Cas particuliers de la connexion au service Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Bien que l’option recommandée pour les connexions au service Azure Resource Manager soit d’utiliser la fédération d’identité de charge de travail avec un enregistrement d’application ou une identité gérée, il peut arriver que vous deviez plutôt opter pour une identité gérée attribuée par un agent ou un profil de publication. Dans cet article, vous apprendrez à créer une connexion de service Azure Resource Manager qui se relie à un agent auto-hébergé sur une machine virtuelle Azure, et à utiliser un profil de publication pour créer une connexion de service à une application Azure App Service.

Il est également possible d’utiliser Azure Resource Manager pour se connecter à Azure Government Cloud et Azure Stack.

Créer une connexion de service Azure Resource Manager à une VM qui utilise une identité managée

Vous pouvez configurer des agents auto-hébergés sur des machines virtuelles Azure pour utiliser une identité managée Azure dans Microsoft Entra ID. Dans ce cas de figure, l’identité gérée attribuée à l’agent est utilisée pour donner aux agents l’accès aux ressources Azure compatibles avec Microsoft Entra ID, telles que les instances d’Azure Key Vault.

1. Dans le projet Azure DevOps, accédez à Paramètres du projet>Connexions de service.

   Pour plus d’informations, reportez-vous à la section Ouvrir les paramètres du projet.

2. Sélectionnez Nouvelle connexion de service, puis Azure Resource Manager.

   

3. Sélectionnez Identité gérée (attribuée à l'agent) pour le type d'identité.

4. Pour Environnement, sélectionnez le nom de l’environnement (Azure Cloud, Azure Stack, ou options du cloud gouvernemental).

5. Sélectionnez le Niveau de portée. Sélectionnez Abonnement, Groupe d’administration, ou Espace de travail Machine Learning. Les groupes d’administration sont des conteneurs qui vous aident à gérer l’accès, la stratégie et la conformité dans plusieurs abonnements. Un Espace de travail Machine Learning est un lieu pour créer des artefacts de machine learning.

   • Pour la portée Abonnement, entrez les paramètres suivants :

     Paramètre	Description
     ID d’abonnement	Obligatoire. Entrez l’ID de l’abonnement Azure.
     Nom d’abonnement	Obligatoire. Entrez le nom de l’abonnement Azure.

   • Pour la portée Groupe d’administration, entrez les paramètres suivants :

     Paramètre	Description
     ID du groupe d’administration	Obligatoire. Entrez l’ID du groupe d’administration Azure.
     Nom du groupe d’administration	Obligatoire. Entrez le nom du groupe d’administration Azure.

   • Pour la portée Espace de travail Machine Learning, entrez les paramètres suivants :

     Paramètre	Description
     ID d’abonnement	Obligatoire. Entrez l’ID de l’abonnement Azure.
     Nom d’abonnement	Obligatoire. Entrez le nom de l’abonnement Azure.
     Groupe de ressources	Obligatoire. Sélectionnez le groupe de ressources contenant l’espace de travail.
     Nom de l’espace de travail ML	Obligatoire. Entrez le nom de l’espace de travail Azure Machine Learning existant.
     Emplacement de l’espace de travail ML	Obligatoire. Entrez l’emplacement de l’espace de travail Azure Machine Learning existant.

6. Entrez l’ID du client.

7. Entrer le nom de la connexion de service.

8. Optionnellement, entrez une description pour la connexion de service.

9. Sélectionnez Accorder la permission d’accès à tous les pipelines pour permettre à tous les pipelines d’utiliser cette connexion de service. Si vous ne sélectionnez pas cette option, vous devez accorder manuellement l’accès à chaque pipeline qui utilise cette connexion de service.

10. Cliquez sur Enregistrer.

11. Une fois la connexion de service créée :

    • Si vous utilisez la connexion de service dans l’interface utilisateur, sélectionnez le nom de connexion que vous avez attribué dans le paramètre d’abonnement Azure de votre pipeline.
    • Si vous utilisez la connexion de service dans un fichier YAML, copiez le nom de la connexion dans votre code comme valeur pour azureSubscription.

12. Vérifiez que la machine virtuelle (agent) dispose des autorisations appropriées.

    Par exemple, si votre code doit appeler Azure Resource Manager, attribuez à la machine virtuelle le rôle approprié en utilisant le contrôle d'accès basé sur le rôle (RBAC) dans Microsoft Entra ID.

    Pour plus d’informations, consultez Comment utiliser des identités managées pour les ressources Azure ? et Utiliser le contrôle d’accès en fonction du rôle pour gérer l’accès à vos ressources d’abonnement Azure.

Pour plus d’informations sur le processus, consultez Résoudre les problèmes de connexions de service Azure Resource Manager.

Créez une connexion au service Azure Resource Manager à l’aide d’un profil de publication.

Vous pouvez créer une connexion de service en utilisant un profil de publication. Vous pouvez utiliser un profil de publication pour créer une connexion de service à un service d’application Azure.

1. Dans le projet Azure DevOps, accédez à Paramètres du projet>Connexions de service.

   Pour plus d’informations, reportez-vous à la section Ouvrir les paramètres du projet.

2. Sélectionnez Nouvelle connexion de service, puis sélectionnez Azure Resource Manager et Suivant.

   

3. Sélectionnez Profil de publication pour le type d'identité.

4. Entrez les paramètres suivants :

   Paramètre	Description
   Abonnement	Obligatoire. Sélectionnez un abonnement Azure existant. Si aucun abonnement ni aucune instance Azure n'apparaît, consultez Résoudre les problèmes de connexions de service Azure Resource Manager.
   WebApp	Obligatoire. Entrez le nom de l’application du service d’application Azure.
   Nom de la connexion de service	Obligatoire. Nom sous lequel vous faites référence à cette connexion de service dans les propriétés des tâches. Autre que le nom de votre abonnement Azure.
   Description	facultatif. La description de la connexion de service.

5. Sélectionnez Accorder la permission d’accès à tous les pipelines pour permettre à tous les pipelines d’utiliser cette connexion de service. Si vous ne sélectionnez pas cette option, vous devez accorder manuellement l’accès à chaque pipeline qui utilise cette connexion de service.

6. Cliquez sur Enregistrer.

Une fois la connexion de service créée :

• Si vous utilisez la connexion de service dans l’interface utilisateur, sélectionnez le nom de connexion que vous avez attribué dans le paramètre d’abonnement Azure de votre pipeline.
• Si vous utilisez la connexion de service dans un fichier YAML, copiez le nom de la connexion et collez-le dans votre code comme valeur pour azureSubscription.

Se connecter à un cloud Azure Government

Pour plus d’informations sur la connexion à un cloud Azure Government, consultez Connecter à partir d’Azure Pipelines (Cloud Azure Government).

Se connecter à Azure Stack

Pour plus d’informations sur la connexion à Azure Stack, consultez ces articles :

• Se connecter à Azure Stack
• Connecter Azure Stack à Azure en utilisant un VPN
• Connecter Azure Stack à Azure en utilisant Azure ExpressRoute

Pour plus d’informations, consultez Résoudre les problèmes liés à des connexions de service Azure Resource Manager.

Aide et support

• Consultez les conseils de dépannage.
• Obtenez des conseils sur Stack Overflow.
• Publiez vos questions, recherchez des réponses ou suggérez une fonctionnalité dans la Communauté des développeurs Azure DevOps.
• Obtenez un support pour Azure DevOps.