Voir et gérer les fournisseurs de services

La page Fournisseurs de services dans le portail Azure offre aux clients le contrôle et la visibilité de leurs fournisseurs de services qui utilisent Azure Lighthouse. Les clients peuvent déléguer des ressources spécifiques, passer en revue les offres nouvelles ou mises à jour, supprimer l’accès d’un fournisseur de services, et bien plus encore.

Pour accéder à la page Fournisseurs de services du portail Azure, entrez « Fournisseurs de services » dans la zone de recherche située en haut du portail Azure. Vous pouvez également sélectionner Tous les services, puis Azure Lighthouse, ou rechercher « Azure Lighthouse ». Dans la page Azure Lighthouse, sélectionnez Voir les offres de fournisseur de services.

Notes

Pour afficher la page Fournisseurs de services, un utilisateur du locataire du client doit disposer du rôle intégré Lecteur (ou d’un autre rôle intégré qui comprend l’accès en lecture).

Pour ajouter ou mettre à jour des offres, déléguer des ressources et supprimer des offres, l’utilisateur doit disposer d’un rôle avec l’autorisation Microsoft.Authorization/roleAssignments/write, comme le rôle Propriété.

N’oubliez pas que la page Fournisseurs de services affiche des informations uniquement sur les fournisseurs de services qui ont accès aux abonnements ou aux groupes de ressources du client via Azure Lighthouse. Elle n’affiche pas d’informations sur les fournisseurs de services supplémentaires qui n’utilisent pas Azure Lighthouse.

Afficher les détails du fournisseur de services

Pour afficher les détails des fournisseurs de services actuels qui utilisent Azure Lighthouse pour travailler sur le locataire du client, sélectionnez Offres de fournisseur de services sur le côté gauche de la page Fournisseurs de services.

Pour chaque offre, vous verrez le nom du fournisseur de services, ainsi que l’offre associée. Vous pouvez sélectionner une offre pour afficher une description et d’autres détails, y compris les attributions de rôles accordées par le fournisseur de services.

Dans la colonne Délégations, vous pouvez voir combien d’abonnements ou groupes de ressources ont été délégués au fournisseur de services pour cette offre. Le fournisseur de services est en mesure d’accéder à ces abonnements ou groupes de ressources, ainsi que de les gérer, en fonction des niveaux d’accès spécifiés dans l’offre.

Ajouter des offres de fournisseur de services

Vous pouvez ajouter une nouvelle offre de fournisseur de services à partir de la page Offres de fournisseur de services.

Pour ajouter une offre à partir de la Place de marché, sélectionnez le bouton Ajouter une offre au milieu de la page, ou sélectionnez Ajouter une offre vers le haut de la page, puis choisissez Ajouter via la Place de marché. Si des offres de services managés ont été publiées spécifiquement pour ce client, sélectionnez Offres privées pour les voir. Sélectionnez une offre pour passer en revue les détails correspondants. Pour ajouter l’offre, sélectionnez Créer.

Pour ajouter une offre à partir d’un modèle, sélectionnez Ajouter une offre vers le haut de la page, puis choisissez Ajouter via la Place de marché. Cela vous permet de charger un modèle à partir de votre fournisseur de services et d’intégrer votre abonnement (ou groupe de ressources). Pour plus d’informations, consultez Déployer dans le portail Azure.

Mettre à jour les offres de fournisseur de services

Une fois qu’un client a ajouté une offre, un fournisseur de services peut publier une version mise à jour de cette même offre sur la place de marché Microsoft Azure, par exemple pour ajouter une nouvelle définition de rôle. Si une nouvelle version de l’offre a été publiée, la page Offres du fournisseur de services comprend une icône de « mise à jour » dans la ligne de l’offre en question. Sélectionnez cette icône pour voir les différences entre la version actuelle de l'offre et la nouvelle.

Après avoir passé en revue les changements, vous pouvez choisir d’effectuer une mise à jour vers la nouvelle version. Les autorisations et autres paramètres spécifiés dans la nouvelle version s’appliquent alors à tous les abonnements et/ou groupes de ressources qui ont été délégués pour cette offre.

Supprimer des offres de fournisseur de services

Vous pouvez supprimer une offre de fournisseur de services à tout moment, en sélectionnant l’icône Corbeille sur la ligne de cette offre.

Une fois que vous avez confirmé la suppression, ce fournisseur de services n’a plus accès aux ressources qui étaient déléguées pour cette offre.

Important

Si un abonnement dispose de deux offres ou plus du même fournisseur de services, la suppression de l’une d’entre elles peut entraîner la perte de l’accès accordé par les autres délégations à certains utilisateurs du fournisseur de services. Cela survient uniquement lorsque le même utilisateur et le même rôle sont inclus dans plusieurs délégations, puis que l’une des délégations est supprimée. Pour résoudre cela, le processus d’intégration doit être répété pour les offres que vous ne supprimez pas.

Déléguer des ressources

Pour qu’un fournisseur de services puisse accéder aux ressources d’un client et les gérer, un ou plusieurs abonnements et/ou groupes de ressources doivent être délégués. Lorsqu’un client ajoute une offre sans déléguer de ressources, une note apparaît en haut de la section Offres du fournisseur de services. Le fournisseur de services ne peut pas travailler sur les ressources du locataire du client tant que la délégation n’est pas effectuée.

Pour déléguer des abonnements ou des groupes de ressources :

1. Cochez la case correspondant à la ligne contenant le fournisseur de services, l’offre et le nom. Sélectionnez ensuite Déléguer des ressources en haut de l’écran.
2. Dans la section Détails de l’offre de la page Déléguer des ressources, examinez les détails relatifs au fournisseur de services et à l’offre. Pour réviser les attributions de rôles pour l’offre, sélectionnez Cliquer ici pour voir les détails de l’offre sélectionnée.
3. Dans la section Déléguer, sélectionnez Déléguer des abonnements ou Déléguer des groupes de ressources.
4. Choisissez les abonnements ou groupes de ressources que aimeriez déléguer pour cette offre, puis sélectionnez Ajouter.
5. Activez la case à cocher en bas de la page pour confirmer que vous souhaitez accorder à ce fournisseur de services l’accès à ces ressources, puis sélectionnez Déléguer.

Afficher les délégations

Les délégations représentent une association de ressources client spécifiques (abonnements et/ou groupes de ressources) à des attributions de rôles qui accordent des autorisations au fournisseur de services pour ces ressources. Pour voir les détails d’une délégation, sélectionnez Délégations sur le côté gauche de la page Fournisseurs de services.

Les filtres du haut de la page vous permettent de trier et regrouper vos informations de délégation. Vous pouvez également filtrer par fournisseur de service, offres ou mots clés spécifiques.

Remarque

Lors de l’affichage des informations d’attribution de rôle pour l’étendue déléguée dans le Portail Azure ou par le biais des API, les clients ne voient pas les attributions de rôles pour les utilisateurs du locataire du fournisseur de services, qui ont un accès au travers de Azure Lighthouse. De même, les utilisateurs du locataire du fournisseur de services ne voient pas les attributions de rôles pour les utilisateurs du locataire d’un client, quel que soit le rôle qui leur a été attribué.

Notez que les attributions d’administrateur classiques dans un locataire du client peuvent être visibles par les utilisateurs du locataire gérant ou inversement, car les rôles d’administrateur classiques n’utilisent pas le modèle de déploiement Resource Manager.

Auditer et restreindre des délégations dans votre environnement

Les clients peuvent souhaiter passer en revue tous les abonnements et/ou groupes de ressources délégués à Azure Lighthouse. Cela s’avère particulièrement utile pour les clients disposant d’un grand nombre d’abonnements ou en présence de nombreux utilisateurs effectuant des tâches de gestion.

Nous fournissons une définition de stratégie intégrée Azure Policy pour auditer la délégation d’étendues sur un locataire gestionnaire. Vous pouvez attribuer cette stratégie à un groupe d’administration comprenant tous les abonnements que vous souhaitez auditer. Lorsque vous utilisez cette stratégie pour vérifier la conformité, tous les abonnements et/ou groupes de ressources délégués (dans le groupe d’administration auquel la stratégie est attribuée) apparaissent dans un état non conforme. Vous pouvez ensuite passer en revue les résultats afin de vous assurer de l'absence de délégations inattendues.

Une autre définition de stratégie intégrée vous permet de limiter les délégations à des locataires gestionnaires spécifiques. Cette stratégie peut être attribuée à un groupe d’administration qui comprend tous les abonnements pour lesquels vous souhaitez limiter les délégations. Une fois la stratégie déployée, toute tentative de déléguer un abonnement à un locataire en dehors de ceux que vous spécifiez est refusée.

Pour plus d’informations sur l’attribution d’une stratégie et l’affichage des résultats de l’état de conformité, consultez Démarrage rapide : Créer une attribution de stratégie.

Étapes suivantes

• Apprenez-en davantage sur Azure Lighthouse.
• Découvrez comment auditer l’activité d’un fournisseur de services.
• Découvrez comment les fournisseurs de services peuvent voir et gérer les clients dans la page Mes clients sur le portail Azure.
• Découvrez comment les entreprises qui gèrent plusieurs locataires peuvent utiliser Azure Lighthouse pour consolider leur expérience de gestion.