Partager via


Groupes d’administration

Utilisez des groupes d’administration pour organiser et régir vos abonnements Azure. À mesure que le nombre de vos abonnements augmente, les groupes d’administration fournissent une structure critique à votre environnement Azure et facilitent la gestion de vos abonnements. Utilisez les conseils suivants pour établir une hiérarchie de groupe d’administration efficace et organiser vos abonnements en fonction des meilleures pratiques.

Considérations relatives à la conception des groupes d’administration

Les structures de groupe d’administration au sein d’un locataire Microsoft Entra prennent en charge le mappage organisationnel. Tenez compte de la structure de votre groupe d’administration soigneusement lorsque votre organisation planifie son adoption d’Azure à grande échelle.

  • Déterminez comment votre organisation sépare les services que des équipes spécifiques possèdent ou opèrent.

  • Déterminez si vous avez des fonctions spécifiques dont vous avez besoin pour des raisons telles que des exigences métier, des exigences opérationnelles, des exigences réglementaires, la résidence des données, la sécurité des données ou la conformité aux lois sur la souveraineté des données.

  • Utilisez des groupes d’administration pour agréger des affectations de stratégie et d’initiative via Azure Policy.

  • Activez l’autorisation de contrôle d’accès en fonction du rôle (RBAC) Azure pour que les opérations de groupe d’administration remplacent l’autorisation par défaut. Par défaut, n’importe quel principal, tel qu’un principal d’utilisateur ou un principal de service, au sein d’un locataire Microsoft Entra peut créer de nouveaux groupes d’administration. Pour plus d’informations, consultez Comment protéger votre hiérarchie de ressources.

Tenez également compte des facteurs suivants :

  • Une arborescence de groupes d’administration peut prendre en charge jusqu’à six niveaux de profondeur. Cette limite n’inclut ni le niveau racine ni le niveau d’abonnement du locataire.

  • Par défaut, tous les nouveaux abonnements sont placés sous le groupe d’administration racine du locataire.

Pour plus d’informations, consultez Groupes d’administration.

Recommandations relatives aux groupes d’administration

  • Conservez la hiérarchie des groupes d’administration raisonnablement plate, idéalement sans plus de trois à quatre niveaux. Cette restriction réduit la surcharge de gestion et la complexité.

  • Ne dupliquez pas votre structure organisationnelle dans une hiérarchie de groupe d’administration profondément imbriquée. Utilisez des groupes d’administration à des fins d’attribution de stratégie et de facturation. Pour cette approche, utilisez des groupes d’administration à des fins prévues dans l’architecture conceptuelle de la zone d’atterrissage Azure. Cette architecture fournit des stratégies Azure pour les charges de travail qui nécessitent le même type de sécurité et de conformité sous le même niveau de groupe d’administration.

  • Créez des groupes d’administration sous votre groupe d’administration de niveau racine pour représenter les types de charges de travail que vous hébergez. Ces groupes sont basés sur les besoins en matière de sécurité, de conformité, de connectivité et de fonctionnalités des charges de travail. Avec cette structure de regroupement, vous pouvez avoir un ensemble de stratégies Azure appliquées au niveau du groupe d’administration. Utilisez cette structure de regroupement pour toutes les charges de travail qui nécessitent les mêmes paramètres de sécurité, de conformité, de connectivité et de fonctionnalité.

  • Utilisez des balises de ressources pour interroger et parcourir horizontalement la hiérarchie du groupe d’administration. Vous pouvez utiliser Azure Policy pour appliquer ou ajouter des balises de ressource. Vous pouvez ensuite regrouper des ressources pour les besoins de recherche sans avoir à utiliser une hiérarchie de groupe d’administration complexe.

  • Créez un groupe d’administration de bac à sable de niveau supérieur afin que vous puissiez immédiatement expérimenter des ressources avant de les déplacer vers des environnements de production. Le bac à sable (sandbox) fournit une isolation de vos environnements de développement, de test et de production.

  • Créez un groupe d’administration de plateforme sous le groupe d’administration racine pour prendre en charge les stratégies de plateforme courantes et les attributions de rôles Azure. Cette structure de regroupement garantit que vous pouvez appliquer différentes stratégies aux abonnements de votre base Azure. Cette approche centralise également la facturation des ressources courantes dans un ensemble d’abonnements fondamentaux.

  • Limitez le nombre d’affectations Azure Policy au niveau de l’étendue du groupe d’administration racine. Cette limitation réduit au minimum le débogage des stratégies héritées dans les groupes d’administration de niveau inférieur.

  • Utilisez des stratégies pour appliquer les exigences de conformité au niveau du groupe d’administration ou de l’étendue de l’abonnement pour atteindre la gouvernance pilotée par les stratégies.

  • Assurez-vous que seuls les utilisateurs privilégiés peuvent gérer des groupes d’administration dans le client. Activez l’autorisation RBAC Azure dans les paramètres de hiérarchie des groupes d’administration pour affiner les privilèges utilisateur. Par défaut, tous les utilisateurs peuvent créer leurs propres groupes d’administration sous le groupe d’administration racine.

  • Configurez un groupe d’administration dédié par défaut pour les nouveaux abonnements. Ce groupe garantit qu’aucun abonnement n’est placé sous le groupe d’administration racine. Ce groupe est particulièrement important si les utilisateurs ont des avantages et des abonnements Microsoft Developer Network (MSDN) ou Visual Studio. Un bon candidat pour ce type de groupe de gestion est un groupe de gestion bac à sable. Pour plus d’informations, consultez Définir un groupe d’administration par défaut.

  • Ne créez pas de groupes d’administration pour les environnements de production, de test et de développement. Si nécessaire, séparez ces groupes en différents abonnements dans le même groupe d’administration. Pour plus d’informations, consultez :

  • Nous vous recommandons d’utiliser la structure de groupe d’administration de zone d’atterrissage Azure standard pour les déploiements multirégions. Ne créez pas de groupes d’administration uniquement pour modéliser différentes régions Azure. Ne modifiez pas ou développez votre structure de groupe d’administration en fonction de l’utilisation de la région ou de la multirégion.

    Si vous avez des exigences réglementaires basées sur l’emplacement, telles que la résidence des données, la sécurité des données ou la souveraineté des données, vous devez créer une structure de groupe d’administration basée sur l’emplacement. Vous pouvez implémenter cette structure à différents niveaux. Pour plus d’informations, consultez Modifier une architecture de zone d’atterrissage Azure.

Groupes d’administration dans l’accélérateur de zone d’atterrissage Azure et le référentiel ALZ-Bicep

L’exemple suivant montre une structure de groupe d’administration. Les groupes d’administration de cet exemple se trouvent dans l’accélérateur de zone d’atterrissage Azure et le module groupes d’administration du référentiel ALZ-Bicep.

Remarque

Vous pouvez modifier la hiérarchie des groupes d’administration dans le module bicep de la zone d’atterrissage Azure en modifiant managementGroups.bicep.

Diagramme montrant la structure du groupe d'administration de l'accélérateur de zone d'atterrissage Azure.

Groupe d’administration Description
Groupe d’administration racine intermédiaire Ce groupe d’administration se trouve directement sous le groupe racine du locataire. L’organisation fournit ce groupe d’administration avec un préfixe afin qu’il n’ait pas besoin d’utiliser le groupe racine. L’organisation peut déplacer des abonnements Azure existants dans la hiérarchie. Cette approche configure également des scénarios futurs. Ce groupe d’administration est parent de tous les autres groupes d’administration créés par l’accélérateur de zone d’atterrissage Azure.
Plateforme Ce groupe d’administration contient tous les groupes d’administration enfants de la plateforme, comme les groupes de gestion, de connectivité et d’identité.
Gestion Ce groupe d’administration contient un abonnement dédié pour la gestion, la surveillance et la sécurité. Cet abonnement héberge un espace de travail de journaux Azure Monitor, ainsi que les solutions associées.
Connectivité Ce groupe d’administration contient un abonnement dédié pour la connectivité. Cet abonnement héberge les ressources réseau Azure, telles qu’Azure Virtual WAN, le Pare-feu Azure et les zones privées Azure DNS requises par la plateforme.

Vous pouvez utiliser différents groupes de ressources pour contenir des ressources, telles que des réseaux virtuels, des instances de pare-feu et des passerelles de réseau virtuel déployées dans différentes régions. Certains déploiements volumineux peuvent avoir des restrictions de quota d’abonnement pour les ressources de connectivité. Vous pouvez créer des abonnements dédiés dans chaque région pour leurs ressources de connectivité.
Identité Ce groupe d’administration contient un abonnement dédié pour l’identité. Cet abonnement est un espace réservé pour les machines virtuelles Active Directory Domain Services (AD DS) ou Microsoft Entra Domain Services. Vous pouvez utiliser différents groupes de ressources pour contenir des ressources, telles que des réseaux virtuels et des machines virtuelles, qui sont déployées dans différentes régions.

L’abonnement active également AuthN ou AuthZ pour les charges de travail dans les zones d’atterrissage. Affectez des stratégies Azure spécifiques pour renforcer et gérer les ressources dans l’abonnement d'identités. Certains déploiements volumineux peuvent avoir des restrictions de quota d’abonnement pour les ressources de connectivité. Vous pouvez créer des abonnements dédiés dans chaque région pour leurs ressources de connectivité.
Zones d’atterrissage Le groupe d’administration parent qui contient tous les groupes d’administration enfants de la zone d’atterrissage. Les stratégies Azure indépendantes des charges de travail lui sont affectées pour garantir la sécurité et la conformité des charges de travail.
En ligne Groupe d’administration dédié pour les zones d’atterrissage en ligne. Ce groupe concerne les charges de travail qui peuvent nécessiter une connectivité entrante ou sortante Internet directe ou pour les charges de travail qui peuvent ne pas nécessiter de réseau virtuel.
Corp Groupe d’administration dédié pour les zones d’atterrissage d’entreprise. Ce groupe concerne les charges de travail qui nécessitent une connectivité ou une connectivité hybride avec le réseau d’entreprise via le hub dans l’abonnement de connectivité.
Bacs à sable Groupe d’administration dédié pour les abonnements. Une organisation utilise des bacs à sable pour tester et explorer. Ces abonnements seront isolés de façon sécurisée des zones d’atterrissage d’entreprise et en ligne. Les bacs à sable ont également un ensemble moins restrictif de stratégies affectées pour activer les tests, l’exploration et la configuration des services Azure.
Déclassés Groupe d’administration dédié pour les zones d’atterrissage annulées. Vous déplacez les zones d’atterrissage annulées vers ce groupe d’administration, puis Azure les supprime après 30 à 60 jours.

Remarque

Pour de nombreuses organisations, les groupes d’administration par défaut Corp et Online fournissent un point de départ idéal. Certaines organisations doivent ajouter d’autres groupes d’administration.

Si vous souhaitez modifier la hiérarchie des groupes d’administration, consultez Personnaliser l’architecture de la zone d’atterrissage Azure pour répondre aux exigences.

Autorisations pour l’accélérateur de zone d’atterrissage Azure

Accélérateur de zone d’atterrissage Azure :

  • Nécessite un nom de principal de service dédié (SPN) pour exécuter des opérations de groupe d’administration, des opérations de gestion des abonnements et des attributions de rôles. Utilisez un SPN pour réduire le nombre d’utilisateurs disposant de droits élevés et suivre les instructions relatives aux privilèges minimum.

  • Requiert le rôle Administrateur de l’accès utilisateur au niveau de l’étendue du groupe d’administration racine pour accorder au nom de principal du service (SPN) l’accès au niveau racine. Une fois que le SPN dispose d’autorisations, vous pouvez supprimer en toute sécurité le rôle Administrateur de l’accès utilisateur. Cette approche garantit que seul le SPN est connecté au rôle Administrateur de l’accès utilisateur.

  • Requiert le rôle Contributeur pour le SPN mentionné ci-dessus au niveau de l’étendue du groupe d’administration racine, qui autorise les opérations au niveau du locataire. Ce niveau d’autorisation garantit que vous pouvez utiliser le SPN pour déployer et gérer des ressources sur n’importe quel abonnement au sein de votre organisation.

Étape suivante

Découvrez comment utiliser des abonnements lorsque vous planifiez une adoption d’Azure à grande échelle.