Gérer vos abonnements Azure à grande échelle avec des groupes d’administration

Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements. Vous organisez les abonnements en conteneurs appelés « groupes d’administration » et vous appliquez vos conditions de gouvernance aux groupes d’administration. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.

Les groupes d’administration vous permettent une gestion de qualité professionnelle à grande échelle, quel que soit le type de vos abonnements. Pour plus d’informations sur les groupes d’administration, consultez Organiser vos ressources avec des groupes d’administration Azure.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

Important

Le cache de groupe d’administration et les jetons utilisateur Azure Resource Manager sont conservés pendant 30 minutes avant d’être forcés à s’actualiser. L’affichage d’une action telle que le déplacement d’un groupe d’administration ou d’un abonnement peut prendre jusqu’à 30 minutes. Pour voir les mises à jour plus rapidement, vous devez mettre à jour votre jeton en actualisant le navigateur, en vous connectant puis vous déconnectant, ou en demandant un nouveau jeton.

Important

Les cmdlets Az PowerShell liées à AzManagementGroup indiquent que le paramètre -GroupId est l’alias du paramètre -GroupName. Nous pouvons donc les utiliser pour fournir l’ID du groupe d’administration en tant que valeur de chaîne.

Modifier le nom d’un groupe d’administration

Vous pouvez modifier le nom du groupe d’administration en utilisant le portail, PowerShell ou Azure CLI.

Modifier le nom dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration à renommer.

4. Sélectionnez Détails.

5. Sélectionnez l’option Renommer le groupe en haut de la page.

   

6. Lorsque le menu s’ouvre, entrez le nouveau nom à afficher.

   

7. Sélectionnez Enregistrer.

Modifier le nom dans PowerShell

Pour mettre à jour le nom d’affichage, utilisez Update-AzManagementGroup. Par exemple, pour remplacer le nom d'affichage du groupe d’administration « Contoso IT » par « Groupe Contoso », exécutez la commande suivante :

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Modifier le nom dans Azure CLI

Pour Azure CLI, utilisez la commande update.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Supprimer un groupe d’administration

Pour supprimer un groupe d’administration, les conditions suivantes doivent être remplies :

1. Le groupe d’administration ne contient pas de groupes d’administration enfants ni d’abonnements. Pour déplacer un abonnement ou groupe d’administration vers un autre groupe d’administration, consultez Déplacer des groupes d’administration et des abonnements dans la hiérarchie.

2. Vous devez disposer des autorisations en écriture sur le groupe d'administration (« Propriétaire », « Contributeur » ou « Contributeur du groupe d’administration »). Pour connaître vos autorisations, sélectionnez le groupe d’administration, puis sélectionnez IAM. Pour plus d’informations sur les rôles Azure, consultez Contrôle d’accès en fonction du rôle Azure (Azure RBAC).

Supprimer dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration à supprimer.

4. Sélectionnez Détails.

5. Sélectionnez Supprimer.

   

   Conseil

   Si l’icône est désactivée, placez le curseur de la souris au-dessus d’elle pour en connaître la raison.

6. Une fenêtre s’ouvre pour que vous confirmiez la suppression du groupe d’administration.

   

7. Sélectionnez Oui.

Supprimer dans PowerShell

Utilisez la commande Remove-AzManagementGroup dans PowerShell pour supprimer des groupes d’administration.

Remove-AzManagementGroup -GroupId 'Contoso'

Supprimer dans Azure CLI

Avec Azure CLI, utilisez la commande az account management-group delete.

az account management-group delete --name 'Contoso'

Afficher des groupes d’administration

Vous pouvez afficher tous les groupes d’administration pour lesquels vous avez un rôle Azure direct ou hérité.

Afficher dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. La page de la hiérarchie des groupes de gestion se charge. Cette page vous permet d'explorer tous les groupes d’administration et abonnements auxquels vous avez accès. Sélectionner le nom du groupe vous fait descendre à un niveau inférieur dans la hiérarchie. La navigation fonctionne comme dans un explorateur de fichiers.

4. Pour afficher les détails du groupe d’administration, sélectionnez le lien (détails) en regard du titre du groupe d’administration. Si ce lien n’est pas disponible, vous n’avez pas les autorisations pour afficher ce groupe d’administration.

   

Afficher dans PowerShell

Utilisez la commande Get-AzManagementGroup pour récupérer tous les groupes. Consultez les modules Az.Resources pour obtenir la liste complète des commandes GET PowerShell de groupe d’administration.

Get-AzManagementGroup

Pour consulter les détails d’un seul groupe d’administration, utiliser le paramètre -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Pour renvoyer un groupe d’administration spécifique et tous ses niveaux de hiérarchie sous-jacents, utilisez les paramètres -Expand and -Recurse.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Afficher dans Azure CLI

Utilisez la commande list pour récupérer tous les groupes.

az account management-group list

Pour consulter les détails d’un seul groupe d’administration, utilisez la commande show.

az account management-group show --name 'Contoso'

Pour renvoyer un groupe d’administration spécifique et tous ses niveaux de hiérarchie sous-jacents, utilisez les paramètres -Expand and -Recurse.

az account management-group show --name 'Contoso' -e -r

Déplacement des groupes d’administration et des abonnements

L’une des raisons de créer un groupe d’administration est de regrouper des abonnements. Seuls les groupes d’administration et les abonnements peuvent être enfants d’un autre groupe d’administration. Un abonnement déplacé vers un groupe d’administration hérite de toutes les stratégies et de tous les accès utilisateur du groupe d’administration parent.

Lors du déplacement d’un abonnement ou groupe d’administration en tant qu’enfant d’un autre groupe d’administration, trois règles sont à prendre en compte.

Si vous effectuez l’action de déplacement, vous devez disposer de l’autorisation sur chacune des couches suivantes :

• Abonnement/groupe d’administration enfant
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (uniquement pour les abonnements)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Groupe d’administration parent cible
  • Microsoft.management/managementgroups/write
• Groupe d’administration parent actuel
  • Microsoft.management/managementgroups/write

Exception : Si le groupe d'administration parent cible ou existant correspond au groupe d'administration racine, les exigences en matière d'autorisations ne s'appliquent pas. Le groupe d’administration racine correspondant à l'emplacement de destination de tous les nouveaux groupes d’administration et abonnements, vous ne devez pas disposer d'autorisations sur ce dernier pour déplacer un élément.

Si le rôle Propriétaire de l'abonnement est hérité du groupe d’administration actuel, vos cibles de déplacement sont limitées. Vous pouvez uniquement déplacer l’abonnement vers un autre groupe d’administration pour lequel vous détenez le rôle Propriétaire. Vous ne pouvez pas le déplacer vers un groupe d’administration pour lequel vous détenez seulement un rôle Contributeur, car vous perdriez la propriété de l’abonnement. Si vous vous voyez affecter directement le rôle Propriétaire de l’abonnement, vous pouvez le déplacer dans un groupe d’administration au sein duquel vous détenez un rôle Contributeur.

Pour connaître vos autorisations dans le portail Azure, sélectionnez le groupe d’administration, puis sélectionnez IAM. Pour plus d’informations sur les rôles Azure, consultez Contrôle d’accès en fonction du rôle Azure (Azure RBAC).

Déplacer des abonnements

Ajouter un abonnement existant à un groupe d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration que vous envisagez d’utiliser comme parent.

4. En haut de la page, sélectionnez Ajouter un abonnement.

5. Sélectionnez l’abonnement dans la liste portant le bon ID.

   

6. Sélectionnez « Enregistrer ».

Supprimer un abonnement d’un groupe d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration qui est le parent actuel.

4. Dans la liste, sélectionnez les points de suspension situés en fin de la ligne de l’abonnement à déplacer.

   

5. Sélectionnez Déplacer.

6. Dans le menu qui s’ouvre, sélectionnez le groupe d’administration parent.

   

7. Sélectionnez Enregistrer.

Déplacer des abonnements dans PowerShell

Pour déplacer un abonnement dans PowerShell, utilisez la commande New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Pour supprimer le lien entre l’abonnement et le groupe d’administration, utilisez la commande Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Déplacer des abonnements dans Azure CLI

Pour déplacer un abonnement dans CLI, utilisez la commande add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Pour supprimer l’abonnement du groupe d’administration, utilisez la commande subscription remove.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Déplacer des abonnements dans un modèle ARM

Pour déplacer un abonnement dans un modèle Azure Resource Manager (modèle ARM), utilisez le modèle suivant et déployez-le au niveau du locataire.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Ou, créez le fichier Bicep suivant.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Déplacer des groupes d’administration

Déplacer des groupes d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration que vous envisagez d’utiliser comme parent.

4. En haut de la page, sélectionnez Ajouter un groupe d’administration.

5. Dans le menu qui s’ouvre, indiquez si vous souhaitez créer un groupe d’administration ou en utiliser un existant.

   • Si vous sélectionnez Nouveau, vous créez un groupe d’administration.
   • Si vous sélectionnez un groupe existant, une liste déroulante répertoriant tous les groupes d’administration s’affiche. Vous pouvez les déplacer vers ce groupe d’administration.

   

6. Sélectionnez Enregistrer.

Déplacer des groupes d’administration dans PowerShell

Utilisez la commande Update-AzManagementGroup dans PowerShell pour déplacer un groupe d’administration sous un autre groupe.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Déplacer des groupes d’administration dans Azure CLI

Utilisez la commande update pour déplacer un groupe d’administration avec Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Auditer les groupes d’administration à l’aide des journaux d’activité

Les groupes d’administration sont pris en charge dans le journal d’activité Azure. Vous pouvez interroger tous les événements qui se produisent dans un groupe d’administration au même emplacement central, tout comme d’autres ressources Azure. Par exemple, vous pouvez voir tous les changements d’attributions de rôles ou de stratégie apportés à un groupe d’administration spécifique.

Quand vous cherchez à interroger les groupes d’administration en dehors du portail Azure, l’étendue cible pour les groupes d’administration ressemble à "/providers/Microsoft.Management/managementGroups/{yourMgID}" .

Référencer des groupes d’administration à partir d’autres fournisseurs de ressources

Lorsque vous référencez des groupes d’administration à partir d'actions d'un autre fournisseur de ressources, utilisez le chemin suivant en tant qu'étendue. Ce chemin d’accès est utilisé avec PowerShell, Azure CLI et les API REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

À titre d'exemple, vous pouvez utiliser ce chemin d'accès lors de l'attribution d'un nouveau rôle à un groupe d’administration dans PowerShell :

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Le même chemin d'étendue est utilisé lors de la récupération d’une définition de stratégie auprès d'un groupe d’administration.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Étapes suivantes

Pour en savoir plus sur les groupes d’administration, consultez :

• Créer des groupes d’administration pour organiser les ressources Azure
• Guide pratique pour modifier, supprimer ou gérer vos groupes d’administration
• Consulter les groupes d’administration dans le module Azure PowerShell Resources
• Consulter les groupes d’administration dans l’API REST
• Consulter les groupes d’administration dans Azure CLI