Créer, changer ou supprimer un groupe de sécurité réseau

Lorsque vous utilisez des règles de sécurité dans des groupes de sécurité réseau (NSG), vous pouvez filtrer le type de trafic réseau qui circule vers et à partir des interfaces réseau et des sous-réseaux de réseau virtuel. Pour en savoir plus sur les groupes de sécurité réseau, consultez Vue d’ensemble des groupes de sécurité réseau. Ensuite, suivez le tutoriel Filtrer le trafic réseau pour gagner en expérience avec les NSG.

Prérequis

Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un gratuitement. Effectuez l’une des tâches suivantes avant de commencer les étapes décrites dans la suite de cet article :

• Utilisateurs du portail : Connectez-vous au portail Azure avec votre compte Azure.

• Utilisateurs de PowerShell : Exécutez les commandes dans Azure Cloud Shell ou exécutez PowerShell localement à partir de votre ordinateur. Cloud Shell est un interpréteur de commandes interactif et gratuit, que vous pouvez utiliser pour suivre les étapes mentionnées dans cet article. Il contient des outils Azure courants qui sont préinstallés et configurés pour être utilisés avec votre compte. Sous l’onglet du navigateur Cloud Shell, recherchez la liste déroulante Sélectionner un environnement . Ensuite, sélectionnez PowerShell s’il n’est pas déjà sélectionné.

  Si vous exécutez PowerShell en local, utilisez le module Azure PowerShell version 1.0.0 ou ultérieure. Exécutez Get-Module -ListAvailable Az.Network pour rechercher la version installée. Si vous devez installer ou mettre à niveau, consultez Installer le module Azure PowerShell. Exécutez Connect-AzAccount pour vous connecter à Azure.

• Utilisateurs d’Azure CLI : Exécutez les commandes dans Azure Cloud Shell ou exécutez Azure CLI localement à partir de votre ordinateur. Cloud Shell est un interpréteur de commandes interactif et gratuit, que vous pouvez utiliser pour suivre les étapes mentionnées dans cet article. Il contient des outils Azure courants qui sont préinstallés et configurés pour être utilisés avec votre compte. Sous l’onglet du navigateur Cloud Shell, recherchez la liste déroulante Sélectionner un environnement . Ensuite, sélectionnez Bash s’il n’est pas déjà sélectionné.

  Si vous exécutez Azure CLI localement, utilisez Azure CLI version 2.0.28 ou ultérieure. Exécutez az --version pour rechercher la version installée. Si vous devez effectuer une installation ou une mise à niveau, consultez Installer Azure CLI. Exécutez az login pour vous connecter à Azure.

Attribuez le rôle Contributeur réseau ou un rôle Personnalisé avec les autorisations appropriées.

Utiliser des groupes de sécurité réseau

Vous pouvez effectuer différentes opérations sur les NSG : en créer un, les afficher tous, afficher les détails de l’un des NSG, les modifier et les supprimer. Vous pouvez également associer ou dissocier un NSG à partir d’une interface réseau ou d’un sous-réseau.

Créer un groupe de sécurité réseau

Le nombre de NSG que vous pouvez créer pour chaque région Azure et abonnement est limité. Pour en savoir plus, consultez Abonnement Azure et les limites, quotas et contraintes des services.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.

2. Sélectionnez + Créer.

3. Dans la page Créer un groupe de sécurité réseau, sous l’onglet De base, entrez ou sélectionnez les valeurs suivantes :

   Setting	Action
   Détails du projet
   Abonnement	Sélectionnez votre abonnement Azure.
   Resource group	Sélectionnez un groupe de ressources existant ou créez-en un en sélectionnant Créer. Cet exemple utilise le groupe de ressources myResourceGroup.
   Détails de l’instance
   Nom du groupe de sécurité réseau	Entrez un nom pour le NSG que vous créez.
   Région	Sélectionnez la région souhaitée.

   

4. Sélectionnez Revoir + créer.

5. Quand le message Validation réussie s’affiche, sélectionnez Créer.

PowerShell

Utilisez New-AzNetworkSecurityGroup pour créer un NSG nommé myNSG dans la région USA Est. Le NSG nommé myNSG est créé dans le groupe de ressources existant myResourceGroup.

New-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup  -Location  eastus

Azure CLI

Utilisez az network nsg create pour créer un NSG nommé myNSG dans le groupe de ressources existant myResourceGroup.

az network nsg create --resource-group MyResourceGroup --name myNSG

Voir tous les groupes de sécurité réseau

Portail

Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Sélectionnez Groupes de sécurité réseau dans les résultats de la recherche pour afficher la liste des NSG dans votre abonnement.

PowerShell

Utilisez Get-AzNetworkSecurityGroup pour répertorier tous les NSG de votre abonnement.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Azure CLI

Utilisez az network nsg list pour répertorier tous les NSG de votre abonnement.

az network nsg list --out table

Voir les détails d’un groupe de sécurité réseau

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Sélectionnez le nom de votre NSG.

   • Sous Paramètres, consultez les Règles de sécurité de trafic entrant, les Règles de sécurité de trafic sortant, les Interfaces réseau et les Sous-réseaux auxquels le NSG est associé.
   • Sous Surveillance, activez ou désactivez les Paramètres de diagnostic. Pour plus d’informations, consultez Journalisation des ressources pour un groupe de sécurité réseau.
   • Sous Aide, consultez les Règles de sécurité effectives. Pour plus d’informations, consultez Diagnostiquer un problème de filtre de trafic réseau sur une machine virtuelle.

   

Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les articles suivants :

• Journal d’activité
• Gestion des identités et des accès
• Balises
• Verrous
• Script Automation

PowerShell

Utilisez Get-AzNetworkSecurityGroup pour afficher les détails d’un NSG.

Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les articles suivants :

• Journal d’activité
• Contrôle d’accès (IAM)
• Balises
• Verrous

Azure CLI

Utilisez az network nsg show pour afficher les détails d’un NSG.

az network nsg show --resource-group myResourceGroup --name myNSG

Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les articles suivants :

• Journal d’activité
• Contrôle d’accès (IAM)
• Balises
• Verrous

Changer un groupe de sécurité réseau

Les modifications les plus courantes apportées à un NSG sont les suivantes :

• Associer ou dissocier un groupe de sécurité réseau à une interface réseau
• Associer ou dissocier un groupe de sécurité réseau à un sous-réseau
• Créer une règle de sécurité
• Supprimer une règle de sécurité

Associer ou dissocier un groupe de sécurité réseau à une interface réseau

Pour plus d’informations sur l’association et la dissociation d’un NSG, consultez Associer ou dissocier un groupe de sécurité réseau.

Associer ou dissocier un groupe de sécurité réseau à un sous-réseau

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le nom de votre NSG, puis sélectionnez Sous-réseaux.

   • Pour associer un NSG au sous-réseau, sélectionnez + Associer. Sélectionnez ensuite votre réseau virtuel et le sous-réseau auquel vous souhaitez associer le NSG. Cliquez sur OK.

     

   • Pour dissocier un NSG du sous-réseau, sélectionnez les trois points en regard du sous-réseau duquel vous souhaitez dissocier le NSG, puis sélectionnez Dissocier. Sélectionnez Oui.

     

PowerShell

Utilisez Set-AzVirtualNetworkSubnetConfig pour associer ou dissocier un NSG d’un sous-réseau.

## Place the virtual network configuration into a variable. ##
$virtualNetwork = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Update the subnet configuration. ##
Set-AzVirtualNetworkSubnetConfig -Name mySubnet -VirtualNetwork $virtualNetwork -AddressPrefix 10.0.0.0/24 -NetworkSecurityGroup $networkSecurityGroup
## Update the virtual network. ##
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Azure CLI

Utilisez az network vnet subnet update pour associer ou dissocier un NSG d’un sous-réseau.

az network vnet subnet update --resource-group myResourceGroup --vnet-name myVNet --name mySubnet --network-security-group myNSG

Supprimer un groupe de sécurité réseau

Si un NSG est associé à des sous-réseaux ou à des interfaces réseau, il ne peut pas être supprimé. Dissociez un NSG de tous les sous-réseaux et interfaces réseau avant de tenter de le supprimer.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le NSG à supprimer.

3. Sélectionnez Supprimer, puis Oui dans la boîte de dialogue de confirmation.

   

PowerShell

Utilisez Remove-AzNetworkSecurityGroup pour supprimer un NSG.

Remove-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Azure CLI

Utilisez az network nsg delete pour supprimer un NSG.

az network nsg delete --resource-group myResourceGroup --name myNSG

Utiliser des règles de sécurité

Un NSG contient zéro, une ou plusieurs règles de sécurité. Vous pouvez effectuer différentes opérations concernant les règles de sécurité : en créer, les voir tout, afficher les détails d’une des règles, les changer et en supprimer.

Créer une règle de sécurité

Le nombre de règles par NSG que vous pouvez créer pour chaque localisation Azure et abonnement est limité. Pour en savoir plus, consultez Abonnement Azure et les limites, quotas et contraintes des services.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le nom du NSG auquel vous souhaitez ajouter une règle de sécurité.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

   Plusieurs règles existantes sont répertoriées, y compris quelques-unes que vous n’avez peut-être pas ajoutées. Lorsque vous créez un NSG, plusieurs règles de sécurité par défaut y sont créées. Pour plus d’informations, consultez Règles de sécurité par défaut. Vous ne pouvez pas supprimer les règles de sécurité par défaut, mais vous pouvez les remplacer par des règles qui ont une priorité plus élevée.

4. Sélectionnez +Ajouter. Sélectionnez ou ajoutez des valeurs pour les paramètres suivants, puis sélectionnez Ajouter.

   Paramètre	Valeur	Détails
   Source	Valeurs possibles : Any Adresses IP Mon adresse IP Étiquette du service Groupe de sécurité d’application	Si vous sélectionnez Adresses IP, vous devez également spécifier les Plages d’adresses IP/CIDR sources. Si vous sélectionnez Étiquette de service, vous devez également sélectionner une Étiquette de service source. Si vous sélectionnez Groupe de sécurité d’application, vous devez également sélectionner un groupe de sécurité d’application existant. Si vous sélectionnez Groupe de sécurité d’application comme Source et Destination, les interfaces réseau dans les deux groupes de sécurité d’application doivent se trouver dans le même réseau virtuel. Découvrez comment créer un groupe de sécurité d’application.
   Plages d’adresses IP/CIDR sources	Liste délimitée par des virgules d’adresses IP et de plages CIDR (Classless Interdomain Routing)	Ce paramètre apparaît si vous changez Source en Adresses IP. Vous devez spécifier une valeur unique ou une liste de valeurs séparées par des virgules. Un exemple de plusieurs valeurs est 10.0.0.0/16, 192.188.1.1. Le nombre de valeurs que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure. Si l’adresse IP que vous spécifiez est attribuée à une machine virtuelle Azure, spécifiez son adresse IP privée, et non son adresse IP publique. Azure traite les règles de sécurité sont traitées une fois l’adresse IP publique convertie en adresse IP privée pour les règles de sécurité liées au trafic entrant, mais avant de convertir l’adresse IP privée en adresse IP publique pour les règles de trafic sortant. Pour en savoir plus sur les adresses IP dans Azure, consultez Adresses IP publiques et adresses IP privées.
   Balise du service source	Une balise de service dans la liste déroulante	Ce paramètre apparaît si vous définissez Source sur Balise de service pour une règle de sécurité. Une balise de service est un identificateur prédéfini pour une catégorie d’adresses IP. Pour en savoir plus sur les balises de service disponibles et ce que représente chaque balise, consultez Balises de service.
   Groupe de sécurité d’application source	Groupe de sécurité d’application source existant	Ce paramètre apparaît si vous définissez Source sur Groupe de sécurité d’application. Sélectionnez un groupe de sécurité d’application qui existe dans la même région que l’interface réseau. Découvrez comment créer un groupe de sécurité d’application.
   Plages de ports source	Valeurs possibles : Un port unique, par exemple 80 Un plage de ports, par exemple 1024-65535 Une liste séparée par des virgules de ports uniques et/ou de plages de ports, par exemple 80, 1024-65535 Un astérisque (*) pour autoriser le trafic sur n’importe quel port	Ce paramètre spécifie les ports sur lesquels la règle autorise ou refuse le trafic. Le nombre de ports que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure.
   Destination	Valeurs possibles : Any Adresses IP Étiquette du service Groupe de sécurité d’application	Si vous sélectionnez Adresses IP, vous devez également spécifier les Plages d’adresses IP/CIDR de destination. Si vous sélectionnez Étiquette de service, vous devez également sélectionner une Étiquette de service de destination. Si vous sélectionnez Groupe de sécurité d’application, vous devez également sélectionner un groupe de sécurité d’application existant. Si vous sélectionnez Groupe de sécurité d’application comme Source et Destination, les interfaces réseau dans les deux groupes de sécurité d’application doivent se trouver dans le même réseau virtuel. Découvrez comment créer un groupe de sécurité d’application.
   Plages d’adresses IP/CIDR de destination	Liste délimitée par des virgules d’adresses IP et de plages CIDR	Ce paramètre apparaît si vous changez Destination en Adresses IP. Vous pouvez spécifier une ou plusieurs adresses, ou des plages d’adresses, comme vous pouvez le faire avec Source et Plages d’adresses IP/CIDR sources. Le nombre que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure. Si l’adresse IP que vous spécifiez est attribuée à une machine virtuelle Azure, vérifiez que vous spécifiez bien son adresse IP privée, et non son adresse IP publique. Azure traite les règles de sécurité sont traitées une fois l’adresse IP publique convertie en adresse IP privée pour les règles de sécurité liées au trafic entrant, mais avant de convertir l’adresse IP privée en adresse IP publique pour les règles de trafic sortant. Pour en savoir plus sur les adresses IP dans Azure, consultez Adresses IP publiques et adresses IP privées.
   Balise d’identification de destination	Une balise de service dans la liste déroulante	Ce paramètre apparaît si vous définissez Destination sur Balise de service pour une règle de sécurité. Une balise de service est un identificateur prédéfini pour une catégorie d’adresses IP. Pour en savoir plus sur les balises de service disponibles et ce que représente chaque balise, consultez Balises de service.
   Groupe de sécurité d’application de destination	Groupe de sécurité d’application source existant	Ce paramètre apparaît si vous définissez Destination sur Groupe de sécurité d’application. Sélectionnez un groupe de sécurité d’application qui existe dans la même région que l’interface réseau. Découvrez comment créer un groupe de sécurité d’application.
   Service	Un protocole de destination dans la liste déroulante	Ce paramètre spécifie le protocole de destination et la plage de ports pour la règle de sécurité. Vous pouvez sélectionner un service prédéfini, comme RDP, ou sélectionner Personnalisé et indiquer la plage de ports dans Plages de ports de destination.
   Plages de ports de destination	Valeurs possibles : Un port unique, par exemple 80 Un plage de ports, par exemple 1024-65535 Une liste séparée par des virgules de ports uniques et/ou de plages de ports, par exemple 80, 1024-65535 Un astérisque (*) pour autoriser le trafic sur n’importe quel port	Comme pour Plages de ports source, vous pouvez spécifier un ou plusieurs ports et plages. Le nombre que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure.
   Protocole	Any, TCP, UDP ou ICMP	Vous pouvez restreindre la règle au protocole TCP (Transmission Control Protocol), UDP (User Datagram Protocol) ou ICMP (Internet Control Message Protocol). Par défaut, la règle s’applique à tous les protocoles (Tous).
   Action	Autoriser ou Refuser	Ce paramètre spécifie si cette règle autorise ou refuse l’accès pour la configuration source et de destination fournie.
   Priorité	Entrez une valeur comprise entre 100 et 4 096 qui est unique pour toutes les règles de sécurité au sein du NSG.	Azure traite les règles de sécurité par ordre de priorité. Plus le numéro est faible, plus la priorité est élevée. Nous vous recommandons de laisser un écart entre les numéros de priorité quand vous créez des règles, par exemple, 100, 200, 300. Cela permet par la suite d’intercaler de nouvelles règles et de leur donner une priorité plus ou moins élevée que les règles existantes.
   Nom	Nom unique de la règle au sein du NSG	Le nom peut comprendre jusqu’à 80 caractères. Il doit commencer par une lettre ou un chiffre et se terminer par une lettre, un chiffre ou un trait de soulignement. Le nom peut contenir uniquement des lettres, des chiffres, des traits d’union, des traits de soulignement et des points.
   Description	Description texte	Vous pouvez éventuellement spécifier une description textuelle de la règle de sécurité. La description ne doit pas avoir plus de 140 caractères.

   

PowerShell

Utilisez Add-AzNetworkSecurityRuleConfig pour créer une règle de NSG.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Create the security rule. ##
Add-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 300 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

Utilisez az network nsg rule create pour créer une règle de NSG.

az network nsg rule create --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 300 \
    --destination-address-prefixes '*' --destination-port-ranges 3389 --protocol Tcp --description "Allow RDP"

Voir toutes les règles de sécurité

Un NSG contient zéro, une ou plusieurs règles. Pour en savoir plus sur la liste des informations présentes lorsque vous affichez les règles, consultez Règles de sécurité.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le nom du NSG pour lequel vous souhaitez afficher les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

   La liste contient toutes les règles que vous avez créées et les règles de sécurité par défaut de votre NSG.

   

PowerShell

Utilisez Get-AzNetworkSecurityRuleConfig pour afficher les règles de sécurité d’un NSG.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## List security rules of the network security group in a table. ##
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | format-table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Azure CLI

Utilisez az network nsg rule list pour afficher les règles de sécurité d’un NSG.

az network nsg rule list --resource-group myResourceGroup --nsg-name myNSG

Afficher les détails d’une règle de sécurité

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le nom du NSG pour lequel vous souhaitez afficher les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

4. Sélectionnez la règle dont vous souhaitez afficher les détails. Pour obtenir une explication détaillée de tous les paramètres, consultez les paramètres de règle de sécurité.

   Remarque

   Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Cela ne fonctionne pas si vous choisissez une règle de sécurité par défaut.

   

PowerShell

Utilisez Get-AzNetworkSecurityRuleConfig pour afficher les détails d’une règle de sécurité.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## View details of the security rule. ##
Get-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup

Remarque

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Cela ne fonctionne pas si vous choisissez une règle de sécurité par défaut.

Azure CLI

Utilisez az network nsg rule show pour afficher les détails d’une règle de sécurité.

az network nsg rule show --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Remarque

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Cela ne fonctionne pas si vous choisissez une règle de sécurité par défaut.

Changer une règle de sécurité

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le nom du NSG pour lequel vous souhaitez afficher les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

4. Sélectionnez la règle que vous souhaitez modifier.

5. Changez les paramètres comme vous le souhaitez, puis sélectionnez Enregistrer. Pour obtenir une explication détaillée de tous les paramètres, consultez les paramètres de règle de sécurité.

   

   Remarque

   Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

PowerShell

Utilisez Set-AzNetworkSecurityRuleConfig pour mettre à jour une règle de NSG.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Make changes to the security rule. ##
Set-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 200 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Remarque

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Azure CLI

Utilisez az network nsg rule update pour mettre à jour une règle de NSG.

az network nsg rule update --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 200

Remarque

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Supprimer une règle de sécurité

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Ensuite, sélectionnez Groupe de sécurité réseaudans les résultats de la recherche.

2. Sélectionnez le nom du NSG pour lequel vous souhaitez afficher les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

4. Sélectionnez les règles que vous souhaitez supprimer.

5. Sélectionnez Supprimer, puis cliquez sur Oui.

   

   Remarque

   Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à supprimer les règles de sécurité par défaut.

PowerShell

Utilisez Remove-AzNetworkSecurityRuleConfig pour supprimer une règle de sécurité d’un NSG.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Remove the security rule. ##
Remove-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Remarque

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Azure CLI

Utilisez az network nsg rule delete pour supprimer une règle de sécurité d’un NSG.

az network nsg rule delete --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Remarque

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Utiliser des groupes de sécurité d’application

Un groupe de sécurité d’application contient zéro interface réseau, ou plus. Pour en savoir plus, consultez Groupes de sécurité d’application. Toutes les interfaces réseau dans un groupe de sécurité d’application doivent exister dans le même réseau virtuel. Pour savoir comment ajouter une interface réseau à un groupe de sécurité d’application, consultez Ajouter une interface réseau à un groupe de sécurité d’application.

Créer un groupe de sécurité d’application

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Ensuite, sélectionnez Groupes de sécurité d’application dans les résultats de la recherche.

2. Sélectionnez + Créer.

3. Dans la page Créer un groupe de sécurité d’application, sous l’onglet De base, entrez ou sélectionnez les valeurs suivantes :

   Setting	Action
   Détails du projet
   Abonnement	Sélectionnez votre abonnement Azure.
   Resource group	Sélectionnez un groupe de ressources existant ou créez-en un en sélectionnant Créer. Cet exemple utilise le groupe de ressources myResourceGroup.
   Détails de l’instance
   Nom	Entrez un nom pour le groupe de sécurité d’application que vous créez.
   Région	Sélectionnez la région dans laquelle vous souhaitez créer le groupe de sécurité d’application.

   

4. Sélectionnez Revoir + créer.

5. Quand le message Validation réussie s’affiche, sélectionnez Créer.

PowerShell

Utilisez new-AzApplicationSecurityGroup pour créer un groupe de sécurité d’application.

New-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG -Location eastus

Azure CLI

Utilisez az network asg create pour créer un groupe de sécurité d’application.

az network asg create --resource-group myResourceGroup --name myASG --location eastus

Voir tous les groupes de sécurité d’application

Portail

Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Ensuite, sélectionnez Groupes de sécurité d’application dans les résultats de la recherche. Une liste de vos groupes de sécurité d’application s’affiche dans le portail Azure.

PowerShell

Utilisez Get-AzApplicationSecurityGroup pour répertorier tous les groupes de sécurité d’application dans votre abonnement Azure.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Azure CLI

Utilisez az network asg list pour répertorier tous les groupes de sécurité d’application dans un groupe de ressources.

az network asg list --resource-group myResourceGroup --out table

Afficher les détails d’un groupe de sécurité d’application spécifique

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Ensuite, sélectionnez Groupes de sécurité d’application dans les résultats de la recherche.

2. Sélectionnez le groupe de sécurité d’application dont vous souhaitez afficher les détails.

PowerShell

Utilisez Get-AzApplicationSecurityGroup pour afficher les détails d’un groupe de sécurité d’application.

Get-AzApplicationSecurityGroup -Name myASG

Azure CLI

Utilisez az network asg show pour afficher les détails d’un groupe de sécurité d’application.

az network asg show --resource-group myResourceGroup --name myASG

Changer un groupe de sécurité d’application

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Ensuite, sélectionnez Groupes de sécurité d’application dans les résultats de la recherche.

2. Sélectionnez le groupe de sécurité d’application que vous souhaitez modifier :

   • Sélectionnez Déplacer en regard de Groupe de ressources ou Abonnement pour modifier respectivement le groupe de ressources ou l’abonnement.

   • Sélectionnez Modifier en regard d’Étiquettes pour ajouter ou supprimer des étiquettes. Pour plus d’informations, consultez Utiliser des étiquettes pour organiser vos ressources Azure et votre hiérarchie de gestion.

     

     Remarque

     Vous ne pouvez pas modifier l’emplacement d’un groupe de sécurité d’application.

   • Sélectionnez Contrôle d’accès (IAM) pour ajouter ou supprimer des autorisations pour le groupe de sécurité d’application.

PowerShell

Vous ne pouvez pas modifier un groupe de sécurité d’application à l’aide de PowerShell.

Azure CLI

Utilisez az network asg update pour mettre à jour les balises d’un groupe de sécurité d’application.

az network asg update --resource-group myResourceGroup --name myASG --tags Dept=Finance

Remarque

Vous ne pouvez pas modifier le groupe de ressources, l’abonnement ou la localisation d’un groupe de sécurité d’application à l’aide d’Azure CLI.

Supprimer un groupe de sécurité d’application

Vous ne pouvez pas supprimer un groupe de sécurité d’application s’il contient des interfaces réseau. Pour supprimer toutes les interfaces réseau du groupe de sécurité d’application, vous pouvez modifier les paramètres d’interface réseau ou supprimer les interfaces réseau. Pour plus d’informations, consultez Ajout ou suppression dans les groupes de sécurité d’application ou Supprimer une interface réseau.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Ensuite, sélectionnez Groupes de sécurité d’application dans les résultats de la recherche.

2. Sélectionnez le groupe de sécurité d’application que vous souhaitez supprimer.

3. Sélectionnez Supprimer, puis sélectionnez Oui pour supprimer le groupe de sécurité d’application.

   

PowerShell

Utilisez Remove-AzApplicationSecurityGroup pour supprimer un groupe de sécurité d’application.

Remove-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG

Azure CLI

Utilisez az network asg delete pour supprimer un groupe de sécurité d’application.

az network asg delete --resource-group myResourceGroup --name myASG

autorisations

Pour gérer les NSG, les règles de sécurité et les groupes de sécurité d’application, votre compte doit disposer du rôle Contributeur réseau. Vous pouvez également utiliser un rôle personnalisé disposant des autorisations appropriées, comme indiqué dans les tableaux suivants.

Remarque

Il est possible que la liste complète des étiquettes de service ne s’affiche pas si le rôle de Contributeur réseau a été attribué au niveau d’un groupe de ressources. Pour afficher la liste complète, vous pouvez attribuer ce rôle au niveau de l’abonnement. Si vous ne pouvez autoriser que le rôle Contributeur réseau pour le groupe de ressources, vous pouvez également créer un rôle personnalisé pour les autorisations Microsoft.Network/locations/serviceTags/read et Microsoft.Network/locations/serviceTagDetails/read. Attribuez-les au niveau de l’abonnement, et attribuez le rôle de Contributeur réseau au niveau du groupe de ressources.

Groupe de sécurité réseau

Action	Nom
Microsoft.Network/networkSecurityGroups/read	Obtenir un NSG.
Microsoft.Network/networkSecurityGroups/write	Créer ou mettre à jour un NSG.
Microsoft.Network/networkSecurityGroups/delete	Supprimer un NSG.
Microsoft.Network/networkSecurityGroups/join/action	Associer un NSG à un sous-réseau ou à une interface réseau.

Remarque

Pour effectuer des opérations write sur un NSG, le compte d’abonnement doit au moins avoir les autorisations read pour le groupe de ressources, ainsi que l’autorisation Microsoft.Network/networkSecurityGroups/write.

Règle de groupe de sécurité réseau

Action	Nom
Microsoft.Network/networkSecurityGroups/securityRules/read	Obtenir une règle.
Microsoft.Network/networkSecurityGroups/securityRules/write	Créer ou mettre à jour une règle.
Microsoft.Network/networkSecurityGroups/securityRules/delete	Supprimer une règle.

Groupe de sécurité d’application

Action	Nom
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action	Joindre une configuration IP à un groupe de sécurité d’application.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action	Joindre une règle de sécurité à un groupe de sécurité d’application.
Microsoft.Network/applicationSecurityGroups/read	Obtenir un groupe de sécurité d’application.
Microsoft.Network/applicationSecurityGroups/write	Créer ou mettre à jour un groupe de sécurité d’application.
Microsoft.Network/applicationSecurityGroups/delete	Supprimer un groupe de sécurité d’application.

Contenu connexe

• Ajouter ou supprimer une interface réseau dans ou à partir d’un groupe de sécurité d’application.
• Créer et attribuer des définitions Azure Policy pour des réseaux virtuels.