Répertorier les attributions de rôle Azure à l’aide du portail Azure

  • Article

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation que vous utilisez pour gérer l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique comment répertorier les attributions de rôles à l’aide de la Portail Azure.

Remarque

Si votre organisation externalise des fonctions de gestion à un fournisseur de services qui utiliseAzure Lighthouse, les attributions de rôles autorisées par ce fournisseur de services ne s’afficheront pas ici. De même, les utilisateurs du locataire du fournisseur de services ne voient pas les attributions de rôles pour les utilisateurs dans le locataire d’un client, quel que soit le rôle qu’ils ont attribué.

Lister les attributions de rôles pour un utilisateur ou un groupe

Une façon rapide de voir les rôles attribués à un utilisateur ou à un groupe dans un abonnement consiste à utiliser le volet Attributions de rôles Azure.

  1. Dans le Portail Azure, sélectionnez Tous les services dans le menu Portail Azure.

  2. Sélectionnez l’ID Microsoft Entra, puis sélectionnez Utilisateurs ou groupes.

  3. Cliquez sur l’utilisateur ou le groupe pour lequel vous voulez lister les attributions de rôles.

  4. Cliquez sur Attributions de rôles Azure.

    Vous voyez une liste de rôles attribués à l’utilisateur ou au groupe sélectionné dans différentes étendues, comme un groupe d’administration, un abonnement, un groupe de ressources ou une ressource. Cette liste inclut toutes les attributions de rôles que vous êtes autorisé à lire.

    Screenshot of role assignments for a user.

  5. Pour changer d’abonnement, cliquez sur la liste Abonnements.

Répertorier les propriétaires d’un abonnement

Les utilisateurs qui se sont vu attribuer le rôle Propriétaire pour un abonnement peuvent gérer tous les éléments de l’abonnement. Procédez comme suit pour répertorier les propriétaires d’un abonnement.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.

  2. Cliquez sur l’abonnement dont vous souhaitez répertorier les propriétaires.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cet abonnement.

  5. Faites défiler la page jusqu’à la section Propriétaires pour voir tous les utilisateurs auxquels le rôle Propriétaire a été attribué pour cet abonnement.

    Screenshot of subscription Access control and Role assignments tab.

Répertorier ou gérer des attributions de rôles d’administrateur privilégié

Sous l’onglet Attributions de rôles, vous pouvez répertorier et afficher le nombre d’attributions de rôles d’administrateur privilégiés dans l’étendue actuelle. Pour plus d’informations, consultez Rôles d’administrateur privilégiés.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Attributions de rôles, puis sur l’onglet Privilégié pour répertorier les attributions de rôles d’administrateur privilégié dans cette étendue.

    Screenshot of Access control page, Role assignments tab, and Privileged tab showing privileged role assignments.

  5. Pour afficher le nombre d’attributions de rôles d’administrateur privilégiés dans cette étendue, consultez le carte Privilégié.

  6. Pour gérer les attributions de rôles d’administrateur privilégié, consultez le carte privilégié, puis cliquez sur Afficher les attributions.

    Dans la page Gérer les attributions de rôles privilégiés , vous pouvez ajouter une condition pour limiter l’attribution de rôle privilégiée ou supprimer l’attribution de rôle. Pour plus d’informations, consultez Déléguer la gestion des attributions de rôles Azure à d’autres personnes avec des conditions.

    Screenshot of Manage privileged role assignments page showing how to add conditions or remove role assignments.

Lister les attributions de rôles dans une étendue

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.

    Screenshot of Access control and Role assignments tab.

    L’onglet Attributions de rôles indique les personnes qui ont accès à cette étendue. Notez que certains rôles sont inclus dans l’étendue de cette ressource, tandis que d’autres sont hérités à partir d’une autre étendue. L’accès est attribué spécifiquement à cette ressource ou hérité d’une affectation à l’étendue parente.

Lister les attributions de rôles pour un utilisateur dans une étendue

Pour lister l’accès pour un utilisateur, un groupe, un principal de service ou une identité managée, vous listez leurs attributions de rôles. Suivez ces étapes pour lister les attributions de rôles pour un utilisateur, un groupe, un principal de service ou une identité managée dans une étendue particulière.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

    Screenshot of resource group access control and Check access tab.

  4. Sous l’onglet Vérifier l’accès, cliquez sur le bouton Vérifier l’accès.

  5. Dans le volet Vérifier l’accès, cliquez sur Utilisateur, groupe ou principal de service ou Identité managée.

  6. Dans la zone de recherche, entrez une chaîne afin de rechercher, dans le répertoire, des noms d’affichage, des adresses e-mail ou des identificateurs d’objet.

    Screenshot of Check access select list.

  7. Cliquez sur le principal de sécurité pour ouvrir le volet Affectations.

    Dans ce volet, vous pouvez voir l’accès du principal de sécurité sélectionné pour cette étendue et celui hérité de cette étendue. Les affectations pour les étendues enfants ne sont pas listées. Les affectations suivantes s'affichent :

    • Attributions de rôle ajoutées avec RBAC Azure.
    • Affectations de refus ajoutées à l’aide d’Azure Blueprints ou des applications managées Azure.
    • Affectations de l’administrateur de service classique ou de coadministrateurs pour les déploiements classiques.

    Screenshot of assignments pane.

Lister les attributions de rôles pour une identité managée

Vous pouvez répertorier les attributions de rôles pour les identités gérées attribuées par le système et affectées par l’utilisateur au niveau d’une étendue particulière à l’aide du panneau de Contrôle d’accès (IAM), comme décrit précédemment. Cette section décrit comment répertorier les attributions de rôles uniquement pour l’identité managée.

Identité managée affectée par le système

  1. Dans le Portail Azure, ouvrez une identité gérée affectée par le système.

  2. Dans le menu de gauche, cliquez sur identité.

    Screenshot of system-assigned managed identity.

  3. Sous Autorisations, cliquez sur Attributions de rôles Azure.

    Vous voyez une liste de rôles affectés à l’identité gérée affectée par le système sélectionnée à différentes étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste inclut toutes les attributions de rôles que vous êtes autorisé à lire.

    Screenshot of role assignments for a system-assigned managed identity.

  4. Pour changer d’abonnement, cliquez sur la liste Abonnement.

Identité managée affectée par l’utilisateur

  1. Dans le Portail Azure, ouvrez une identité gérée affectée par l’utilisateur.

  2. Cliquez sur Attributions de rôles Azure.

    Vous voyez une liste de rôles affectés à l’identité gérée affectée à l’utilisateur sélectionnée à différentes étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste inclut toutes les attributions de rôles que vous êtes autorisé à lire.

    Screenshot of role assignments for a user-assigned managed identity.

  3. Pour changer d’abonnement, cliquez sur la liste Abonnement.

Répertorier le nombre d’attributions de rôles

Vous pouvez avoir jusqu’à 4 000 attributions de rôles dans chaque abonnement. Cette limite comprend les attributions de rôles au niveau de l’abonnement, du groupe de ressources et des étendues de ressources. Pour vous aider à suivre cette limite, l’onglet Attributions de rôles comprend un graphe indiquant le nombre d’attributions de rôles de l’abonnement actif.

Screenshot of Access control and number of role assignments chart.

Si vous vous approchez du nombre maximal et que vous essayez d’ajouter d’autres attributions de rôles, un avertissement s’affiche dans le volet Ajouter une attribution de rôle. Pour plus d’informations sur la réduction du nombre d’attributions de rôles, consultez Résoudre les problèmes liés aux limites RBAC Azure.

Screenshot of Access control and Add role assignment warning.

Télécharger les attributions de rôle

Vous pouvez télécharger des attributions de rôles au niveau d’une étendue au format CSV ou JSON. Cela peut être utile si vous avez besoin d’inspecter la liste dans une feuille de calcul ou d’effectuer un inventaire lors de la migration d’un abonnement.

Lorsque vous téléchargez des attributions de rôles, vous devez garder à l’esprit les critères suivants :

  • Si vous ne disposez pas des autorisations nécessaires pour lire le répertoire, par exemple le rôle Lecteur de répertoires, les colonnes DisplayName, SignInName et ObjectType sont vides.
  • Les attributions de rôles dont l’entité de sécurité a été supprimée ne sont pas incluses.
  • L’accès accordé aux administrateurs classiques n’est pas inclus.

Procédez comme suit pour télécharger les attributions de rôles sur une étendue.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue sur laquelle vous souhaitez télécharger les attributions de rôles. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur Télécharger les attributions de rôles pour ouvrir le volet Télécharger les attributions de rôles.

    Screenshot of Access control and Download role assignments.

  5. Utilisez les cases à cocher pour sélectionner les attributions de rôles que vous souhaitez inclure dans le fichier téléchargé.

    • Héritées : inclut les attributions de rôles héritées pour l'étendue actuelle.
    • Sur l’étendue actuelle : inclut les attributions de rôles pour l'étendue actuelle.
    • Enfants : inclut les attributions de rôles aux niveaux inférieurs à l'étendue actuelle. Cette case à cocher est désactivée pour l’étendue du groupe d’administration.

  6. Sélectionnez le format de fichier CSV (fichier de valeurs séparées par des virgules) ou le format JSON (JavaScript Object Notation).

  7. Spécifiez le nom du fichier.

  8. Cliquez sur Démarrer pour lancer le téléchargement.

    Les éléments suivants présentent des exemples de sortie pour chaque format de fichier.

    Screenshot of download role assignments as CSV.

    Screenshot of the downloaded role assignments as in JSON format.

Étapes suivantes