Protéger la hiérarchie de vos ressources

Les ressources, groupes de ressources, abonnements, groupes d’administration et tenants (locataires) composent votre hiérarchie de ressources. Les paramètres du groupe d’administration racine, par exemple les rôles personnalisés Azure ou les affectations de stratégie, peuvent impacter toutes les ressources de votre hiérarchie de ressources. Il est important de protéger la hiérarchie de ressources contre les changements qui peuvent avoir un impact négatif sur l’ensemble des ressources.

Les groupes d’administration ont des paramètres de hiérarchie qui permettent à l’administrateur de tenant (locataire) de contrôler ces comportements. Cet article décrit chacun des paramètres de hiérarchie disponibles et explique comment les définir.

Autorisations Azure RBAC pour les paramètres de hiérarchie

La configuration des paramètres de hiérarchie nécessite les opérations suivantes de la part du fournisseur de ressources au niveau du groupe d’administration racine :

  • Microsoft.Management/managementgroups/settings/write
  • Microsoft.Management/managementgroups/settings/read

Ces opérations correspondent aux autorisations de contrôle RBAC Azure (contrôle d’accès en fonction du rôle Azure). Elles permettent uniquement à un utilisateur de lire et de mettre à jour les paramètres de hiérarchie. Elles ne fournissent aucun autre accès à la hiérarchie des groupes d’administration ou aux ressources de la hiérarchie.

Ces deux opérations sont disponibles dans le rôle intégré Azure Administrateur des paramètres de hiérarchie.

Paramètre : Définir le groupe d’administration par défaut

Par défaut, tout nouvel abonnement que vous ajoutez dans un tenant devient membre du groupe d’administration racine. Si vous attribuez des affectations de stratégie, le contrôle RBAC Azure et d’autres constructions de gouvernance au groupe d’administration racine, elles affectent immédiatement ces nouveaux abonnements. C’est la raison pour laquelle de nombreuses organisations n’appliquent pas ces constructions au groupe d’administration racine, même s’il s’agit de l’emplacement d’affectation souhaité. Dans d’autres cas, une organisation souhaite disposer d’un ensemble de contrôles plus restrictif pour les nouveaux abonnements, mais ne souhaite pas les affecter à tous les abonnements. Ce paramètre prend en charge les deux cas d’usage.

En autorisant la définition du groupe d’administration par défaut pour les nouveaux abonnements, vous pouvez appliquer des constructions de gouvernance à l’échelle de l’organisation au niveau du groupe d’administration racine. Vous pouvez définir un groupe d’administration distinct avec des affectations de stratégie ou des attributions de rôles Azure plus adaptées à un nouvel abonnement.

Définir le groupe d’administration par défaut dans le portail

  1. Connectez-vous au portail Azure.

  2. Utilisez la barre de recherche pour rechercher et sélectionner Groupes d’administration.

  3. Accéder au groupe d’administration racine.

  4. Sélectionnez Paramètres sur le côté gauche de la page.

  5. Sélectionnez le bouton Modifier le groupe d'administration par défaut.

    Si le bouton Changer le groupe d’administration par défaut n’est pas disponible, l’une des situations suivantes peut en être la cause :

    • Le groupe d’administration que vous visualisez n’est pas le groupe d’administration racine.
    • Votre principal de sécurité ne dispose pas des autorisations nécessaires pour modifier les paramètres de hiérarchie.
  6. Sélectionnez un groupe d’administration dans votre hiérarchie, puis choisissez le bouton Sélectionner.

Définir le groupe d’administration par défaut à l’aide de l’API REST

Pour définir le groupe d’administration par défaut à l’aide de l’API REST, vous devez appeler le point de terminaison Paramètres de hiérarchie. Utilisez le format d’URI et de corps d’API REST suivant. Remplacez {rootMgID} par l’ID de votre groupe d’administration racine. Remplacez {defaultGroupID} par l’ID du groupe d’administration qui deviendra le groupe d’administration par défaut.

  • URI DE L’API REST :

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
    
  • Corps de la demande :

    {
        "properties": {
            "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
        }
    }
    

Pour redéfinir le groupe d’administration par défaut en tant que groupe d’administration racine, utilisez le même point de terminaison, et affectez la valeur /providers/Microsoft.Management/managementGroups/{rootMgID} à defaultManagementGroup.

Paramètre : Demander une autorisation

Par défaut, n’importe quel utilisateur peut créer des groupes d’administration dans un tenant. Les administrateurs d’un tenant peuvent être amenés à octroyer ces autorisations uniquement à des utilisateurs spécifiques, pour maintenir la cohérence et la conformité dans la hiérarchie des groupes d’administration. Pour créer des groupes d’administration enfants, un utilisateur a besoin de l’opération Microsoft.Management/managementGroups/write sur le groupe d’administration racine.

Demander une autorisation dans le portail

  1. Connectez-vous au portail Azure.

  2. Utilisez la barre de recherche pour rechercher et sélectionner Groupes d’administration.

  3. Accéder au groupe d’administration racine.

  4. Sélectionnez Paramètres sur le côté gauche de la page.

  5. Activez ou désactivez l’option Autorisations pour créer des groupes d’administration.

    Si le bouton bascule Demander des autorisations écrites pour créer des groupes d’administration n’est pas disponible, l’une des situations suivantes peut en être la cause :

    • Le groupe d’administration que vous visualisez n’est pas le groupe d’administration racine.
    • Votre principal de sécurité ne dispose pas des autorisations nécessaires pour modifier les paramètres de hiérarchie.

Demander une autorisation à l’aide de l’API REST

Pour demander une autorisation à l’aide de l’API REST, appelez le point de terminaison Paramètres de hiérarchie. Utilisez le format d’URI et de corps d’API REST suivant. Cette valeur est une valeur booléenne. Vous devez donc indiquer true ou false pour la valeur. La valeur true active cette méthode de protection pour votre hiérarchie de groupes d’administration.

  • URI DE L’API REST :

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
    
  • Corps de la demande :

    {
        "properties": {
            "requireAuthorizationForGroupCreation": true
        }
    }
    

Pour désactiver le paramètre, utilisez le même point de terminaison, puis affectez la valeur false à requireAuthorizationForGroupCreation.

Exemple Azure PowerShell

Azure PowerShell n’a pas de commande Az pour définir le groupe d’administration par défaut, ou pour demander une autorisation. Pour contourner le problème, vous pouvez utiliser l’API REST avec l’exemple Azure PowerShell suivant :

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Pour en savoir plus sur les groupes d’administration, consultez :