Créer, changer ou supprimer un groupe de sécurité réseau

Les règles de sécurité dans les groupes de sécurité réseau permettent de filtrer le type de trafic réseau qui peut circuler vers et depuis les interfaces réseau et les sous-réseaux de réseau virtuel. Pour en savoir plus sur les groupes de sécurité réseau, consultez Vue d’ensemble du groupe de sécurité réseau. Ensuite, suivez le tutoriel Filtrer le trafic réseau pour gagner en expérience avec les groupes de sécurité réseau.

Prérequis

Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un gratuitement. Effectuez une des tâches suivantes avant de commencer les étapes décrites dans la suite de cet article :

• Utilisateurs du portail : Connectez-vous au portail Azure avec votre compte Azure.

• Utilisateurs de PowerShell : Exécutez les commandes dans Azure Cloud Shell ou exécutez PowerShell localement à partir de votre ordinateur. Azure Cloud Shell est un interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour exécuter les étapes de cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte. Sous l’onglet de navigateur Azure Cloud Shell, ouvrez la liste déroulante Sélectionner un environnement, puis choisissez PowerShell si ce n’est pas déjà fait.

  Si vous exécutez PowerShell localement, utilisez le module Azure PowerShell version 1.0.0 ou ultérieure. Exécutez Get-Module -ListAvailable Az.Network pour rechercher la version installée. Si vous devez installer ou mettre à niveau, consultez Installer le module Azure PowerShell. Exécutez Connect-AzAccount pour vous connecter à Azure.

• Utilisateurs de Azure CLI : exécutez les commandes dans Azure Cloud Shell ou exécutez Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour exécuter les étapes de cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte. Sous l’onglet de navigateur Azure Cloud Shell, ouvrez la liste déroulante Sélectionner un environnement, puis choisissez Bash si ce n’est pas déjà fait.

  Si vous exécutez Azure CLI localement, utilisez Azure CLI version 2.0.28 ou ultérieure. Exécutez az --version pour rechercher la version installée. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI. Exécutez az login pour vous connecter à Azure.

Attribuez le rôle Contributeur réseau ou un rôle Personnalisé avec les autorisations appropriées.

Utiliser des groupes de sécurité réseau

Vous pouvez effectuer différentes opérations concernant les groupes de sécurité réseau : en créer, les voir tous, afficher les détails d’un des groupes, les changer et en supprimer. Vous pouvez également associer ou dissocier un groupe de sécurité réseau à ou d’une interface réseau ou sous-réseau.

Créer un groupe de sécurité réseau

Le nombre de groupes de sécurité réseau que vous pouvez créer par abonnement et par région Azure est limité. Pour en savoir plus, consultez Abonnement Azure et les limites, quotas et contraintes des services.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.

2. Sélectionnez + Créer.

3. Dans la page Créer un groupe de sécurité réseau, sous l’onglet De base, entrez ou sélectionnez les valeurs suivantes :

   Paramètre	Action
   Détails du projet
   Abonnement	Sélectionnez votre abonnement Azure.
   Resource group	Sélectionnez un groupe de ressources existant ou créez-en un en sélectionnant Créer. Cet exemple utilise le groupe de ressources myResourceGroup .
   Détails de l’instance
   Nom du groupe de sécurité réseau	Entrez un nom pour le groupe de sécurité réseau que vous créez.
   Région	Sélectionnez la région souhaitée.

   

4. Sélectionnez Revoir + créer.

5. Quand le message Validation réussie s’affiche, sélectionnez Créer.

PowerShell

Utilisez New-AzNetworkSecurityGroup pour créer un groupe de sécurité réseau nommé myNSG dans la région USA Est . myNSG est créé dans le groupe de ressources myResourceGroup existant.

New-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup  -Location  eastus

Azure CLI

Utilisez az network nsg create pour créer un groupe de sécurité réseau nommé myNSG dans le groupe de ressources myResourceGroup existant.

az network nsg create --resource-group MyResourceGroup --name myNSG

Voir tous les groupes de sécurité réseau

Portail

Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau. Sélectionnez Groupes de sécurité réseau dans les résultats de la recherche pour afficher la liste des groupes de sécurité réseau dans votre abonnement.

PowerShell

Utilisez Get-AzNetworkSecurityGroup pour répertorier tous les groupes de sécurité réseau de votre abonnement.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Azure CLI

Utilisez az network nsg list pour répertorier tous les groupes de sécurité réseau de votre abonnement.

az network nsg list --out table

Voir les détails d’un groupe de sécurité réseau

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Sélectionnez le nom de votre groupe de sécurité réseau.

Sous Paramètres vous pouvez voir les Règles de sécurité de trafic entrant, les Règles de sécurité de trafic sortant, les Interfaces réseau et les Sous-réseaux auxquels le groupe de sécurité réseau est associé.

Sous Surveillance, vous pouvez activer ou désactiver les Paramètres de diagnostic. Pour plus d’informations, consultez Journalisation des ressources pour un groupe de sécurité réseau.

Sous Aide, vous pouvez voir les Règles de sécurité effectives. Pour plus d’informations, consultez Diagnostiquer un problème de filtre de trafic réseau sur une machine virtuelle.

Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les articles suivants :

• Journal d’activité

• Contrôle d’accès (IAM)

• Balises

• Verrous

• Script Automation

PowerShell

Utilisez Get-AzNetworkSecurityGroup pour afficher les détails d’un groupe de sécurité réseau.

Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les articles suivants :

• Journal d’activité

• Contrôle d’accès (IAM)

• Balises

• Verrous

Azure CLI

Utilisez az network nsg show pour afficher les détails d’un groupe de sécurité réseau.

az network nsg show --resource-group myResourceGroup --name myNSG

Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les articles suivants :

• Journal d’activité

• Contrôle d’accès (IAM)

• Balises

• Verrous

Changer un groupe de sécurité réseau

Les modifications les plus courantes apportées à un groupe de sécurité réseau sont les suivantes :

• Associer ou dissocier un groupe de sécurité réseau à une interface réseau

• Associer ou dissocier un groupe de sécurité réseau à un sous-réseau

• Créer une règle de sécurité

• Supprimer une règle de sécurité

Associer ou dissocier un groupe de sécurité réseau à une interface réseau

Pour plus d’informations sur l’association et la dissociation d’un groupe de sécurité réseau, consultez Associer ou dissocier un groupe de sécurité réseau.

Associer ou dissocier un groupe de sécurité réseau à un sous-réseau

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Sélectionnez le nom de votre groupe de sécurité réseau, puis sélectionnez Sous-réseaux.

Pour associer un groupe de sécurité réseau au sous-réseau, sélectionnez + Associer, puis sélectionnez votre réseau virtuel et le sous-réseau auquel vous souhaitez associer le groupe de sécurité réseau. Cliquez sur OK.

Pour dissocier un groupe de sécurité réseau du sous-réseau, sélectionnez les trois points en regard du sous-réseau dont vous souhaitez dissocier le groupe de sécurité réseau, puis sélectionnez Dissocier. Sélectionnez Oui.

PowerShell

Utilisez Set-AzVirtualNetworkSubnetConfig pour associer ou dissocier un groupe de sécurité réseau vers ou à partir d’un sous-réseau.

## Place the virtual network configuration into a variable. ##
$virtualNetwork = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Update the subnet configuration. ##
Set-AzVirtualNetworkSubnetConfig -Name mySubnet -VirtualNetwork $virtualNetwork -AddressPrefix 10.0.0.0/24 -NetworkSecurityGroup $networkSecurityGroup
## Update the virtual network. ##
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Azure CLI

Utilisez az network vnet subnet update pour associer ou dissocier un groupe de sécurité réseau à ou à partir d’un sous-réseau.

az network vnet subnet update --resource-group myResourceGroup --vnet-name myVNet --name mySubnet --network-security-group myNSG

Supprimer un groupe de sécurité réseau

Si un groupe de sécurité réseau est associé à des sous-réseaux ou à des interfaces réseau, il ne peut pas être supprimé. Dissociez un groupe de sécurité réseau de tous les sous-réseaux et interfaces réseau avant de tenter de le supprimer.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Sélectionnez le groupe de sécurité réseau que vous souhaitez supprimer.

3. Sélectionnez Supprimer, puis Oui dans la boîte de dialogue de confirmation.

   

PowerShell

Utilisez Remove-AzNetworkSecurityGroup pour supprimer un groupe de sécurité réseau.

Remove-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Azure CLI

Utilisez az network nsg delete pour supprimer un groupe de sécurité réseau.

az network nsg delete --resource-group myResourceGroup --name myNSG

Utiliser des règles de sécurité

Un groupe de sécurité réseau contient zéro règle de sécurité, ou plus. Vous pouvez effectuer différentes opérations concernant les règles de sécurité : en créer, les voir tout, afficher les détails d’une des règles, les changer et en supprimer.

Créer une règle de sécurité

Le nombre de règles par groupe de sécurité réseau que vous pouvez créer par abonnement et par emplacement Azure est limité. Pour en savoir plus, consultez Abonnement Azure et les limites, quotas et contraintes des services.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Sélectionnez le groupe de sécurité réseau auquel vous souhaitez ajouter une règle de sécurité.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

   Plusieurs règles existantes sont répertoriées, y compris quelques-unes que vous n’avez peut-être pas ajoutées. Lorsque vous créez un groupe de sécurité réseau, plusieurs règles de sécurité par défaut y sont créées. Pour plus d’informations, consultez Règles de sécurité par défaut. Vous ne pouvez pas supprimer les règles de sécurité par défaut, mais vous pouvez les remplacer par des règles qui ont une priorité plus élevée.

4. Sélectionnez +Ajouter. Sélectionnez ou ajoutez des valeurs pour les paramètres suivants, puis sélectionnez Ajouter :

   Paramètre	Valeur	Détails
   Source	Valeurs possibles : Any Adresses IP Mon adresse IP Étiquette du service Groupe de sécurité d’application	Si vous choisissez Adresses IP, vous devez également spécifier les Plages d’adresses IP/CIDR sources. Si vous choisissez Balise de service, vous pouvez également choisir une balise de service source. Si vous choisissez Groupe de sécurité d’application, vous devez également sélectionner un groupe de sécurité d’application existant. Si vous choisissez Groupe de sécurité d’application en tant que source et destination, les interfaces réseau dans les deux groupes de sécurité d’application doivent se trouver dans le même réseau virtuel. Découvrez comment créer un groupe de sécurité d’application.
   Plages d’adresses IP/CIDR sources	Liste délimitée par des virgules d’adresses IP et de plages CIDR (Classless Interdomain Routing)	Ce paramètre apparaît si vous changez Source en Adresses IP. Vous devez spécifier une valeur unique ou une liste de valeurs séparées par des virgules. Un exemple de plusieurs valeurs est 10.0.0.0/16, 192.188.1.1. Le nombre de valeurs que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure. Si l’adresse IP que vous spécifiez est attribuée à une machine virtuelle Azure, spécifiez son adresse IP privée, et non son adresse IP publique. Azure traite les règles de sécurité sont traitées une fois l’adresse IP publique convertie en adresse IP privée pour les règles de sécurité liées au trafic entrant, mais avant de convertir l’adresse IP privée en adresse IP publique pour les règles de trafic sortant. Pour en savoir plus sur les adresses IP dans Azure, consultez Adresses IP publiques et adresses IP privées.
   Balise du service source	Une balise de service dans la liste déroulante	Ce paramètre apparaît si vous définissez Source sur Balise de service pour une règle de sécurité. Une balise de service est un identificateur prédéfini pour une catégorie d’adresses IP. Pour en savoir plus sur les balises de service disponibles et ce que représente chaque balise, consultez Balises de service.
   Groupe de sécurité d’application source	Groupe de sécurité d’application source existant	Ce paramètre apparaît si vous définissez Source sur Groupe de sécurité d’application. Sélectionnez un groupe de sécurité d’application qui existe dans la même région que l’interface réseau. Découvrez comment créer un groupe de sécurité d’application.
   Plages de ports source	Valeurs possibles : Un port unique, par exemple 80 Un plage de ports, par exemple 1024-65535 Une liste séparée par des virgules de ports uniques et/ou de plages de ports, par exemple 80, 1024-65535 Un astérisque (*) pour autoriser le trafic sur n’importe quel port	Ce paramètre spécifie les ports sur lesquels la règle autorise ou refuse le trafic. Le nombre de ports que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure.
   Destination	Valeurs possibles : Any Adresses IP Étiquette du service Groupe de sécurité d’application	Si vous sélectionnez Adresses IP, vous devez spécifier les Plages d’adresses IP/CIDR de destination. Si vous choisissez Balise de service, vous pouvez également choisir une balise de service Destination. Si vous choisissez Groupe de sécurité d’application, vous devez également sélectionner un groupe de sécurité d’application existant. Si vous choisissez Groupe de sécurité d’application en tant que source et destination, les interfaces réseau dans les deux groupes de sécurité d’application doivent se trouver dans le même réseau virtuel. Découvrez comment créer un groupe de sécurité d’application.
   Plages d’adresses IP/CIDR de destination	Liste délimitée par des virgules d’adresses IP et de plages CIDR	Ce paramètre apparaît si vous changez Destination en Adresses IP. À l’image de Source et de Plages d’adresses IP/CIDR sources, vous pouvez spécifier une seule adresse ou plage, ou bien plusieurs. Le nombre de ports que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure. Si l’adresse IP que vous spécifiez est attribuée à une machine virtuelle Azure, vérifiez que vous spécifiez bien son adresse IP privée, et non son adresse IP publique. Azure traite les règles de sécurité sont traitées une fois l’adresse IP publique convertie en adresse IP privée pour les règles de sécurité liées au trafic entrant, mais avant de convertir l’adresse IP privée en adresse IP publique pour les règles de trafic sortant. Pour en savoir plus sur les adresses IP dans Azure, consultez Adresses IP publiques et adresses IP privées.
   Balise d’identification de destination	Une balise de service dans la liste déroulante	Ce paramètre apparaît si vous définissez Destination sur Balise de service pour une règle de sécurité. Une balise de service est un identificateur prédéfini pour une catégorie d’adresses IP. Pour en savoir plus sur les balises de service disponibles et ce que représente chaque balise, consultez Balises de service.
   Groupe de sécurité d’application de destination	Groupe de sécurité d’application source existant	Ce paramètre apparaît si vous définissez Destination sur Groupe de sécurité d’application. Sélectionnez un groupe de sécurité d’application qui existe dans la même région que l’interface réseau. Découvrez comment créer un groupe de sécurité d’application.
   Service	Un protocole de destination dans la liste déroulante	Ce paramètre spécifie le protocole de destination et la plage de ports pour la règle de sécurité. Vous pouvez choisir un service prédéfini, comme RDP, ou choisir Personnalisé et fournir la plage de ports dans Plages de ports de destination.
   Plages de ports de destination	Valeurs possibles : Un port unique, par exemple 80 Un plage de ports, par exemple 1024-65535 Une liste séparée par des virgules de ports uniques et/ou de plages de ports, par exemple 80, 1024-65535 Un astérisque (*) pour autoriser le trafic sur n’importe quel port	Comme pour Plages de ports source, vous pouvez spécifier un ou plusieurs ports et plages. Le nombre de ports que vous pouvez spécifier est limité. Pour plus d'informations, consultez Limites Azure.
   Protocole	Any, TCP, UDP ou ICMP	Vous pouvez restreindre la règle au protocole TCP (Transmission Control Protocol), UDP (User Datagram Protocol) ou ICMP (Internet Control Message Protocol). La valeur par défaut correspond à la règle qui s’applique à tous les protocoles (Tous).
   Action	Autoriser ou Refuser	Ce paramètre spécifie si cette règle autorise ou refuse l’accès pour la configuration source et de destination fournie.
   Priorité	Entrez une valeur comprise entre 100 et 4096 qui est unique pour toutes les règles de sécurité au sein du groupe de sécurité réseau.	Azure traite les règles de sécurité par ordre de priorité. Plus le numéro est faible, plus la priorité est élevée. Nous vous recommandons de laisser un écart entre les numéros de priorité quand vous créez des règles, par exemple, 100, 200, 300. Cela permet par la suite d’intercaler de nouvelles règles et de leur donner une priorité plus ou moins élevée que les règles existantes.
   Nom	Nom unique de la règle au sein du groupe de sécurité réseau	Le nom peut comprendre jusqu’à 80 caractères. Il doit commencer par une lettre ou un chiffre et se terminer par une lettre, un chiffre ou un trait de soulignement. Le nom peut contenir uniquement des lettres, des chiffres, des traits d’union, des traits de soulignement et des points.
   Description	Description texte	Vous pouvez éventuellement spécifier une description texte de la règle de sécurité. La description ne doit pas avoir plus de 140 caractères.

   

PowerShell

Utilisez Add-AzNetworkSecurityRuleConfig pour créer une règle de groupe de sécurité réseau.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Create the security rule. ##
Add-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 300 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

Utilisez az network nsg rule create pour créer une règle de groupe de sécurité réseau.

az network nsg rule create --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 300 \
    --destination-address-prefixes '*' --destination-port-ranges 3389 --protocol Tcp --description "Allow RDP"

Voir toutes les règles de sécurité

Un groupe de sécurité réseau contient zéro ou plusieurs règles. Pour en savoir plus sur les informations affichées avec les règles, consultez Règles de sécurité.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Dans la liste, sélectionnez le nom du groupe de sécurité réseau dont vous souhaitez voir les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

   La liste contient toutes les règles que vous avez créées et les règles de sécurité par défaut de votre groupe de sécurité réseau.

   

PowerShell

Utilisez Get-AzNetworkSecurityRuleConfig pour afficher les règles de sécurité d’un groupe de sécurité réseau.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## List security rules of the network security group in a table. ##
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | format-table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Azure CLI

Utilisez az network nsg rule list pour afficher les règles de sécurité d’un groupe de sécurité réseau.

az network nsg rule list --resource-group myResourceGroup --nsg-name myNSG

Voir les détails d’une règle de sécurité

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Dans la liste, sélectionnez le nom du groupe de sécurité réseau dont vous souhaitez voir les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

4. Sélectionnez la règle dont vous souhaitez voir les détails. Pour obtenir une explication détaillée de tous les paramètres, consultez les paramètres de règle de sécurité.

   Notes

   Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Cela ne fonctionne pas si vous choisissez une règle de sécurité par défaut.

   

PowerShell

Utilisez Get-AzNetworkSecurityRuleConfig pour afficher les détails d’une règle de sécurité.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## View details of the security rule. ##
Get-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup

Notes

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Cela ne fonctionne pas si vous choisissez une règle de sécurité par défaut.

Azure CLI

Utilisez az network nsg rule show pour afficher les détails d’une règle de sécurité.

az network nsg rule show --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Notes

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Cela ne fonctionne pas si vous choisissez une règle de sécurité par défaut.

Changer une règle de sécurité

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Dans la liste, sélectionnez le nom du groupe de sécurité réseau dont vous souhaitez voir les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

4. Sélectionnez la règle que vous souhaitez modifier.

5. Changez les paramètres comme vous le souhaitez, puis sélectionnez Enregistrer. Pour obtenir une explication détaillée de tous les paramètres, consultez les paramètres de règle de sécurité.

   

   Notes

   Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

PowerShell

Utilisez Set-AzNetworkSecurityRuleConfig pour mettre à jour une règle de groupe de sécurité réseau.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Make changes to the security rule. ##
Set-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 200 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Notes

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Azure CLI

Utilisez az network nsg rule update pour mettre à jour une règle de groupe de sécurité réseau.

az network nsg rule update --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 200

Notes

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Supprimer une règle de sécurité

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité réseau , puis sélectionnez Groupes de sécurité réseau dans les résultats de la recherche.

2. Dans la liste, sélectionnez le nom du groupe de sécurité réseau dont vous souhaitez voir les règles.

3. Sélectionnez Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant.

4. Sélectionnez les règles que vous souhaitez supprimer.

5. Sélectionnez Supprimer, puis cliquez sur Oui.

   

   Remarque

   Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à supprimer les règles de sécurité par défaut.

PowerShell

Utilisez Remove-AzNetworkSecurityRuleConfig pour supprimer une règle de sécurité d’un groupe de sécurité réseau.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Remove the security rule. ##
Remove-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Notes

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Azure CLI

Utilisez az network nsg rule delete pour supprimer une règle de sécurité d’un groupe de sécurité réseau.

az network nsg rule delete --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Notes

Cette procédure s’applique uniquement aux règles de sécurité personnalisées. Vous n’êtes pas autorisé à modifier les règles de sécurité par défaut.

Utiliser des groupes de sécurité d’application

Un groupe de sécurité d’application contient zéro interface réseau, ou plus. Pour en savoir plus, consultez Groupes de sécurité d’application. Toutes les interfaces réseau dans un groupe de sécurité d’application doivent exister dans le même réseau virtuel. Pour savoir comment ajouter une interface réseau à un groupe de sécurité d’application, consultez Ajouter une interface réseau à un groupe de sécurité d’application.

Créer un groupe de sécurité d’application

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Dans les résultats de la recherche, sélectionnez Groupes de sécurité d’application.

2. Sélectionnez + Créer.

3. Dans la page Créer un groupe de sécurité application, sous l’onglet De base, entrez ou sélectionnez les valeurs suivantes :

   Paramètre	Action
   Détails du projet
   Abonnement	Sélectionnez votre abonnement Azure.
   Resource group	Sélectionnez un groupe de ressources existant ou créez-en un en sélectionnant Créer. Cet exemple utilise le groupe de ressources myResourceGroup .
   Détails de l’instance
   Nom	Entrez un nom pour le groupe de sécurité d’application que vous créez.
   Région	Sélectionnez la région dans laquelle vous souhaitez créer le groupe de sécurité d’application.

   

4. Sélectionnez Revoir + créer.

5. Quand le message Validation réussie s’affiche, sélectionnez Créer.

PowerShell

Utiliser New-AzApplicationSecurityGroup

New-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG -Location eastus

Azure CLI

Utiliser az network asg create

az network asg create --resource-group myResourceGroup --name myASG --location eastus

Voir tous les groupes de sécurité d’application

Portail

Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Dans les résultats de la recherche, sélectionnez Groupes de sécurité d’application. Le portail Azure affiche la liste de vos groupes de sécurité d’application.

PowerShell

Utilisez Get-AzApplicationSecurityGroup pour répertorier tous les groupes de sécurité d’application dans votre abonnement Azure.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Azure CLI

Utilisez az network asg list pour répertorier tous les groupes de sécurité d’application dans un groupe de ressources.

az network asg list --resource-group myResourceGroup --out table

Voir les détails d’un groupe de sécurité d’application spécifique

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Dans les résultats de la recherche, sélectionnez Groupes de sécurité d’application.

2. Sélectionnez le groupe de sécurité d’application dont vous souhaitez afficher les détails.

PowerShell

Utiliser Get-AzApplicationSecurityGroup

Get-AzApplicationSecurityGroup -Name myASG

Azure CLI

Utilisez az network asg show pour afficher les détails d’un groupe de sécurité d’application.

az network asg show --resource-group myResourceGroup --name myASG

Changer un groupe de sécurité d’application

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Dans les résultats de la recherche, sélectionnez Groupes de sécurité d’application.

2. Sélectionnez le groupe de sécurité d’application que vous souhaitez modifier.

Sélectionnez Déplacer en regard de Groupe de ressources ou Abonnement pour modifier respectivement le groupe de ressources ou l’abonnement.

Sélectionnez Modifier en regard de Balises pour ajouter ou supprimer des balises. Pour plus d’informations, consultez Utiliser des étiquettes pour organiser vos ressources Azure et votre hiérarchie de gestion

Remarque

Vous ne pouvez pas modifier l’emplacement d’un groupe de sécurité d’application.

Sélectionnez Contrôle d’accès (IAM) pour ajouter ou supprimer des autorisations pour le groupe de sécurité d’application.

PowerShell

Notes

Vous ne pouvez pas modifier un groupe de sécurité d’application à l’aide de PowerShell.

Azure CLI

Utilisez az network asg update pour mettre à jour les balises d’un groupe de sécurité d’application.

az network asg update --resource-group myResourceGroup --name myASG --tags Dept=Finance

Notes

Vous ne pouvez pas modifier le groupe de ressources, l’abonnement ou l’emplacement d’un groupe de sécurité d’application à l’aide d’Azure CLI.

Supprimer un groupe de sécurité d’application

Vous ne pouvez pas supprimer un groupe de sécurité d’application s’il contient des interfaces réseau. Pour supprimer toutes les interfaces réseau du groupe de sécurité d’application, vous pouvez modifier les paramètres d’interface réseau ou supprimer les interfaces réseau. Pour plus d’informations, consultez Ajout ou suppression dans les groupes de sécurité d’application ou Supprimer une interface réseau.

Portail

1. Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité application. Dans les résultats de la recherche, sélectionnez Groupes de sécurité d’application.

2. Sélectionnez le groupe de sécurité d’application que vous souhaitez supprimer.

3. Sélectionnez Supprimer, puis sélectionnez Oui pour supprimer le groupe de sécurité d’application.

   

PowerShell

Utilisez Remove-AzApplicationSecurityGroup pour supprimer un groupe de sécurité d’application.

Remove-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG

Azure CLI

Utilisez az network asg delete pour supprimer un groupe de sécurité d’application.

az network asg delete --resource-group myResourceGroup --name myASG

Autorisations

Pour gérer les groupes de sécurité réseau, les règles de sécurité et les groupes de sécurité des applications, votre compte doit disposer du rôle Contributeur réseau. Vous pouvez également utiliser un rôle personnalisé disposant des autorisations appropriées, comme indiqué dans les tableaux suivants :

Remarque

Il est possible que la liste complète des balises de service ne s’affiche PAS si le rôle de contributeur réseau a été attribué au niveau d’un groupe de ressources. Pour afficher la liste complète, vous pouvez attribuer ce rôle à l’étendue de l’abonnement. Si vous ne pouvez autoriser que le contributeur réseau pour le groupe de ressources, vous pouvez également créer un rôle personnalisé pour les autorisations « Microsoft.Network/locations/serviceTags/read » et « Microsoft.Network/locations/serviceTagDetails/read » et les affecter à une étendue d’abonnement, ainsi que le contributeur réseau dans l’étendue du groupe de ressources.

Groupe de sécurité réseau

Action	Nom
Microsoft.Network/networkSecurityGroups/read	Obtenir un groupe de sécurité réseau
Microsoft.Network/networkSecurityGroups/write	Créer ou mettre à jour un groupe de sécurité réseau
Microsoft.Network/networkSecurityGroups/delete	Supprimer un groupe de sécurité réseau
Microsoft.Network/networkSecurityGroups/join/action	Associez un groupe de sécurité réseau à un sous-réseau ou à une interface réseau

Notes

Pour effectuer des opérations write sur un groupe de sécurité réseau, le compte d’abonnement doit au moins avoir les autorisations read pour le groupe de ressources, ainsi que l’autorisation Microsoft.Network/networkSecurityGroups/write.

Règle de groupe de sécurité réseau

Action	Nom
Microsoft.Network/networkSecurityGroups/securityRules/read	Obtenir une règle
Microsoft.Network/networkSecurityGroups/securityRules/write	Créer ou mettre à jour une règle
Microsoft.Network/networkSecurityGroups/securityRules/delete	Supprimer une règle

Groupe de sécurité d’application

Action	Nom
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action	Joindre une configuration IP aux groupes de sécurité d’application
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action	Joindre une règle de sécurité aux groupes de sécurité d’application
Microsoft.Network/applicationSecurityGroups/read	Obtenir un groupe de sécurité d’application
Microsoft.Network/applicationSecurityGroups/write	Créer ou mettre à jour un groupe de sécurité d’application
Microsoft.Network/applicationSecurityGroups/delete	Supprimer un groupe de sécurité d’application

Étapes suivantes

• Ajouter ou supprimer une interface réseau dans ou à partir d’un groupe de sécurité d’application.

• Créez et attribuez des définitions Azure Policy pour les réseaux virtuels