Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure

En tant qu’administrateur général dans Microsoft Entra ID, il est possible que vous n’ayez pas accès à tous les abonnements et groupes d’administration de votre répertoire. Cet article décrit les méthodes pour élever votre accès à tous les abonnements et groupes d’administration.

Remarque

Pour plus d’informations sur l’affichage ou la suppression des données personnelles, consultez Requêtes DSR (droits de la personne concernée) Azure pour le RGPD. Pour plus d’informations sur le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

Pourquoi devez-vous élever votre accès ?

Si vous êtes administrateur général, il peut vous arriver de vouloir effectuer les actions suivantes :

• Récupérer l’accès à un abonnement ou groupe d’administration Azure quand un utilisateur a perdu cet accès
• Accorder à un autre utilisateur ou à vous-même un accès à un abonnement ou à un groupe d’administration Azure
• Voir tous les abonnements ou groupes d’administration Azure au sein d’une organisation
• Autoriser une application d’automation (telle qu’une application de facturation ou d’audit) à accéder à tous les abonnements ou groupes d’administration Azure

Comment fonctionne l’accès avec élévation de privilèges ?

Les ressources Microsoft Entra ID et Azure sont sécurisées de façon indépendante les unes des autres. Ainsi, les attributions de rôles Microsoft Entra n’accordent pas d’accès aux ressources Azure et inversement, les attributions de rôles Azure n’accordent pas d’accès à Microsoft Entra ID. En revanche, si vous êtes administrateur général dans Microsoft Entra ID, vous pouvez vous attribuer à vous-même un accès à tous les abonnements et groupes d’administration Azure de votre annuaire. Utilisez cette fonctionnalité si vous n’avez pas accès aux ressources de l’abonnement Azure, comme les machines virtuelles ou les comptes de stockage, et que vous voulez utiliser vos privilèges d’administrateur général pour accéder à ces ressources.

Quand vous élevez votre accès, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure au niveau de l’étendue racine (/). Ceci vous permet de voir toutes les ressources et d’attribuer des accès dans n’importe quel abonnement ou groupe d’administration de l’annuaire. Les attributions de rôles Administrateur de l’accès utilisateur peuvent être supprimées à l’aide d’Azure PowerShell, d’Azure CLI ou de l’API REST.

Vous devez supprimer cet accès avec élévation de privilèges après avoir effectué les modifications nécessaires au niveau de l’étendue racine.

Effectuer des étapes dans l’étendue racine

Azure portal

Étape 1 : élever l’accès d’un administrateur général

Effectuez les étapes suivantes pour élever l’accès d’un administrateur général à l’aide du portail Azure.

1. Connectez-vous au portail Azure en tant qu’administrateur général.

   Si vous utilisez Microsoft Entra Privileged Identity Management, activez votre attribution de rôle Administrateur général.

2. Ouvrez Microsoft Entra ID.

3. Sous Gérer, sélectionnez Propriétés.

   

4. Sous Gestion de l’accès pour les ressources Azure, définissez la bascule sur Oui.

   

   Quand vous définissez la bascule sur Oui, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure RBAC au niveau de l’étendue racine (/). Ceci vous accorde l’autorisation d’attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à cet annuaire Microsoft Entra. Cette bascule est disponible seulement pour les utilisateurs auxquels le rôle Administrateur général a été attribué dans Microsoft Entra ID.

   Quand vous définissez la bascule sur Non, le rôle Administrateur de l’accès utilisateur dans Azure RBAC est supprimé de votre compte d’utilisateur. Vous ne pouvez plus attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à cet annuaire Microsoft Entra. Vous pouvez voir et gérer seulement les abonnements et groupes d’administration Azure auxquels l’accès vous a été accordé.

   Remarque

   Si vous utilisez Privileged Identity Management, la désactivation de l’attribution de rôle n’a pas pour effet de définir l’option Gestion de l’accès pour les ressources Azure sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

5. Cliquez sur Enregistrer pour enregistrer votre paramètre.

   Ce paramètre n’est pas une propriété globale et s’applique uniquement à l’utilisateur connecté. Vous ne pouvez pas élever l’accès pour tous les membres du rôle Administrateur général.

6. Déconnectez-vous et reconnectez-vous pour actualiser votre accès.

   Vous devez maintenant avoir accès à tous les abonnements et à tous les groupes d’administration de votre annuaire. Lorsque vous affichez le volet de contrôle d’accès (IAM), vous pouvez remarquer que le rôle Administrateur de l’accès utilisateur vous a été attribué au niveau de l’étendue racine.

   

7. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

   Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide du portail Azure. Si vous utilisez Privileged Identity Management, consultez Découvrir les ressources Azure à gérer ou Attribuer des rôles de ressources Azure.

8. Procédez de la manière décrite dans la section suivante pour supprimer votre accès avec élévation de privilèges.

Étape 2 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

1. Connectez-vous en tant qu’utilisateur avec celui utilisé pour élever l’accès.

2. Dans la liste de navigation, cliquez sur Microsoft Entra ID, puis sur Propriétés.

3. Définissez la bascule Gestion de l’accès pour les ressources Azure sur Non. Comme il s’agit d’un paramètre par utilisateur, vous devez être connecté sous le même utilisateur que celui utilisé pour élever l’accès.

   Si vous tentez de supprimer l’attribution de rôle Administrateur de l’accès utilisateur dans le volet de contrôle d’accès (IAM), le message suivant s’affiche. Pour supprimer l’attribution de rôle, vous devez rétablir la bascule sur Non ou utiliser Azure PowerShell, Azure CLI ou l’API REST.

   

4. Déconnectez-vous en tant qu’administrateur général.

   Si vous utilisez Privileged Identity Management, désactivez votre attribution de rôle Administrateur général.

   Remarque

   Si vous utilisez Privileged Identity Management, la désactivation de l’attribution de rôle n’a pas pour effet de définir l’option Gestion de l’accès pour les ressources Azure sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

PowerShell

Étape 1 : élever l’accès d’un administrateur général

Utilisez le Portail Azure ou l’API REST pour élever l’accès à un administrateur général.

Étape 2 : répertorier une attribution de rôle au niveau de l’étendue racine (/)

Après avoir élevé l’accès, pour répertorier l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur dans l’étendue racine (/), utilisez la commande Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Étape 3 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même ou un autre utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé. Il peut s’agir du même utilisateur que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au niveau de l’étendue racine.

2. Utilisez la commande Remove-AzRoleAssignment pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Étape 1 : élever l’accès d’un administrateur général

Pour élever l’accès d’un administrateur général à l’aide de l’Azure CLI, effectuez les étapes de base suivantes.

1. Utilisez la commande az rest pour appeler le point de terminaison elevateAccess, qui vous accorde le rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

   Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide d’Azure CLI.

3. Procédez de la manière décrite dans une section ultérieure pour supprimer votre accès avec élévation de privilèges.

Étape 2 : répertorier une attribution de rôle au niveau de l’étendue racine (/)

Après avoir élevé l’accès, pour répertorier l’attribution de rôle Administrateur de l’accès utilisateur pour un utilisateur dans l’étendue racine (/), utilisez la commande az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Étape 3 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur pour vous-même ou un autre utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

1. Connectez-vous en tant qu’utilisateur pouvant supprimer l’accès élevé. Il peut s’agir du même utilisateur que celui utilisé pour élever l’accès ou d’un autre administrateur général disposant d’un accès élevé au niveau de l’étendue racine.

2. Utilisez la commande az role assignment delete pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Prérequis

Vous devez utiliser les versions suivantes :

• 2015-07-01 ou une version ultérieure pour lister et supprimer des attributions de rôles
• 2016-07-01 ou version ultérieure pour élever l’accès
• 2018-07-01-preview ou une version ultérieure pour lister les affectations de refus

Pour plus d’informations, consultez Versions des API REST Azure RBAC.

Étape 1 : élever l’accès d’un administrateur général

Pour élever l’accès d’un administrateur général à l’aide de l’API REST, suivez les étapes de base suivantes.

1. Avec REST, appelez elevateAccess, qui vous accorde le rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

   Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide de l’API REST.

3. Procédez de la manière décrite dans une section ultérieure pour supprimer votre accès avec élévation de privilèges.

Étape 2 : répertorier des attributions de rôle au niveau de l’étendue racine (/)

Après avoir élevé l’accès, vous pouvez répertorier toutes les attributions de rôles pour un utilisateur dans l’étendue racine (/).

• Appelez Attributions de rôle - Lister pour une étendue, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez récupérer les attributions de rôles.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Étape 3 : répertorier les affectations de refus dans l’étendue racine (/)

Après avoir élevé l’accès, vous pouvez répertorier toutes les attributions de refus pour un utilisateur dans l’étendue racine (/).

• Appelez Attributions de refus – Répertorier pour une étendue, où {objectIdOfUser} est l’ID objet de l’utilisateur dont vous souhaitez récupérer les attributions de refus.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Étape 4 : supprimez l’accès élevé

Lorsque vous appelez elevateAccess, vous créez une attribution de rôle pour vous-même. Donc, pour révoquer ces privilèges, vous devez supprimer l’attribution du rôle Administrateur de l’accès utilisateur pour vous-même au niveau de l’étendue racine (/).

1. Appelez Définitions de rôle - Obtenir, où roleName est l’Administrateur de l’accès utilisateur, pour déterminer l’ID de nom du rôle Administrateur de l’accès utilisateur.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Enregistrez l’ID à partir du paramètre name, en l’occurrence 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Vous devez également lister les attributions de rôles pour l’administrateur d’annuaire au niveau de l’annuaire. Listez toutes les attributions dans l’étendue de l’annuaire pour le principalId de l’administrateur d’annuaire qui a effectué l’appel d’élévation d’accès. Ceci liste toutes les attributions de l’annuaire pour l’objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Remarque

   Un administrateur d’annuaire ne doit normalement pas avoir beaucoup d’attributions. Si la requête précédente retourne un trop grand nombre d’attributions, vous pouvez aussi interroger toutes les attributions seulement au niveau de l’étendue de l’annuaire, puis filtrer les résultats : GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Les appels précédents retournent une liste des attributions de rôle. Recherchez l’attribution de rôle pour laquelle l’étendue est "/", où roleDefinitionId se termine par l’ID du nom de rôle trouvé à l’étape 1 et où principalId correspond à l’objectid de l’administrateur d’annuaire.

   Exemple d’attribution de rôle :

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Là encore, enregistrez l’ID à partir du paramètre name, en l’occurrence 11111111-1111-1111-1111-111111111111.

4. Enfin, utilisez l’ID d’attribution de rôle pour supprimer l’attribution ajoutée par elevateAccess :

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Afficher les entrées du journal d’accès élevé dans les journaux d’activité de répertoire

Lorsque l’accès est élevé, une entrée est ajoutée aux journaux. En tant qu’administrateur général dans Microsoft Entra ID, vous souhaiterez peut-être vérifier quand l’accès a été élevé et qui l’a fait. Les entrées du journal d’accès élevé n’apparaissent pas dans les journaux d’activité standard, mais apparaissent dans les journaux d’activité du répertoire. Cette section décrit les différentes façons dont vous pouvez afficher les entrées du journal d’accès élevé.

Afficher les entrées du journal d’accès élevé à l’aide du Portail Azure

1. Connectez-vous au portail Azure en tant qu’administrateur général.

2. Sélectionnez Surveiller>Journal d’activité.

3. Définissez la liste Activité sur Activité d’annuaire.

4. Recherchez l’opération suivante, qui signifie l’action d’accès avec élévation de privilèges.

   Assigns the caller to User Access Administrator role

   

Afficher les entrées du journal d’accès élevé à l’aide d’Azure CLI

1. Utilisez la commande az login pour vous connecter en tant qu’administrateur général.

2. Utilisez la commande az rest pour effectuer l’appel suivant, dans lequel vous devrez filtrer par une date comme indiqué dans l’exemple de tampon et spécifier un nom de fichier où vous souhaitez stocker les journaux.

   L’url appelle une API pour récupérer les journaux dans Microsoft.Insights. La sortie sera enregistrée dans votre fichier.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Dans le fichier de sortie, recherchez elevateAccess.

   Le journal ressemble à ce qui suit, dans lequel vous pouvez voir l’horodatage du moment où l’action s’est produite et qui l’a appelée.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Déléguer l’accès à un groupe pour afficher les entrées du journal d’accès élevé à l’aide d’Azure CLI

Si vous souhaitez être en mesure d’obtenir régulièrement les entrées du journal d’accès élevé, vous pouvez déléguer l’accès à un groupe, puis utiliser Azure CLI.

1. Ouvrez Microsoft Entra ID>Groupes.

2. Créez un groupe de sécurité et notez l’ID d’objet de groupe.

3. Utilisez la commande az login pour vous connecter en tant qu’administrateur général.

4. Utilisez la commande az role assignment create pour affecter le rôle Lecteur au groupe qui peut lire uniquement les journaux au niveau de l’annuaire figurant dans Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Ajoutez un utilisateur qui lira les journaux dans le groupe créé précédemment.

Un utilisateur du groupe peut maintenant exécuter régulièrement la commande az rest pour afficher les entrées du journal d’accès élevé.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Étapes suivantes

• Comprendre les différents rôles
• Attribuer des rôles Azure à l’aide de l’API REST