Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette documentation fournit des détails sur la façon dont les clients peuvent configurer Azure Resource Manager pour une utilisation dans une limite de données. La seule configuration de limite de données actuellement prise en charge, en dehors de la configuration globale par défaut, concerne l’Union européenne (UE). La limite de données de l’UE est une limite géographiquement définie dans laquelle Microsoft s’est engagé à stocker et traiter les données personnelles client et les données personnelles pseudonymes, et à stocker des données de services professionnels pour les services en ligne d’entreprise Microsoft, notamment Azure, Dynamics 365, Power Platform et Microsoft 365, sous réserve de circonstances limitées où les données personnelles continuent d’être transférées en dehors de la limite de données de l’UE. Pour plus d’informations, consultez Vue d’ensemble de limites de données de l’UE.
Important
Pour stocker les données des services professionnels dans la limite de données de l’UE pour Azure, les clients doivent configurer Azure Resource Manager sur la limite de données de l’UE. Cette documentation fournit des détails sur la façon dont les clients peuvent configurer Azure Resource Manager pour une utilisation dans la limite de données de l’UE.
Une limite de données ne peut être établie que dans les nouveaux locataires qui n’ont pas d’abonnements existants ni de ressources déployées. Une fois qu’un locataire a choisi une limite de données, la configuration de la limite de données ne peut pas être supprimée ou modifiée. Les abonnements et les ressources créés sous un locataire avec une limite de données ne peuvent pas être déplacés hors de ce locataire. Les abonnements et ressources existants ne peuvent pas être déplacés vers un locataire avec une limite de données. Chaque locataire est limité à une limite de données et une fois la limite de données configurée, Azure Resource Manager limite les déploiements de ressources aux régions situées dans cette limite. Une limite de données globale n’a aucune restriction sur les régions dans laquelle une ressource peut être déployée. Les clients peuvent choisir leurs locataires dans une limite de données en déployant une ressource Microsoft.Resources/dataBoundaries au niveau du locataire.
Le rôle intégré DataBoundaryTenantAdministrator est nécessaire pour configurer la limite de données. Pour en savoir plus, consultez Autorisations requises.
Pour choisir votre locataire dans une limite de données Azure EU :
- Créez un locataire au sein d’un pays ou d’une région de l’UE pour configurer une limite de données Microsoft Entra EU. Pour plus d’informations sur la création d’un locataire dans un pays ou une région de l’UE, consultez Créer un locataire dans Microsoft Entra ID.
- Avant de créer de nouveaux abonnements ou ressources, déployez une ressource Microsoft.Resources/dataBoundaries avec une configuration EU.
- Créez un abonnement et déployez des ressources Azure.
Autorisations requises
Pour configurer la limite de données, le rôle intégré DataBoundaryTenantAdministrator est requis dans l’étendue du locataire. Pour attribuer le rôle, procédez comme suit :
- Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure. Pour plus d’informations, consultez Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure.
- Avec le privilège Administrateur de l’accès utilisateur, accordez-vous le rôle
DataBoundaryTenantAdministratorau niveau de l’étendue du locataire (/) à l’aide d’Azure CLI ou d’Azure PowerShell ou de l’API REST.
DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"
az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"
Pour plus d’informations, consultez Attribuer des rôles Azure.
Créer une limite de données
La zone géographique des limites de données comporte actuellement deux options :
| Limite de données géographique | Description |
|---|---|
| Global | Par défaut, tous les locataires ont une limite de données globale. |
| UE | Établissez une limite de données EU. |
Pour choisir un locataire vers la limite de données, utilisez les commandes suivantes.
az data-boundary create --data-boundary <data-boundary-geo> --default default
Le commutateur --default est actuellement obligatoire, mais sera progressivement supprimé à l’avenir.
Pour plus d’informations, consultez référence Azure CLI.
Lire la limite des données
Pour obtenir la limite de données à des étendues spécifiées. Les étendues sont les suivantes :
| Étendue | Valeur |
|---|---|
| Locataire | (empty) |
| Abonnement | subscriptions/{subscriptionId} |
| Resource group | subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} |
az data-boundary show --scope <scope-path> --default default
Obtenir la limite de données du locataire :
az data-boundary show-tenant --default default
Le commutateur --default est actuellement obligatoire, mais sera progressivement supprimé à l’avenir.
Pour plus d’informations, consultez référence Azure CLI.
Dépannage
Le tableau suivant répertorie les messages d’erreur liés aux limites de données :
| Code d'erreur | Message d’erreur | Explication |
|---|---|---|
| NonEmptyTenantCannotChangeDataBoundary | Le locataire <nom de locataire> contient déjà des abonnements. La mise à jour des limites de données pour les locataires non vides n’est pas prise en charge. | Les clients ne peuvent appliquer qu’une limite de données Azure à un tout nouveau locataire sans groupe d’administration, abonnements ou ressources. |
| AuthorizationFailed | Le client <nom du client> avec l’ID d’objet <id d’objet> n’a pas l’autorisation d’effectuer des actions Microsoft.Resources/dataBoundaries/write sur l’étendue <> de nom d’étendue ou l’étendue n’est pas valide. Si l’accès a été accordé récemment, actualisez vos informations d’identification. |
Vérifiez que vous disposez du rôle Administrateur des limites de données dans l’étendue du locataire. Consultez autorisations requises. |
| InvalidResourceLocation InvalidResourceGroupLocation |
Emplacement du groupe de ressources non valide <nom de région>. L’ID de locataire de l’abonnement donné est choisi dans la limite de données <limite de données-limite-géographique>. L’emplacement du groupe de ressources est limité par la limite de données. La liste des régions dans la limite de données est la suivante : <liste de régions>. | Une fois qu’une limite de données s’applique à un locataire, les utilisateurs peuvent uniquement créer des ressources dans des régions au sein de la limite de données. Par exemple, les utilisateurs ne peuvent pas créer de ressources dans WestUS si une limite de données UE est appliquée au locataire. Pour résoudre cette erreur, sélectionnez une région dans la liste retournée dans le message d’erreur. |
| InvalidSubscriptionMoveDataBoundary | Échec de l’action de transfert. Le transfert de cet abonnement n’est pas autorisé en raison de restrictions de limites de données sur le locataire. | Il n’est pas possible de déplacer un abonnement si les locataires source ou cible ont une limite de données non globale. Le déplacement d’abonnement est bloqué même si les locataires source et cible ont la même limite de données. |
Étapes suivantes
Pour plus d’informations, consultez Vue d’ensemble de limites de données de l’UE.