Gérer vos abonnements Azure à grande échelle avec des groupes d’administration

Si votre organisation a un grand nombre d’abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure offrent un niveau d’étendue au-dessus des abonnements. Vous organisez les abonnements en conteneurs appelés groupes d’administration, et vous appliquez vos conditions de gouvernance aux groupes d’administration. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.

Les groupes d’administration vous permettent une gestion de qualité professionnelle à grande échelle, quel que soit le type de votre abonnement. Pour plus d’informations sur les groupes d’administration, consultez Organiser vos ressources avec des groupes d’administration Azure.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

Important

Le cache de groupe d’administration et les jetons utilisateur Azure Resource Manager sont conservés pendant 30 minutes avant d’être forcés à s’actualiser. L’affichage d’une action telle que le déplacement d’un groupe d’administration ou d’un abonnement peut prendre jusqu’à 30 minutes. Pour voir les mises à jour plus rapidement, vous devez mettre à jour votre jeton en actualisant le navigateur, en vous connectant puis vous déconnectant, ou en demandant un nouveau jeton.

Pour les actions Azure PowerShell de cet article, gardez à l’esprit que les applets de commande AzManagementGroup-connexes mentionnent que -GroupId est un alias du paramètre -GroupName. Vous pouvez utiliser l’un d’eux pour fournir l’ID du groupe d’administration en tant que valeur de chaîne.

Modifier le nom d’un groupe d’administration

Vous pouvez modifier le nom du groupe d’administration en utilisant le portail Azure, Azure PowerShell ou Azure CLI.

Modifier le nom dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration que vous souhaitez renommer.

4. Sélectionnez Détails.

5. Sélectionnez l’option Renommer le groupe en haut de la page.

   

6. Dans le volet Renommer le groupe, entrez le nouveau nom que vous souhaitez afficher.

   

7. Cliquez sur Enregistrer.

Modifier le nom dans Azure PowerShell

Pour mettre à jour le nom d’affichage, utilisez Update-AzManagementGroup dans Azure PowerShell. Par exemple, pour remplacer le nom d'affichage du groupe d’administration Informatique Contoso par Groupe Contoso, exécutez la commande suivante :

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Modifier le nom dans Azure CLI

Pour l’interface Azure CLI, utilisez la commande update :

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Supprimer un groupe d’administration

Pour supprimer un groupe d’administration, vous devez remplir les conditions suivantes :

• Le groupe d’administration ne contient pas de groupes d’administration enfants ni d’abonnements. Pour déplacer un abonnement ou groupe d’administration vers un autre groupe d’administration, consultez Déplacer des groupes d’administration et des abonnements plus loin dans cet article.

• Vous devez disposer des autorisations en écriture sur le groupe d'administration (Propriétaire, Contributeur ou Contributeur du groupe d’administration). Pour connaître vos autorisations, sélectionnez le groupe d’administration, puis sélectionnez IAM. Pour plus d’informations sur les rôles Azure, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?.

Supprimer un groupe d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration que vous souhaitez supprimer.

4. Sélectionnez Détails.

5. Sélectionnez Supprimer.

   

   Conseil

   Si le bouton Supprimer n’est pas disponible, pointer sur le bouton permet d’afficher la raison.

6. Une boîte de dialogue s’ouvre et vous demande de confirmer que vous souhaitez supprimer le groupe d’administration.

   

7. Sélectionnez Oui.

Supprimer un groupe d’administration dans Azure PowerShell

Pour supprimer un groupe d’administration, utilisez la commande Remove-AzManagementGroup dans Azure PowerShell :

Remove-AzManagementGroup -GroupId 'Contoso'

Supprimer un groupe d’administration dans Azure CLI

Avec Azure CLI, utilisez la commande az account management-group delete :

az account management-group delete --name 'Contoso'

Afficher les groupes d’administration

Vous pouvez afficher tous les groupes d’administration si vous avez un rôle Azure direct ou hérité.

Afficher les groupes d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. La page de la hiérarchie des groupes d’administration s’affiche. Sur cette page, vous pouvez explorer tous les groupes d’administration et abonnements auxquels vous avez accès. Sélectionner le nom du groupe vous fait descendre à un niveau inférieur dans la hiérarchie. La navigation fonctionne comme dans un explorateur de fichiers.

4. Pour afficher les détails du groupe d’administration, sélectionnez le lien (détails) en regard du titre du groupe d’administration. Si ce lien n’est pas disponible, vous n’avez pas les autorisations pour afficher ce groupe d’administration.

   

Afficher les groupes d’administration dans le portail Azure PowerShell

Utilisez la commande Get-AzManagementGroup pour récupérer tous les groupes. Pour obtenir la liste complète des commandes PowerShell GET pour les groupes d’administration, consultez les modules Az.Resources.

Get-AzManagementGroup

Pour consulter les détails d’un seul groupe d’administration, utiliser le paramètre -GroupId :

Get-AzManagementGroup -GroupId 'Contoso'

Pour renvoyer un groupe d’administration spécifique et tous les niveaux de hiérarchie sous-jacents, utilisez les paramètres -Expand et -Recurse :

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Afficher les groupes d’administration dans Azure CLI

Utilisez la commande list pour récupérer tous les groupes :

az account management-group list

Pour consulter les détails d’un seul groupe d’administration, utilisez la commande show :

az account management-group show --name 'Contoso'

Pour renvoyer un groupe d’administration spécifique et tous les niveaux de hiérarchie sous-jacents, utilisez les paramètres -Expand et -Recurse :

az account management-group show --name 'Contoso' -e -r

Déplacer les groupes d’administration et les abonnements

L’une des raisons de créer un groupe d’administration est de regrouper des abonnements. Seuls les groupes d’administration et les abonnements peuvent devenir les enfants d’un autre groupe d’administration. Un abonnement déplacé vers un groupe d’administration hérite de toutes les stratégies et de tous les accès utilisateur du groupe d’administration parent.

Vous pouvez déplacer des abonnements entre des groupes d’administration. Un abonnement n’a qu’un seul groupe d’administration parent.

Lorsque vous déplacez un groupe d’administration ou un abonnement de sorte qu’il devienne l’enfant d’un autre groupe d’administration, trois règles doivent être remplies.

Si vous effectuez l’action de déplacement, vous devez disposer de l’autorisation sur chacune des couches suivantes :

• Abonnement ou groupe d’administration enfant
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (uniquement pour les abonnements)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Groupe d’administration parent cible
  • Microsoft.management/managementgroups/write
• Groupe d’administration parent actuel
  • Microsoft.management/managementgroups/write

Il y a une exception : si le groupe d'administration parent cible ou existant correspond au groupe d'administration racine, les exigences en matière d'autorisations ne s'appliquent pas. Étant donné que le groupe d’administration racine correspondant à l'emplacement de destination de tous les nouveaux groupes d’administration et abonnements, vous ne devez pas disposer d'autorisations sur ce dernier pour déplacer un élément.

Si le rôle Propriétaire de l'abonnement est hérité du groupe d’administration actuel, vos cibles de déplacement sont limitées. Vous pouvez déplacer l’abonnement uniquement vers un autre groupe d’administration pour lequel vous détenez le rôle Propriétaire. Vous ne pouvez pas le déplacer vers un groupe d’administration pour lequel vous détenez seulement un rôle Contributeur, car vous perdriez la propriété de l’abonnement. Si vous vous voyez affecter directement le rôle Propriétaire de l’abonnement, vous pouvez le déplacer dans un groupe d’administration au sein duquel vous avez le rôle Contributeur.

Pour connaître vos autorisations dans le portail Azure, sélectionnez le groupe d’administration, puis sélectionnez IAM. Pour plus d’informations sur les rôles Azure, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?.

Ajouter un abonnement existant à un groupe d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration dont vous souhaitez être le parent.

4. En haut de la page, sélectionnez Ajouter un abonnement.

5. Sélectionnez l’abonnement dans la liste portant le bon ID.

   

6. Cliquez sur Enregistrer.

Supprimer un abonnement d’un groupe d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration qui est le parent actuel.

4. Sélectionnez les points de suspension (...) à la fin de la ligne de l’abonnement dans la liste que vous souhaitez déplacer.

   

5. Sélectionnez Déplacer.

6. Dans le volet Déplacer, sélectionnez la valeur pour le Nouvel ID de groupe d’administration parent.

   

7. Cliquez sur Enregistrer.

Déplacer un abonnement dans Azure PowerShell

Pour déplacer un abonnement dans PowerShell, vous utilisez la commande New-AzManagementGroupSubscription :

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Pour supprimer le lien entre l’abonnement et le groupe d’administration, utilisez la commande Remove-AzManagementGroupSubscription :

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Déplacer un abonnement dans Azure CLI

Pour déplacer un abonnement dans Azure CLI, utilisez la commande add :

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Pour supprimer l’abonnement du groupe d’administration, utilisez la commande subscription remove :

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Déplacer un abonnement dans un modèle ARM

Pour déplacer un abonnement dans un modèle Azure Resource Manager (modèle ARM), utilisez le modèle suivant et déployez-le au niveau du locataire :

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Ou, utilisez le fichier Bicep suivant :

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Déplacer un groupe d’administration dans le portail

1. Connectez-vous au portail Azure.

2. Sélectionnez Tous les services>Groupes d’administration.

3. Sélectionnez le groupe d’administration dont vous souhaitez être le parent.

4. En haut de la page, sélectionnez Ajouter un groupe d’administration.

5. Dans le volet Ajouter un groupe d’administration, choisissez si vous souhaitez utiliser un groupe d’administration nouveau ou existant :

   • Sélectionner Créer crée un groupe d’administration.
   • Sélectionner Utiliser existant, une liste déroulante répertoriant tous les groupes d’administration s’affiche. Vous pouvez les déplacer vers ce groupe d’administration.

   

6. Cliquez sur Enregistrer.

Déplacer un groupe d’administration dans Azure PowerShell

Pour déplacer un groupe d’administration sous un autre groupe, utilisez la commande Update-AzManagementGroup dans Azure PowerShell :

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Déplacer un groupe d’administration dans Azure CLI

Pour déplacer un groupe d’administration dans Azure CLI, utilisez la commande update :

az account management-group update --name 'Contoso' --parent ContosoIT

Auditer les groupes d’administration en utilisant les journaux d’activité

Les groupes d’administration sont pris en charge dans Journaux d’activité Azure Monitor. Vous pouvez interroger tous les événements qui se produisent dans un groupe d’administration au même emplacement central, tout comme d’autres ressources Azure. Par exemple, vous pouvez voir tous les changements d’attributions de rôles ou de stratégie apportés à un groupe d’administration spécifique.

Lorsque vous souhaitez interroger des groupes d’administration en dehors du portail Azure, l’étendue cible des groupes d’administration ressemble à "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Référencer des groupes d’administration à partir d’autres fournisseurs de ressources

Lorsque vous référencez des groupes d’administration à partir d'actions d'un autre fournisseur de ressources, utilisez le chemin suivant en tant qu'étendue. Ce chemin s’applique lorsque vous utilisez Azure PowerShell, Azure CLI et les API REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

À titre d'exemple, vous pouvez utiliser ce chemin d'accès lorsque vous attribuez un nouveau rôle à un groupe d’administration dans Azure PowerShell :

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Vous utilisez le même chemin d’étendue pour récupérer une définition de stratégie pour un groupe d’administration :

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Contenu connexe

Pour en savoir plus sur les groupes d’administration, consultez :

• Créer des groupes d’administration pour organiser les ressources Azure
• Consulter les groupes d’administration dans le module Azure PowerShell Az.Resources
• Consulter les groupes d’administration dans l’API REST
• Vérifier les groupes d’administration dans Azure CLI