
Pour lister tous les rôles dans Azure PowerShell, utilisez Get-AzRoleDefinition.
Get-AzRoleDefinition <role_name>
PS C:\> Get-AzRoleDefinition "Contributor"
Name :
Contributor
Id :
b24988ac-6180-42a0-ab88-20f7382dd24c
IsCustom :
False
Description :
Lets you manage everything except access to resources.
Actions :
{*}
NotActions :
{Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
Microsoft.Authorization/elevateAccess/Action}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/}
{
"Name": "Contributor",
"Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"IsCustom": false,
"Description": "Lets you manage everything except access to resources.",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete"
],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}
Actions : {*}
NotActions : {Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
Microsoft.Authorization/elevateAccess/Action,
Microsoft.Blueprint/blueprintAssignments/write...}
(Get-AzRoleDefinition <role_name>).Actions
PS C:\> (Get-AzRoleDefinition "Virtual Machine Contributor").Actions
Microsoft.Authorization/*/read
Microsoft.Compute/availabilitySets/*
Microsoft.Compute/locations/*
Microsoft.Compute/virtualMachines/*
Microsoft.Compute/virtualMachineScaleSets/*
Microsoft.DevTestLab/schedules/*
Microsoft.Insights/alertRules/*
Microsoft.Network/applicationGateways/backendAddressPools/join/action
Microsoft.Network/loadBalancers/backendAddressPools/join/action
...
D’Azure CLI
Répertorier tous les rôles
Pour lister tous les rôles dans Azure CLI, utilisezaz role definition list.
L’exemple suivant liste le nom et la description de toutes les définitions de rôles disponibles :
{
"roleName": "API Management Service Contributor",
"description": "Can manage service and the APIs"
}
{
"roleName": "API Management Service Operator Role",
"description": "Can manage service but not the APIs"
}
{
"roleName": "API Management Service Reader Role",
"description": "Read-only access to service and APIs"
}
...
...
[
{
"additionalProperties": {},
"assignableScopes": [
"/"
],
"description": "Lets you manage everything except access to resources.",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"additionalProperties": {},
"dataActions": [],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action"
],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
]
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action"
]
}
L’exemple suivant liste simplement les actions du rôle Contributeur de machines virtuelles.
az role definition list --name "Virtual Machine Contributor" --output json | jq '.[] | .permissions[0].actions'
[
"Microsoft.Authorization/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
...
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
]
Étapes suivantes
Rôles intégrés pour les ressources Azure
Rôles personnalisés pour les ressources Azure
Lister les attributions de rôles à l’aide du RBAC Azure et du portail Azure
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et du portail Azure
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide du portail Azure.
NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.
3. Sous Attributions de rôle, cliquez sur Afficher les rôles RBAC Azure affectés à cette identité gérée.
Vous voyez une liste de rôles affectés à l’identité gérée affectée par le système sélectionnée à différentes
étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste
inclut toutes les attributions de rôles que vous êtes autorisé à lire.
Répertorier les attributions de rôles pour une identité gérée affectée
par l’utilisateur
1. Dans le Portail Azure, ouvrez une identité gérée affectée par l’utilisateur.
2. Cliquez sur Ressources Azure.
Vous voyez une liste de rôles affectés à l’identité gérée affectée à l’utilisateur sélectionnée à différentes
étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste
inclut toutes les attributions de rôles que vous êtes autorisé à lire.
Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et du portail Azure
Résoudre des problèmes liés au contrôle d'accès en fonction du rôle pour les ressources Azure
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide d’Azure PowerShell.
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.
Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : Alain
SignInName : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-
sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Marketing
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : Group
CanDelegate : False
...
Pour répertorier tous les rôles attribués à un utilisateur et les rôles attribués aux groupes auxquels appartient
l’utilisateur, utilisez Get-AzRoleAssignment.
Get-AzRoleAssignment -IncludeClassicAdministrators
Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et d’Azure PowerShell
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide d’Azure CLI.
NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.
Prérequis
Bash Azure Cloud Shell ou Azure CLI
Par défaut, seules les attributions de rôles de l'abonnement actuel sont affichées. Pour afficher les attributions de
rôles de l’abonnement actuel et antérieur, ajoutez le paramètre --all . Pour afficher les attributions de rôles
héritées, ajoutez le paramètre --include-inherited .
L’exemple suivant liste les attributions de rôles octroyées directement à l’utilisateur patlong@contoso.com :
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
...
Pour obtenir l'ID d’objet d'une identité managée attribuée par le système, vous pouvez utiliser az ad sp list.
az ad sp list --display-name "<vmname>" --query [].objectId --output tsv
Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et d’Azure CLI
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure(RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux
de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique
comment lister les attributions de rôles à l’aide de l’API REST.
NOTE
Si votre organisation possède des fonctions de gestion externalisées pour un fournisseur de services qui utilise la gestion des
ressources déléguées Azure, les attributions de rôles autorisées par ce fournisseur de services ne seront pas affichées ici.
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-
version=2015-07-01&$filter={filter}
2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les attributions de rôle.
ÉTENDUE TYPE
Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}
subscriptions/{subscriptionId1} Subscription
Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
Dans l’exemple précédent, microsoft.web est un fournisseur de ressources qui fait référence à une instance
App Service. De la même façon, vous pouvez utiliser tout autre fournisseur de ressources et spécifier
l’étendue. Pour plus d’informations, consultez Fournisseurs et types de ressources Azure et Opérations du
fournisseur de ressources Azure Resource Manager prises en charge.
3. Remplacez {filter } par la condition que vous voulez appliquer pour filtrer la liste des attributions de rôle.
FILTRER DESCRIPTION
Étapes suivantes
Ajouter ou supprimer des attributions de rôles à l’aide du RBAC Azure et de l’API REST
Référence de l'API REST Azure
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes,
aux principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles à l’aide du portail Azure.
Si vous devez attribuer des rôles d’administrateur dans Azure Active Directory, consultez Afficher et attribuer des
rôles d’administrateur dans Azure Active Directory.
Prérequis
Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/write et
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou
Propriétaire de l’accès utilisateur
6. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.
7. Dans la liste Sélectionner, sélectionnez un utilisateur, un groupe, un principal de service ou une identité
gérée. Si vous ne voyez pas le principal de sécurité dans la liste, vous pouvez saisir du texte dans la zone
Sélectionner pour rechercher des noms d’affichage, des adresses de messagerie et des identificateurs
d’objet dans le répertoire.
8. Cliquez sur Enregistrer pour attribuer le rôle.
Après quelques instants, le principal de sécurité est attribué au rôle dans l’étendue sélectionnée.
Attribuer à un utilisateur en tant qu’administrateur d’un abonnement
Pour faire d’un utilisateur un administrateur d’un abonnement Azure, attribuez-lui le rôle Propriétaire au niveau
de l’abonnement. Le rôle Propriétaire donne à l’utilisateur un accès total à toutes les ressources de l’abonnement,
notamment l’autorisation d’accorder l’accès à d’autres personnes. Ces étapes sont les mêmes que celles de
n’importe quelle autre attribution de rôle.
1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.
2. Cliquez sur l’abonnement pour lequel vous souhaitez accorder l’accès.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cet abonnement.
Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et du portail Azure
Tutoriel : Accorder un accès utilisateur aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Résoudre des problèmes liés au contrôle d'accès en fonction du rôle pour les ressources Azure
Organiser vos ressources avec des groupes d’administration Azure
minutes to read • Edit Online
La fonctionnalité de contrôle d’accès en fonction du rôle (RBAC ) Azure permet une meilleure gestion de la sécurité
pour les grandes organisations et pour les PME travaillant avec des collaborateurs externes, des fournisseurs ou
des travailleurs indépendants qui doivent pouvoir accéder à des ressources spécifiques de votre environnement,
mais pas nécessairement à l’ensemble de l’infrastructure ou aux étendues liées à la facturation. Vous pouvez utiliser
les fonctionnalités offertes dans Azure Active Directory B2B pour collaborer avec des utilisateurs invités externes.
Vous pouvez aussi utiliser le contrôle d’accès en fonction du rôle (RBAC ) pour accorder uniquement les
autorisations dont les utilisateurs invités ont besoin dans votre environnement.
7. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.
8. Dans la liste Sélectionner, sélectionnez l’utilisateur invité. Si vous ne voyez pas le l’utilisateur dans la liste,
vous pouvez saisir du texte dans la zone Sélectionner pour rechercher des noms d’affichage, des adresses
e-mail et des identificateurs d’objet dans l’annuaire.
9. Cliquez sur Enregistrer pour attribuer le rôle à l’étendue sélectionnée.
7. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.
8. Dans la liste Sélectionner, tapez l’adresse e-mail de la personne que vous voulez inviter, puis sélectionnez
cette personne.
9. Cliquez sur Enregistrer pour ajouter l’utilisateur invité à votre annuaire, attribuer le rôle, puis envoyer une
invitation.
Après quelques minutes, vous voyez une notification de l’attribution de rôle et des informations sur
l’invitation.
10. Pour inviter manuellement l’utilisateur invité, cliquez avec le bouton droit et copiez le lien d’invitation inclus
dans la notification. Ne cliquez pas sur le lien d’invitation, car cela démarre le processus d’invitation.
Le lien d’invitation est au format suivant :
https://invitations.microsoft.com/redeem/...
11. Envoyez le lien d’invitation à l’utilisateur invité pour qu’il termine le processus d’invitation.
Pour plus d’informations sur le processus d’invitation, consultez Utilisation d’invitations Azure Active
Directory B2B Collaboration.
Dépanner
Impossible pour l’utilisateur invité de parcourir l’annuaire
Les utilisateurs invités disposent d'autorisations d'annuaire limitées. Par exemple, les utilisateurs invités ne peuvent
pas parcourir l’annuaire ni rechercher des groupes ou des applications. Pour plus d’informations, consultez Quelles
sont les autorisations utilisateur par défaut dans Azure Active Directory ?
Si un utilisateur invité a besoin de privilèges supplémentaires sur l’annuaire, vous pouvez lui attribuer un rôle
d’annuaire. Si vous voulez vraiment qu’un utilisateur invité dispose d’un accès en lecture complet à votre annuaire,
vous pouvez l’ajouter au rôle Lecteurs de répertoire dans Azure AD. Pour plus d’informations, consultez Accorder
des autorisations aux utilisateurs d’organisations partenaires dans votre locataire Azure Active Directory.
Impossible pour l’utilisateur invité de parcourir les utilisateurs, les groupes ou les principaux du service pour
attribuer des rôles
Les utilisateurs invités disposent d'autorisations d'annuaire limitées. Même si un utilisateur invité est propriétaire
dans une étendue, s’il essaie d’ajouter une attribution de rôle pour accorder l’accès à une autre personne, il ne peut
pas parcourir la liste des utilisateurs, des groupes ou des principaux du service.
Si l’utilisateur invité connaît le nom de connexion exact d’une personne dans l’annuaire, il peut lui accorder l’accès.
Si vous voulez vraiment qu’un utilisateur invité dispose d’un accès en lecture complet à votre annuaire, vous
pouvez l’ajouter au rôle Lecteurs de répertoire dans Azure AD. Pour plus d’informations, consultez Accorder des
autorisations aux utilisateurs d’organisations partenaires dans votre locataire Azure Active Directory.
Impossible pour l’utilisateur invité d’inscrire des applications ou de créer des principaux du service
Les utilisateurs invités disposent d'autorisations d'annuaire limitées. Si un utilisateur invité a besoin de pouvoir
inscrire des applications ou de créer des principaux du service, vous pouvez l’ajouter au rôle Développeur
d’applications dans Azure AD. Pour plus d’informations, consultez Accorder des autorisations aux utilisateurs
d’organisations partenaires dans votre locataire Azure Active Directory.
Nouvel annuaire invisible pour l’utilisateur invité
Si un utilisateur invité a reçu l’autorisation d’accéder à un nouvel annuaire, mais qu’il ne le voit pas listé dans le
portail Azure quand il essaie de basculer vers son volet Annuaire + abonnement, vérifiez qu’il a bien achevé le
processus d’invitation. Pour plus d’informations sur le processus d’invitation, consultez Utilisation d’invitations
Azure Active Directory B2B Collaboration.
Ressources invisibles pour l’utilisateur
Si un utilisateur invité a reçu l’autorisation d’accéder à un annuaire, mais qu’il ne voit pas les ressources auxquelles
il est autorisé à accéder dans le portail Azure, vérifiez qu’il a sélectionné le bon annuaire. Un utilisateur invité peut
avoir accès à plusieurs annuaires. Pour changer d’annuaire, dans le coin supérieur gauche, cliquez sur Annuaire +
abonnement, puis cliquez sur l’annuaire approprié.
Étapes suivantes
Ajouter des utilisateurs Azure Active Directory B2B Collaboration dans le Portail Azure
Propriétés d’un utilisateur Azure Active Directory B2B Collaboration
Éléments de l’e-mail d’invitation de collaboration B2B - Azure Active Directory
Ajouter un utilisateur invité en tant que coadministrateur
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes,
aux principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles à l’aide d’Azure PowerShell.
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
Groupe
Pour récupérer l’ID d’objet pour un groupe Azure AD, vous pouvez utiliser Get-AzADGroup.
Application
Pour récupérer l’ID objet d’un principal de service Azure AD (identité utilisée par une application), vous pouvez
utiliser Get-AzADServicePrincipal. Pour un principal de service, utilisez l’ID d’objet et non l’ID d’application.
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/pr
oviders/Microsoft.Authorization/roleAssignments/55555555-5555-5555-5555-555555555555
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
SignInName : alain@example.com
RoleDefinitionName : Virtual Machine Contributor
RoleDefinitionId : 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
IMPORTANT
La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail en
production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez
Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Même si un rôle est renommé, l’ID de rôle ne change pas. Si vous utilisez des scripts ou une automatisation pour
créer vos attributions de rôles, il est recommandé d’utiliser l’ID de rôle unique au lieu du nom de rôle. Par
conséquent, si un rôle est renommé, vos scripts sont plus susceptibles de fonctionner.
Pour ajouter une attribution de rôle à l’aide de l’ID de rôle unique au lieu du nom de rôle, utilisez New -
AzRoleAssignment.
L’exemple suivant attribue le rôle Contributeur de machine virtuelle à l’utilisateur alain@exemple.com dans
l’étendue du groupe de ressources pharma -sales. Pour obtenir l’ID unique de rôle, vous pouvez utiliser Get-
AzRoleDefinition ou consulter la liste des rôles intégrés pour les ressources Azure.
PS C:\> New-AzRoleAssignment -ObjectId 44444444-4444-4444-4444-444444444444 -RoleDefinitionId 9980e02c-c2be-
4d73-94e8-173b1dc7cf3c -Scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-
sales/providers/Microsoft.Authorization/roleAssignments/55555555-5555-5555-5555-555555555555
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
SignInName : alain@example.com
RoleDefinitionName : Virtual Machine Contributor
RoleDefinitionId : 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/MyVirtualNetworkResourceGroup
/providers/Microsoft.Network/virtualNetworks/RobertVirtualNetwork/providers/Microsoft.Authorizat
ion/roleAssignments/bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb
Scope : /subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/MyVirtualNetworkResourceGroup
/providers/Microsoft.Network/virtualNetworks/RobertVirtualNetwork
DisplayName : Pharma Sales Admins
SignInName :
RoleDefinitionName : Virtual Machine Contributor
RoleDefinitionId : 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
ObjectId : aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa
ObjectType : Group
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-
000000000000/providers/Microsoft.Authorization/roleAssignments/66666666-6666-6666-6666-666666666666
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : MyApp1
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : 77777777-7777-7777-7777-777777777777
ObjectType : ServicePrincipal
CanDelegate : False
RoleAssignmentId : /providers/Microsoft.Management/managementGroups/marketing-
group/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /providers/Microsoft.Management/managementGroups/marketing-group
DisplayName : Alain Charon
SignInName : alain@example.com
RoleDefinitionName : Billing Reader
RoleDefinitionId : fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
L’exemple suivant retire le rôle <nom_du_rôle> à <id_objet> dans l’étendue d’un abonnement.
L’exemple suivant retire le rôle <nom_du_rôle> à <id_objet> dans l’étendue d’un groupe d’administration.
Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et d’Azure PowerShell
Tutoriel : Permettre à un groupe d'accéder aux ressources Azure à l'aide du contrôle RBAC et d'Azure
PowerShell
Tutoriel : Créer un rôle personnalisé pour les ressources Azure à l'aide d'Azure PowerShell
Gérer les ressources avec Azure PowerShell
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux
principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles avec Azure CLI.
Prérequis
Pour ajouter ou supprimer des attributions de rôles, vous devez disposer :
d’autorisations Microsoft.Authorization/roleAssignments/writeet
Microsoft.Authorization/roleAssignments/delete , telles que Administrateur de l’accès utilisateur ou Propriétaire
de l’accès utilisateur
Bash Azure Cloud Shell ou Azure CLI
Groupe
Pour obtenir l’ID d’objet d’un groupe Azure AD, vous pouvez utiliser az ad group show ou az ad group list.
Application
Pour récupérer l’ID objet d’un principal de service Azure AD (identité utilisée par une application), vous pouvez
utiliser az ad sp list. Pour un principal de service, utilisez l’ID d’objet et non l’ID d’application.
L’exemple suivant attribue le rôle Contributeur de machine virtuelle à l’utilisateur patlong@contoso.com dans
l’étendue du groupe de ressources pharma -sales :
az role assignment create --role "Virtual Machine Contributor" --assignee patlong@contoso.com --resource-group
pharma-sales
IMPORTANT
La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail en
production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez
Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Même si un rôle est renommé, l’ID de rôle ne change pas. Si vous utilisez des scripts ou une automatisation pour
créer vos attributions de rôles, il est recommandé d’utiliser l’ID de rôle unique au lieu du nom de rôle. Par
conséquent, si un rôle est renommé, vos scripts sont plus susceptibles de fonctionner.
Pour ajouter une attribution de rôle en utilisant l’ID de rôle unique au lieu du nom de rôle, utilisez az role
assignment create.
L’exemple suivant attribue le rôle Contributeur de machine virtuelle à l’utilisateur patlong@contoso.com dans
l’étendue du groupe de ressources pharma -sales. Pour obtenir l’ID unique de rôle, vous pouvez utiliser az role
definition list ou consulter la liste des rôles intégrés pour les ressources Azure.
L’exemple suivant attribue le rôle Lecteur au groupe Ann Mack Team associé à l’ID 22222222-2222-2222-2222-
222222222222 dans l’étendue d’un abonnement.
L’exemple suivant attribue le rôle Contributeur de machine virtuelle à une application associée à l’ID d’objet
44444444-4444-4444-4444-444444444444 dans l’étendue du groupe de ressources pharma -sales.
L’exemple suivant attribue le rôle Lecteur à l’utilisateur annm@example.com dans l’étendue d’un abonnement.
L’exemple suivant attribue le rôle Lecteur de facturation à l’utilisateur alain@example.com dans l’étendue d’un
groupe d’administration.
az role assignment create --role "Billing Reader" --assignee alain@example.com --scope
/providers/Microsoft.Management/managementGroups/marketing-group
Dans l’exemple suivant, le rôle Contributeur de machines virtuelles est attribué à l’identité managée msi-test dans
l’étendue du groupe de ressources pharma -sales :
az role assignment delete --assignee patlong@contoso.com --role "Virtual Machine Contributor" --resource-group
pharma-sales
L’exemple suivant retire le rôle Lecteur au groupe Ann Mack Team associé à l’ID 22222222-2222-2222-2222-
222222222222 dans l’étendue d’un abonnement. Pour plus d’informations sur la récupération de l’ID d’objet du
groupe, consultez Récupérer des ID d’objet.
L’exemple suivant retire le rôle Lecteur de facturation à l’utilisateur alain@example.com dans l’étendue du groupe
d’administration. Pour connaître l’ID du groupe d’administration, vous pouvez utiliser az account management-
group list.
Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux
principaux de service ou aux identités managées avec une étendue particulière. Cet article explique comment
attribuer des rôles à l’aide de l’API REST.
PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentN
ame}?api-version=2015-07-01
{
"properties": {
"roleDefinitionId":
"/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
"principalId": "{principalId}"
}
}
ÉTENDUE TYPE
Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}
subscriptions/{subscriptionId1} Subscription
ÉTENDUE TYPE
Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/microsoft.web/sites/mysite1
ÉTENDUE TYPE
Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}
subscriptions/{subscriptionId1} Subscription
Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/microsoft.web/sites/mysite1
DELETE
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentN
ame}?api-version=2015-07-01
ÉTENDUE TYPE
Groupe d’administration
providers/Microsoft.Management/managementGroups/{groupId1}
subscriptions/{subscriptionId1} Subscription
Resource group
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
ÉTENDUE TYPE
Ressource
subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/
providers/microsoft.web/sites/mysite1
Étapes suivantes
Lister les attributions de rôles à l’aide du RBAC Azure et de l’API REST
Déployer des ressources à l’aide de modèles Resource Manager et de l’API REST Resource Manager
Référence de l'API REST Azure
Créer des rôles personnalisés pour les ressources Azure à l'aide de l'API REST
minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle Azure (RBAC ) est le système d’autorisation que vous utilisez pour gérer
l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux
principaux de service ou aux identités managées avec une étendue particulière. En plus d’utiliser Azure PowerShell
ou l’interface Azure CLI, vous pouvez attribuer des rôles à l’aide des modèles Azure Resource Manager. Les
modèles peuvent être utiles si vous devez déployer les ressources de manière cohérente et répétée. Cet article
explique comment attribuer des rôles à l’aide de modèles.
Groupe
Pour récupérer l’ID d’un groupe, vous pouvez utiliser les commandes Get-AzADGroup ou az ad group show.
Application
Pour récupérer l’ID d’un principal de service (identité utilisée par une application), vous pouvez utiliser les
commandes Get-AzADServicePrincipal ou az ad sp list. Pour un principal de service, utilisez l’ID d’objet et non l’ID
d’application.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(resourceGroup().id)]",
"properties": {
"roleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]",
"principalId": "<your-principal-id>"
}
}
]
}
Les exemples suivants, avec les commandes New -AzResourceGroupDeployment et az group deployment create,
montrent comment démarrer le déploiement dans un groupe de ressources nommé ExampleGroup.
L’exemple suivant illustre l’attribution du rôle lecteur à un utilisateur pour un groupe de ressources après le
déploiement du modèle.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
},
"builtInRoleType": {
"type": "string",
"allowedValues": [
"Owner",
"Contributor",
"Reader"
],
"metadata": {
"description": "Built-in role to assign"
}
},
"roleNameGuid": {
"type": "string",
"defaultValue": "[newGuid()]",
"metadata": {
"description": "A new GUID used to identify the role assignment"
}
}
},
"variables": {
"Owner": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', '8e3af657-a8ff-443c-a75c-2fe8c4bcb635')]",
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Reader": "[concat('/subscriptions/', subscription().subscriptionId,
'/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[parameters('roleNameGuid')]",
"properties": {
"roleDefinitionId": "[variables(parameters('builtInRoleType'))]",
"principalId": "[parameters('principalId')]"
}
}
]
}
NOTE
Ce modèle n’est pas idempotent, à moins que la même valeur de roleNameGuid soit fournie comme paramètre pour chaque
déploiement du modèle. Si aucune valeur de roleNameGuid n’est fournie, par défaut, un nouveau GUID est généré à chaque
déploiement et les déploiements suivants échouent avec une erreur Conflict: RoleAssignmentExists .
L’étendue de l’attribution de rôle est déterminée à partir du niveau du déploiement. Les exemples suivants, avec les
commandes New -AzResourceGroupDeployment et az group deployment create, montrent comment démarrer le
déploiement dans une étendue de groupe de ressources.
Les exemples suivants, avec les commandes New -AzDeployment et az deployment create, montrent comment
démarrer le déploiement dans une étendue d’abonnement et spécifier l’emplacement.
Ressource
Si vous avez besoin d’ajouter une attribution de rôle au niveau d’une ressource, le format de l’attribution de rôle est
différent. Vous fournissez l’espace de noms du fournisseur de ressources et le type de ressource de la ressource à
laquelle attribuer le rôle. Vous devez également inclure le nom de la ressource dans le nom de l’attribution de rôle.
Pour le type et le nom de l’attribution de rôle, utilisez le format suivant :
"type": "{resource-provider-namespace}/{resource-type}/providers/roleAssignments",
"name": "{resource-name}/Microsoft.Authorization/{role-assign-GUID}"
Pour déployer le modèle précédent, vous devez utiliser les commandes de groupe de ressources. Les exemples
suivants, avec les commandes New -AzResourceGroupDeployment et az group deployment create, montrent
comment démarrer le déploiement dans une étendue de ressource.
New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json -principalId
$objectid -builtInRoleType Contributor
L’exemple suivant illustre l’attribution du rôle contributeur à un utilisateur pour un compte de stockage après le
déploiement du modèle.
Les exemples suivants, avec les commandes New -AzResourceGroupDeployment et az group deployment create,
montrent comment démarrer le déploiement dans une étendue de groupe de ressources.
L’exemple suivant illustre l’attribution du rôle contributeur à un nouveau principal de service d’identité managée
après le déploiement du modèle.
Étapes suivantes
Démarrage rapide : Créer et déployer des modèles Azure Resource Manager à l’aide du portail Azure
Comprendre la structure et la syntaxe des modèles Azure Resource Manager
Créer des groupes de ressources et des ressources au niveau de l’abonnement
Modèles de démarrage rapide Azure
minutes to read • Edit Online
À l’instar d’une attribution de rôle, une affectation de refus associe un ensemble d’actions de refus à un
utilisateur, un groupe ou un principal de service, sur une étendue spécifique, afin de refuser l’accès. Les
affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès.
Cet article explique comment définir des attributions de refus.
NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus.
Accorder l'accès ✔
Accès refusé ✔
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Tous les principaux peut être combiné avec ExcludePrincipals pour refuser tous les principaux, à l’exception de
certains utilisateurs. Tous les principaux présente les contraintes suivantes :
Il peut être utilisé uniquement dans Principals et ne peut pas être utilisé dans ExcludePrincipals .
Principals[i].Type doit être défini sur SystemDefined .
Étapes suivantes
Répertorier les affectations de refus pour les ressources Azure à l’aide du portail Azure
Comprendre les définitions de rôle relatives aux ressources Azure
minutes to read • Edit Online
Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès. Cet article décrit comment lister les affectations de refus
existantes à l’aide du portail Azure.
NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus. Pour en savoir sur la création des affectations de
refus, consultez Affectations de refus.
Principaux exclus Indique s’il existe des principaux de sécurité qui sont exclus
de l’affectation de refus.
Ne s’applique pas aux enfants Indique si l’affectation de refus est transmise à des
étendues secondaires.
6. Ajoutez une coche aux éléments activés de votre choix, puis cliquez sur OK pour afficher les colonnes
sélectionnées.
Le principal défini par le système représente tous les utilisateurs, groupes, principaux de service et
identités managées figurant dans un annuaire Azure AD.
3. Pour afficher la liste des autorisations qui sont refusées, cliquez sur Autorisations refusées.
Pour l’exemple illustré dans la capture d’écran précédente, les éléments suivants sont les autorisations
effectives :
Toutes les opérations de stockage sur le plan de données sont refusées à l’exception des opérations de
calcul.
4. Pour voir les propriétés d’une affectation de refus, cliquez sur Propriétés.
Dans le panneau Propriétés, vous pouvez voir le nom, l’ID, la description et l’étendue de l’affectation de
refus. Le commutateur Ne s’applique pas aux enfants indique si l’affectation de refus est transmise à des
étendues secondaires. Le commutateur Système protégé indique si cette affectation de refus est managée
par Azure. Actuellement, c’est Oui dans tous les cas.
Étapes suivantes
Comprendre les affectations de refus relatives aux ressources Azure
Répertorier les affectations de refus pour les ressources Azure à l’aide d’Azure PowerShell
minutes to read • Edit Online
Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès. Cet article décrit comment répertorier les affectations de
refus à l’aide d’Azure PowerShell.
NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus. Pour en savoir sur la création des affectations de
refus, consultez Affectations de refus.
Get-AzDenyAssignment
PS C:\> Get-AzDenyAssignment
Id : 22222222-2222-2222-2222-222222222222
DenyAssignmentName : Deny assignment '22222222-2222-2222-2222-222222222222' created by Blueprint
Assignment
'/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Description : Created by Blueprint Assignment '/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Actions : {*}
NotActions : {*/read}
DataActions : {}
NotDataActions : {}
Scope : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/TestingBPLocks
DoNotApplyToChildScopes : True
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
ExcludePrincipals : {
ObjectType: ServicePrincipal
}
IsSystemProtected : True
Id : 33333333-3333-3333-3333-333333333333
DenyAssignmentName : Deny assignment '33333333-3333-3333-3333-333333333333' created by Blueprint
Assignment
'/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Description : Created by Blueprint Assignment '/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Blueprint/blueprintAssignments/assignment-locked-storageaccount-
TestingBPLocks'.
Actions : {*}
NotActions : {*/read}
DataActions : {}
NotDataActions : {}
Scope : /subscriptions/11111111-1111-1111-1111-
111111111111/resourceGroups/TestingBPLocks/providers/Microsoft.Storage/storageAccounts/storep6vkuxmu4m4pq
DoNotApplyToChildScopes : True
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
ExcludePrincipals : {
DisplayName: assignment-locked-storageaccount-TestingBPLocks
ObjectType: ServicePrincipal
ObjectId: 2311a0b7-657a-4ca2-af6f-d1c33f6d2fff
}
IsSystemProtected : True
Étapes suivantes
Comprendre les affectations de refus relatives aux ressources Azure
Répertorier les affectations de refus pour les ressources Azure à l’aide du portail Azure
Répertorier les affectations de refus relatives aux ressources Azure à l'aide de l'API REST
minutes to read • Edit Online
Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure,
même si une attribution de rôle leur confère un accès. Cet article décrit comment lister les affectations de refus
existantes à l’aide de l’API REST.
NOTE
Vous ne pouvez pas directement créer vos propres affectations de refus. Pour en savoir sur la création des affectations de
refus, consultez Affectations de refus.
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-
assignment-id}?api-version=2018-07-01-preview
2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les affectations de refus.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-
version=2018-07-01-preview
2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les affectations de refus.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
3. Remplacez {filter } par la condition que vous voulez appliquer pour filtrer la liste des affectations de refus.
FILTRER DESCRIPTION
GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-
01-preview&$filter={filter}
3. Remplacez {filter } par la condition que vous voulez appliquer pour filtrer la liste des affectations de refus. Un
filtre est obligatoire.
FILTRER DESCRIPTION
Étapes suivantes
Comprendre les affectations de refus relatives aux ressources Azure
Élever l’accès d’un administrateur général dans Azure Active Directory
Référence de l'API REST Azure
Rôles personnalisés pour les ressources Azure
10/03/2020 • 9 minutes to read • Edit Online
Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Comme avec les rôles intégrés, vous pouvez
affecter des rôles personnalisés à des utilisateurs, des groupes et des principaux de service dans l’étendue des
abonnements, des groupes de ressources et des ressources.
Les rôles personnalisés peuvent être partagés entre abonnements qui font confiance au même annuaire Azure
AD. Il existe une limite de 5 000 rôles personnalisés par annuaire. (Pour les clouds spécialisés comme Azure
Government, Azure Allemagne et Azure Chine 21Vianet, la limite s’élève à 2 000 rôles personnalisés.) Vous
pouvez créer des rôles personnalisés à l'aide du portail Azure (préversion), d'Azure PowerShell, d'Azure CLI
ou de l'API REST.
{
"Name": "Virtual Machine Operator",
"Id": "88888888-8888-8888-8888-888888888888",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}",
"/subscriptions/{subscriptionId3}"
]
}
Quand vous créez un rôle personnalisé, celui-ci s’affiche dans le portail Azure avec une icône de ressource
orange.
Procédure de création d’un rôle personnalisé
1. Choisissez la méthode de création de votre choix pour le rôle personnalisé.
Vous pouvez créer des rôles personnalisés à l'aide du portail Azure (préversion), d'Azure PowerShell,
d'Azure CLI ou de l'API REST.
2. Déterminer les autorisations nécessaires
Lorsque vous créez un rôle personnalisé, vous devez connaître les opérations du fournisseur de
ressources qui sont disponibles pour définir vos autorisations. Pour voir la liste des opérations,
consultez Opérations du fournisseur de ressources Azure Resource Manager. Vous ajouterez les
opérations aux propriétés Actions ou NotActions de la définition de rôle. Si vous avez des opérations
de données, vous les ajouterez aux propriétés DataActions ou NotDataActions .
3. Créer le rôle personnalisé
En règle générale, vous démarrez avec un rôle intégré existant, puis vous le modifiez selon vos besoins.
Ensuite, vous utilisez les commandes New -AzRoleDefinition ou az role definition create pour créer le
rôle personnalisé. Pour créer un rôle personnalisé, vous devez disposer de l’autorisation
Microsoft.Authorization/roleDefinitions/write sur toutes les AssignableScopes , comme Propriétaire
ou Administrateur de l’accès utilisateur.
4. Tester le rôle personnalisé
Une fois que vous avez votre rôle personnalisé, vous devez le tester pour vérifier qu’il fonctionne
comme prévu. Si vous avez besoin d’effectuer des ajustements ultérieurement, vous pouvez mettre à
jour le rôle personnalisé.
Pour obtenir un tutoriel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle
personnalisé à l’aide d’Azure PowerShell ou Tutoriel : Créer un rôle personnalisé avec Azure CLI.
Mettre à jour un rôle personnalisé Microsoft.Authorization/ Les utilisateurs ayant accès à cette
roleDefinitions/write opération sur toutes les étendues
AssignableScopes du rôle
personnalisé peuvent mettre à jour
des rôles personnalisés dans ces
étendues. Il s’agit, par exemple, des
Propriétaires et Administrateurs de
l’accès utilisateur d’abonnements, de
groupes de ressources et de
ressources.
IMPORTANT
Les rôles personnalisés Azure utilisant le portail Azure sont actuellement en préversion publique. Cette préversion est fournie
sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines
fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation
Supplémentaires relatives aux Évaluations Microsoft Azure.
Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos
propres rôles personnalisés Azure. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à
des utilisateurs, à des groupes et à des principaux de service dans des étendues de abonnement et de groupe de
ressources. Les rôles personnalisés sont stockés dans un annuaire Azure Active Directory et peuvent être partagés
entre des abonnements. Chaque annuaire peut avoir jusqu’à 5 000 rôles personnalisés. Vous pouvez créer des
rôles personnalisés à l’aide du portail Azure, d’Azure PowerShell, d’Azure CLI ou de l’API REST. Cet article
explique comment créer des rôles personnalisés à l’aide du portail Azure (actuellement en préversion).
Prérequis
Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;
MÉTHODE DESCRIPTION
Examiner des rôles existants Vous pouvez examiner des rôles existants pour voir quelles
autorisations sont utilisées. Pour plus d’informations, voir
Rôles intégrés Azure.
Rechercher des autorisations par mot clé Lorsque vous créez un rôle personnalisé à l’aide du portail
Azure, vous pouvez rechercher des autorisations par mot clé.
Par exemple, vous pouvez rechercher des autorisations
d’ordinateur virtuel ou de facturation. Cette fonctionnalité de
recherche est décrite plus loin à l’Étape 4 : Autorisations.
Télécharger toutes les autorisations Lorsque vous créez un rôle personnalisé à l’aide du portail
Azure, vous pouvez télécharger toutes les autorisations en
tant que fichier CSV, puis Rechercher celui-ci. Dans le volet
Ajouter des autorisations, cliquez sur le bouton
Télécharger toutes les autorisations pour les télécharger
toutes. Pour plus d’informations sur le volet Ajouter des
autorisations, voir l’Étape 4 : Autorisations.
MÉTHODE DESCRIPTION
Afficher les autorisations dans les documents Vous pouvez afficher les autorisations disponibles dans les
opérations de fournisseur de ressources Azure Resource
Manager.
2. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.
3. Recherchez un rôle à cloner, tel que le rôle Lecteur de facturation.
4. À la fin de la ligne, cliquez sur les points de suspension ( ... ), puis sur Cloner.
Cette action ouvre l’éditeur de rôles personnalisés avec l’option Cloner un rôle sélectionnée.
5. Passez à l’Étape 3 : Paramètres de base.
Commencer à partir de zéro
Si vous préférez, vous pouvez suivre ces étapes pour démarrer un rôle personnalisé à partir de rien.
1. Dans le portail Azure, ouvrez un abonnement ou un groupe de ressources dans lequel vous souhaitez que
le rôle personnalisé soit attribuable, puis ouvrez Contrôle d’accès (IAM ) .
2. Cliquez sur Ajouter, puis sur Ajouter un rôle personnalisé (préversion) .
Cette action ouvre l’éditeur de rôles personnalisés avec l’option Commencer à partir de zéro
sélectionnée.
3. Passez à l’Étape 3 : Paramètres de base.
Démarrer à partir d’un JSON
Si vous préférez, vous pouvez spécifier la plupart des valeurs de votre rôle personnalisé dans un fichier JSON.
Vous pouvez ouvrir le fichier dans l’éditeur de rôles personnalisés, apporter des modifications supplémentaires,
puis créer le rôle personnalisé. Pour commencer avec un fichier JSON, procédez comme suit.
1. Créez un fichier JSON au format suivant :
{
"properties": {
"roleName": "",
"description": "",
"assignableScopes": [],
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
2. Dans le fichier JSON, spécifiez les valeurs des différentes propriétés. Voici un exemple avec des valeurs
ajoutées. Pour plus d’informations sur les différentes propriétés, voir Comprendre les définitions de rôles.
{
"properties": {
"roleName": "Billing Reader Plus",
"description": "Read billing data and download invoices",
"assignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Billing/*/read",
"Microsoft.Commerce/*/read",
"Microsoft.Consumption/*/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.CostManagement/*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Étape 4 : Autorisations
Sous l’onglet Autorisations, vous spécifiez les autorisations pour votre rôle personnalisé. Selon que vous avez
cloné un rôle ou avez démarré avec un fichier JSON, il se peut que l’onglet Autorisations répertorie déjà certaines
autorisations.
Ajouter ou supprimer des autorisations
Pour ajouter ou supprimer des autorisations pour votre rôle personnalisé, procédez comme suit.
1. Pour ajouter des autorisations, cliquez sur Ajouter des autorisations pour ouvrir le volet Ajouter des
autorisations.
Ce volet répertorie toutes les autorisations disponibles regroupées par catégories dans un format de carte.
Chaque catégorie représente un fournisseur de ressources, à savoir un service fournissant des ressources
Azure.
2. Dans la zone Rechercher une autorisation, tapez une chaîne pour rechercher des autorisations. Par
exemple, recherchez facture pour trouver des autorisations liées à la facture.
Une liste de cartes de fournisseur de ressources s’affiche en fonction de votre chaîne de recherche. Pour
obtenir une liste qui mappe des fournisseurs de ressources à des services Azure, voir Fournisseurs de
ressources pour les services Azure.
3. Cliquez sur une carte de fournisseur de ressources susceptible d’avoir les autorisations que vous souhaitez
ajouter à votre rôle personnalisé, par exemple Facturation Microsoft.
Une liste des autorisations de gestion pour ce fournisseur de ressources s’affiche en fonction de votre
chaîne de recherche.
4. Si vous recherchez des autorisations qui s’appliquent au plan de données, cliquez sur Actions de données.
Dans le cas contraire, laissez le bouton bascule des actions positionné sur Actions pour répertorier les
autorisations qui s’appliquent au plan de gestion. Pour plus d’informations sur les différences entre le plan
de gestion et le plan de données, voir Opérations de gestion et sur les données.
5. Si nécessaire, mettez à jour la chaîne de recherche pour affiner votre recherche.
6. Une fois que vous avez trouvé une ou plusieurs autorisations à ajouter à votre rôle personnalisé, ajoutez
une coche en regard des autorisations. Par exemple, ajoutez une coche en regard de Autre : Télécharger la
facture pour ajouter l’autorisation de télécharger des factures.
7. Cliquez sur Ajouter pour ajouter l’autorisation à votre liste d’autorisations.
L’autorisation est ajoutée en tant que Actions ou DataActions .
8. Pour supprimer des autorisations, cliquez sur l’icône Supprimer à la fin de la ligne. Dans cet exemple, étant
donné qu’un utilisateur n’a pas besoin de pouvoir créer des tickets de support, l’autorisation
Microsoft.Support/* peut être supprimée.
Microsoft.CostManagement/exports/action
Microsoft.CostManagement/exports/read
Microsoft.CostManagement/exports/write
Microsoft.CostManagement/exports/delete
Microsoft.CostManagement/exports/run/action
Au lieu d’ajouter toutes ces autorisations, vous pouvez simplement ajouter une autorisation générique. Par
exemple, l’autorisation générique suivante équivaut aux cinq autorisations précédentes. Cela inclut également
toutes les futures autorisations d’exportation qui pourraient être ajoutées.
Microsoft.CostManagement/exports/*
Si vous souhaitez ajouter une nouvelle autorisation générique, vous ne pouvez pas le faire à l’aide du volet
Ajouter des autorisations. Pour ajouter une autorisation générique, vous devez procéder manuellement à l’aide
de l’onglet JSON. Pour plus d’informations, voir l’Étape 6 : JSON.
Exclure les autorisations
Si votre rôle a une autorisation générique (*) et que vous souhaitez exclure ou soustraire des autorisations
spécifiques de cette autorisation générique, vous pouvez les exclure. Par exemple, supposons que vous disposez
de l’autorisation générique suivante :
Microsoft.CostManagement/exports/*
Si vous ne souhaitez pas autoriser la suppression d’une exportation, vous pouvez exclure l’autorisation de
suppression suivante :
Microsoft.CostManagement/exports/delete
Lorsque vous excluez une autorisation, celle-ci est ajoutée en tant que NotActions ou NotDataActions . Les
autorisations de gestion effectives sont calculées en ajoutant toutes les Actions , puis en soustrayant toutes les
NotActions . Les autorisations de données effectives sont calculées en ajoutant toutes les DataActions , puis en
soustrayant toutes les NotDataActions .
NOTE
Une exclusion d’autorisation n’est pas la même chose qu’un refus. L’exclusion d’autorisations est simplement un moyen
pratique de soustraire des autorisations d’une autorisation générique.
1. Pour exclure ou soustraire une autorisation d’une autorisation générique accordée, cliquez sur Exclure les
autorisations pour ouvrir le volet Exclure les autorisations.
Dans ce volet, vous spécifiez les autorisations de gestion ou de données qui sont exclues ou soustraites.
2. Une fois que vous avez trouvé une ou plusieurs autorisations à exclure, ajoutez une coche en regard des
autorisations, puis cliquez sur le bouton Ajouter.
Étape 6 : JSON
Sous l’onglet JSON, vous voyez votre rôle personnalisé au format JSON. Si vous le souhaitez, vous pouvez
modifier directement le JSON. Si vous souhaitez ajouter une autorisation générique (*), vous devez utiliser cet
onglet.
1. Pour modifier le JSON, cliquez sur Modifier.
2. Modifiez le JSON.
Si le JSON n’est pas mis en forme correctement, une ligne en escalier rouge et un indicateur apparaissent
dans la marge verticale.
3. Une fois la modification terminée, cliquez sur Enregistrer.
Étape 7 : Vérifier + créer
Sous l’onglet Vérifier + créer, vous pouvez vérifier les paramètres de votre rôle personnalisé.
1. Vérifiez les paramètres de votre rôle personnalisé.
3. Affichez votre nouveau rôle personnalisé dans la liste Rôles. Si vous ne voyez pas votre rôle personnalisé,
cliquez sur Actualiser.
Plusieurs minutes peuvent s’écouler avant que votre rôle personnalisé s’affiche partout.
Plusieurs minutes peuvent s’écouler avant que votre rôle personnalisé soit complètement supprimé.
Étapes suivantes
Tutoriel : Créer un rôle personnalisé à l'aide d'Azure PowerShell
Rôles personnalisés dans Azure
Opérations du fournisseur de ressources Azure Resource Manager
Créer ou mettre à jour des rôles personnalisés pour
les ressources Azure à l’aide d’Azure PowerShell
02/03/2020 • 11 minutes to read • Edit Online
Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre
à jour ou supprimer des rôles personnalisés à l’aide d’Azure PowerShell.
Pour obtenir un tutoriel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle
personnalisé pour les ressources Azure à l'aide d'Azure PowerShell.
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
Name IsCustom
---- --------
Virtual Machine Operator True
AcrImageSigner False
AcrQuarantineReader False
AcrQuarantineWriter False
API Management Service Contributor False
...
L’exemple suivant répertorie les rôles personnalisés pouvant être attribués dans l’abonnement sélectionné.
Si l’abonnement sélectionné ne se trouve pas dans le AssignableScopes du rôle, le rôle personnalisé ne sera pas
répertorié.
{
"Name": "Virtual Machine Operator",
"Id": "00000000-0000-0000-0000-000000000000",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111"
]
}
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
Créer un rôle personnalisé
Pour créer un rôle personnalisé, utilisez la commande New -AzRoleDefinition. Il existe deux méthodes pour
structurer le rôle : avec un objet PSRoleDefinition ou un modèle JSON.
Obtenir les opérations d’un fournisseur de ressources
Si vous créez des rôles personnalisés, il est important d’obtenir toutes les opérations possibles auprès des
fournisseurs de ressources. Pour obtenir ces informations, vous pouvez afficher la liste des opérations du
fournisseur de ressources ou utiliser la commande Get-AzProviderOperation. Par exemple, si vous souhaitez
vérifier toutes les opérations disponibles pour des machines virtuelles, utilisez cette commande :
OperationName Operation
Description
------------- ---------
-----------
Get Virtual Machine Microsoft.Compute/virtualMachines/read
Get the propertie...
Create or Update Virtual Machine Microsoft.Compute/virtualMachines/write
Creates a new vir...
Delete Virtual Machine Microsoft.Compute/virtualMachines/delete
Deletes the virtu...
Start Virtual Machine Microsoft.Compute/virtualMachines/start/action
Starts the virtua...
...
L’exemple suivant montre une autre méthode pour créer le rôle personnalisé Opérateur de machines virtuelles. Il
illustre d’abord la création d’un objet PSRoleDefinition . Les opérations d’action sont spécifiées dans la variable
perms et sont définies sur la propriété Actions . La propriété NotActions est définie en lisant les NotActions
dans le rôle intégré Contributeur de machines virtuelles. Étant donné que le Contributeur de machines virtuelles
ne contient pas de NotActions , cette ligne n’est pas nécessaire. Toutefois, elle montre comment les informations
peuvent être récupérées à partir d’un autre rôle.
$role = [Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition]::new()
$role.Name = 'Virtual Machine Operator 2'
$role.Description = 'Can monitor and restart virtual machines.'
$role.IsCustom = $true
$perms = 'Microsoft.Storage/*/read','Microsoft.Network/*/read','Microsoft.Compute/*/read'
$perms += 'Microsoft.Compute/virtualMachines/start/action','Microsoft.Compute/virtualMachines/restart/action'
$perms += 'Microsoft.Authorization/*/read'
$perms += 'Microsoft.ResourceHealth/availabilityStatuses/read'
$perms += 'Microsoft.Resources/subscriptions/resourceGroups/read'
$perms += 'Microsoft.Insights/alertRules/*','Microsoft.Support/*'
$role.Actions = $perms
$role.NotActions = (Get-AzRoleDefinition -Name 'Virtual Machine Contributor').NotActions
$subs = '/subscriptions/00000000-0000-0000-0000-000000000000','/subscriptions/11111111-1111-1111-1111-
111111111111'
$role.AssignableScopes = $subs
New-AzRoleDefinition -Role $role
Name :
Virtual Machine Operator
Id :
88888888-8888-8888-8888-888888888888
IsCustom :
True
Description :
Can monitor and restart virtual machines.
Actions :
{Microsoft.Storage/*/read, Microsoft.Network/*/read, Microsoft.Compute/*/read,
Microsoft.Compute/virtualMachines/start/action...}
NotActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000,
/subscriptions/11111111-1111-1111-1111-111111111111}
L’exemple suivant ajoute un abonnement Azure aux étendues attribuables du rôle personnalisé Opérateur de
machine virtuelle .
Get-AzSubscription -SubscriptionName Production3
Name : Production3
Id : 22222222-2222-2222-2222-222222222222
TenantId : 99999999-9999-9999-9999-999999999999
State : Enabled
Name :
Virtual Machine Operator
Id :
88888888-8888-8888-8888-888888888888
IsCustom :
True
Description :
Can monitor and restart virtual machines.
Actions :
{Microsoft.Storage/*/read, Microsoft.Network/*/read, Microsoft.Compute/*/read,
Microsoft.Compute/virtualMachines/start/action...}
NotActions : {}
AssignableScopes : {/subscriptions/00000000-0000-0000-0000-000000000000,
/subscriptions/11111111-1111-1111-1111-111111111111,
/subscriptions/22222222-2222-2222-2222-222222222222}
{
"Name": "Custom Role 1",
"Id": "acce7ded-2559-449d-bcd5-e9604e50bad1",
"IsCustom": true,
"Description": "Allows for read access to Azure storage and compute resources and access to support",
"Actions": [
"Microsoft.Compute/*/read",
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Support/*"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000",
"/subscriptions/11111111-1111-1111-1111-111111111111"
]
}
Confirm
Are you sure you want to remove role definition with name 'Virtual Machine Operator'.
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Étapes suivantes
Tutoriel : Créer un rôle personnalisé pour les ressources Azure à l'aide d'Azure PowerShell
Rôles intégrés pour les ressources Azure
Opérations du fournisseur de ressources Azure Resource Manager
Créer ou mettre à jour des rôles personnalisés pour
les ressources Azure à l’aide d’Azure CLI
02/03/2020 • 5 minutes to read • Edit Online
Si les rôles intégrés pour les ressources Azure ne répondent pas aux besoins spécifiques de votre organisation,
vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre à jour ou
supprimer des rôles personnalisés à l’aide d’Azure CLI.
Pour obtenir un tutoriel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle
personnalisé pour les ressources Azure à l’aide d’Azure CLI.
Prérequis
Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :
autorisations nécessaires pour créer des rôles personnalisés, par exemple, Propriétaire ou Administrateur de
l’accès utilisateur ;
Azure Cloud Shell ou Azure CLI
az role definition list --output json | jq '.[] | if .roleType == "CustomRole" then {"roleName":.roleName,
"roleType":.roleType} else empty end'
{
"roleName": "My Management Contributor",
"type": "CustomRole"
}
{
"roleName": "My Service Reader Role",
"type": "CustomRole"
}
{
"roleName": "Virtual Machine Operator",
"type": "CustomRole"
}
...
[
{
"assignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111"
],
"description": "Can monitor and restart virtual machines.",
"id": "/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"permissions": [
{
"actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Virtual Machine Operator",
"roleType": "CustomRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
]
L’exemple suivant liste seulement les actions du rôle Opérateur de machine virtuelle :
az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'
[
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
]
Créer un rôle personnalisé
Pour créer un rôle personnalisé, utilisez az role definition create. La définition de rôle peut être une description
JSON ou le chemin d’un fichier contenant une description JSON.
L’exemple suivant crée un rôle personnalisé appelé Virtual Machine Operator. Ce rôle personnalisé attribue
l’accès à toutes les opérations de lecture (« read ») des fournisseurs de ressources Microsoft.Compute,
Microsoft.Storage et Microsoft.Network et attribue l’accès pour démarrer (« start »), redémarrer (« restart ») et
surveiller (« monitor ») les machines virtuelles. Ce rôle personnalisé peut être utilisé dans deux abonnements. Cet
exemple utilise un fichier JSON en tant qu’entrée.
vmoperator.json
{
"Name": "Virtual Machine Operator",
"IsCustom": true,
"Description": "Can monitor and restart virtual machines.",
"Actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*"
],
"NotActions": [
],
"AssignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111",
"/subscriptions/33333333-3333-3333-3333-333333333333"
]
}
],
"AssignableScopes": [
"/subscriptions/11111111-1111-1111-1111-111111111111",
"/subscriptions/33333333-3333-3333-3333-333333333333"
]
}
Étapes suivantes
Tutoriel : Créer un rôle personnalisé pour les ressources Azure à l’aide d’Azure CLI
Rôles personnalisés pour les ressources Azure
Opérations du fournisseur de ressources Azure Resource Manager
Créer ou mettre à jour des rôles personnalisés pour
les ressources Azure à l’aide de l’API REST
02/03/2020 • 9 minutes to read • Edit Online
Si les rôles intégrés prévus pour les ressources Azure ne répondent pas aux besoins spécifiques de votre
organisation, vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre
à jour ou supprimer des rôles personnalisés à l’aide de l’API REST.
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-
01&$filter={filter}
FILTRER DESCRIPTION
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions?api-
version=2015-07-01&$filter={filter}
2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les rôles.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
FILTRER DESCRIPTION
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions?api-
version=2015-07-01&$filter={filter}
2. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les rôles.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
FILTRER DESCRIPTION
GET
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01
3. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez lister les rôles.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01
{
"name": "{roleDefinitionId}",
"properties": {
"roleName": "",
"description": "",
"type": "CustomRole",
"permissions": [
{
"actions": [
],
"notActions": [
]
}
],
"assignableScopes": [
"/subscriptions/{subscriptionId}"
]
}
}
4. Dans l’URI, remplacez {scope} par le premier élément assignableScopes du rôle personnalisé.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
{
"name": "88888888-8888-8888-8888-888888888888",
"properties": {
"roleName": "Virtual Machine Operator",
"description": "Can monitor and restart virtual machines.",
"type": "CustomRole",
"permissions": [
{
"actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*"
],
"notActions": []
}
],
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
}
PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01
3. Dans l’URI, remplacez {scope} par le premier élément assignableScopes du rôle personnalisé.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
{
"name": "{roleDefinitionId}",
"properties": {
"roleName": "",
"description": "",
"type": "CustomRole",
"permissions": [
{
"actions": [
],
"notActions": [
]
}
],
"assignableScopes": [
"/subscriptions/{subscriptionId}"
]
}
}
6. Mettez à jour le corps de la demande avec les modifications que vous souhaitez apporter au rôle
personnalisé.
Voici un exemple de corps de demande avec ajout d’une nouvelle action de paramètres de diagnostic :
{
"name": "88888888-8888-8888-8888-888888888888",
"properties": {
"roleName": "Virtual Machine Operator",
"description": "Can monitor and restart virtual machines.",
"type": "CustomRole",
"permissions": [
{
"actions": [
"Microsoft.Storage/*/read",
"Microsoft.Network/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Support/*"
],
"notActions": []
}
],
"assignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
}
DELETE
https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionI
d}?api-version=2015-07-01
3. Dans l’URI, remplacez {scope} par l’étendue dont vous souhaitez supprimer le rôle personnalisé.
ÉTENDUE TYPE
subscriptions/{subscriptionId} Subscription
Resource group
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Ressource
subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/
providers/Microsoft.Web/sites/mysite1
Vous avez parfois besoin d’informations sur les modifications du contrôle d’accès en fonction du rôle Azure (RBAC
Azure), par exemple à des fins d’audit ou de dépannage. Quand un utilisateur apporte des changements à des
attributions ou des définitions de rôle au sein de vos abonnements, ceux-ci sont journalisés dans la catégorie
Journal d’activité Azure. Vous pouvez afficher les journaux d’activité pour voir tous les changements RBAC Azure
des 90 derniers jours.
Opérations journalisées
Voici les opérations RBAC Azure qui sont journalisées dans le journal d’activité :
Créer une attribution de rôle
Supprimer une attribution de rôle
Créer ou mettre à jour une définition de rôle personnalisée
Supprimer la définition de rôle personnalisée
Portail Azure
Pour commencer, le plus simple consiste à afficher les journaux d’activité avec le portail Azure. La capture d’écran
suivante montre un exemple d’opérations d’attribution de rôle dans le journal d’activité. Elle contient également
une option pour télécharger les journaux dans un fichier CSV.
Le journal d’activité dans le portail comporte plusieurs filtres. Voici les filtres RBAC Azure :
FILTRER VALEUR
Pour plus d’informations sur les journaux d’activité, consultez Afficher les journaux d’activité pour surveiller les
actions sur les ressources.
Azure PowerShell
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020. Pour
en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az
d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
Pour afficher les journaux d’activité avec Azure PowerShell, utilisez la commande Get-AzLog.
Cette commande liste tous les changements d’attribution de rôle dans un abonnement au cours des sept derniers
jours :
Cette commande liste tous les changements de définition de rôle dans un groupe de ressources au cours des sept
derniers jours :
Cette commande liste tous les changements d’attribution de rôle et de définition de rôle dans un abonnement au
cours des sept derniers jours et affiche les résultats dans une liste :
Caller : alain@example.com
EventTimestamp : 2/27/2020 9:18:05 PM
$_.Authorization.Action : Microsoft.Authorization/roleAssignments/write
Properties :
requestbody : {"Id":"22222222-2222-2222-2222-222222222222","Properties":
{"PrincipalId":"33333333-3333-3333-3333-333333333333","RoleDefinitionId":"/subscriptions/00000000-0000-0000-
0000-000000000000/providers
/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-
20f7382dd24c","Scope":"/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"}}
Azure CLI
Pour afficher les journaux d’activité avec l’interface de ligne de commande Azure, utilisez la commande az monitor
activity-log list.
Cette commande liste les journaux d’activité d’un groupe de ressources à partir du 27 février sur les sept jours
suivants :
Cette commande liste les journaux d’activité d’un fournisseur de ressources Authorization à partir du 27 février sur
les sept jours suivants :
AzureActivity
| where TimeGenerated > ago(60d) and Authorization contains "Microsoft.Authorization/roleAssignments/write" and
ActivityStatus == "Succeeded"
| parse ResourceId with * "/providers/" TargetResourceAuthProvider "/" *
| summarize count(), makeset(Caller) by TargetResourceAuthProvider
Voici une requête qui retourne des changements d’attribution de rôle affichés dans un graphique :
AzureActivity
| where TimeGenerated > ago(60d) and Authorization contains "Microsoft.Authorization/roleAssignments"
| summarize count() by bin(TimeGenerated, 1d), OperationName
| render timechart
Étapes suivantes
Afficher des événements dans le journal d’activité
Surveiller l’activité d’abonnement avec le journal d’activité Azure
minutes to read • Edit Online
En tant qu’administrateur général dans Azure Active Directory (Azure AD ), il est possible que vous n’ayez pas
accès à tous les abonnements et groupes d’administration de votre annuaire. Cet article décrit les méthodes pour
élever votre accès à tous les abonnements et groupes d’administration.
NOTE
Pour plus d’informations sur l’affichage ou la suppression des données personnelles, consultez Requêtes DSR (droits de la
personne concernée) Azure pour le RGPD. Pour plus d’informations sur le RGPD, consultez la section RGPD du portail
Service Trust.
Quand vous définissez la bascule sur Oui, le rôle Administrateur de l’accès utilisateur vous est attribué
dans Azure RBAC au niveau de l’étendue racine (/). Ceci vous accorde l’autorisation d’attribuer des rôles
dans tous les abonnements et groupes d’administration Azure associés à cet annuaire Azure AD. Cette
bascule est disponible seulement pour les utilisateurs auxquels le rôle Administrateur général a été
attribué dans Azure AD.
Quand vous définissez la bascule sur Non, le rôle Administrateur de l’accès utilisateur dans Azure RBAC
est supprimé de votre compte d’utilisateur. Vous ne pouvez plus attribuer des rôles dans tous les
abonnements et groupes d’administration Azure associés à cet annuaire Azure AD. Vous pouvez voir et
gérer seulement les abonnements et groupes d’administration Azure auxquels l’accès vous a été accordé.
NOTE
Si vous utilisez Azure AD Privileged Identity Management (PIM), la désactivation de l’attribution de rôle ne définit
pas cette bascule sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons
de définir cette bascule sur Non avant de désactiver l’attribution de rôle.
7. Effectuez les modifications que vous devez apporter via l’accès élevé.
Pour plus d’informations sur l’attribution de rôles, consultez Gérer les accès à l’aide du contrôle d’accès en
fonction du rôle et du portail Azure. Si vous utilisez Azure AD Privileged Identity Management (PIM ),
consultez Découvrir les ressources Azure à gérer dans PIM ou Attribuer des rôles de ressources Azure
dans PIM.
Supprimer l’accès élevé
Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine ( / ),
effectuez les étapes suivantes.
1. Connectez-vous en tant qu’utilisateur avec celui utilisé pour élever l’accès.
2. Dans la liste de navigation, cliquez sur Azure Active Directory, puis sur Propriétés.
3. Définissez la bascule Gestion de l’accès pour les ressources Azure sur Non. Comme il s’agit d’un
paramètre par utilisateur, vous devez être connecté sous le même utilisateur que celui utilisé pour élever
l’accès.
Si vous tentez de supprimer l’attribution de rôle Administrateur de l’accès utilisateur dans le volet de
contrôle d’accès (IAM ), le message suivant s’affiche. Pour supprimer l’attribution de rôle, vous devez
redéfinir la bascule sur Non ou utiliser Azure PowerShell, Azure CLI ou l’API REST.
Azure PowerShell
NOTE
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell. Vous pouvez
toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.
Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module
Az d’Azure PowerShell. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.
RoleAssignmentId : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /
DisplayName : username
SignInName : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : User
CanDelegate : False
Azure CLI
Lister une attribution de rôle au niveau de l’étendue racine (/)
Pour lister l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur au niveau de l’étendue
racine ( / ), utilisez la commande az role assignment list.
[
{
"canDelegate": null,
"id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
"name": "11111111-1111-1111-1111-111111111111",
"principalId": "22222222-2222-2222-2222-222222222222",
"principalName": "username@example.com",
"principalType": "User",
"roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-
7773c20a72d9",
"roleDefinitionName": "User Access Administrator",
"scope": "/",
"type": "Microsoft.Authorization/roleAssignments"
}
]
az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope
"/"
API REST
Élever l’accès d’un administrateur général
Pour élever l’accès d’un administrateur général à l’aide de l’API REST, suivez les étapes de base suivantes.
1. Avec REST, appelez elevateAccess , qui vous accorde le rôle Administrateur de l’accès utilisateur au niveau
de l’étendue racine ( / ).
POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-
01
2. Créez une attribution de rôle pour attribuer le rôle de votre choix quelle que soit l’étendue. L’exemple
suivant montre les propriétés pour l’attribution du rôle {roleDefinitionID } au niveau de l’étendue racine ( /
):
{
"properties": {
"roleDefinitionId": "providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionID}",
"principalId": "{objectID}",
"scope": "/"
},
"id": "providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments",
"name": "11111111-1111-1111-1111-111111111111"
}
3. En tant qu’Administrateur de l’accès utilisateur, vous pouvez également supprimer des attributions de rôle
au niveau de l’étendue racine ( / ).
4. Révoquez vos privilèges d’Administrateur des accès utilisateur jusqu’à ce que vous en ayez de nouveau
besoin.
Lister les attributions de rôle au niveau de l’étendue racine (/)
Vous pouvez lister toutes les attributions de rôle d’un utilisateur au niveau de l’étendue racine ( / ).
Appelez GET roleAssignments, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez
récupérer les attributions de rôles.
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-
07-01&$filter=principalId+eq+'{objectIdOfUser}'
GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-
07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-
07-01&$filter=roleName+eq+'User Access Administrator'
{
"value": [
{
"properties": {
"roleName": "User Access Administrator",
"type": "BuiltInRole",
"description": "Lets you manage user access to Azure resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": []
}
],
"createdOn": "0001-01-01T08:00:00.0000000Z",
"updatedOn": "2016-05-31T23:14:04.6964687Z",
"createdBy": null,
"updatedBy": null
},
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"type": "Microsoft.Authorization/roleDefinitions",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
}
],
"nextLink": null
}
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-
07-01&$filter=principalId+eq+'{objectid}'
NOTE
Un administrateur d’annuaire ne doit normalement pas avoir beaucoup d’attributions. Si la requête précédente
retourne un trop grand nombre d’attributions, vous pouvez aussi interroger toutes les attributions seulement au
niveau de l’étendue de l’annuaire, puis filtrer les résultats :
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-
version=2015-07-01&$filter=atScope()
3. Les appels précédents retournent une liste des attributions de rôle. Recherchez l’attribution de rôle pour
laquelle l’étendue est "/" , où roleDefinitionId se termine par l’ID du nom de rôle trouvé à l’étape 1 et
où principalId correspond à l’objectid de l’administrateur d’annuaire.
Exemple d’attribution de rôle :
{
"value": [
{
"properties": {
"roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-
a5c3-7773c20a72d9",
"principalId": "{objectID}",
"scope": "/",
"createdOn": "2016-08-17T19:21:16.3422480Z",
"updatedOn": "2016-08-17T19:21:16.3422480Z",
"createdBy": "22222222-2222-2222-2222-222222222222",
"updatedBy": "22222222-2222-2222-2222-222222222222"
},
"id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments",
"name": "11111111-1111-1111-1111-111111111111"
}
],
"nextLink": null
}
DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-
1111-1111-111111111111?api-version=2015-07-01
Étapes suivantes
Comprendre les différents rôles dans Azure
Gérer l'accès aux ressources Azure à l'aide du contrôle RBAC et de l'API REST
minutes to read • Edit Online
Microsoft vous recommande de gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle
(RBAC ). Toutefois, si vous utilisez toujours le modèle de déploiement classique, vous devrez utiliser un rôle
d’administrateur d'abonnement classique : Administrateur et coadministrateur de service. Pour plus
d’informations, consultez Déploiement Azure Resource Manager et déploiement Classic.
Cet article décrit comment ajouter ou modifier les rôles Coadministrateur et Administrateur de services, et
comment voir l’Administrateur de compte.
Ajouter un coadministrateur
TIP
Vous devez ajouter un coadministrateur uniquement si l’utilisateur a besoin de gérer les déploiements Azure Classic à l’aide
du module PowerShell de gestion des services Azure. Si l’utilisateur utilise uniquement le portail Azure pour gérer les
ressources classiques, vous n’avez pas besoin d’ajouter l’administrateur classique pour l’utilisateur.
5. Cliquez sur Ajouter > Ajouter un coadministrateur pour ouvrir le volet Ajouter des coadministrateurs.
Si l’option Ajouter un coadministrateur est désactivée, cela signifie que vous n’avez pas les autorisations
requises.
6. Sélectionnez l’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter.
Ajoutez un utilisateur invité en tant que coadministrateur
Pour ajouter un utilisateur invité en tant que coadministrateur, suivez les mêmes étapes que celles décrites dans la
section précédente Ajouter un coadministrateur. L’utilisateur invité doit remplir les critères suivants :
L’utilisateur invité doit être présent dans votre annuaire. Cela signifie que l’utilisateur a été invité dans votre
annuaire et a accepté l’invitation.
Pour plus d’informations sur la manière d’ajouter un utilisateur invité à votre annuaire, consultez Ajouter des
utilisateurs Azure Active Directory B2B Collaboration dans le Portail Azure.
Différences pour les utilisateurs invités
Les utilisateurs invités qui ont été affectés au rôle de coadministrateur peuvent constater des différences par
rapport aux utilisateurs membres avec le rôle coadministrateur. Examinez le cas suivant :
L’utilisateur A avec un compte professionnel ou scolaire Azure AD est administrateur de service pour un
abonnement Azure.
L’utilisateur B dispose d’un compte Microsoft.
L’utilisateur A attribue le rôle de coadministrateur à l’utilisateur B.
L’utilisateur B peut presque tout faire, mais il ne peut pas inscrire d’applications ni rechercher des utilisateurs
dans l’annuaire Azure AD.
Vous vous attendiez sans doute à ce que l’utilisateur B puisse tout gérer. La raison de cette différence est que le
compte Microsoft est ajouté à l’abonnement en tant qu’invité utilisateur et non en tant qu’utilisateur membre. Les
utilisateurs invités disposent d’autorisations par défaut différentes dans Azure AD par rapport aux utilisateurs
membres. Par exemple, les utilisateurs membres peuvent voir les autres utilisateurs dans Azure AD, ce que ne
peuvent pas faire les utilisateurs invités. Les utilisateurs membres peuvent inscrire de nouveaux principaux de
service dans Azure AD, ce que ne peuvent pas faire les utilisateurs invités.
Si un utilisateur invité doit pouvoir effectuer ces tâches, une solution possible consiste à lui affecter le rôle
administrateur Azure AD spécifique dont l’utilisateur invité a besoin. Par exemple, dans le scénario précédent,
vous pouvez attribuer le rôle lecteur d’annuaire pour pouvoir lire d’autres utilisateurs et affecter le rôle
développeur d’applications pour pouvoir créer des principaux de service. Pour plus d’informations sur les
membres et les utilisateurs invités et leurs autorisations, consultez Quelles sont les autorisations utilisateur par
défaut dans Azure Active Directory ?. Pour plus d’informations sur l’octroi d’accès pour les utilisateurs invités,
consultez Gérer l’accès aux ressources Azure pour les utilisateurs invités externes à l’aide du contrôle d’accès en
fonction du rôle.
Notez que les rôles intégrés pour les ressources Azure diffèrent de ceux des rôles d’administrateur Azure AD. Les
rôles intégrés n’accordent aucun accès à Azure AD. Pour plus d’informations, consultez Comprendre les différents
rôles.
Pour plus d’informations comparant les utilisateurs membres et les utilisateurs invités, consultez Quelles sont les
autorisations d’utilisateur par défaut dans Azure Active Directory ?.
Supprimer un coadministrateur
1. Connectez-vous au portail Azure en tant qu’administrateur ou coadministrateur du service.
2. Ouvrez Abonnements et sélectionnez un abonnement.
3. Cliquez sur Contrôle d’accès (IAM ) .
4. Cliquez sur l’onglet Administrateurs classiques.
5. Ajoutez une coche en regard du Coadministrateur que vous souhaitez supprimer.
6. Cliquez sur Supprimer.
7. Dans la boîte de message qui s’affiche, cliquez sur Oui.
Si l’administrateur de compte est un compte Azure AD, vous pouvez modifier l’administrateur de service en un
compte Azure AD dans le même annuaire, mais pas dans un autre. Par exemple, abby@contoso.com peut modifier
l’administrateur de service en bob@contoso.com, mais ne pas en john@notcontoso.com, sauf si
john@notcontoso.com a une présence dans l’annuaire contoso.com.
Pour plus d’informations sur les comptes Microsoft et Azure AD, voir Qu’est-ce qu’Azure Active Directory ?.
Étapes suivantes
Comprendre les différents rôles dans Azure
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Ajouter ou changer des administrateurs d’abonnements Azure
Résoudre des problèmes liés au contrôle d’accès en
fonction du rôle pour les ressources Azure
02/03/2020 • 17 minutes to read • Edit Online
Cet article répond aux questions fréquentes sur le contrôle d’accès en fonction du rôle pour les ressources Azure,
afin que vous sachiez à quoi vous attendre lorsque vous utilisez les rôles sur le Portail Azure et que vous puissiez
résoudre les problèmes d’accès.
RoleAssignmentId : /subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName :
SignInName :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId : 33333333-3333-3333-3333-333333333333
ObjectType : Unknown
CanDelegate : False
De même, si vous répertoriez cette attribution de rôle à l’aide d’Azure CLI, principalName est vide à l’écran. Par
exemple, az role assignment list retourne une attribution de rôle similaire à ce qui suit :
{
"canDelegate": null,
"id": "/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"principalId": "33333333-3333-3333-3333-333333333333",
"principalName": "",
"roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-
111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"roleDefinitionName": "Storage Blob Data Contributor",
"scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments"
}
Il n’est pas gênant de conserver ces attributions de rôle, mais vous pouvez les supprimer à l’aide d’étapes
similaires aux autres attributions de rôle. Pour plus d’informations sur la suppression des attributions de rôles,
consultez Portail Azure, Azure PowerShell ou Azure CLI
Dans PowerShell, si vous essayez de supprimer les attributions de rôles à l’aide de l’ID d’objet et du nom de
définition de rôle alors que plusieurs attributions de rôle correspondent à vos paramètres, le message d’erreur
suivant s’affiche : « Les informations fournies ne correspondent pas à une attribution de rôle ». Voici un exemple
du message d’erreur :
Si ce message d’erreur s’affiche, prenez soin de spécifier également les paramètres -Scope ou -ResourceGroupName
.
En conséquence, si vous accordez à un utilisateur le seul accès à l’application web, la plupart des fonctionnalités du
volet Site web dans le portail Azure sont désactivées.
Les éléments suivants requièrent l’accès en écriture au plan App Service qui correspond à votre site web :
Affichage du niveau tarifaire de l’application web (Gratuit ou Standard)
Configuration de mise à l'échelle (le nombre d'instances, la taille de la machine virtuelle, les paramètres de
mise à l'échelle automatique)
Quotas (stockage, bande passante, UC )
Les éléments suivants requièrent l’accès en écriture à l’ensemble du Groupe de ressources qui contient le site
web :
Certificats et liaisons SSL (les certificats SSL peuvent être partagés entre différents sites dans le même groupe
de ressources et emplacement)
Règles d'alerte
Paramètres de mise à l'échelle automatique
Composants Application Insights
Tests web
Un lecteur peut cliquer sur l’onglet Fonctionnalités de plateforme, puis cliquez sur Tous les paramètres pour
afficher certains paramètres liés à une application de fonction (semblable à une application Web), mais il ne peut
pas modifier ces paramètres. Pour accéder à ces fonctionnalités, vous aurez besoin du rôle Contributeur.
Étapes suivantes
Résolution des problèmes pour les utilisateurs invités
Gérer l’accès aux ressources Azure à l’aide du contrôle RBAC et du portail Azure
Afficher les journaux d’activité des changements de contrôle d’accès en fonction du rôle pour les ressources
Azure
Rôles intégrés pour les ressources Azure
04/03/2020 • 155 minutes to read • Edit Online
Le contrôle d’accès en fonction du rôle (RBAC ) a plusieurs rôles intégrés pour les ressources Azure que
vous pouvez affecter aux utilisateurs, groupes, principaux de service et identités managées. Les
attributions de rôles vous permettent de contrôler l’accès aux ressources Azure. Si les rôles intégrés ne
répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles
personnalisés pour les ressources Azure.
Cet article répertorie les rôles intégrés pour les ressources Azure, qui sont en constante évolution. Pour
obtenir les derniers rôles, utilisez la commande Get-AzRoleDefinition ou az role definition list. Si vous
recherchez des rôles d’administrateur pour Azure Active Directory, consultez Autorisations de rôles
d’administrateur dans Azure Active Directory.
Rôle d’opérateur du service Gestion Peut gérer le service, mais pas les e022efe7-f5ba-4159-bbe4-
des API API b44f577e9b61
Propriétaire des données App Permet l’accès total aux données 5ae67dd6-50cb-40e7-96ff-
Configuration App Configuration. dc2bfa4b606b
Lecteur des données App Permet de lire les données App 516239f1-63e1-4d78-a4de-
Configuration Configuration. a74fb236a071
Rôle d’utilisateur de cluster Azure Répertorie les actions relatives aux 4abbcc35-e782-43d8-92c5-
Kubernetes Service informations d’identification de 2d3f1bd2253f
l’utilisateur du cluster.
Lecteur de données Azure Maps Octroie un accès pour lire les 423170ca-a8f6-4b0f-8487-
(préversion) données liées au mappage à partir 9e4eb8f49bfa
d’un compte Azure Maps.
Contributeur de profil CDN Peut gérer des profils CDN et leurs ec156ff8-a8d1-4d15-830c-
points de terminaison, mais ne peut 5b80698ca432
pas accorder l’accès à d’autres
utilisateurs.
Rôle de lecteur de compte Cosmos Lire les données de comptes Azure fbdf93bf-df7d-467e-a4d2-
DB Cosmos DB. Consultez 9458aa1360c8
Contributeur de compte
DocumentDB pour en savoir plus
sur la gestion des comptes Azure
Cosmos DB.
Lecteur et accès aux données Permet d’afficher tous les éléments, c12c1c16-33a1-487b-954d-
mais pas de supprimer ou de créer 41c89c60f349
un compte de stockage ou une
ressource contenue. En outre,
autorise l’accès en lecture/écriture à
toutes les données contenues dans
un compte de stockage via l’accès
aux clés de compte de stockage.
Contributeur aux données en file Lire, écrire et supprimer des files 974c5e8b-45b9-4653-ba55-
d’attente du stockage d'attente et messages en file 5f855dd0fb88
d'attente du stockage Azure. Pour
savoir quelles actions sont requises
pour une opération de données
spécifique, consultez Autorisations
pour appeler les opérations de
données d’objet blob et de file
d’attente.
Lecteur des données en file Lire et répertorier des files d’attente 19e7f393-937e-4f77-808e-
d’attente du stockage et messages en file d’attente du 94535e297925
stockage Azure. Pour savoir quelles
actions sont requises pour une
opération de données spécifique,
consultez Autorisations pour
appeler les opérations de données
d’objet blob et de file d’attente.
Contributeur de site web Permet de gérer des sites web (pas de139f84-1756-47ae-9be6-
des plans web), mais pas d’y 808fbbe84772
accéder.
Id 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur
Id b24988ac-6180-42a0-ab88-20f7382dd24c
Actions
NotActions
Aucune
NotDataActions
Aucune
Lecteur
Id acdd72a7-3385-48ef-bd42-f606fba81ae7
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
AcrDelete
Id c2f4ef07-c644-48eb-af81-4b1b4947fb11
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
AcrImageSigner
Id 6cef56e8-d556-48e5-a04f-b8e64114680f
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
AcrPull
Id 7f951dda-4ed3-4680-a7ca-43fe172d538d
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
AcrPush
Id 8311e382-0749-4cb8-b61a-304f252e45ec
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
AcrQuarantineReader
Id cdda3590-29a3-44f6-95f2-9f980659eb04
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
AcrQuarantineWriter
Id c8d4ff99-41c3-41a8-9f60-21dfdad59608
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 312a565d-c81f-4fd8-895a-4e21e48d571c
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id e022efe7-f5ba-4159-bbe4-b44f577e9b61
Actions
NotActions
DataActions
Aucune
NotDataActions
Aucune
Id 71522526-b88f-4d52-b57f-d31fc3546d0d
Actions
NotActions
DataActions
Aucune
NotDataActions
Aucune
Id 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
Actions
Aucune
NotActions
Aucune
DataActions
Microsoft.AppConfiguration/configurationStores/*/read
Microsoft.AppConfiguration/configurationStores/*/write
Microsoft.AppConfiguration/configurationStores/*/delet
e
NotDataActions
Aucune
Id 516239f1-63e1-4d78-a4de-a74fb236a071
Actions
Aucune
NotActions
Aucune
DataActions
Microsoft.AppConfiguration/configurationStores/*/read
NotDataActions
Aucune
Id ae349356-3a1b-4a5e-921d-050484c6347e
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Actions
Microsoft.Insights/components/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 4fe576fe-1146-4730-92eb-48519fa6bf9f
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Opérateur Automation
Opérateur Automation
Id d3881f73-407a-4167-8283-e981cbba0404
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur Avere
Id 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Actions
Microsoft.Compute/*/read
Microsoft.Compute/availabilitySets/*
Microsoft.Compute/virtualMachines/*
Microsoft.Compute/disks/*
Microsoft.Network/*/read
Microsoft.Network/networkInterfaces/*
Microsoft.Storage/*/read
Microsoft.Storage/storageAccounts/*
NotActions
Aucune
DataActions
NotDataActions
Aucune
Opérateur Avere
Id c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id cd570a14-e51a-42ad-bac8-bafd67325302
Actions
Microsoft.HybridCompute/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id f526a384-b230-433a-b45c-95f59c4a2dec
Actions
Microsoft.EventHub/*
NotActions
Aucune
DataActions
Microsoft.EventHub/*
NotDataActions
Aucune
Id a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Actions
Microsoft.EventHub/*/eventhubs/consumergroups/read
NotActions
Aucune
DataActions
Microsoft.EventHub/*/receive/action
NotDataActions
Aucune
Id 2b629674-e913-4c01-ae53-ef4638d8f975
Actions
Microsoft.EventHub/*/eventhubs/read
NotActions
Aucune
DataActions
Microsoft.EventHub/*/send/action
NotDataActions
Aucune
Id 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Actions
Microsoft.ContainerService/managedClusters/listCluster Répertorier les informations d’identification
UserCredential/action clusterAdmin d’un cluster géré
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id ab8e14d6-4a74-4a29-9ba8-549422addade
Actions
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/savedSearche
s/*
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.Insights/workbooks/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Actions
Microsoft.SecurityInsights/*/read
Microsoft.OperationalInsights/workspaces/query/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Actions
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/cases/*
Microsoft.OperationalInsights/workspaces/query/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 090c5cfd-751d-490a-894a-3ce6f1109419
Actions
Microsoft.ServiceBus/*
NotActions
Aucune
DataActions
Microsoft.ServiceBus/*
NotDataActions
Aucune
Id 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Actions
Microsoft.ServiceBus/*/queues/read
Microsoft.ServiceBus/*/topics/read
Microsoft.ServiceBus/*/topics/subscriptions/read
NotActions
Aucune
DataActions
Microsoft.ServiceBus/*/receive/action
NotDataActions
Aucune
Id 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
Actions
Microsoft.ServiceBus/*/queues/read
Microsoft.ServiceBus/*/topics/read
Microsoft.ServiceBus/*/topics/subscriptions/read
NotActions
Aucune
DataActions
Microsoft.ServiceBus/*/send/action
NotDataActions
Aucune
Id 6f12a6df-dd06-4f3e-bcb1-ce8be600526a
Actions
Microsoft.AzureStack/registrations/products/*/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur de sauvegarde
Id 5e467623-bb1f-42f4-a55d-6e525e11384b
Actions
Microsoft.RecoveryServices/locations/*
Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*
Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/*
Microsoft.RecoveryServices/Vaults/backupstorageconfig/
*
Microsoft.RecoveryServices/Vaults/backupconfig/*
Microsoft.RecoveryServices/Vaults/backupFabrics/backu
pProtectionIntent/*
Microsoft.RecoveryServices/Vaults/backupFabrics/protec Obtient tous les conteneurs protégeables
tableContainers/read
Microsoft.RecoveryServices/locations/backupPreValidate
Protection/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Opérateur de sauvegarde
Id 00c29273-979b-4161-815c-10b084fb9324
Actions
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/*
Microsoft.RecoveryServices/Vaults/backupstorageconfig/
*
Microsoft.RecoveryServices/locations/backupPreValidate
Protection/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Lecteur de sauvegarde
Id a795c7a0-d4a2-40c1-ae25-d81f01202912
Actions
Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Lecteur de facturation
Id fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
Actions
Microsoft.Commerce/*/read
Microsoft.Consumption/*/read
Microsoft.CostManagement/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur BizTalk
Id 5e3c6656-6cfa-4708-81fe-0de47ac73342
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 31a002a1-acaf-453e-8a5b-297c9ca1ea24
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Contributeur blueprint
Description Peut gérer les définitions blueprint, mais ne peut pas les
affecter.
Id 41077137-e803-4205-871c-5a86e6a753b4
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Opérateur blueprint
Id 437d2ced-4a38-4302-8479-ed2bcb43d090
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
Actions
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/endpoints/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 871e35f6-b5c1-49cc-a043-bde969a0f2cd
Actions
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/endpoints/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id ec156ff8-a8d1-4d15-830c-5b80698ca432
Actions
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 8f96442b-4075-438f-813d-ad51ab4019af
Actions
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id b34d265f-36f7-4a0d-a4d4-e158ca92e90f
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id d73bb868-a0df-4d4d-bd69-98a00b01fccb
Actions
Microsoft.ClassicNetwork/networkSecurityGroups/join/a
ction
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
Actions
Microsoft.CognitiveServices/*
Microsoft.Resources/subscriptions/resourcegroups/depl
oyments/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id b59867f0-fa02-499b-be73-45a86b5b3e1c
Actions
Aucune
NotActions
Aucune
DataActions
Microsoft.CognitiveServices/*/read
NotDataActions
Aucune
Id a97b65f3-24C7-4388-baec-2e87135dc908
Actions
Microsoft.CognitiveServices/*/read
NotActions
Aucune
DataActions
Microsoft.CognitiveServices/*
NotDataActions
Aucune
Id fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Opérateur Cosmos DB
Id 230815da-be43-4aae-9cb4-875f7bd000aa
Actions
Microsoft.DocumentDb/databaseAccounts/*
NotActions
Microsoft.DocumentDB/databaseAccounts/readonlyKey
s/*
Microsoft.DocumentDB/databaseAccounts/regenerateK
ey/*
Microsoft.DocumentDB/databaseAccounts/listKeys/*
Microsoft.DocumentDB/databaseAccounts/listConnectio
nStrings/*
DataActions
Aucune
NotDataActions
Aucune
CosmosBackupOperator
Id db7b14f2-5adf-42da-9f96-f2ee17bab5cb
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 434105ed-43f6-45c7-a02f-909b2ba83430
Actions
Microsoft.Consumption/*
Microsoft.CostManagement/*
Microsoft.Billing/billingPeriods/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 72fafb9e-0641-4937-9268-a91bfd8191a3
Actions
Microsoft.Consumption/*/read
Microsoft.CostManagement/*/read
Microsoft.Billing/billingPeriods/read
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id add466c9-e687-43fc-8d98-dfcf8d720be5
Actions
Microsoft.Databox/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Actions
Microsoft.Databox/*/read
Microsoft.Databox/jobs/listsecrets/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 47b7735b-770e-4598-a7da-8b91488b4c88
Actions
Microsoft.DataLakeAnalytics/accounts/*
NotActions
Microsoft.BigAnalytics/accounts/Delete
Microsoft.BigAnalytics/accounts/TakeOwnership/action
Microsoft.BigAnalytics/accounts/Write
Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAcc Crée ou met à jour un compte Data Lake Store lié d’un
ounts/Write compte Data Lake Analytics.
DataActions
Aucune
NotDataActions
Aucune
Videur de données
Id 150f5e0c-0603-4f03-8c7f-cf70034c4e90
Actions
Microsoft.Insights/components/*/read
Microsoft.OperationalInsights/workspaces/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 76283e04-6283-4c54-8f91-bcf1374a3c64
Actions
NotActions
DataActions
Aucune
NotDataActions
Aucune
Id befefa01-2a29-4197-83a8-272ff33ce314
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 5bd9cd88-fe45-4216-938b-f97437e15450
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
Actions
Microsoft.EventGrid/eventSubscriptions/*
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 2414bbcf-6497-4FAF-8c65-045460748405
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 61ed4efc-fab3-44fd-b111-e24485cc132a
Actions
Microsoft.HDInsight/*/read
Microsoft.HDInsight/clusters/configurations/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 8d8d5a11-05d3-4bda-a417-a08778121c7c
Actions
Microsoft.AAD/*/read
Microsoft.AAD/domainServices/*/read
Microsoft.AAD/domainServices/oucontainer/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 03a6d094-3444-4b3d-88af-7477090a9e5e
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id f25e0fa2-a7c8-4377-a976-54943a77a395
Actions
Microsoft.KeyVault/*
NotActions
Microsoft.KeyVault/hsmPools/*
DataActions
Aucune
NotDataActions
Aucune
Créateur Lab
Id b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
Actions
Microsoft.LabServices/labAccounts/*/read
Microsoft.LabServices/labAccounts/sizes/getRegionalAva
ilability/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Actions
Microsoft.Automation/automationAccounts/*
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Resources/subscriptions/resourcegroups/depl
oyments/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 73c42c96-874c-492b-b04d-ab87d138a893
Actions
NotActions
DataActions
Aucune
NotDataActions
Aucune
Id 87a39d53-fc1b-424a-814c-f7e04687dc9e
Actions
Microsoft.Web/serverFarms/join/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
Actions
Microsoft.Insights/metricAlerts/*/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 641177b8-a67a-45b9-a033-47bc880bb21e
Actions
Microsoft.Solutions/applications/*
Microsoft.Resources/subscriptions/resourceGroups/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id c7393b34-138c-406f-901b-d8cf2b17e6ae
Actions
Microsoft.Solutions/*/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id b9331d33-8a36-4f8c-b097-4f54124fdb44
Actions
Microsoft.Solutions/jitRequests/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur d’identités gérées
Id e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id f1a07417-d97a-45cb-824c-7a7467783830
Actions
Microsoft.ManagedIdentity/userAssignedIdentities/*/rea
d
Microsoft.ManagedIdentity/userAssignedIdentities/*/ass
ign/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 91c1777a-f3dc-4fae-b103-61d183457e46
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur d’analyse
Id 749f88d5-cbae-40b8-bcfc-e573ddc772fa
Actions
Microsoft.AlertsManagement/alerts/*
Microsoft.AlertsManagement/alertsSummary/*
Microsoft.Insights/actiongroups/*
Microsoft.Insights/activityLogAlerts/*
Microsoft.Insights/metricalerts/*
Microsoft.Insights/scheduledqueryrules/*
Microsoft.Insights/workbooks/*
Microsoft.WorkloadMonitor/monitors/*
Microsoft.WorkloadMonitor/notificationSettings/*
Microsoft.AlertsManagement/smartDetectorAlertRules/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 3913510d-42f4-4e42-8a64-420c390055eb
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Lecteur d’analyse
Id 43d0d8ad-25c7-4714-9337-8ba259a9fe05
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur de réseau
Id 4d97b98b-1d4f-4787-a291-c67834d212e7
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur de compte NewRelic APM
Id 5d28c62d-5b37-4476-8438-e587778df237
Actions
NewRelic.APM/accounts/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 66bb4e9e-b016-4a94-8249-4c0511c2be84
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id c12c1c16-33a1-487b-954d-41c89c60f349
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Description Permet de gérer des caches Redis, mais pas d’y accéder.
Id e0f68234-74aa-48ed-b826-c38b57376e17
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 36243c78-bf99-498c-9df9-86d9f8d28608
Actions
Microsoft.PolicyInsights/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 7ca78c08-252a-4471-8644-bb5ff32d4ba0
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Administrateur de la sécurité
Id fb1c8493-542b-48eb-b624-b4c8fea62acd
Actions
Microsoft.Security/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur d'évaluation de la sécurité
Id 612c2aa1-cb24-443b-ac28-3ab7272de6f5
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id e3d13bf0-dd5a-482e-ba6b-9b8433878d10
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Lecteur de sécurité
Id 39bc4728-0917-49c7-9d2c-d95423bc2eb4
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Actions
Microsoft.RecoveryServices/Vaults/refreshContainers/rea
d
Microsoft.RecoveryServices/Vaults/tokenInfo/read
Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/notificationConfiguration/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Opérateur Site Recovery
Id 494ae006-db33-4328-bf46-533a6560a3ca
Actions
Microsoft.RecoveryServices/Vaults/refreshContainers/rea
d
Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/notificationConfiguration/read
Microsoft.RecoveryServices/Vaults/storageConfig/read
Microsoft.RecoveryServices/Vaults/tokenInfo/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id dbaa88c4-0c30-4179-9fb3-46319faa6149
Actions
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.RecoveryServices/Vaults/monitoringConfigurat
ions/notificationConfiguration/read
Microsoft.RecoveryServices/Vaults/refreshContainers/rea
d
Microsoft.RecoveryServices/Vaults/storageConfig/read
Microsoft.RecoveryServices/Vaults/tokenInfo/read
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur de compte Spatial Anchors
Id 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 70bbe301-9835-447d-afdd-19eb3167307c
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 5d51204f-eb77-4b1c-b86a-2ec626c49413
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
Actions
Microsoft.Sql/locations/*/read
NotActions
Microsoft.Sql/managedInstances/databases/currentSensi
tivityLabels/*
Microsoft.Sql/managedInstances/databases/recommend
edSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/ta
bles/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAler
tPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLa
bels/*
Microsoft.Sql/managedInstances/databases/vulnerability
Assessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessmen
ts/*
Microsoft.Sql/servers/databases/currentSensitivityLabels
/*
Microsoft.Sql/servers/databases/extendedAuditingSettin
gs/*
Microsoft.Sql/servers/databases/recommendedSensitivit
yLabels/*
Microsoft.Sql/servers/databases/schemas/tables/column
s/sensitivityLabels/*
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
s/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Scans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Settings/*
Microsoft.Sql/servers/vulnerabilityAssessments/*
DataActions
Aucune
NotDataActions
Aucune
Id 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
Actions
Microsoft.Network/networkSecurityGroups/*
Microsoft.Network/routeTables/*
Microsoft.Sql/locations/*/read
Microsoft.Sql/managedInstances/*
Microsoft.Network/virtualNetworks/subnets/*
Microsoft.Network/virtualNetworks/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 056cd41c-7e88-42e1-933e-88ba6a50c9c3
Actions
Microsoft.Sql/managedInstances/databases/currentSensi
tivityLabels/*
Microsoft.Sql/managedInstances/databases/recommend
edSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/ta
bles/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAler
tPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLa
bels/*
Microsoft.Sql/managedInstances/databases/vulnerability
Assessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/transparent
DataEncryption/*
Microsoft.Sql/managedInstances/vulnerabilityAssessmen
ts/*
Microsoft.Sql/servers/databases/currentSensitivityLabels
/*
Microsoft.Sql/servers/databases/recommendedSensitivit
yLabels/*
Microsoft.Sql/servers/databases/schemas/read Obtenir un schéma de base de données.
Microsoft.Sql/servers/databases/schemas/tables/column
s/sensitivityLabels/*
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/transparentDataEncrypt
ion/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
s/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Scans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Settings/*
Microsoft.Sql/servers/firewallRules/*
Microsoft.Sql/servers/vulnerabilityAssessments/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur SQL Server
Id 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437
Actions
Microsoft.Sql/locations/*/read
NotActions
Microsoft.Sql/managedInstances/databases/currentSensi
tivityLabels/*
Microsoft.Sql/managedInstances/databases/recommend
edSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/ta
bles/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAler
tPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLa
bels/*
Microsoft.Sql/managedInstances/databases/vulnerability
Assessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessmen
ts/*
Microsoft.Sql/servers/databases/currentSensitivityLabels
/*
Microsoft.Sql/servers/databases/extendedAuditingSettin
gs/*
Microsoft.Sql/servers/databases/recommendedSensitivit
yLabels/*
Microsoft.Sql/servers/databases/schemas/tables/column
s/sensitivityLabels/*
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
s/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Scans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessment
Settings/*
Microsoft.Sql/servers/extendedAuditingSettings/*
DataActions
Aucune
NotDataActions
Aucune
Id 17d1049b-9a84-46fb-8f53-869881c3d3ab
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 81a9662b-bebf-436f-a333-f67b29880f12
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id ba92f5b4-2d11-453d-a403-e96b0029c9fe
Actions
Microsoft.Storage/storageAccounts/blobServices/contai Supprimer un conteneur.
ners/delete
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id b7e6dc6d-f1e8-4753-8033-0f276bb0955b
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id db58b8e5-c6ad-4a2a-8342-4190687cbf4a
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id a7264617-510b-434b-a828-9731dc254ea7
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id aba4ae5f-2193-4029-9191-0cb91df5e314
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 974c5e8b-45b9-4653-ba55-5f855dd0fb88
Actions
NotActions
Aucune
DataActions
Microsoft.Storage/storageAccounts/queueServices/queu Supprimer un ou plusieurs messages à partir d’une file
es/messages/delete d’attente.
NotDataActions
Aucune
Id 8a0f0c08-91a1-4084-bc3d-661d67233fed
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
Actions
Aucune
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 19e7f393-937e-4f77-808e-94535e297925
Actions
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id a4b10055-b0c7-44c2-b00f-c7b5b3550cf7
Actions
Microsoft.Network/trafficManagerProfiles/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id 1c0163c0-47e6-4577-8991-ea5c82e286e4
Actions
Microsoft.Compute/virtualMachines/*/read
NotActions
Aucune
DataActions
NotDataActions
Aucune
Id 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Actions
Microsoft.DevTestLab/schedules/*
Microsoft.RecoveryServices/locations/*
Microsoft.RecoveryServices/Vaults/backupFabrics/backu Crée une intention de protection de sauvegarde.
pProtectionIntent/write
Microsoft.RecoveryServices/Vaults/backupFabrics/protec
tionContainers/protectedItems/*/read
Microsoft.SqlVirtualMachine/*
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Id fb879df8-f326-4884-b1cf-06f3ad86be52
Actions
Microsoft.Compute/virtualMachines/*/read
NotActions
Aucune
DataActions
NotDataActions
Aucune
Description Permet de gérer des plans web pour des sites web, mais
pas d’y accéder.
Id 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Description Permet de gérer des sites web (pas des plans web), mais
pas d’y accéder.
Id de139f84-1756-47ae-9be6-808fbbe84772
Actions
Microsoft.Web/serverFarms/join/action
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Contributeur de classeur
Id e8ddcd69-c73f-4f9f-9844-4100522f16ad
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Lecteur de classeur
Id b279062a-9be3-42a0-92ae-8b3cf002ec4d
Actions
NotActions
Aucune
DataActions
Aucune
NotDataActions
Aucune
Étapes suivantes
Fournisseur de ressources correspondant au service
Rôles intégrés pour les ressources Azure
Autorisations dans Azure Security Center
Opérations du fournisseur de ressources Azure
Resource Manager
03/03/2020 • 676 minutes to read • Edit Online
Cet article répertorie les opérations disponibles pour chaque fournisseur de ressources Azure Resource
Manager. Ces opérations peuvent être utilisées dans des rôles personnalisés pour fournir un contrôle d’accès
en fonction du rôle (RBAC ) granulaire aux ressources dans Azure. Les chaînes d’opération suivent ce format :
{Company}.{ProviderName}/{resourceType}/{action} . Pour obtenir la liste des correspondances entre les espaces
de noms de fournisseur de ressources et les services Azure, consultez Fournisseur de ressources
correspondant au service.
Les opérations du fournisseur de ressources évoluent sans cesse. Pour obtenir les dernières opérations, utilisez
Get-AzProviderOperation ou az provider operation list.
NOTE
Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le
cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des
informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.
Microsoft.AAD
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.AAD/locations/operationres
ults/read
Action Microsoft.AAD/Operations/read
Microsoft.Addons
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ADHybridHealthService
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Advisor
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.AlertsManagement
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.AnalysisServices
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ApiManagement
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.AppConfiguration
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Authorization
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Automation
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.AzureActiveDirectory
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.AzureStack
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Batch
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Billing
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Billing/billingAccounts/agree
ments/read
Action Microsoft.Billing/billingAccounts/billing
Permissions/read
Action Microsoft.Billing/billingAccounts/billing
Profiles/billingPermissions/read
Action Microsoft.Billing/billingAccounts/billing
Profiles/customers/read
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoices/pricesheet/download/
action
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingPermissi
ons/read
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingSubscrip
tions/move/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingSubscrip
tions/transfer/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/billingSubscrip
tions/validateMoveEligibility/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/products/mov
e/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/products/trans
fer/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/products/valid
ateMoveEligibility/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/read
Action Microsoft.Billing/billingAccounts/billing
Profiles/invoiceSections/write
Action Microsoft.Billing/billingAccounts/billing
Profiles/pricesheet/download/action
Action Microsoft.Billing/billingAccounts/billing
Profiles/read
Action Microsoft.Billing/billingAccounts/billing
Profiles/write
Action Microsoft.Billing/billingAccounts/billing
Profiles/write
Action Microsoft.Billing/billingAccounts/billing
Subscriptions/read
Action Microsoft.Billing/billingAccounts/custo
mers/billingPermissions/read
Action Microsoft.Billing/billingAccounts/custo
mers/read
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Billing/billingAccounts/depar
tments/read
Action Microsoft.Billing/billingAccounts/enroll
mentAccounts/billingPermissions/read
Action Microsoft.Billing/billingAccounts/enroll
mentAccounts/read
Action Microsoft.Billing/billingAccounts/enroll
mentDepartments/billingPermissions/r
ead
Action Microsoft.Billing/billingAccounts/listInv
oiceSectionsWithCreateSubscriptionPe
rmission/action
Action Microsoft.Billing/billingAccounts/produ
cts/read
Action Microsoft.Billing/billingAccounts/read
Action Microsoft.Billing/billingAccounts/write
Action Microsoft.Billing/departments/read
Action Microsoft.Billing/invoices/read
Action Microsoft.Billing/register/action
Action Microsoft.Billing/validateAddress/actio
n
Microsoft.BingMaps
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Blockchain
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Blueprint
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.BotService
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Cache
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Capacity
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Cdn
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Cdn/cdnwebapplicationfirew
allmanagedrulesets/delete
Action Microsoft.Cdn/cdnwebapplicationfirew
allmanagedrulesets/read
Action Microsoft.Cdn/cdnwebapplicationfirew
allmanagedrulesets/write
Action Microsoft.Cdn/cdnwebapplicationfirew
allpolicies/delete
Action Microsoft.Cdn/cdnwebapplicationfirew
allpolicies/read
Action Microsoft.Cdn/cdnwebapplicationfirew
allpolicies/write
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Cdn/CheckNameAvailability/
action
Action Microsoft.Cdn/CheckResourceUsage/a
ction
Action Microsoft.Cdn/edgenodes/delete
Action Microsoft.Cdn/edgenodes/read
Action Microsoft.Cdn/edgenodes/write
Action Microsoft.Cdn/operationresults/cdnwe
bapplicationfirewallpolicyresults/delete
Action Microsoft.Cdn/operationresults/cdnwe
bapplicationfirewallpolicyresults/read
Action Microsoft.Cdn/operationresults/cdnwe
bapplicationfirewallpolicyresults/write
Action Microsoft.Cdn/operationresults/delete
Action Microsoft.Cdn/operationresults/profile
results/CheckResourceUsage/action
Action Microsoft.Cdn/operationresults/profile
results/delete
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/CheckResourc
eUsage/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/delete
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/DisableCustomHttps/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/EnableCustomHttps/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/read
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/customdomain
results/write
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/delete
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Load/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/originresults/d
elete
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/originresults/r
ead
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/originresults/w
rite
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Purge/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/read
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Start/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/Stop/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/ValidateCusto
mDomain/action
Action Microsoft.Cdn/operationresults/profile
results/endpointresults/write
Action Microsoft.Cdn/operationresults/profile
results/GenerateSsoUri/action
Action Microsoft.Cdn/operationresults/profile
results/GetSupportedOptimizationTyp
es/action
Action Microsoft.Cdn/operationresults/profile
results/read
Action Microsoft.Cdn/operationresults/profile
results/write
Action Microsoft.Cdn/operationresults/read
Action Microsoft.Cdn/operationresults/write
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Cdn/operations/read
Action Microsoft.Cdn/profiles/CheckResource
Usage/action
Action Microsoft.Cdn/profiles/delete
Action Microsoft.Cdn/profiles/endpoints/Chec
kResourceUsage/action
Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/delete
Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/DisableCustomHttps/acti
on
Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/EnableCustomHttps/actio
n
Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/read
Action Microsoft.Cdn/profiles/endpoints/cust
omdomains/write
Action Microsoft.Cdn/profiles/endpoints/delet
e
Action Microsoft.Cdn/profiles/endpoints/Load
/action
Action Microsoft.Cdn/profiles/endpoints/origi
ns/delete
Action Microsoft.Cdn/profiles/endpoints/origi
ns/read
Action Microsoft.Cdn/profiles/endpoints/origi
ns/write
Action Microsoft.Cdn/profiles/endpoints/Purg
e/action
Action Microsoft.Cdn/profiles/endpoints/read
Action Microsoft.Cdn/profiles/endpoints/Start
/action
Action Microsoft.Cdn/profiles/endpoints/Stop
/action
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Cdn/profiles/endpoints/Valid
ateCustomDomain/action
Action Microsoft.Cdn/profiles/endpoints/write
Action Microsoft.Cdn/profiles/GenerateSsoUri
/action
Action Microsoft.Cdn/profiles/GetSupported
OptimizationTypes/action
Action Microsoft.Cdn/profiles/read
Action Microsoft.Cdn/profiles/write
Action Microsoft.Cdn/ValidateProbe/action
Microsoft.CertificateRegistration
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ClassicCompute
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ClassicNetwork
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ClassicStorage
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.CognitiveServices
TYPE D’ACTION OPÉRATION DESCRIPTION
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Commerce
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Compute
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Consumption
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ContainerInstance
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ContainerRegistry
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.CostManagement
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataBox
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataBoxEdge
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Databricks
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataCatalog
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataFactory
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataLakeAnalytics
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataLakeStore
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DataMigration
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DBforMariaDB
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DBforMySQL
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DBforPostgreSQL
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Devices
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DevSpaces
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DevTestLab
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DocumentDB
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.DomainRegistration
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.EventHub
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Features
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.GuestConfiguration
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.HDInsight
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.HybridCompute
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ImportExport
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Insights
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Intune
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.IoTCentral
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.IoTSpaces
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.KeyVault
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Kusto
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.LabServices
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Logic
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.MachineLearning
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.MachineLearningServices
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ManagedIdentity
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ManagedServices
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Management
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Maps
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Marketplace
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.MarketplaceApps
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.MarketplaceOrdering
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Media
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Migrate
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.MixedReality
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.NetApp
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Network
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.NotificationHubs
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.OffAzure
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.OperationalInsights
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.OperationsManagement
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.PolicyInsights
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Portal
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.PowerBIDedicated
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.RecoveryServices
TYPE D’ACTION OPÉRATION DESCRIPTION
Action microsoft.recoveryservices/Locations/b
ackupPreValidateProtection/action
Action Microsoft.RecoveryServices/vaults/repli
cationFabrics/replicationProtectionCon
tainers/replicationProtectedItems/Reso
lveHealthErrors/action
Microsoft.Relay
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Resources
TYPE D’ACTION OPÉRATION DESCRIPTION
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Scheduler
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Search
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Security
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.SecurityGraph
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.SecurityInsights
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ServiceBus
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.ServiceFabric
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.SignalRService
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Solutions
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Sql
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.SqlVirtualMachine
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.SqlVirtualMachine/operation
s/read
Microsoft.Storage
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Storage/storageAccounts/bl
obServices/read
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Storage/storageAccounts/da
taSharePolicies/delete
Action Microsoft.Storage/storageAccounts/da
taSharePolicies/read
Action Microsoft.Storage/storageAccounts/da
taSharePolicies/read
Action Microsoft.Storage/storageAccounts/da
taSharePolicies/write
Action Microsoft.Storage/storageAccounts/en
cryptionScopes/read
Action Microsoft.Storage/storageAccounts/en
cryptionScopes/read
Action Microsoft.Storage/storageAccounts/en
cryptionScopes/write
Action Microsoft.Storage/storageAccounts/en
cryptionScopes/write
Action Microsoft.Storage/storageAccounts/fil
eServices/read
Action Microsoft.Storage/storageAccounts/fil
eServices/shares/action
Action Microsoft.Storage/storageAccounts/fil
eServices/shares/delete
Action Microsoft.Storage/storageAccounts/fil
eServices/shares/read
Action Microsoft.Storage/storageAccounts/fil
eServices/shares/read
Action Microsoft.Storage/storageAccounts/fil
eServices/shares/write
Action Microsoft.Storage/storageAccounts/fil
eServices/write
Action Microsoft.Storage/storageAccounts/ob
jectReplicationPolicies/delete
Action Microsoft.Storage/storageAccounts/ob
jectReplicationPolicies/read
Action Microsoft.Storage/storageAccounts/ob
jectReplicationPolicies/read
TYPE D’ACTION OPÉRATION DESCRIPTION
Action Microsoft.Storage/storageAccounts/ob
jectReplicationPolicies/write
microsoft.storagesync
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.StorSimple
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.StreamAnalytics
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Subscription
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.Support
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.TimeSeriesInsights
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.VisualStudio
TYPE D’ACTION OPÉRATION DESCRIPTION
microsoft.web
TYPE D’ACTION OPÉRATION DESCRIPTION
Microsoft.WorkloadMonitor
TYPE D’ACTION OPÉRATION DESCRIPTION
Étapes suivantes
Fournisseur de ressources correspondant au service
Rôles intégrés pour les ressources Azure
Rôles intégrés pour les ressources Azure
Abonnement Azure et limites, quotas et contraintes
de service
18/03/2020 • 186 minutes to read • Edit Online
Ce document répertorie quelques-unes des limites de Microsoft Azure les plus courantes, parfois appelées des
quotas.
Pour en savoir plus sur la tarification Azure, consultez Tarification Azure. Elle vous permet d'estimer vos coûts à
l’aide de la calculatrice de prix. Vous pouvez également accéder à la page de détails de tarification pour un service
particulier, par exemple, Machines virtuelles Windows. Pour des conseils sur la gestion des coûts, consultez Éviter
les coûts inattendus avec la gestion de la facturation et des coûts dans Azure.
Limites générales
Pour connaître les restrictions relatives aux noms de ressources, voir Règles de nommage et restrictions pour les
ressources Azure.
Pour plus d’informations sur l’API Resource Manager et les limites d’écriture, voir Limitation des requêtes de
Resource Manager.
Limites d’abonnement
Les limites suivantes s'appliquent lorsque vous utilisez Azure Resource Manager et les groupes de ressources
Azure.
RESSOURCE LIMITE PAR DÉFAUT LIMITE MAXIMALE
Taille de la requête d’API Resource 4 194 304 octets. 4 194 304 octets.
Manager
1 Vous pouvez appliquer un nombre illimité de balises par abonnement. Le nombre de balises par ressource ou
groupe de ressources est limité à 50. Le Gestionnaire des ressources retourne une liste comportant le nom et les
valeurs de balise unique dans l’abonnement uniquement lorsque le nombre de balises est inférieur ou égal à 10
000. Vous pouvez toujours trouver une ressource par balise lorsque le nombre de balises est supérieur à 10 000.
2 Si vous atteignez la limite des 800
déploiements, supprimez les déploiements inutiles dans l’historique. Pour
supprimer les déploiements au niveau de l’abonnement, utilisez Remove-AzDeployment ou az deployment delete.
Limites de groupe de ressources
RESSOURCE LIMITE PAR DÉFAUT LIMITE MAXIMALE
Ressources par groupe de ressources N/A Les ressources ne sont pas limitées par
groupe de ressources. Au lieu de cela,
elle sont limités par le type de ressource
dans un groupe de ressources.
Reportez-vous à la ligne suivante.
Outputs 64 64
Taille du modèle 4 Mo 4 Mo
Vous pouvez dépasser certaines limites de modèle en utilisant un modèle imbriqué. Pour plus d’informations,
consultez l’article Utilisation de modèles liés lors du déploiement des ressources Azure. Pour réduire le nombre de
paramètres, de variables ou de sorties, vous pouvez combiner plusieurs valeurs dans un même objet. Pour plus
d’informations, consultez l’article Objects as parameters (Utiliser un objet en tant que paramètre).
CATEGORY LIMITES
Application Proxy (Proxy d’application) Un maximum de 500 transactions par seconde par
application de proxy d’application
Un maximum de 750 transactions par seconde pour
l’organisation Azure AD
Rôles et autorisations d'administrateur Un groupe ne peut pas être ajouté en tant que
propriétaire.
Un groupe ne peut pas être affecté à un rôle.
La capacité des utilisateurs à lire les informations de
répertoire des autres utilisateurs ne peut pas être
limitée en dehors du commutateur à l’échelle de
l’organisation Azure AD pour désactiver l’accès de tous
les utilisateurs non administrateurs à toutes les
informations de répertoire (non recommandé). Pour
plus d’informations sur les autorisations par défaut,
cliquez ici.
Il peut s’écouler jusqu'à 15 minutes ou bien falloir une
déconnexion/connexion pour que les ajouts et
révocations de l’appartenance au rôle d’administrateur
prennent effet.
1Les limites de mise à l’échelle varient selon le niveau tarifaire. Pourconsulter les niveaux tarifaires et leurs limites
de mise à l’échelle, voir Tarification de la gestion des API.
2La taille du cache par unité varie selon le niveau tarifaire. Pour consulter les niveaux tarifaires et leurs limites de
2048 octets.
Plan App 10 par région 10 par groupe 100 par 100 par 100 par 100 par
Service de ressources groupe de groupe de groupe de groupe de
ressources ressources ressources ressources
Architecture 32 bits 32 bits 32 bits/64 bits 32 bits/64 bits 32 bits/64 bits 32 bits/64 bits
de
l'application
Connexions 1 1 1 5 5 5
simultanées
du débogueur
par
application
Équilibreur de X X X X X10
charge intégré
Always On X X X X
Autoscale X X X
WebJobs11 X X X X X X
Surveillance X X X X
de point de
terminaison
Emplacements 5 20 20
de
préproduction
par
application
1Des quotas d'applications et de stockage s'appliquent pour chaque plan App Service, sauf mention contraire.
2Le nombre d'applications qui peuvent être hébergées sur ces ordinateurs dépend de l'activité des applications, de
la taille des instances des ordinateurs et de l'utilisation de ressources correspondante.
3Les instances dédiées peuvent être de différentes tailles. Pour en savoir plus, consultez Tarification d’App Service.
4Davantage autorisées sur demande.
5La limite de stockage est la taille totale du contenu entre toutes les applications du même plan de service
d’application. La taille totale du contenu de toutes les applications de l’ensemble des plans de service d’application
d’un même groupe de ressources et d’une même région ne peut pas dépasser 500 Go.
6Ces ressources sont limitées par les ressources physiques sur les instances dédiées (taille de l'instance et nombre
d'instances).
7Si vous mettez à l'échelle une application sur deux instances dans la version de base, vous disposez de
350 connexions simultanées pour chacune des deux instances. Pour le niveau Standard et les niveaux supérieurs, il
n’existe aucune limite théorique concernant les Web Sockets. Toutefois, d’autres facteurs peuvent limiter leur
nombre. Par exemple, le nombre maximal autorisé de requêtes simultanées (défini par
maxConcurrentRequestsPerCpu ) est ainsi : 7 500 pour une petite machine virtuelle, 15 000 pour une machine virtuelle
moyenne (7 500 x 2 cœurs) et 75 000 pour une grande machine virtuelle (18 750 x 4 cœurs).
8Le nombre maximal de connexions IP s’entend par instance et dépend de la taille de l’instance : 1 920 par instance
à Internet) avec Azure Load Balancer. Aussi, certaines fonctionnalités d’une instance isolée d’App Service à charge
équilibrée en interne doivent être utilisées à partir de machines qui ont un accès direct au point de terminaison
réseau avec équilibrage de charge en interne.
11Exécutez des exécutables et/ou des scripts personnalisés à la demande, selon une planification ou en continu en
tant que tâche en arrière-plan au sein de votre instance App Service. La fonctionnalité AlwaysOn est nécessaire à
l'exécution de tâches web en continu. Il n’existe aucune limite prédéfinie pour le nombre de tâches Web pouvant
s’exécuter dans une instance App Service. Il existe des limites pratiques qui dépendent de ce que le code
d’application tente de faire.
Nombre maximum de nouveaux travaux 100 Lorsque cette limite est atteinte, les
pouvant être envoyés toutes les 30 demandes suivantes de création d’un
secondes par compte Azure Automation travail échouent. Le client reçoit une
(travaux non planifiés) réponse d’erreur.
Nombre maximum de travaux 200 Lorsque cette limite est atteinte, les
simultanés pendant la même instance demandes suivantes de création d’un
de temps par compte Automation travail échouent. Le client reçoit une
(travaux non planifiés) réponse d’erreur.
Taille maximum de stockage des 10 Go (environ 4 millions de tâches) Lorsque cette limite est atteinte, les
métadonnées des tâches pour une demandes suivantes de création d’un
période continue de 30 jours travail échouent.
Quantité maximum de mémoire affectée 400 Mo S’applique aux bacs à sable Azure
à un bac à sable 1 uniquement.
Nombre maximum de sockets réseau 1 000 S’applique aux bacs à sable Azure
autorisé par bac à sable 1 uniquement.
Durée d’exécution maximale autorisée 3 heures S’applique aux bacs à sable Azure
par runbook 1 uniquement.
1Un bac à sable est un environnement partagé qui peut être utilisé par plusieurs travaux. Les travaux qui utilisent le
même bac à sable sont liés par les limitations de ressources du bac à sable.
Suivi des modifications et inventaire
Le tableau suivant montre les limites des éléments suivis par machine pour Change Tracking.
Fichier 500
Registre 250
Services 250
Daemon 250
Update Management
Le tableau suivant indique les limites d’Update Management.
Databases 64
Azure Cache for Redis limits and sizes are different for each pricing tier. To see the pricing tiers and their associated
sizes, see Azure Cache for Redis pricing.
For more information on Azure Cache for Redis configuration limits, see Default Redis server configuration.
Because configuration and management of Azure Cache for Redis instances is done by Microsoft, not all Redis
commands are supported in Azure Cache for Redis. For more information, see Redis commands not supported in
Azure Cache for Redis.
1Chaque service cloud Azure avec des rôles de travail/web peut posséder deux déploiements, un pour la production
et un autre pour le développement intermédiaire. Cette limite fait référence au nombre de rôles distincts, autrement
dit à la configuration. Cette limite ne fait pas référence au nombre d’instances par rôle, autrement dit, à la mise à
l’échelle.
RESSOURC
E GRATUIT1 DE BASE S1 S2 S3 S3 HD L1 L2
Nombre 1 16 16 8 6 6 6 6
de
services
maximum
1 Le niveau Gratuit est basé surdes ressources partagées, non des ressources dédiées. Le « scale up » n’est pas pris
en charge sur les ressources partagées.
2 Les unités de recherche sont des unités de facturation, allouées en tant que réplicas ou partitions. Vous avez
besoin des deux types de ressource pour les opérations de stockage, d’indexation et d’interrogation. Pour en savoir
plus sur les calculs SU, consultez Mettre à l’échelle les niveaux de ressources pour les charges de travail de requête
et d’index.
Limites par service de recherche
Le stockage est limité par l’espace disque ou par le nombre maximum inconditionnel d’index, de documents ou
d’autres ressources de haut niveau, suivant la limite atteinte en premier. Le tableau suivant décrit les limites de
stockage. Pour connaître les limites maximales imposées aux index, aux documents et à d’autres objets, consultez
les limites par ressource.
RESSOURC
E GRATUIT DE BASE1 S1 S2 S3 S3 HD 2 L1 L2
Partitions N/A 1 12 12 12 3 12 12
par
service
Réplicas N/A 3 12 12 12 12 12 12
1 Le niveau « De base » comporte une partition fixe. À ce niveau, des unités de recherche supplémentaires sont
utilisées pour allouer davantage de réplicas pour les charges de travail de requête accrues.
2 S3 HD a une limite inconditionnelle de trois partitions, ce qui est inférieur à la limite de partition de S3. La limite
de partition inférieure est imposée car le nombre d’index pour S3 HD est sensiblement plus élevé. En raison des
limites existantes de service pour les ressources de calcul (traitement et stockage) et le contenu (index et
documents), la limite de contenu est atteinte en premier.
3 Des contrats de niveau de service sont proposés pour les services facturables sur les ressources dédiées. Les
services gratuits et les fonctionnalités en préversion n’en ont pas. En ce qui concerne les services facturables, les
contrats SLA s’appliquent dès qu’une redondance suffisante du service est configurée. Un SLA de requête (lecture)
requiert au moins deux réplicas. Un SLA de requête et d’indexation (lecture-écriture) nécessite au moins trois
réplicas. Le nombre de partitions n’est pas pris en compte dans les SLA.
Pour plus d’informations sur les limites à un niveau plus précis, notamment la taille des documents, les requêtes
par seconde, les clés, les requêtes et les réponses, consultez Limites du service dans Recherche cognitive Azure.
Mélange de ressources Cognitive Total de 200 ressources Cognitive Cela inclut 100 ressources Vision par
Services Services maximum. ordinateur dans la région USA Ouest 2 ;
50 ressources du service Speech dans la
région USA Ouest ; 50 ressources
Analyse de texte dans la région USA Est.
Un seul type de ressources Cognitive Maximum de 100 ressources par région, Cela inclut 100 ressources Vision par
Services. avec un maximum de 200 ressources ordinateur dans la région USA Ouest 2
Cognitive Services au total. et 100 ressources Vision par ordinateur
dans la région USA Est.
RESSOURCE LIMITE
Le tableau suivant décrit les limites relatives aux opérations de gestion effectuées sur les clusters Azure Data
Explorer.
Cluster lecture (par exemple, obtenir un cluster) 500 toutes les 5 minutes
Cluster écriture (par exemple, créer une base de 1 000 par heure
données)
Montée en charge Basé sur les événements Basé sur les événements Manuel/Mise à l’échelle
automatique
Plans App Service 100 par région 100 par groupe de 100 par groupe de
ressources ressources
domaines personnalisés Prise connexion SNI SSL illimitée connexions 1 IP SSL et SNI connexions 1 IP SSL et SNI
en charge SSL incluse SSL illimitées incluses SSL illimitées incluses
1 Pour connaître les limites spécifiques des différentes options du plan App Service, consultez les limites du plan
App Service.
2 Par défaut, le délai d’attente du runtime de Functions 1.x dans un plan App Service est illimité.
3 Nécessite que le plan App Service soit défini sur Always On. Facturation aux tarifs standard.
4 Ces limites sont définies dans l’hôte.
5 Le nombre réel d’applications de fonction qui peuvent être hébergées dépend de l’activité des applications, de la
même plan App Service. Le plan Consommation utilise Azure Files pour le stockage temporaire.
7 Lorsque votre application de fonction est hébergée dans un Plan Consommation, seule l’option CNAME est prise
en charge. Pour les applications de fonction présentes dans un plan Premium ou un plan App Service, vous pouvez
mapper un domaine personnalisé en utilisant l’un ou l’autre des enregistrements : CNAME ou A.
8 Garanti pour une durée maximale de 60 minutes.
Nombre maximal de nœuds par cluster avec Virtual Machine 1 000 (100 nœuds par pool de nœuds)
Scale Sets et la référence SKU Standard Load Balancer
Nombre maximal de pods par nœud : mise en réseau avancée Déploiement de l’interface Azure CLI : 301
avec Azure Container Networking Interface Modèle Azure Resource Manager : 301
Déploiement du portail : 30
1 Quand vous déployez un cluster AKS avec l’interface de ligne de commande Azure ou un modèle Resource
Manager, cette valeur est configurable jusqu’à 250 pods par nœud. Vous ne pouvez pas configurer le nombre
maximum de pods par nœud après avoir déployé un cluster AKS ou si vous avez déployé un cluster à l’aide du
Portail Azure.
Le tableau suivant présente la limite de taille relative aux données pour Azure Maps. Le service de données Azure
Maps est uniquement disponible au niveau tarifaire S1.
RESSOURCE LIMITE
Pour en savoir plus sur les niveaux tarifaires Azure Maps, voir Tarification Azure Maps.
Alertes de métrique (classiques) 100 règles d’alerte actives par Appelez le support technique.
abonnement.
Alertes de métrique 2,000 règles d’alerte actives par Appelez le support technique.
abonnement dans les clouds Azure
public, Azure China 21Vianet et Azure
Government.
Alertes de journal d’activité 100 règles d’alerte actives par Identique à la valeur par défaut.
abonnement.
Paramètres de mise à l'échelle 100 par région et par abonnement. Identique à la valeur par défaut.
automatique
Groupes d’actions
RESSOURCE LIMITE PAR DÉFAUT LIMITE MAXIMALE
Envoi de l’application Azure 10 actions d’application Azure par Appelez le support technique.
groupe d’actions.
Régions Azure Les requêtes sur les journaux peuvent connaître une surcharge
excessive quand des données concernent des espaces de
travail Log Analytics dans plusieurs régions Azure. Pour plus
d’informations, consultez Limites des requêtes.
Limitation des requêtes L’utilisateur est limité à 200 requêtes par tranche de
30 secondes, sur un nombre illimité d’espaces de travail. Cette
limite s’applique aux requêtes de programmation ou aux
requêtes lancées par des composants de visualisation, tels que
les tableaux de bord Azure ou la page récapitulative de l’espace
de travail Log Analytics.
Niveau tarifaire actuel par Go Aucune limite 30 à 730 jours La conservation des données
(introduit en avril 2018) au-delà de 31 jours est
disponible contre des frais
supplémentaires. En savoir
plus sur la tarification Azure
Monitor.
NIVEAU LIMITE PAR JOUR CONSERVATION DES DONNÉES COMMENTAIRE
Niveau autonome par Go Aucune limite 30 à 730 jours La conservation des données
hérité au-delà de 31 jours est
(introduit en avril 2016) disponible contre des frais
supplémentaires. En savoir
plus sur la tarification Azure
Monitor.
Par nœud hérité (OMS) Aucune limite 30 à 730 jours La conservation des données
(introduit en avril 2016) au-delà de 31 jours est
disponible contre des frais
supplémentaires. En savoir
plus sur la tarification Azure
Monitor.
Niveau standard hérité Aucune limite 30 jours La rétention ne peut pas être
ajustée
Niveau Premium hérité Aucune limite 365 jours La rétention ne peut pas être
ajustée
Tous les autres niveaux Aucune limite Vous êtes limité par le nombre de
ressources au sein d’un groupe de
ressources et le nombre de groupes de
ressources par abonnement.
Azure portal
API Recherche
Durée maximale d’exécution de requête 10 minutes Consultez Délais d’expiration pour plus
d’informations.
Taux maximum de requêtes 200 requêtes par 30 secondes par Consultez Limites de taux pour plus
utilisateur AAD ou adresse IP du client d’informations.
Exportation de données Actuellement non disponible Utilisez Azure Function ou Logic App
pour agréger et exporter des données.
NOTE
En fonction de la durée pendant laquelle vous utilisez Log Analytics, vous pouvez avoir accès aux niveaux de tarification
hérités. En savoir plus sur les niveaux tarifaires hérités de Log Analytics.
Application Insights
Il existe certaines limites au nombre de métriques et d’événements par application, c’est-à-dire, par clé
d’instrumentation. Les limites varient selon le plan de tarification que vous choisissez.
Total des données par jour 100 Go Vous pouvez réduire les données en
définissant une limite. Si vous avez
besoin de davantage de données, vous
pouvez augmenter la limite dans le
portail, jusqu’à 1 000 Go. Pour une
capacité supérieure à 1 000 Go, envoyez
un e-mail à AIDataCap@microsoft.com.
Rétention des résultats détaillés du test 90 jours Cette ressource fournit des résultats
de disponibilité à plusieurs étapes détaillés de chaque étape.
Longueur des noms de propriétés et de 150 Consultez les schémas par type.
mesures
Longueur des messages de trace et 32,768 Consultez les schémas par type.
d’exception
Messages inclus par unité par jour pour 1 000 000 1 000 000
le niveau Standard
Pour demander une mise à jour des limites par défaut de votre abonnement, ouvrez un ticket de support.
NOTE
Les limites par défaut varient selon le type d’abonnement que vous utilisez pour créer un compte Batch. Les quotas de cœurs
affichés correspondent aux comptes Batch en mode service Batch. Affichez les quotas dans votre compte Batch.
1Si vous voulez solliciter un dépassement de cette limite, contactez le support Azure.
Bande passante de 10 20 50
chargement en Mbits/s2
webhooks 2 10 500
1Les limites de stockage spécifiées correspondent à la quantité de stockage inclus pour chaque niveau. Vous êtes
facturé un tarif journalier supplémentaire pour chaque Gio de stockage d’images utilisé au-dessus de ces limites.
Pour obtenir des informations tarifaires, consultez Tarification d’Azure Container Registry.
2Les valeurs ReadOps, WriteOps et Bandwidth sont des estimations minimales. Azure Container Registry s’efforce
d’améliorer les performances en fonction de l’utilisation requise.
3docker pull se traduit par plusieurs opérations de lecture en fonction du nombre de couches dans l’image, plus la
récupération du manifeste.
4dockerpush se traduit par plusieurs opérations d’écriture, en fonction du nombre de couches qui doivent être
envoyées. Un docker push inclut des ReadOps pour récupérer un manifeste pour une image existante.
Un abonnement Content Delivery Network peut contenir un ou plusieurs profils Content Delivery Network. Un
profil Content Delivery Network peut contenir un ou plusieurs points de terminaison Content Delivery Network.
Vous souhaiterez peut-être utiliser plusieurs profils pour organiser vos points de terminaison CDN par domaine
Internet, application web ou d'autres critères.
Parallélisme ForEach 20 50
1 L’unité d’intégration de données ( DIU ) est utilisée dans une opération de copie de cloud à cloud, pouren savoir
plus consultez Unités d’intégration de données (version 2). Pour plus d’informations sur la facturation, consultez
Tarification d’Azure Data Factory.
2 Azure Integration Runtime est disponible à l’échelle Mondiale pour assurer la conformité des données, l’efficacité
et des coûts de sortie réseau réduits.
Groupe de régions 1 USA Centre, USA Est, USA Est 2, Europe Nord, Europe Ouest,
USA Ouest, USA Ouest 2
Groupe de régions 2 Australie Est, Australie Sud-Est, Brésil Sud, Inde Centre, Japon
Est, USA Centre Nord, USA Centre Sud, Asie Sud-Est, USA
Centre-Ouest
Groupe de régions 3 Canada Centre, Asie Est, France Centre, Corée Centre,
Royaume-Uni Sud
3 Les objets pipeline, jeu de données et service lié représentent un regroupement logique de votre charge de travail.
Les limites de ces objets ne sont pas liées à la quantité de données que vous pouvez déplacer ou traiter à l’aide
d’Azure Data Factory. Data Factory est conçu pour permettre une mise à l’échelle de plusieurs pétaoctets de
données.
version 1
RESSOURCE LIMITE PAR DÉFAUT LIMITE MAXIMALE
1 Les objets pipeline, jeu de données et service lié représentent un regroupement logique de votre charge de travail.
Les limites de ces objets ne sont pas liées à la quantité de données que vous pouvez déplacer ou traiter à l’aide
d’Azure Data Factory. Data Factory est conçu pour permettre une mise à l’échelle de plusieurs pétaoctets de
données.
2 Les cœursHDInsight à la demande sont alloués en dehors de l’abonnement qui contient la fabrique de données.
Par conséquent, la limite précédente est la limite de cœurs d’appliquée à Data Factory pour les cœurs HDInsight à
la demande. Elle est différente de la limite de cœurs qui est associée à votre abonnement Azure.
3 L’unité de déplacement de données cloud ( DMU ) pour la version 1 est utilisée dans une opération de copie de
cloud à cloud. Pour en savoir plus, consultez Unités de déplacement de données (version 1) Cloud. Pour plus
d’informations sur la facturation, consultez Tarification d’Azure Data Factory.
Nombre maximal de comptes Data Lake 5. Pour augmenter cette limite, contactez
Analytics par région et par abonnement le Support Microsoft.
RESSOURCE LIMITE
RESSOURCE LIMITE
Taux de publication pour une rubrique personnalisée (entrée) 5 000 événements par seconde et par rubrique
RESSOURCE LIMITE
Taux de publication pour un Domaine d’événements (entrée) 5 000 événements par seconde
FONCTIONNALITÉ LIMITES
Groupes de consommateurs Aucune limite par unité de capacité, 1 000 par hub
d’événements
Capture Inclus
Identités managées attribuées par l’utilisateur Lorsque vous créez des identités managées attribuées
par l’utilisateur, seuls les caractères alphanumériques
(0-9, a-z, A-Z) et le trait d’union (-) sont pris en charge.
Pour que l’attribution à une machine virtuelle ou à un
groupe de machines virtuelles identiques fonctionne
correctement, le nom est limité à 24 caractères.
Si vous utilisez l’extension de machine virtuelle
d’identité managée, la limite prise en charge est de 32
identités managées attribuées par l’utilisateur. Sans
l’extension de machine virtuelle d’identité managée, la
prise en charge est limitée à 512 identités managées
attribuées par l’utilisateur.
Messages par jour 400 000 6 000 000 300 000 000 8 000
NOTE
Si vous prévoyez d’utiliser plus de 200 unités avec un hub de niveau S1 ou S2, ou 10 unités avec un hub de niveau S3,
contactez le support Microsoft.
Le tableau suivant répertorie les limites qui s’appliquent aux ressources IoT Hub.
RESSOURCE LIMITE
Taille maximale du lot appareil-à-cloud AMQP et HTTP : 256 Ko pour l’ensemble du lot
MQTT : 256 Ko pour chaque message
Taille maximale du jumeau d’appareil 8 Ko pour la section des balises et 32 Ko pour les sections de
propriétés souhaitées et signalées chacune
Nombre maximal de travaux simultanés 10 (pour S3), 5 pour (S2), 1 (pour S1)
Nombre maximal de flux d’appareils connectés simultanément 50 (pour S1, S2, S3 et F1 uniquement)
Transfert de données de flux d’appareil maximal 300 Mo par jour (pour S1, S2, S3 et F1 uniquement)
NOTE
Si vous avez besoin de plus de 100 hubs IoT payants dans un abonnement Azure, contactez le Support Microsoft.
NOTE
Actuellement, le nombre total d’appareils plus les modules qui peuvent être inscrits auprès d’un même hub IoT est limité à
1 million. Si vous souhaitez augmenter cette limite, contactez le support Microsoft.
IoT Hub limite les demandes en cas de dépassement des quotas suivants.
Méthodes directes 24 Mo/s/unité (pour S3), 480 Ko/s/unité (pour S2), 160
Ko/s/unité (pour S1).
Méthode basée sur une limitation de taille du compteur de 8
Ko.
Lectures de jumeaux d’appareil 500/s/unité (pour S3), 100/s ou 10/s/unité maximum (pour
S2), 100/s (pour S1)
Mises à jour de jumeaux d’appareils 250/s/unité (pour S3), 50/s ou 5/s/unité maximum (pour S2),
50/s (pour S1)
Débit d’opérations de travaux par appareil 50/s/unité (pour S3), 10/s ou 1/s/unité maximum (pour S2),
10/s (pour S1).
Fréquence d’émission de flux d’appareil 5 nouveaux flux/s (pour S1, S2, S3 et F1 uniquement).
Limites du service IoT Hub Device Provisioning
Le tableau suivant répertorie les limites qui s’appliquent aux ressources du Service Azure IoT Hub Device
Provisioning.
RESSOURCE LIMITE
NOTE
Pour augmenter le nombre d’abonnements et d’inscriptions sur votre service de provisionnement, contactez le Support
Microsoft.
NOTE
L’augmentation du nombre maximal d’autorités de certification n’est pas prise en charge.
Le Service Device Provisioning limite les demandes lorsque les quotas suivants sont dépassés.
Opérations 200/min/service
NOTE
Dans la table ci-dessus, nous voyons que 2 000 transactions GET par tranche de 10 secondes sont autorisées pour des clés
logicielles RSA 2 048 bits. Pour les clés HSM 2 048 bits RSA, 1 000 transactions GET par tranche de 10 secondes sont
autorisées.
Les seuils de limitation sont pondérés, et leur application correspond à leur somme. Par exemple, comme indiqué dans la table
précédente, lorsque vous effectuez des opérations GET sur des clés HSM RSA, il est huit fois plus coûteux d’utiliser des clés de
4 096 bits par rapport aux clés de 2 048 bits. En effet, 1 000/125 = 8.
Dans un intervalle de 10 secondes donné, un client Azure Key Vault peut exécuter une seule des opérations suivantes avant
de rencontrer un code d’état HTTP de limitation 429 :
2 000 transactions GET de clé logicielle RSA 2 048 bits
1 000 transactions GET de clé HSM RSA 2 048 bits
125 transactions GET de clé HSM RSA 4 096 bits
124 transactions GET de clé HSM RSA 4 096 bits et 8 transactions GET de clé HSM RSA 2 048 bits
Pour en savoir plus sur la façon de gérer la limitation en cas de dépassement de ces limites, voir Aide sur la
limitation de requêtes Azure Key Vault.
1 La limite d’abonnement pour tous les types de transaction est fixée à 5 fois la limite des coffres de clés. Par
exemple, le nombre de transactions autres que HSM par abonnement est limité à 5 000 en 10 secondes.
Stratégies 1,000,0006
Taille du fichier Dans certains scénarios, la taille maximale des fichiers pris en
charge pour le traitement dans Media Services est soumise à
une limite7 .
1 Si vous changez le type (par exemple, de S2 à S1), les limites d’unités réservées maximales sont réinitialisées.
2 Ce nombre comprend les travaux en file d’attente, terminés, actifs et annulés. Il n’inclut pas les travaux supprimés.
Vous pouvez supprimer des anciens travaux à l’aide de IJob.Delete ou de la requête HTTP DELETE.
À compter du 1er avril 2017, les enregistrements de travaux de votre compte de plus de 90 jours sont supprimés
automatiquement, ainsi que leurs enregistrements de tâches associés. La suppression automatique se produit
même si le nombre total d’enregistrements est inférieur au quota maximal. Pour archiver les informations des
travaux/tâches, utilisez le code décrit dans Gérer les ressources avec le SDK Media Services .NET.
3 Lors d’une requête visant à lister
les entités de travail, un maximum de 1 000 travaux sont retournés par requête.
Pour suivre l’ensemble des travaux soumis, vous pouvez utiliser les requêtes top/skip comme décrit dans Options
de requête du système OData.
4 Les localisateurs ne sont pas conçus pour gérer le contrôle d’accès par utilisateur. Pour accorder différents droits
d’accès aux utilisateurs, utilisez les solutions de gestion des droits numériques (DRM ). Pour plus d’informations,
consultez Protéger votre contenu avec Azure Media Services.
5 Les comptes de stockage doivent provenir du même abonnement Azure.
6 Un nombre limite de 1 000 000 a été défini pour les différentes stratégies Media Services. C’est notamment le cas
pour la stratégie de localisateur ou pour ContentKeyAuthorizationPolicy.
NOTE
Appliquez le même ID de stratégie si vous utilisez toujours le même nombre de jours et les mêmes autorisations d’accès. Pour
obtenir plus d’informations ainsi qu’un exemple, consultez Gérer les ressources avec le SDK Media Services .NET.
7 La taille maximale prise en charge pour un objet blob est actuellement de 5 To dans le stockage Blob Azure. Des
limites supplémentaires sont applicables dans Media Services en fonction des tailles de machine virtuelle utilisées
par le service. La limite de taille s’applique aux fichiers que vous chargez et également aux fichiers qui sont générés
suite au traitement (encodage ou analyse) par Media Services. Si votre fichier source est supérieur à 260 Go, votre
travail échouera probablement.
Le tableau suivant indique les limites pour les unités réservées Multimédia S1, S2 et S3. Si votre fichier source
dépasse la limite définie dans le tableau, votre travail d’encodage échoue. Si vous encodez des sources de résolution
4K de longue durée, vous devez obligatoirement utiliser des unités réservées Multimédia S3 afin d’obtenir les
performances nécessaires. Si vous avez un contenu 4K d’une taille supérieure à la limite de 260 Go des unités
réservées Multimédia S3, ouvrez un ticket de support.
S1 26
S2 60
S3 260
Appels de l’API 500 000 1,5 million par unité 15 millions par unité
Pour plus d’informations sur la tarification et les limites, consultez Tarification Azure Mobile Services.
Flux TCP ou UDP simultanés par carte réseau de machine 500 000
virtuelle ou instance de rôle
Préfixes d’adresses IP publiques Limités par le nombre d’adresses IP Contactez le support technique.
publiques standard dans un
abonnement
1Les limites pardéfaut pour les adresses IP publiques varient selon le type de catégorie d’offre, comme Essai
gratuit, Paiement à l’utilisation, CSP. Par exemple, la valeur par défaut pour les abonnements Accord Entreprise est
1 000.
Limites de l’équilibreur de charge
Les limites suivantes s’appliquent uniquement aux ressources de réseau gérées par le biais d’Azure Resource
Manager par région et par abonnement. Découvrez comment afficher l’utilisation actuelle de vos ressources par
rapport aux limites de votre abonnement.
Standard Load Balancer
Taille de pool de serveur principal 1 000 configurations d’adresses IP, réseau virtuel unique
Taille de pool de serveur principal 300 configurations d’adresses IP, groupe à haute disponibilité
Les limites suivantes s’appliquent uniquement aux ressources de réseau gérées par le biais du modèle de déploiement classique par
abonnement. Découvrez comment afficher l’utilisation actuelle de vos ressources par rapport aux limites de votre abonnement.
Flux TCP ou UDP simultanés par carte 500 000, jusqu’à 1 000 000 pour deux 500 000, jusqu’à 1 000 000 pour deux
réseau de machine virtuelle ou instance cartes réseau ou plus. cartes réseau ou plus.
de rôle
Limites d’ExpressRoute
RESSOURCE LIMITE PAR DÉFAUT/MAXIMALE
Nombre de liens de réseau virtuel autorisés par circuit Consultez le tableau Nombre de réseaux virtuels par circuit
ExpressRoute ExpressRoute.
50 Mbits/s 10 20
NOMBRE DE LIENS DE RÉSEAU VIRTUEL
NOMBRE DE LIENS DE RÉSEAU VIRTUEL AVEC LE MODULE COMPLÉMENTAIRE
TAILLE DU CIRCUIT POUR LA VERSION STANDARD PREMIUM
100 Mbits/s 10 25
200 Mbits/s 10 25
500 Mbits/s 10 40
1 Gbit/s 10 50
2 Gbit/s 10 60
5 Gbit/s 10 75
10 Gbits/s 10 100
40 Gbits/s* 10 100
NOTE
Les connexions Global Reach sont décomptées par rapport à la limite de connexions de réseau virtuel par circuit
ExpressRoute. Par exemple, un circuit Premium de 10 Gbits/s autorise 5 connexions Global Reach et 95 connexions aux
passerelles ExpressRoute ou 95 connexions Global Reach et 5 connexions aux passerelles ExpressRoute, ou toute autre
combinaison jusqu’à la limite de 100 connexions pour le circuit.
Débit par connexion VPN Virtual WAN (2 tunnels) 2 Gbits/s avec tunnel 1 Gbit/IPsec
1 En cas de références
SKU avec WAF activé, nous vous recommandons de limiter le nombre de ressources à 40
pour des performances optimales.
Limites de Network Watcher
RESSOURCE LIMITE PAR DÉFAUT LIMITE MAXIMALE REMARQUE
RESSOURCE LIMITE
Nombre de configurations IP sur un service Liaison privée 8 (ce nombre est utilisé pour les adresses IP NAT utilisées par
PLS)
RESSOURCE LIMITE
* Peut varier en raison d’autres sessions RDP en cours ou d’autres sessions SSH en cours.
** Peut varier s’il existe des connexions RDP existantes ou une utilisation d’autres sessions SSH en cours.
Limites d'Azure DNS
Zones DNS publiques
Liens de réseau virtuel par zone DNS privée avec l’inscription 100
automatique activée
Plage de ports dans les règles de réseau et d’application 0-64,000. Nous nous efforçons actuellement d’assouplir cette
limitation.
Adresses IP publiques 100 maximum (actuellement, les ports SNAT sont ajoutés
uniquement pour les cinq premières adresses IP publiques.)
Charger Aucune limite tant que la taille de Elle ne peut pas être supérieure à 2 Go.
chaque chargement avec encodage de
transfert mémorisé en bloc est
inférieure à 2 Go.
Autres limites
Taille d’URL maximale : 8 192 octets - Spécifie la longueur maximale de l’URL brute (schéma + nom d’hôte +
port + chemin + chaîne de requête de l’URL )
Taille maximale de chaîne de requête : 4 096 octets - Spécifie la longueur maximale de la chaîne de requête en
octets.
Pour plus d’informations sur les limites et les tarifs, consultez Tarifs de Notification Hubs.
Nombre de rubriques/files Espace de noms Les requêtes suivantes de 10 000 pour le niveau De
d’attente par espace de création de rubrique ou de base ou Standard. Le
noms file d’attente dans l’espace de nombre total de rubriques et
noms sont rejetées. Par de files d’attente dans un
conséquent, en cas de espace de noms doit être
configuration via le portail inférieur ou égal à 10 000.
Azure, un message d’erreur
est généré. Si elle est appelée Pour le niveau Premium, 1
à partir de l’API de gestion, 000 par unité de messagerie.
une exception est reçue par La limite maximale est 4 000.
le code appelant.
NOM DU QUOTA ÉTENDUE NOTES VALEUR
Nombre de rubriques/files Espace de noms Les requêtes suivantes de Niveaux de base et standard
d’attente partitionnées par création de rubrique ou de : 100.
espace de noms file d’attente partitionnée
dans l’espace de noms sont Les entités partitionnées ne
rejetées. Par conséquent, en sont pas prises en charge
cas de configuration via le dans le niveau Premium.
portail Azure, un message
d’erreur est généré. Si elle est Chaque file d’attente ou
appelée à partir de l’API de rubrique partitionnée est
gestion, l’exception comptabilisée dans le quota
QuotaExceededException de 1 000 entités par espace
est reçue par le code de noms.
appelant.
Taille de message d’une Entité Les messages entrants dont Taille de message maximale :
entité de file la taille dépasse ces quotas 256 Ko pour le
d’attente/rubrique/abonnem sont rejetés et le code niveau Standard, 1 Mo pour
ent appelant reçoit une le niveau Premium.
exception.
En raison d’une surcharge du
système, cette limite est
inférieure à ces valeurs.
Nombre maximal de
propriétés d’en-tête dans le
conteneur de propriétés :
byte/int.MaxValue.
Nombre d’abonnements par Entité Les requêtes suivantes de 2 000 par rubrique pour le
rubrique création d’abonnements niveau Standard.
supplémentaires à la
rubrique sont rejetées. Par
conséquent, en cas de
configuration via le portail,
un message d’erreur est
affiché. Si elle est appelée à
partir de l’API de gestion,
une exception est reçue par
le code appelant.
Taille d’actions/filtres SQL Espace de noms Les requêtes suivantes de Longueur maximale de la
création de filtres chaîne de condition de filtre :
supplémentaires sont 1 024 (1 Ko).
rejetées et le code appelant
reçoit une exception. Longueur maximale de la
chaîne d’action de règle : 1
024 (1 Ko).
Nombre maximal
d’expressions par action de
règle : 32.
NOM DU QUOTA ÉTENDUE NOTES VALEUR
Nombre de règles Entité, espace de noms Les requêtes suivantes de Nombre maximal de règles
SharedAccessAuthorizationR création de règles par type d’entité : 12.
ule par espace de noms, file supplémentaires sont
d’attente ou rubrique rejetées et le code appelant Les règles qui sont
reçoit une exception. configurées sur un espace de
noms Service Bus
s’appliquent à tous les
types : files d’attente,
rubriques.
Limites de stockage
Le tableau suivant décrit les limites par défaut pour les comptes de stockage Azure v1 universels (GPv1), v2 (GPv2),
Blob, Premium BlockBlob et Data Lake Gen2. La limite d’entrée désigne toutes les données envoyées à un compte
de stockage. La limite de sortie désigne toutes les données reçues d’un compte de stockage.
Taux de demande maximal1 par compte de stockage 20 000 demandes par seconde
Entrée maximale 1 par compte de stockage (régions autres que 5 Gbit/s si RA-GRS/GRS est activé, 10 Gbit/s pour LRS/ZRS2
les États-Unis et l’Europe)
Nombre maximal de sorties pour les comptes de stockage à 20 Gbit/s si RA-GRS/GRS est activé, 30 Gbit/s pour LRS/ZRS2
usage général v1 (régions des États-Unis)
Nombre maximal de sorties pour les comptes de stockage à 10 Gbit/s si RA-GRS/GRS est activé, 15 Gbit/s pour LRS/ZRS2
usage général v1 (régions hors États-Unis)
1 Les comptes de stockage standard Azure prennent en charge la demande de limites supérieures pour la capacité
et les entrées. Pour demander une augmentation des limites de compte, contactez le support Azure.
2 Si votre compte de stockage dispose d’un accès en lecture activé avec un stockage géoredondant ( RA -GRS ) ou un
stockage géoredondant dans une zone géographique (RA-GZRS ), les cibles de sortie de l’emplacement secondaire
sont identiques à celles de l’emplacement principal. Voici certaines options de réplication du Stockage Azure :
Stockage localement redondant (LRS )
Stockage redondant interzone (ZRS )
Stockage géo-redondant (GRS )
Stockage géo-redondant avec accès en lecture (RA-GRS )
Stockage géoredondant interzone (GZRS )
Stockage géo-redondant interzone avec accès en lecture (RA-GRS )
3 Azure Data Lake Storage Gen2 est un ensemble de fonctionnalités dédiées à l’analytique du Big Data et basées
sur le stockage Blob Azure. Les limitations du stockage Azure et du stockage Blob s’appliquent à Data Lake Gen2.
NOTE
Microsoft recommande d’utiliser des comptes de stockage universels v2 pour la plupart des scénarios. Vous pouvez
facilement mettre à niveau un compte de stockage universel v1 ou un compte de stockage d’objets blob Azure vers un
compte universel v2, sans que cela nécessite un temps d’arrêt ou la copie de données. Pour obtenir plus d’informations,
consultez Mettre à niveau vers un compte de stockage v2 à usage général.
Si les besoins de votre application dépassent les objectifs d’extensibilité d’un compte de stockage unique, vous
pouvez concevoir votre application afin qu’elle utilise plusieurs comptes de stockage. Ensuite, vous pouvez
partitionner vos objets de données sur ces comptes de stockage. Pour plus d’informations sur la tarification en
volume, consultez la page Tarification Stockage Azure.
Tous les comptes de stockage s’exécutent sur une topologie de réseau plat, indépendamment du moment où ils ont
été créés. Pour plus d'informations sur l'architecture de réseau plat Stockage Azure et sur son extensibilité,
consultez Stockage Microsoft Azure : un service de stockage cloud hautement disponible à cohérence forte. Un
espace de noms hiérarchique peut être activé pour un compte Data Lake Gen2 en plus de l’espace de noms plat
pour l’accès multiprotocole. Les comptes de stockage d’espaces de noms plats et hiérarchiques prennent en charge
les mêmes objectifs de scalabilité et de performance que ceux décrits dans cet article.
Pour plus d’informations sur les limites des comptes de stockage standard, voir Objectifs d’extensibilité pour les
comptes de stockage Standard.
Limites de fournisseur de ressources de stockage
Les limites suivantes s’appliquent seulement quand vous effectuez des opérations de gestion en utilisant Azure
Resource Manager avec le stockage Azure.
Taille maximale du conteneur d’objets blob unique Identique à la capacité maximale du compte de stockage
Taille maximale d’un bloc dans un objet blob de blocs 100 Mio
Taille maximale d’un objet blob de blocs 50 000 x 100 Mio (environ 4,75 Tio)
Taille maximale d’un objet blob d’ajout 50 000 x 4 Mio (environ 195 Gio)
Taux de requêtes cibles pour un seul objet blob Jusqu’à 500 requêtes par seconde
Débit cible pour un blob de page unique Jusqu’à 60 Mio par seconde
Débit cible pour un objet blob de blocs unique Jusqu’à la limite d’entrée/sortie du compte de stockage1
1 Le débit pour un seul objet blob dépend de plusieurs facteurs, dont et sans s’y limiter : concurrence, taille de la
demande, niveau de performance, vitesse des chargements à la source et des téléchargements à la destination. Pour
tirer parti des améliorations des performances des objets blob de blocs à haut débit, chargez des objets blob ou des
blocs plus volumineux. En particulier, appelez l’opération Put Blob ou Put Block avec une taille d’objet blob ou de
bloc supérieure à 4 Mio pour les comptes de stockage standard. Pour les objets blob de blocs Premium ou pour les
comptes de stockage Data Lake Storage Gen2, utilisez une taille de bloc ou d’objet blob supérieure à 256 Kio.
Limite d’Azure Files
Pour plus d’informations sur les limites d'Azure Files, consultez la page Objectifs de performance et évolutivité
d'Azure Files.
Taille minimale d'un partage de fichiers (aucun minimum ; paiement à 100 GiB provisionné
l’utilisation)
Taille maximale d’un partage de fichiers 100 Gio*, 5 Tio 100 Tio
Maximum d’E/S par seconde par 10 000 IOPS*, 1000 IOPS 100 000 E/S par seconde
partage
Débit cible pour un partage de fichier jusqu’à 300 MiB/s*, jusqu’à 60 MiB/s Voir les valeurs d’entrée et de sortie du
unique partage de fichiers Premium
Sortie maximale pour un partage de Voir le débit de cible du partage de Jusqu’à 6 204 Mio/s
fichier unique fichiers standard
Entrée maximale pour un partage de Voir le débit de cible du partage de Jusqu’à 4 136 Mio/s
fichier unique fichiers standard
* Disponibles dans la plupart des régions. Pour plus d’informations sur les régions disponibles, voir Disponibilité
régionale.
Limites d’Azure File Sync
RESSOURCE CIBLE LIMITE INCONDITIONNELLE
Taux de requête maximal par compte de stockage 20 000 messages par seconde, qui part d’une taille de
message d’1 Kio
Débit cible d’une file d’attente unique (messages d’1 Kio) Jusqu’à 2 000 messages par seconde
RESSOURCE CIBLE
Nombre de tables dans un compte de stockage Azure Limité uniquement par la capacité du compte de stockage
Nombre de partitions dans une table Limité uniquement par la capacité du compte de stockage
Nombre d'entités dans une partition Limité uniquement par la capacité du compte de stockage
Nombre maximal de propriétés dans une entité de table 255 (notamment les trois propriétés système : PartitionKey,
RowKey et Timestamp)
Taille totale maximale d’une propriété individuelle dans une Varie en fonction du type de propriété. Pour plus
entité d'informations, consultez Types de propriétés dans
Présentation du modèle de données du service de Table.
Taille d’une transaction ETG Une transaction peut inclure au plus 100 entités, et la charge
utile doit être inférieure à 4 Mio. Une transaction de groupe
d’entités peut inclure une mise à jour d’une entité une seule
fois.
Taux de requête maximal par compte de stockage 20 000 transactions par seconde, en supposant que la taille
d’entité est de 1 Kio
Débit cible pour une partition de table unique (entités de 1 Jusqu'à 2 000 entités par seconde
Kio)
IMPORTANT
Pour des performances optimales, limitez le nombre de disques fortement utilisés attachés à la machine virtuelle pour éviter
les limitations possibles. Si tous les disques attachés ne sont pas fortement sollicités en même temps, la machine virtuelle
peut prendre en charge un plus grand nombre de disques.
Pour les comptes de stockage standard : un compte de stockage standard a un taux de requêtes total
maximal de 20 000 opérations d’E/S par seconde. Le nombre d’opérations d’E/S par seconde sur l’ensemble
de vos disques de machine virtuelle dans un compte de stockage standard ne doit pas dépasser cette limite.
Vous pouvez calculer approximativement le nombre de disques fortement sollicités pris en charge par un
seul compte de stockage standard en vous basant sur la limite du taux de demandes. Par exemple, pour une
machine virtuelle de niveau de base, le nombre maximal de disques fortement sollicités est d’environ 66, soit
20 000/300 opérations d’E/S par seconde par disque. Pour une machine virtuelle de niveau standard, le
nombre maximal de disques fortement sollicités est d’environ 40, soit 20 000/500 IOPS par disque.
Pour les comptes de stockage Premium : un compte de stockage Premium a un débit total maximum de
50 Gbits/s. Le débit total sur l'ensemble de vos disques de machine virtuelle ne doit pas dépasser cette
limite.
Pour plus d’informations, consultez Tailles de machines virtuelles.
Disques de machines virtuelles gérées
Disques managés HDD Standard
TYPE
DE
DISQU
E
STAND
ARD S4 S6 S10 S15 S20 S30 S40 S50 S60 S70 S80
IOPS Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’
par à 500 à 500 à 500 à 500 à 500 à 500 à 500 à 500 à1 à2 à2
disque 300 000 000
Débit Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’ Jusqu’
par à 60 à 60 à 60 à 60 à 60 à 60 à 60 à 60 à 300 à 500 à 500
disque Mio/s Mio/s Mio/s Mio/s Mio/s Mio/s Mio/s Mio/s Mio/s Mio/s Mio/s
TAIL
LES
DE
DIS
QUE
SSD
STA
NDA
RD E1* E2* E3* E4 E6 E10 E15 E20 E30 E40 E50 E60 E70 E80
IOP Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq
S u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à
par 120 120 120 120 240 500 500 500 500 500 500 2 4 6
disq 000 000 000
ue
Déb Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq Jusq
it u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à u’à
par 25 25 25 25 50 60 60 60 60 60 60 400 600 750
disq Mio Mio Mio Mio Mio Mio Mio Mio Mio Mio Mio Mio Mio Mio
ue /s /s /s /s /s /s /s /s /s /s /s /s /s /s
*Indique une taille de disque actuellement en préversion. Pour plus d’informations sur la disponibilité régionale,
voir Nouvelles tailles de disque : managés et non managés.
Disques managés SSD Premium : Limites par disque
TAIL
LES
DE
DIS
QUE
SSD
PRE
MIU
M P1* P2* P3* P4 P6 P10 P15 P20 P30 P40 P50 P60 P70 P80
Déb 25 25 25 25 50 100 125 150 200 250 250 500 750 900
it Mio Mio Mio Mio Mio Mi Mi Mio Mi Mi Mi Mi Mi Mi
par /s /s /s /s /s o/s o/s /s o/s o/s o/s o/s o/s o/s
disq
ue
Nb 35 35 35 35 35 35 35 35
max 00 00 00 00 00 00 00 00
.
d’iO
PS
de
rafal
e
par
disq
ue*
*
Dur 30 30 30 30 30 30 30 30
ée min min min min min min min min
max
imal
e de
rafal
e**
TAIL
LES
DE
DIS
QUE
SSD
PRE
MIU
M P1* P2* P3* P4 P6 P10 P15 P20 P30 P40 P50 P60 P70 P80
Éligi Non Non Non Non Non Non Non Non Oui, Oui, Oui, Oui, Oui, Oui,
ble jusq jusq jusq jusq jusq jusq
pou u’à u’à u’à u’à u’à u’à
r la un un un un un un
rése an an an an an an
rvat
ion
*Indique une taille de disque actuellement en préversion. Pour plus d’informations sur la disponibilité régionale,
voir Nouvelles tailles de disque : managés et non managés.
**Désigne une fonctionnalité en préversion. Pour plus d’informations, consultez Mode rafale.
Disques managés SSD Premium : Limites par machine virtuelle
Maximum d’E/S par seconde par machine virtuelle 80 000 E/S par seconde avec la machine virtuelle GS5
Débit maximal par machine virtuelle 2 000 Mo/s avec la machine virtuelle GS5
1Entrée désigne toutes les données issues de requêtes envoyées à un compte de stockage. Sortie désigne toutes les
TYPE DE DISQUE
DE STOCKAGE
PREMIUM P10 P20 P30 P40 P50
Taille du disque 128 Go 512 Go 1 024 Gio (1 To) 2 048 Gio (2 To) 4 095 Gio (4 To)
Débit maximal 100 Mo/s 150 Mo/s 200 Mo/s 250 Mo/s 250 Mo/s
par disque
Disques de machines virtuelles non managés Premium : Limites par machine virtuelle
Maximum d’E/S par seconde par machine virtuelle 80 000 E/S par seconde avec la machine virtuelle GS5
Débit maximal par machine virtuelle 2 000 Mo/s avec la machine virtuelle GS5
Nombre maximal de planifications par 168 Une planification par heure, tous les
modèle de bande passante jours de la semaine.
Taille maximale d'un volume à plusieurs 64 To pour StorSimple 8100 et StorSimple 8100 et StorSimple 8600
niveaux sur les appareils physiques StorSimple 8600 sont des appareils physiques.
Taille maximale d'un volume à plusieurs 30 To pour StorSimple 8010 StorSimple 8010 et 8020 sont des
niveaux sur les appareils virtuels dans 64 To pour StorSimple 8020 appareils virtuels dans Azure qui
Azure utilisent le stockage Standard et
Premium respectivement.
Taille maximale d'un volume épinglé 9 To pour StorSimple 8100 StorSimple 8100 et StorSimple 8600
localement sur les appareils physiques 24 To pour StorSimple 8600 sont des appareils physiques.
Temps de récupération d'un clone et < 2 minutes Le volume sera disponible dans
d'une restauration pour les volumes à les 2 minutes suivant la
plusieurs niveaux restauration ou le clonage, quelle
que soit la taille du volume.
Au début, les performances du
volume peuvent être inférieures
à la normale, car la plupart des
données et des métadonnées se
trouvent toujours dans le cloud.
Les performances augmenteront
probablement au fur et à mesure
que les données provenant du
cloud se dirigent vers l’appareil
StorSimple.
La durée totale de
téléchargement des
métadonnées dépend de la taille
du volume alloué. Les
métadonnées sont
automatiquement intégrées à
l’appareil en arrière-plan, à une
vitesse de 5 minutes par To de
données du volume alloué. Cette
vitesse peut être affectée par la
bande passante Internet vers le
cloud.
La restauration ou le clonage est
terminé lorsque toutes les
métadonnées se trouvent sur
l’appareil.
Impossible d’effectuer des
sauvegardes tant que la
restauration ou le clonage n’est
pas totalement terminé(e).
IDENTIFICATEUR DE LA LIMITE LIMITE COMMENTAIRES
Débit maximal de lecture/d’écriture du 920/720 Mo/s avec une seule interface Jusqu’à deux fois avec MPIO et deux
client, si traité à partir du niveau SSD* réseau 10 gigabits Ethernet interfaces réseau.
* Le débit maximal par type d’E/S a été mesuré avec des scénarios de lecture et d’écriture de 100 pour cent. Le
débit réel peut être inférieur et varie en fonction du mélange d’E/S et des conditions réseau.
Nombre maximal de travaux par région 1 500 Chaque abonnement peut avoir jusqu’à
1 500 travaux par région géographique.
Objet blob de données de référence Mo 300 La taille d’un objet blob de données de
référence ne peut pas dépasser 300 Mo.
1Les machines virtuelles à l’aide d’un modèle de déploiement classique et non via Azure Resource Manager sont
automatiquement stockées dans un service cloud. Vous pouvez ajouter plus de machines virtuelles à ce service
cloud pour l’équilibrage de charge et la disponibilité.
2
2Les points de terminaison d’entrée autorisent les communications avec une machine virtuelle depuis l’extérieur du
service cloud de la machine virtuelle. Les machines virtuelles d’un même service cloud ou réseau virtuel peuvent
automatiquement communiquer entre elles. Pour plus d’informations, consultez Configuration des points de
terminaison sur une machine virtuelle.
Limites de machines virtuelles - Azure Resource Manager
Les limites suivantes s'appliquent lorsque vous utilisez Azure Resource Manager et les groupes de ressources
Azure.
Nombre total de cœurs de machine virtuelle par abonnement 201 par région. Contactez le support pour augmenter la limite.
Nombre total de cœurs de machine virtuelle Azure Spot par 201 par région. Contactez le support pour augmenter la limite.
abonnement
Machine virtuelle par série, telle que Dv2, et F, cœurs par 201 par région. Contactez le support pour augmenter la limite.
abonnement
1Les limites par défaut varient selon le type de catégorie d’offre, comme la version d’évaluation gratuite et le
paiement à l’utilisation, et selon la série, par exemple dv2, F et G. Par exemple, la valeur par défaut pour les
abonnements Accord Entreprise est 350.
2 Avec Azure Resource Manager, les certificats sont stockés dans
Azure Key Vault. Le nombre de certificats est
illimité pour un abonnement. Un déploiement est limité à 1 Mo de certificat, dont une machine virtuelle ou un
groupe à haute disponibilité.
NOTE
Les cœurs de machines virtuelles sont soumis à une limite totale régionale. Ils ont également une limite pour les séries par
taille régionales, telles que Dv2 et F. Ces limites sont appliquées séparément. Par exemple, considérons un abonnement dont
le nombre total limite de cœurs de machine virtuelle est de 30 pour la région USA Est, de 30 pour la gamme A et de 30 pour
la gamme D. Cet abonnement peut déployer 30 machines virtuelles A1, ou 30 machines virtuelles D1, ou encore une
combinaison de ces deux types de machines dans la limite de 30 cœurs au total. Par exemple, 10 machines virtuelles A1 et 20
machines virtuelles D1.
Voir aussi
Comprendre les limites et les augmentations Azure
Tailles de machine virtuelle et de service cloud pour Azure
Tailles pour Services cloud Azure
Règles de nommage et restrictions pour les ressources Azure