Édition

Partage via


Répertorier les attributions de rôles Azure à l’aide du portail Azure

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation que vous utilisez pour gérer l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique comment lister les attributions de rôles en utilisant le Portail Azure.

Remarque

Si votre organisation externalise des fonctions de gestion à un fournisseur de services qui utiliseAzure Lighthouse, les attributions de rôles autorisées par ce fournisseur de services ne s’afficheront pas ici. De même, les utilisateurs du locataire du fournisseur de services ne voient pas les attributions de rôles pour les utilisateurs du locataire d’un client, quel que soit le rôle qui leur a été attribué.

Prérequis

Autorisation Microsoft.Authorization/roleAssignments/read, telle que Lecteur

Lister les attributions de rôles pour un utilisateur ou un groupe

Une façon rapide de voir les rôles attribués à un utilisateur ou à un groupe dans un abonnement consiste à utiliser le volet Attributions de rôles Azure.

  1. Dans le Portail Azure, sélectionnez Tous les services dans le menu Portail Azure.

  2. Sélectionnez Microsoft Entra ID, puis sélectionnez Utilisateurs ou Groupes.

  3. Cliquez sur l’utilisateur ou le groupe pour lequel vous voulez lister les attributions de rôles.

  4. Cliquez sur Attributions de rôles Azure.

    Vous voyez une liste de rôles attribués à l’utilisateur ou au groupe sélectionné dans différentes étendues, comme un groupe d’administration, un abonnement, un groupe de ressources ou une ressource. Cette liste inclut toutes les attributions de rôles que vous êtes autorisé à lire.

    Capture d’écran des attributions de rôles pour un utilisateur.

  5. Pour changer d’abonnement, cliquez sur la liste Abonnements.

Répertorier les propriétaires d’un abonnement

Les utilisateurs qui se sont vu attribuer le rôle Propriétaire pour un abonnement peuvent gérer tous les éléments de l’abonnement. Procédez comme suit pour répertorier les propriétaires d’un abonnement.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.

  2. Cliquez sur l’abonnement dont vous souhaitez répertorier les propriétaires.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cet abonnement.

  5. Faites défiler la page jusqu’à la section Propriétaires pour voir tous les utilisateurs auxquels le rôle Propriétaire a été attribué pour cet abonnement.

    Capture d’écran du Contrôle d’accès à l’abonnement et de l’onglet Attributions de rôles.

Lister ou gérer les attributions de rôles d’administrateur privilégiés

Sur l’onglet Attributions de rôles, vous pouvez lister et visualiser le nombre d’attributions de rôles d’administrateur privilégiés dans l’étendue actuelle. Pour plus d’informations, consultez Rôles d’administrateur privilégiés.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Attributions de rôles, puis sur l’ongletPrivilégié pour lister les attributions de rôles d’administrateur privilégiés dans cette étendue.

    Capture d’écran de la page Contrôle d’accès, de l’onglet Attributions de rôles et de l’onglet Privilégié montrant les attributions de rôles privilégiés.

  5. Pour afficher le nombre d’attributions de rôles d’administrateur privilégiés dans cette étendue, consultez la carte Privilégié .

  6. Pour gérer les attributions de rôles d’administrateur privilégiés, consultez la carte Privilégié et cliquez sur Afficher les attributions.

    Sur la page Gérer les attributions de rôles privilégiés, vous pouvez ajouter une condition pour restreindre l’attribution de rôle privilégié ou supprimer l’attribution de rôle. Pour plus d’informations, consultez l’article Déléguer la gestion de l’attribution de rôle Azure à d’autres personnes avec des conditions.

    Capture d’écran de la page Gérer les attributions de rôles privilégiés montrant comment ajouter des conditions ou supprimer des attributions de rôles.

Lister les attributions de rôles dans une étendue

Effectuez les étapes suivantes :

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cette étendue.

    Si vous disposez d’une licence Microsoft Entra ID Gratuit ou Microsoft Entra ID P1, votre onglet Attributions de rôle est similaire à celui illustré dans la capture d’écran suivante.

    Capture d’écran du Contrôle d’accès et de l’onglet Attributions de rôles.

    Si vous disposez d’une licence Microsoft Entra ID P2 ou Gouvernance Microsoft Entra ID, votre onglet Attributions de rôle est similaire à celui illustré dans la capture d’écran suivante pour les étendues de groupes d’administration, d’abonnements et de groupes de ressources. Cette fonctionnalité étant déployée en plusieurs phases, il est possible qu’elle ne soit pas encore disponible dans votre locataire ou que votre interface soit différente.

    Capture d’écran de Contrôle d’accès et des onglets Affectations actives et Affectations éligibles.

    Vous voyez une colonne État avec l’un des états suivants :

    State Description
    Actif permanent Attribution de rôle qui permet à un utilisateur de toujours utiliser un rôle sans effectuer aucune action.
    Actif limité dans le temps Attribution de rôle qui permet à un utilisateur d’utiliser un rôle sans effectuer aucune action, uniquement entre les dates de début et de fin.
    Éligible permanent Attribution de rôle qui permet à un utilisateur d’être toujours éligible à l’activation du rôle.
    Éligible limité dans le temps Attribution de rôle qui permet à un utilisateur d’être éligible à l’activation d’un rôle uniquement pendant une période.

    Il est possible de définir la date de début dans le futur.

    Si vous souhaitez lister l’heure de début et l’heure de fin des attributions de rôle, cliquez sur Modifier les colonnes, puis sélectionnez Heure de début et Heure de fin.

    Capture d’écran du volet Colonnes montrant les cases à cocher Heure de début et Heure de fin.

    Notez que certains rôles sont inclus dans l’étendue de cette ressource, tandis que d’autres sont hérités à partir d’une autre étendue. L’accès est attribué spécifiquement à cette ressource ou hérité d’une affectation à l’étendue parente.

Lister les attributions de rôles pour un utilisateur dans une étendue

Pour lister l’accès pour un utilisateur, un groupe, un principal de service ou une identité managée, vous listez leurs attributions de rôles. Suivez ces étapes pour lister les attributions de rôles pour un utilisateur, un groupe, un principal de service ou une identité managée dans une étendue particulière.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

    Capture d’écran du contrôle d’accès du groupe de ressources et onglet Vérifier l’accès.

  4. Sous l’onglet Vérifier l’accès, cliquez sur le bouton Vérifier l’accès.

  5. Dans le volet Vérifier l’accès, cliquez sur Utilisateur, groupe ou principal de service ou Identité managée.

  6. Dans la zone de recherche, entrez une chaîne afin de rechercher, dans le répertoire, des noms d’affichage, des adresses e-mail ou des identificateurs d’objet.

    Capture d’écran de liste de sélection Vérifier l’accès.

  7. Cliquez sur le principal de sécurité pour ouvrir le volet Affectations.

    Dans ce volet, vous pouvez voir l’accès du principal de sécurité sélectionné pour cette étendue et celui hérité de cette étendue. Les affectations pour les étendues enfants ne sont pas listées. Les affectations suivantes s'affichent :

    • Attributions de rôle ajoutées avec RBAC Azure.
    • Affectations de refus ajoutées à l’aide d’Azure Blueprints ou des applications managées Azure.
    • Affectations de l’administrateur de service classique ou de coadministrateurs pour les déploiements classiques.

    Capture d’écran du volet des attributions.

Lister les attributions de rôles pour une identité managée

Vous pouvez répertorier les attributions de rôles pour les identités gérées attribuées par le système et affectées par l’utilisateur au niveau d’une étendue particulière à l’aide du panneau de Contrôle d’accès (IAM), comme décrit précédemment. Cette section décrit comment répertorier les attributions de rôles uniquement pour l’identité managée.

Identité managée affectée par le système

  1. Dans le Portail Azure, ouvrez une identité gérée affectée par le système.

  2. Dans le menu de gauche, cliquez sur identité.

    Capture d’écran de l’identité managée affectée par le système.

  3. Sous Autorisations, cliquez sur Attributions de rôles Azure.

    Vous voyez une liste de rôles affectés à l’identité gérée affectée par le système sélectionnée à différentes étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste inclut toutes les attributions de rôles que vous êtes autorisé à lire.

    Capture d’écran des attributions de rôles pour une identité managée affectée par le système.

  4. Pour changer d’abonnement, cliquez sur la liste Abonnement.

    Identité managée affectée par l’utilisateur

    1. Dans le Portail Azure, ouvrez une identité gérée affectée par l’utilisateur.

    2. Cliquez sur Attributions de rôles Azure.

      Vous voyez une liste de rôles affectés à l’identité gérée affectée à l’utilisateur sélectionnée à différentes étendues, telles que groupe d’administration, abonnement, groupe de ressources ou ressource. Cette liste inclut toutes les attributions de rôles que vous êtes autorisé à lire.

      Capture d’écran des attributions de rôles pour une identité managée affectée par l’utilisateur.

    3. Pour changer d’abonnement, cliquez sur la liste Abonnement.

Répertorier le nombre d’attributions de rôles

Vous pouvez avoir jusqu’à 4 000 attributions de rôles dans chaque abonnement. Cette limite comprend les attributions de rôles au niveau de l’abonnement, du groupe de ressources et des étendues de ressources. Les attributions de rôle éligibles et les attributions de rôle planifiées dans le futur ne sont pas prises en compte dans cette limite. Pour vous aider à suivre cette limite, l’onglet Attributions de rôles comprend un graphe indiquant le nombre d’attributions de rôles de l’abonnement actif.

Capture d’écran du Contrôle d’accès et graphique du nombre d’attributions de rôles.

Si vous vous approchez du nombre maximal et que vous essayez d’ajouter d’autres attributions de rôles, un avertissement s’affiche dans le volet Ajouter une attribution de rôle. Pour savoir comment réduire le nombre d’attributions de rôles, consultez Résolution des limites Azure RBAC.

Capture d’écran du Contrôle d’accès et avertissement concernant l’ajout d’attribution de rôle.

Télécharger les attributions de rôle

Vous pouvez télécharger des attributions de rôles au niveau d’une étendue au format CSV ou JSON. Cela peut être utile si vous avez besoin d’inspecter la liste dans une feuille de calcul ou d’effectuer un inventaire lors de la migration d’un abonnement.

Lorsque vous téléchargez des attributions de rôles, vous devez garder à l’esprit les critères suivants :

  • Si vous ne disposez pas des autorisations nécessaires pour lire le répertoire, par exemple le rôle Lecteur de répertoires, les colonnes DisplayName, SignInName et ObjectType sont vides.
  • Les attributions de rôles dont l’entité de sécurité a été supprimée ne sont pas incluses.
  • L’accès accordé aux administrateurs classiques n’est pas inclus.

Procédez comme suit pour télécharger les attributions de rôles sur une étendue.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue sur laquelle vous souhaitez télécharger les attributions de rôles. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.

  2. Cliquez sur la ressource spécifique.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur Télécharger les attributions de rôles pour ouvrir le volet Télécharger les attributions de rôles.

    Capture d’écran du Contrôle d’accès et de Télécharger les attributions de rôles.

  5. Utilisez les cases à cocher pour sélectionner les attributions de rôles que vous souhaitez inclure dans le fichier téléchargé.

    • Héritées : inclut les attributions de rôles héritées pour l'étendue actuelle.
    • Sur l’étendue actuelle : inclut les attributions de rôles pour l'étendue actuelle.
    • Enfants : inclut les attributions de rôles aux niveaux inférieurs à l'étendue actuelle. Cette case à cocher est désactivée pour l’étendue du groupe d’administration.
  6. Sélectionnez le format de fichier CSV (fichier de valeurs séparées par des virgules) ou le format JSON (JavaScript Object Notation).

  7. Spécifiez le nom du fichier.

  8. Cliquez sur Démarrer pour lancer le téléchargement.

    Les éléments suivants présentent des exemples de sortie pour chaque format de fichier.

    Capture d’écran du téléchargement d’attributions de rôles au format CSV.

    Capture d’écran des attributions de rôle téléchargées au format JSON.