Attribuer des rôles de ressources Azure dans Privileged Identity Management

Avec le service Azure AD Privileged Identity Management (Azure AD PIM), de la famille Microsoft Entra, vous pouvez gérer les rôles de ressources Azure intégrés et les rôles personnalisés, notamment (liste non exhaustive) :

  • Propriétaire
  • Administrateur de l'accès utilisateur
  • Contributeur
  • Administrateur de la sécurité
  • Gestionnaire de sécurité

Notes

Les utilisateurs ou membres d’un groupe affecté aux rôles d’abonnement Propriétaire ou Administrateur d’accès utilisateur et les administrateurs d’Azure AD Global qui activent la gestion des abonnements dans Azure AD disposent des droits d’administrateur de ressources par défaut. Ces administrateurs peuvent assigner des rôles, configurer des paramètres de rôle et revoir les accès à l’aide de Privileged Identity Management pour Azure Resources. Un utilisateur ne peut pas gérer Privileged Identity Management pour les ressources sans autorisations d’administrateur de ressources. Affichez la liste des rôles Azure intégrés.

Privileged Identity Management prend en charge les rôles Azure personnalisés et intégrés. Pour plus d’informations sur les rôles personnalisés Azure, consultez Rôles personnalisés Azure.

Conditions d’attribution de rôle

Vous pouvez utiliser le contrôle d’accès basé sur les attributs Azure (Azure ABAC) pour ajouter des conditions sur les attributions de rôles éligibles à l’aide d’Azure AD PIM pour les ressources Azure. Avec Azure AD PIM, vos utilisateurs finaux doivent activer une attribution de rôle éligible pour avoir l’autorisation d’effectuer certaines actions. L’utilisation de conditions Azure AD PIM vous permet non seulement de limiter les autorisations de rôle d’un utilisateur à une ressource à l’aide de conditions affinées, mais également d’utiliser Azure AD PIM pour sécuriser l’attribution de rôle avec un paramètre de durée, un workflow d’approbation, une piste d’audit, etc.

Notes

Lorsqu’un rôle est affecté, l’affectation :

  • Affectation impossible pour une durée inférieure à cinq minutes
  • Ne peut pas être supprimée dans les cinq minutes suivant l’affectation

Actuellement, les conditions peuvent être ajoutées aux rôles intégrés suivants :

Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (RBAC Azure) ?.

Attribuer un rôle

Suivez ces étapes pour rendre un utilisateur éligible pour un rôle de ressource Azure.

  1. Connectez-vous au portail Azure avec les autorisations de rôle Propriétaire ou Administrateur de l’accès utilisateur.

  2. Ouvrez Azure AD Privileged Identity Management.

  3. Sélectionnez Ressources Azure.

  4. Sélectionnez le Type de ressource que vous souhaitez gérer. Par exemple, Ressource ou Groupe de ressources. Sélectionnez ensuite la ressource que vous souhaitez gérer pour ouvrir sa page de présentation.

    Capture d’écran montrant comment sélectionner des ressources Azure.

  5. Sous Gérer, sélectionnez Rôles pour afficher la liste des rôles pour les ressources Azure.

  6. Sélectionnez Ajouter des affectations pour ouvrir le volet Ajouter des affectations.

    Capture d’écran de rôles de ressources Azure.

  7. Sélectionnez un Rôle que vous souhaitez attribuer.

  8. Sélectionnez le lien Aucun membre sélectionné pour ouvrir le volet Sélectionner un membre ou un groupe.

    Capture d’écran du volet de nouvelle affectation.

  9. Sélectionnez un membre ou un groupe que vous souhaitez affecter au rôle, puis choisissez Sélectionner.

    Capture d’écran qui illustre comment sélectionner un volet de membre ou de groupe.

  10. Dans l’onglet Paramètres, liste Type d’affectation, sélectionnez Éligible ou Actif.

    Capture d’écran du volet de paramètres d’ajout d’affectation.

    Azure AD PIM pour les ressources Azure fournit deux types distincts d’attribution :

    • Les affectations éligibles nécessitent que le membre active le rôle avant de l’utiliser. L’administrateur peut exiger que le membre de rôle effectue certaines actions avant l’activation du rôle, ce qui peut inclure l’exécution d’une vérification de l’authentification multifacteur (MFA), la fourniture d’une justification métier ou la demande d’approbation des approbateurs désignés.

    • Les affectations actives ne nécessitent pas que le membre active le rôle avant de l’utiliser. Les membres actifs disposent des privilèges accordés, prêts à l’emploi. Ce type d’affectation est également disponible pour les clients qui n’utilisent pas Azure AD PIM.

  11. Pour spécifier une durée d’attribution spécifique, modifiez les dates et heures de début et de fin.

  12. Si le rôle a été défini avec des actions qui autorisent les affectations à ce rôle avec des conditions, vous pouvez sélectionner Ajouter une condition pour ajouter une condition en fonction des attributs d’utilisateur et de ressource principaux qui font partie de l’affectation.

    Capture d’écran du volet de nouvelles conditions d’affectation.

    Les conditions peuvent être entrées dans le générateur d’expressions.

    Capture d’écran de nouvelle condition d’affectation créée à partir d’une expression.

  13. Lorsque vous avez terminé, sélectionnez Attribuer.

  14. Une fois la nouvelle attribution de rôle créée, une notification d’état s’affiche.

    Capture d’écran d’une notification de nouvelle affectation.

Attribuer un rôle à l’aide de l’API ARM

Privileged Identity Management prend en charge les commandes de l’API Azure Resource Manager (ARM) pour gérer les rôles de ressources Azure, comme indiqué dans les informations de référence sur l’API ARM PIM. Pour obtenir les autorisations requises pour utiliser l’API PIM, consultez Comprendre les API de la Gestion de l’identité managée.

Voici un exemple de requête HTTP pour créer une affectation éligible pour un rôle Azure.

Requête

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Corps de la demande

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

response

Code d’état : 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Mettre à jour ou supprimer une attribution de rôle existante

Suivez ces étapes pour mettre à jour ou supprimer une attribution de rôle existante.

  1. Ouvrez Azure AD Privileged Identity Management.

  2. Sélectionnez Ressources Azure.

  3. Sélectionnez le Type de ressource que vous souhaitez gérer. Par exemple, Ressource ou Groupe de ressources. Sélectionnez ensuite la ressource que vous souhaitez gérer pour ouvrir sa page de présentation.

    Capture d’écran montrant comment sélectionner des ressources Azure à mettre à jour.

  4. Sous Gérer, sélectionnez Rôles pour lister les rôles pour les ressources Azure. La capture d’écran suivante présente la liste des rôles d’un compte Stockage Azure. Sélectionnez le rôle que vous souhaitez mettre à jour ou supprimer.

    Capture d’écran qui montre les rôles d’un compte Stockage Azure.

  5. Recherchez l’attribution de rôle sous les onglets Rôles éligibles et Rôles actifs.

    Capture d’écran qui illustre comment mettre à jour ou supprimer une attribution de rôle.

  6. Pour ajouter ou mettre à jour une condition pour affiner l’accès aux ressources Azure, sélectionnez Ajouter ou Afficher/Modifier dans la colonne Condition de l’attribution de rôle. Actuellement, les rôles Propriétaire des données blob de stockage, Lecteur de données blob de stockage et Contributeur aux données blob de stockage dans Azure AD PIM sont les seuls rôles qui peuvent avoir des conditions ajoutées.

  7. Sélectionnez Ajouter une expression ou Supprimer pour mettre à jour l’expression. Vous pouvez également sélectionner Ajouter une condition pour ajouter une nouvelle condition à votre rôle.

    Capture d’écran qui illustre comment mettre à jour ou supprimer des attributs d’une attribution de rôle.

    Pour obtenir des informations sur l’extension d’une attribution de rôle, consultez Étendre ou renouveler des rôles de ressources Azure dans Privileged Identity Management.

Étapes suivantes