Administrateurs d'abonnement classique Azure

  • Article
  • 6 minutes de lecture

Microsoft vous recommande de gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Toutefois, si vous utilisez toujours le modèle de déploiement classique, vous devrez utiliser un rôle d’administrateur d'abonnement classique : Administrateur et coadministrateur de service. Pour plus d’informations, consultez Déploiement Azure Resource Manager et déploiement Classic.

Cet article décrit comment ajouter ou modifier les rôles Coadministrateur et Administrateur de services, et comment voir l’Administrateur de compte.

Ajouter un coadministrateur

Conseil

Vous devez ajouter un coadministrateur uniquement si l’utilisateur a besoin de gérer les déploiements Azure Classic à l’aide du module PowerShell de gestion des services Azure. Si l’utilisateur utilise uniquement le portail Azure pour gérer les ressources classiques, vous n’avez pas besoin d’ajouter l’administrateur classique pour l’utilisateur.

  1. Connectez-vous au portail Azure en tant qu’administrateur ou coadministrateur du service.

  2. Ouvrez Abonnements et sélectionnez un abonnement.

    Les coadministrateurs peuvent uniquement être attribués à l’étendue de l’abonnement.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Administrateurs classiques.

    Capture d’écran qui ouvre Administrateurs classiques

  5. Cliquez sur Ajouter>Ajouter un coadministrateur pour ouvrir le volet Ajouter des coadministrateurs.

    Si l’option Ajouter un coadministrateur est désactivée, cela signifie que vous n’avez pas les autorisations requises.

  6. Sélectionnez l’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter.

    Capture d’écran d’ajout d’un coadministrateur

Ajoutez un utilisateur invité en tant que coadministrateur

Notes

La suppression d’un utilisateur invité de votre annuaire Azure Active Directory ne supprime pas l’accès Co-Administrator classique de l’utilisateur invité à un abonnement. Vous devez suivre les étapes de la section Supprimer un coadministrateur pour supprimer l’accès Co-Administrator classique de l’utilisateur invité à un abonnement.

Pour ajouter un utilisateur invité en tant que coadministrateur, suivez les mêmes étapes que celles décrites dans la section précédente Ajouter un coadministrateur. L’utilisateur invité doit remplir les critères suivants :

  • L’utilisateur invité doit être présent dans votre annuaire. Cela signifie que l’utilisateur a été invité dans votre annuaire et a accepté l’invitation.

Pour plus d’informations sur la manière d’ajouter un utilisateur invité à votre annuaire, consultez Ajouter des utilisateurs Azure Active Directory B2B Collaboration dans le Portail Azure.

Différences pour les utilisateurs invités

Les utilisateurs invités qui ont été affectés au rôle de coadministrateur peuvent constater des différences par rapport aux utilisateurs membres avec le rôle coadministrateur. Examinez le cas suivant :

  • L’utilisateur A avec un compte professionnel ou scolaire Azure AD est l’administrateur de service pour un abonnement Azure.
  • L’utilisateur B dispose d’un compte Microsoft.
  • L’utilisateur A attribue le rôle de coadministrateur à l’utilisateur B.
  • L’utilisateur B peut presque tout faire, mais il ne peut pas inscrire d’applications ni rechercher des utilisateurs dans l’annuaire Azure AD.

Vous vous attendiez sans doute à ce que l’utilisateur B puisse tout gérer. La raison de cette différence est que le compte Microsoft est ajouté à l’abonnement en tant qu’invité utilisateur et non en tant qu’utilisateur membre. Les utilisateurs invités disposent d’autorisations par défaut différentes dans Azure AD par rapport aux utilisateurs membres. Par exemple, les utilisateurs membres peuvent voir les autres utilisateurs dans Azure AD, ce que ne peuvent pas faire les utilisateurs invités. Les utilisateurs membres peuvent inscrire de nouveaux principaux de service dans Azure AD, ce que ne peuvent pas faire les utilisateurs invités.

Si un utilisateur invité doit pouvoir effectuer ces tâches, une solution possible consiste à lui affecter les rôles Azure AD spécifiques dont l’utilisateur invité a besoin. Par exemple, dans le scénario précédent, vous pouvez attribuer le rôle lecteur d’annuaire pour pouvoir lire d’autres utilisateurs et affecter le rôle développeur d’applications pour pouvoir créer des principaux de service. Pour plus d’informations sur les membres et les utilisateurs invités et leurs autorisations, consultez Quelles sont les autorisations utilisateur par défaut dans Azure Active Directory ?. Pour plus d’informations sur l’octroi de l’accès pour les utilisateurs invités, consultez Attribuer des rôles Azure aux utilisateurs invités externes à l’aide du portail Azure.

Notez que les rôles intégrés Azure sont différents des rôles Azure AD. Les rôles intégrés n’accordent aucun accès à Azure AD. Pour plus d’informations, consultez Comprendre les différents rôles.

Pour plus d’informations comparant les utilisateurs membres et les utilisateurs invités, consultez Quelles sont les autorisations d’utilisateur par défaut dans Azure Active Directory ?.

Supprimer un coadministrateur

  1. Connectez-vous au portail Azure en tant qu’administrateur ou coadministrateur du service.

  2. Ouvrez Abonnements et sélectionnez un abonnement.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Administrateurs classiques.

  5. Ajoutez une coche en regard du Coadministrateur que vous souhaitez supprimer.

  6. Cliquez sur Supprimer.

  7. Dans la boîte de message qui s’affiche, cliquez sur Oui.

    Capture d’écran de suppression de coadministrateur

Changement d’administrateur de services

Seul l’administrateur de compte peut modifier l’administrateur de services fédérés d’un abonnement. Par défaut, quand vous vous inscrivez à un abonnement Azure, l’Administrateur de services est le même que l’Administrateur de compte.

L’utilisateur ayant le rôle d’administrateur de compte peut accéder au Portail Azure et gérer la facturation, mais il ne peut pas annuler les abonnements. L’utilisateur avec le rôle d’administrateur de service a un accès complet au Portail Azure et peut annuler les abonnements. L’administrateur de compte peut se changer lui-même en administrateur de service.

Procédez comme suit pour modifier l’administrateur de services fédérés dans le portail Azure.

  1. Vérifiez que votre scénario est pris en charge en vérifiant les limites de modification de l’administrateur de services fédérés.

  2. Connectez-vous au portail Azure en tant qu’administrateur de compte.

  3. Ouvrez Facturation et gestion des coûts et sélectionnez un abonnement.

  4. Dans le volet de navigation gauche, cliquez sur Propriétés.

  5. Cliquez sur Changer l'administrateur de service.

    Capture d’écran montrant les propriétés de l’abonnement dans le portail Azure

  6. Dans la page Modifier l’administrateur de services fédérés, entrez l’adresse e-mail du nouvel administrateur de services fédérés.

    Capture d’écran montrant la page Modifier l’administrateur de services fédérés

  7. Cliquez sur OK pour enregistrer la modification.

Limites de modification de l’Administrateur de service

Il ne peut y avoir qu’un seul administrateur de service par abonnement Azure. La modification de l’administrateur de service se comporte différemment selon que l’administrateur de compte est un compte Microsoft ou qu’il s’agit d’un compte Azure AD (professionnel ou scolaire).

Compte d’Administrateur de compte Est-il possible de modifier l’administrateur de service en un autre compte Microsoft ? Est-il possible de modifier l’administrateur de service en un compte Azure AD dans le même annuaire ? Est-il possible de modifier l’administrateur de service en un compte Azure AD dans un annuaire différent ?
Compte Microsoft Oui Non Non
Compte Azure AD Oui Oui Non

Si l’administrateur de compte est un compte Azure AD, vous pouvez modifier l’administrateur de service en un compte Azure AD dans le même annuaire, mais pas dans un autre. Par exemple, abby@contoso.com peut modifier l’administrateur de service en bob@contoso.com, mais ne pas en john@notcontoso.com, sauf si john@notcontoso.com a une présence dans l’annuaire contoso.com.

Pour plus d’informations sur les comptes Microsoft et Azure AD, voir Qu’est-ce qu’Azure Active Directory ?.

Retirer l’administrateur du service

Vous souhaiterez peut-être supprimer l’administrateur de service, par exemple, s’il n’est plus associé à la société. Si vous supprimez l’administrateur de service, vous devez disposer d’un utilisateur auquel le rôle de propriétaire est attribué au niveau de l’étendue d’abonnement pour éviter un abonnement orphelin. Un propriétaire d’abonnement a le même accès que l’administrateur de service.

  1. Connectez-vous au Portail Azure en tant que propriétaire d’abonnements ou un coadministrateur.

  2. Ouvrez Abonnements et sélectionnez un abonnement.

  3. Cliquez sur Contrôle d’accès (IAM) .

  4. Cliquez sur l’onglet Administrateurs classiques.

  5. Ajoutez une coche à côté de l’administrateur de service.

  6. Cliquez sur Supprimer.

  7. Dans la boîte de message qui s’affiche, cliquez sur Oui.

    Capture d’écran de suppression de l’administrateur de services.

Voir l’administrateur de compte

L’Administrateur de compte est l’utilisateur qui a initialement souscrit l’abonnement Azure et qui est responsable en tant que propriétaire de facturation de l’abonnement. Pour modifier l’administrateur de compte d’un abonnement, consultez Transférer la propriété d’un abonnement Azure à un autre compte.

Pour voir l’Administrateur de compte, procédez comme suit.

  1. Connectez-vous au portail Azure.

  2. Ouvrez Facturation et gestion des coûts et sélectionnez un abonnement.

  3. Dans le volet de navigation gauche, cliquez sur Propriétés.

    L’administrateur de compte de l’abonnement s’affiche dans la zone Administrateur de compte.

    Capture d’écran montrant l’Administrateur de compte

Étapes suivantes