Locataires, utilisateurs et rôles dans les scénarios Azure Lighthouse

Avant d’intégrer des clients pour la Azure Lighthouse, il est important de comprendre comment les locataires, les utilisateurs et les rôles fonctionnent dans Azure Active Directory (Azure AD), ainsi que la façon dont ils peuvent être utilisés dans les scénarios Azure Lighthouse.

Un locataire est une instance dédiée et approuvée d’Azure AD. En général, chaque locataire représente une seule organisation. Azure Lighthouse permet d’opérer une projection logique des ressources d’un locataire sur un autre. Cela permet aux utilisateurs du locataire de gestion (appartenant par exemple à un fournisseur de services) d’accéder à des ressources déléguées dans le locataire d’un client, ou permet aux entreprises avec plusieurs locataires de centraliser leurs opérations de gestion.

Pour atteindre cette projection logique, un abonnement (ou un ou plusieurs groupes de ressources au sein d’un abonnement) dans le locataire client doit être intégré à Azure Lighthouse. Ce processus d’intégration peut être effectué par le biais de modèles Azure Resource Manager ou par la publication d’une offre publique ou privée sur la Place de marché Azure.

Avec chaque méthode d’intégration, vous devez définir des autorisations. Chaque autorisation comprend un principalId (un utilisateur, un groupe ou un principal du service Azure AD dans le locataire gestionnaire) associé à un rôle intégré qui définit les autorisations spécifiques qui seront accordées pour les ressources déléguées.

Notes

Sauf spécification explicite, les références à un « utilisateur » dans la documentation Azure Lighthouse peuvent s’appliquer à un utilisateur, à un groupe ou à un principal de service Azure AD dans une autorisation.

Meilleures pratiques pour la définition des utilisateurs et des rôles

Lorsque vous créez vos autorisations, nous vous recommandons de suivre ces meilleures pratiques :

  • Dans la plupart des cas, vous affectez des autorisations à un groupe d’utilisateurs ou à un principal de service Azure AD, plutôt qu’à une série de comptes d’utilisateur individuels. Cela vous permet d’ajouter ou de supprimer l’accès pour des utilisateurs individuels via l’Azure AD de votre locataire, plutôt que de devoir mettre à jour la délégation chaque fois que vos exigences d’accès individuel changent.
  • Suivez le principe du privilège minimum afin que les utilisateurs disposent uniquement des autorisations nécessaires pour accomplir leur travail, ce qui contribue à réduire le risque d’erreurs accidentelles. Pour plus d’informations, consultez les Pratiques de sécurité recommandées.
  • Incluez une autorisation avec le rôle Supprimer l’attribution de l’inscription des services gérés afin de pouvoir supprimer l’accès à la délégation ultérieurement si nécessaire. Si ce rôle n’est pas attribué, l’accès aux ressources déléguées ne peut être supprimé que par un utilisateur dans le locataire du client.
  • Assurez-vous que tous les utilisateurs qui ont besoin d’afficher la page Mes clients dans le portail Azure possèdent le rôle de Lecteur (ou un autre rôle intégré qui inclut l’accès Lecteur).

Important

Pour que vous puissiez ajouter des autorisations pour un groupe Azure AD, le Type de groupe doit être défini sur Sécurité. Cette option est sélectionnée lors de la création du groupe. Pour plus d’informations, consultez Créer un groupe de base et ajouter des membres avec Azure Active Directory.

Prise en charge des rôles pour Azure Lighthouse

Lors de la définition d’une autorisation, chaque compte utilisateur doit recevoir un des rôles intégrés Azure. Les rôles personnalisés et les Rôles Administrateur classique de l’abonnement ne sont pas pris en charge.

Tous les rôles intégrés sont actuellement pris en charge par Azure Lighthouse, avec les exceptions suivantes :

Dans certains cas, un rôle précédemment pris en charge avec Azure Lighthouse peut devenir indisponible. Par exemple, si l’autorisation DataActions est ajoutée à un rôle qui ne disposait de cette autorisation précédemment, ce rôle ne peut plus être utilisé lors de l’intégration de nouvelles délégations. Les utilisateurs qui se sont déjà vus attribuer le rôle pourront toujours utiliser des ressources déléguées précédemment, mais ils ne seront pas en mesure d’effectuer des tâches nécessitant l’autorisation DataActions.

Important

Quand vous attribuez des rôles, veillez à passer en revue les actions spécifiées pour chaque rôle. Dans certains cas, bien que les rôles avec l’autorisation DataActions ne soient pas pris en charge, les actions incluses dans un rôle peuvent autoriser l’accès aux données, celles-ci étant exposées au moyen de clés d’accès et non par le biais de l’identité de l’utilisateur. Par exemple, le rôle Contributeur de machines virtuelles inclut l’action Microsoft.Storage/storageAccounts/listKeys/action. Celle-ci retourne des clés d’accès au compte de stockage qui peuvent être utilisées pour récupérer certaines données client.

Notes

Dès qu'un nouveau rôle intégré applicable a été ajouté à Azure, il peut être attribué lors de l'intégration d'un client à l'aide des modèles Azure Resource Manager. Un certain temps peut s’écouler avant que le nouveau rôle ne soit disponible dans l’Espace partenaires lors de la publication d’une offre de services gérés. De même, si un rôle devient indisponible, vous pouvez toujours le voir dans l’Espace partenaires pendant une période donnée, mais vous ne pourrez pas publier de nouvelles offres à l’aide de tels rôles.

Transfert d’abonnements délégués entre locataires Azure AD

Si un abonnement est transféré à un autre compte de locataire Azure AD, la définition de l’inscription et les ressources d’attribution de l’inscription créées par le processus d’intégration d’Azure Lighthouse seront conservées. Cela signifie que l’accès accordé par Azure Lighthouse aux locataires gestionnaires restera en vigueur pour cet abonnement (ou pour les groupes de ressources délégués au sein de cet abonnement).

La seule exception est le transfert de l’abonnement à un locataire Azure AD auquel il a été délégué auparavant. Dans ce cas, les ressources de délégation pour ce locataire sont supprimées et l’accès accordé par l’intermédiaire d’Azure Lighthouse ne s’applique plus, puisque l’abonnement appartient désormais directement à ce locataire (au lieu d’être délégué par le biais d’Azure Lighthouse). Toutefois, si cet abonnement a également été délégué à d’autres locataires gestionnaires, ces derniers conserveront le même accès à l’abonnement.

Étapes suivantes