À compter du 31 août 2024, les rôles d’administrateur classiques Azure (ainsi que les ressources classiques Azure et Azure Service Manager) sont mis hors service et ne sont plus pris en charge. Si vous avez toujours des attributions de rôle Coadministrateur ou Administrateur de service actives, convertissez ces attributions de rôle en rôles RBAC Azure immédiatement.
Microsoft vous recommande de gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Si vous utilisez toujours le modèle de déploiement classique, vous devez migrer vos ressources du déploiement classique vers le déploiement Resource Manager. Pour plus d’informations, consultez Déploiement Azure Resource Manager et déploiement Classic.
Cet article décrit la mise hors service des rôles Coadministrateur et Administrateur de services fédérés, et comment convertir ces attributions de rôles.
Forum aux questions
Que se passe-t-il avec les attributions de rôles d’administrateur classiques après le 31 août 2024 ?
Les rôles Coadministrateur et Administrateur de service sont supprimés et ne sont plus pris en charge. Vous devez convertir ces attributions de rôle en rôles RBAC Azure immédiatement.
Comment déterminer les abonnements qui ont des administrateurs classiques ?
Vous pouvez utiliser une requête Azure Resource Graph pour répertorier les abonnements avec des attributions de rôle Administrateur de service ou Coadministrateur. Pour la procédure à suivre, consultez Répertorier les administrateurs classiques.
Quel est le rôle Azure équivalent que je dois attribuer aux coadministrateurs ?
Le rôle Propriétaire au niveau de l'étendue de l'abonnement dispose de l'accès équivalent. Cependant, Propriétaire est un rôle d'administrateur privilégié et donne pleinement accès à la gestion des ressources Azure. Vous devez envisager un rôle de fonction de travail avec moins d'autorisations, réduire l'étendue ou ajouter une condition.
Quel est le rôle Azure équivalent que je dois attribuer aux administrateurs de services fédérés ?
Le rôle Propriétaire au niveau de l'étendue de l'abonnement dispose de l'accès équivalent.
Pourquoi dois-je effectuer une migration vers Azure RBAC ?
Azure RBAC offre un contrôle d’accès précis, une compatibilité avec Microsoft Entra Privileged Identity Management (PIM) et une prise en charge complète des journaux d’audit. Tous les investissements futurs seront consacrés à Azure RBAC.
Qu’en est-il du rôle Administrateur de compte ?
L’Administrateur de compte est l’utilisateur principal de votre compte de facturation. Le rôle Administrateur de compte n’est pas déconseillé. Il est donc inutile de convertir cette attribution de rôle. Un même utilisateur peut avoir les rôles Administrateur de compte et Administrateur de service. Toutefois, vous devez uniquement convertir l’attribution de rôle Administrateur de service.
Que dois-je faire si je perds l’accès à un abonnement ?
Si vous supprimez vos administrateurs classiques sans avoir au moins une attribution de rôle Propriétaire pour un abonnement, vous perdez l’accès à l’abonnement et l’abonnement sera orphelin. Pour récupérer l’accès à un abonnement, vous pouvez effectuer les opérations suivantes :
Sélectionnez l'onglet Administrateurs classiques pour afficher la liste des coadministrateurs.
Effectuez les étapes suivantes pour répertorier le nombre d’Administrateurs de service et de Coadministrateurs dans vos abonnements à l’aide d’Azure Resource Graph.
Sélectionnez Étendue et définissez l’étendue de la requête.
Définissez l’étendue sur Annuaire pour interroger l’intégralité de votre locataire, mais vous pouvez limiter l’étendue à des abonnements particuliers.
Sélectionnez Définir l’étendue d’autorisation et définissez l’étendue d’autorisation sur À, au-dessus et en dessous de pour interroger toutes les ressources dans l’étendue spécifiée.
Exécutez la requête suivante pour répertorier le nombre d’administrateurs de service et de coadministrateurs en fonction de l’étendue.
authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)
Voici un exemple des résultats. La colonne count_ correspond au nombre d’administrateurs de service ou de coadministrateurs d’un abonnement.
Mise hors service des coadministrateurs
Si vous avez toujours des administrateurs classiques, effectuez les étapes suivantes pour vous aider à convertir les attributions de rôles Coadministrateur.
Étape 4 : Convertir les coadministrateurs en rôle Propriétaire avec des conditions
Certains utilisateurs peuvent avoir besoin d'un accès plus important que celui que peut offrir un rôle de fonction. Si vous devez attribuer le rôle Propriétaire, envisagez d’ajouter une condition ou d’utiliser Microsoft Entra Privileged Identity Management (PIM) pour limiter l’attribution de rôle.
Attribuez le rôle Propriétaire avec des conditions.
Convertir un coadministrateur avec le rôle Propriétaire
Le moyen le plus simple de convertir une attribution de rôle Coadministrateur en rôle Propriétaire dans l’étendue de l’abonnement consiste à utiliser les étapes de correction.
Sélectionnez l'onglet Administrateurs classiques pour afficher la liste des coadministrateurs.
Ajoutez une coche en regard du Coadministrateur que vous souhaitez supprimer.
Sélectionnez Supprimer.
Dans la zone de message qui s’affiche, sélectionnez Oui.
Mise hors service du rôle Administrateur de services fédérés
Si vous avez toujours des administrateurs classiques, effectuez les étapes suivantes pour vous aider à convertir l’attribution de rôle Administrateur de services fédérés. Avant de supprimer l’Administrateur de services fédérés, vous devez disposer d’au moins un utilisateur auquel est attribué le rôle Propriétaire dans l’étendue de l’abonnement sans conditions afin d’éviter de créer un abonnement orphelin. Un propriétaire d’abonnement a le même accès que l’administrateur de service.
Étape 1 : passer en revue votre administrateur de services fédérés actuel
Passez en revue les journaux de connexion de votre administrateur de services fédérés pour déterminer s’ils sont un utilisateur actif.
Étape 2 : passer en revue vos propriétaires de compte de facturation actuels
L’utilisateur affecté au rôle Administrateur de services fédérés peut également être le même utilisateur que l’administrateur de votre compte de facturation. Vous devez passer en revue vos propriétaires de compte de facturation actuels pour vous assurer qu’ils sont toujours exacts.
Étape 3 : Convertir l’administrateur de services fédérés en rôle Propriétaire
Votre administrateur de services fédérés peut être un compte Microsoft ou un compte Microsoft Entra. Un compte Microsoft est un compte personnel tel qu’Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Un compte Microsoft Entra est une identité créée via Microsoft Entra ID.
Convertir l’administrateur de services fédérés en rôle Propriétaire
Le moyen le plus simple de convertir une attribution de rôle Administrateur de services fédérés en rôle Propriétaire dans l’étendue de l’abonnement consiste à utiliser les étapes de correction.
Sélectionnez l’onglet Administrateurs classiques pour afficher l’administrateur de services fédérés.
Pour l’administrateur de services fédérés, sous la colonne Corriger, sélectionnez le lien Attribuer un rôle RBAC.
Dans le volet Ajouter une attribution de rôle, passez en revue l’attribution de rôle.
Sélectionnez Vérifier + affecter pour affecter le rôle Propriétaire et supprimer l’attribution de rôle Administrateur de services fédérés.
Supprimer l’administrateur de services fédérés
Important
Pour supprimer l'administrateur de service, vous devez disposer d'un utilisateur auquel est attribué le rôle Propriétaire au niveau de l'étendue d'abonnement sans conditions pour éviter un abonnement orphelin. Un propriétaire d’abonnement a le même accès que l’administrateur de service.