Partager des images entre des locataires à l’aide d’une inscription d’application

  • Article

Toutefois, si vous souhaitez partager à grande échelle des images hors de votre locataire Azure, vous devez créer une inscription d’application pour faciliter le partage. À l’aide d’une inscription d’application, vous pouvez activer des scénarios de partage plus complexes, comme :

  • la gestion d’images partagées lorsqu’une entreprise en acquiert une autre, ou la répartition de l’infrastructure Azure entre plusieurs locataires distincts.
  • Les partenaires Azure gèrent l’infrastructure Azure pour le compte de leurs clients. Les images sont personnalisées au sein du locataire des partenaires, mais les déploiements d’infrastructure s’effectuent dans celui du client.

Créer l’inscription d’application

Créez une inscription d’application qui sera utilisée par les deux locataires pour partager les ressources des galeries d’images.

  1. Ouvrez les Inscriptions d’applications dans le portail Azure.
  2. Sélectionnez l’option Nouvelle inscription dans le menu situé en haut de la page.
  3. Dans Nom, saisissez myGalleryApp.
  4. Dans Types de comptes pris en charge, sélectionnez Comptes dans un annuaire d’organisation (tout annuaire Microsoft Entra : multilocataire) et comptes Microsoft personnels (par exemple, Skype, Xbox).
  5. Dans URI de redirection, sélectionnez Web dans la liste déroulante Sélectionner une plateforme et tapez https://www.microsoft.com, puis sélectionnez Inscrire. Une fois l’inscription d’application créée, la page Vue d’ensemble s’ouvre.
  6. Sur cette page, copiez l’ID d’application (client) et enregistrez-le pour une utilisation ultérieure.
  7. Sélectionnez Certificats et secrets, puis Nouveau secret client.
  8. DansDescription, saisissez Secret d’application proposé entre plusieurs locataires dans la galerie.
  9. Dans Expiration, modifiez la valeur par défaut (6 mois (recommandé)) en 12 mois, puis sélectionnez Ajouter.
  10. Copiez la valeur du secret et placez-la dans un endroit sûr. Vous ne pouvez pas la récupérer une fois que vous avez quitté cette page.

Fournissez l’autorisation de l’inscription d’application pour utiliser la galerie.

  1. Dans le Portail Azure, sélectionnez la galerie Azure Compute Gallery que vous souhaitez partager avec un autre locataire.
  2. Sélectionnez Contrôle d’accès (IAM) et, sous Ajouter une attribution de rôle, sélectionnez Ajouter.
  3. Sous Rôle, sélectionnez Lecteur.
  4. Sous Attribuer l’accès à :, laissez-le comme Utilisateur, groupe ou principal du service Microsoft Entra.
  5. Sous Sélectionner des membres, saisissez myGalleryApp et sélectionnez cet élément lorsqu’il s’affiche dans la liste. Quand vous avez terminé, sélectionnez Vérifier + attribuer.

Accorder l’accès au locataire 2

Accordez l’accès au locataire 2 à l’application, en demandant la connexion via un navigateur. Remplacez <Tenant2 ID> par l’ID de locataire avec lequel vous souhaitez partager votre galerie d’images. Les utilisateurs peuvent voir leur ID de locataire à l’aide de la commande az account show Azure CLI.

Remplacez <Application (client) ID> par l’ID d’application de l’inscription d’application que vous avez créée. Lorsque vous avez effectué ces remplacements, collez l’adresse URL dans un navigateur et suivez les invites pour vous connecter au locataire 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F

Dans le portail Microsoft Azure, connectez-vous en tant que locataire 2 et accordez à l’inscription d’application un accès au groupe de ressources dans lequel vous souhaitez créer la machine virtuelle.

  1. Sélectionnez le groupe de ressources, puis Contrôle d’accès (IAM) . Sous Ajouter une attribution de rôle, sélectionnez Ajouter.
  2. Sous Rôle, saisissez Contributeur.
  3. Sous Attribuer l’accès à :, laissez-le comme Utilisateur, groupe ou principal du service Microsoft Entra.
  4. Sous Sélectionner des membres, saisissez myGalleryApp, puis sélectionnez cet élément lorsqu’il s’affiche dans la liste. Quand vous avez terminé, sélectionnez Vérifier + attribuer.

Notes

Vous devez attendre que la version d’image soit totalement intégrée et répliquée avant de pouvoir utiliser la même image managée pour créer une autre version d’image.

Créer un groupe identique avec Azure CLI

Connectez le principal du service pour le locataire 1 à l’aide de l’ID d’application, de la clé d’application et de l’ID du locataire 1. Vous pouvez utiliser az account show --query "tenantId" pour obtenir les ID des locataires si nécessaire.

az account clear
az login --service-principal -u '<app ID>' -p '<Secret>' --tenant '<tenant 1 ID>'
az account get-access-token

Connectez le principal du service pour le locataire 2 à l’aide de l’ID d’application, de la clé d’application et de l’ID du locataire 2 :

az login --service-principal -u '<app ID>' -p '<Secret>' --tenant '<tenant 2 ID>'
az account get-access-token

Créez le groupe identique. Remplacez les informations dans l’exemple par vos propres données.

az vmss create \
  -g myResourceGroup \
  -n myScaleSet \
  --image "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>" \
  --admin-username azureuser \
  --generate-ssh-keys

Étapes suivantes

Si vous rencontrez des problèmes, consultez Résoudre les problèmes des galeries d’images partagées.