Contrôle d’accès en fonction du rôle Azure dans Azure Lab Services

Important

Azure Lab Services sera mis hors service le 28 juin 2027. Pour plus d’informations, consultez le guide de mise hors service.

Azure Lab Services fournit un contrôle d’accès en fonction du rôle Azure intégré (Azure RBAC) pour les scénarios de gestion courants dans Azure Lab Services. Une personne ayant un profil dans Microsoft Entra ID peut affecter ces rôles Azure à des utilisateurs, des groupes, des principaux de service ou des identités managées pour accorder ou refuser l’accès à des ressources et des opérations sur les ressources Azure Lab Services. Cet article décrit les différents rôles intégrés pris en charge par Azure Lab Services.

Le contrôle d’accès en fonction du rôle (RBAC) Azure est un système d’autorisation basé sur Azure Resource Manager, qui permet une gestion précise des accès des ressources Azure.

Azure RBAC spécifie les définitions de rôles intégrés qui décrivent les autorisations à appliquer. Vous attribuez à un utilisateur ou à un groupe cette définition de rôle par le biais d’une attribution de rôle pour une étendue spécifique. L’étendue peut être une ressource spécifique, un groupe de ressources ou l’ensemble de l’abonnement. Dans la section suivante, vous allez découvrir les rôles intégrés pris en charge par Azure Lab Services.

Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?

Remarque

Lorsque vous apportez des modifications aux attributions de rôles, la propagation de ces mises à jour peut prendre quelques minutes.

Rôles intégrés

Dans cet article, les rôles intégrés Azure sont regroupés logiquement en deux types de rôles, en fonction de leur étendue d’influence :

  • Rôles d’administrateur : influencent les autorisations pour les plans de labo et les labos
  • Rôles de gestion de labo : influencent les autorisations pour les labos

Voici les rôles intégrés pris en charge par Azure Lab Services :

Type de rôle Rôle intégré Description
Administrateur Owner Accorder un contrôle total pour créer/gérer des plans de labo et des labos, et accorder des autorisations à d’autres utilisateurs. Apprenez-en davantage sur le rôle Propriétaire.
Administrateurs Contributeur Accorder un contrôle total pour créer/gérer des plans de labo et des labos, à l’exception de l’attribution de rôles à d’autres utilisateurs. Apprenez-en davantage sur le rôle Contributeur.
Administrateurs Contributeur de Services Lab Accorder les mêmes autorisations que le rôle Propriétaire, à l’exception de l’attribution de rôles. Apprenez-en davantage sur le rôle Contributeur de services Lab.
Gestion des labos Créateur Lab Accorder l’autorisation de créer des labos et contrôler entièrement les labos qu’ils créent. Apprenez-en davantage sur le rôleCréateur de laboratoire.
Gestion des labos Contributeur Lab Accorder l’autorisation de gérer un labo existant, mais pas de créer des labos. Apprenez-en davantage sur le rôle Contributeur de lab.
Gestion des labos Assistant Lab Accorder l’autorisation d’afficher un labo existant. Peut également démarrer, arrêter ou réimager n’importe quelle machine virtuelle dans le labo. Apprenez-en davantage sur le rôle Assistant de lab.
Gestion des labos Lecteur de Services Lab Accorder l’autorisation d’afficher les labos existants. Apprenez-en davantage sur le rôle Lecteur de services Lab.

Étendue de l’attribution de rôle

Dans Azure RBAC, l’étendue représente l’ensemble des ressources auxquelles un accès s’applique. Quand vous attribuez un rôle, il est important de bien comprendre l’étendue, afin d’accorder uniquement l’accès nécessaire.

Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. Apprenez-en davantage sur l’étendue pour Azure RBAC.

Pour Azure Lab Services, les étendues sont les suivantes :

Étendue Description
Abonnement Permet de gérer la facturation et la sécurité de toutes les ressources et services Azure. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cette attribution de rôle accorde l’accès à toutes les ressources de l’abonnement.
Resource group Conteneur logique pour regrouper des ressources. L’attribution de rôle pour le groupe de ressources accorde l’autorisation au groupe de ressources et à toutes les ressources qu’il contient, telles que les labos et les plans de labo.
Plan de labo Ressource Azure utilisée pour appliquer des paramètres de configuration courants lorsque vous créez un labo. L’attribution de rôle pour le plan de labo accorde uniquement l’autorisation à un plan de labo spécifique.
Labo Ressource Azure utilisée pour appliquer des paramètres de configuration courants pour la création et l’exécution de machines virtuelles de labo. L’attribution de rôle pour le labo accorde l’autorisation uniquement à un labo spécifique.

Diagramme montrant les étendues d’attribution de rôle pour Azure Lab Services.

Important

Dans Azure Lab Services, les plans de labo et les labos sont des ressources sœurs les unes des autres. Par conséquent, les labos n’héritent pas des attributions de rôles du plan de labo. En revanche, les attributions de rôles du groupe de ressources sont héritées par les plans de labo et les labos de ce groupe de ressources.

Rôles pour les activités de labo courantes

Le tableau suivant présente les activités de labo courantes et le rôle nécessaire pour qu’un utilisateur effectue cette activité.

Activité Type de rôle Role Étendue
Accorder l’autorisation de créer un groupe de ressources. Un groupe de ressources est un conteneur logique dans Azure devant stocker les plans de labo et les labos. Avant créer un plan de labo ou un labo, vous devez vérifier que ce groupe de ressources existe. Administrateurs Propriétaire ou Contributeur Abonnement
Accorder l’autorisation d’envoyer un ticket de support Microsoft, notamment pour demander de la capacité. Administrateurs Propriétaire, Contributeur,Collaborateur de la demande de support Abonnement
Accorder l’autorisation de :
- Attribuer des rôles à d’autres utilisateurs.
- Créer/gérer des plans de labo, des labos et d’autres ressources au sein du groupe de ressources.
- Activer/désactiver la Place de marché et les images personnalisées sur un plan de labo.
- Attacher/détacher une galerie de calcul sur un plan de labo.
Administrateur Propriétaire Resource group
Accorder l’autorisation de :
- Créer/gérer des plans de labo, des labos et d’autres ressources au sein du groupe de ressources.
- Activer ou désactiver la Place de marché Azure et les images personnalisées sur un plan de labo.

Toutefois, cela n’inclut pas la capacité à attribuer des rôles à d’autres utilisateurs.
Administrateurs Contributeur Resource group
Accorder l’autorisation de créer ou de gérer vos propres labos pour tous les plans de labo au sein d’un groupe de ressources. Gestion des labos Créateur Lab Resource group
Accorder l’autorisation de créer ou de gérer vos propres labos pour un plan de labo spécifique. Gestion des labos Créateur Lab Plan de labo
Accorder l’autorisation de co-gérer un labo, mais pas la capacité à créer des labos. Gestion des labos Contributeur Lab Labo
Accorder l’autorisation de démarrer/arrêter/réimager des machines virtuelles pour tous les labos au sein d’un groupe de ressources. Gestion des labos Assistant Lab Resource group
Accorder l’autorisation de démarrer/arrêter/réimager des machines virtuelles pour un labo spécifique. Gestion des labos Assistant Lab Labo

Important

L’abonnement d’une organisation permet de gérer la facturation et la sécurité pour toutes les ressources et services Azure. Vous pouvez attribuer le rôle Propriétaire ou Contributeur sur l’abonnement. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cela inclut un accès total à toutes les ressources de l’abonnement.

Rôles Administrateur

Pour accorder aux utilisateurs l’autorisation de gérer Azure Lab Services au sein de l’abonnement de votre organisation, vous devez leur attribuer le rôle Propriétaire, Contributeur ou Contributeur de services Lab.

Attribuez ces rôles sur le groupe de ressources. Les plans de labo et les labos au sein du groupe de ressources héritent de ces attributions de rôles.

Diagramme montrant la hiérarchie des ressources et les trois rôles d’administrateur, attribués au groupe de ressources.

Le tableau suivant compare les différents rôles d’administrateur lorsqu’ils sont affectés sur le groupe de ressources.

Plan de labo/Labo Activité Propriétaire Contributeur Contributeur de Services Lab
Plan de labo Afficher tous les plans de labo dans le groupe de ressources Oui Oui Oui
Plan de labo Créer, modifier ou supprimer tous les plans de labo dans le groupe de ressources Oui Oui Oui
Plan de labo Attribuer des rôles à des plans de labo au sein du groupe de ressources Oui No Non
Labo Créer des labos dans le groupe de ressources** Oui Oui Oui
Labo Afficher les labos d’autres utilisateurs au sein du groupe de ressources Oui Oui Oui
Labo Modifier ou supprimer des labos d’autres utilisateurs au sein du groupe de ressources Oui Oui Non
Labo Attribuer des rôles aux labos d’autres utilisateurs au sein du groupe de ressources Oui No Non

** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.

Rôle de propriétaire

Attribuer le rôle Propriétaire pour donner à un utilisateur un contrôle total pour créer ou gérer des plans de labo et des labos, et accorder des autorisations à d’autres utilisateurs. Lorsqu’un utilisateur a le rôle Propriétaire sur le groupe de ressources, il peut effectuer les activités suivantes sur toutes les ressources du groupe de ressources :

  • Attribuer des rôles aux administrateurs afin qu’ils puissent gérer les ressources associées au labo.
  • Attribuer des rôles aux gestionnaires de labos afin qu’ils puissent créer et gérer des labos.
  • Créer des plans de labo et des labos.
  • Afficher, supprimer et modifier les paramètres de tous les plans de labo, notamment l’attachement ou le détachement de la galerie de calcul et l’activation ou la désactivation de la Place de marché Azure et des images personnalisées sur les plans de labo.
  • Afficher, supprimer et modifier les paramètres de tous les labos.

Attention

Lorsque vous attribuez le rôle Propriétaire ou Contributeur sur le groupe de ressources, ces autorisations s’appliquent également aux ressources non liées au labo qui existent dans le groupe de ressources. Par exemple, les ressources telles que les réseaux virtuels, les comptes de stockage, les galeries de calcul, etc.

Rôle Contributeur

Attribuer le rôle Contributeur afin de donner à un utilisateur un contrôle total pour créer ou gérer des plans de labo et des labos au sein d’un groupe de ressources. Le rôle Contributeur dispose des mêmes autorisations que le rôle Propriétaire, sauf pour ce qui suit :

  • Exécution des attributions de rôles

Rôles Contributeur de services Lab

Le Contributeur de services Lab est le plus restrictif des rôles d’administrateur. Attribuez le rôle Contributeur de services Lab pour permettre les mêmes activités que le rôle Propriétaire, sauf pour ce qui suit :

  • Exécution des attributions de rôles
  • Modification ou suppression des labos d’autres utilisateurs

Remarque

Le rôle Contributeur de services Lab n’autorise pas à apporter des modifications aux ressources qui ne sont pas liées à Azure Lab Services. En revanche, le rôle Contributeur autorise les modifications à toutes les ressources Azure au sein du groupe de ressources.

Rôles de gestion des labos

Utilisez les rôles suivants pour accorder aux utilisateurs des autorisations pour créer et gérer des labos :

  • Créateur Lab
  • Contributeur Lab
  • Assistant Lab
  • Lecteur de Services Lab

Ces rôles de gestion des labos accordent uniquement l’autorisation d’afficher les plans de labo. Ces rôles n’autorisent pas la création, la modification, la suppression ou l’attribution de rôles à des plans de labo. En outre, les utilisateurs disposant de ces rôles ne peuvent pas attacher ou détacher une galerie de calcul, ni activer ou désactiver des images de machine virtuelle.

Rôle Créateur de laboratoire

Attribuez le rôle Créateur de laboratoire pour accorder à un utilisateur l’autorisation de créer des labos et contrôler totalement les labos qu’il crée. Par exemple, il peut modifier les paramètres de ses labos, supprimer ses labos, et même accorder à d’autres utilisateurs l’autorisation d’accès à ses labos.

Attribuez le rôle Créateur de laboratoire sur le groupe de ressources ou le plan de labo.

Diagramme montrant la hiérarchie des ressources et le rôle Créateur de laboratoire, attribué au groupe de ressources et au plan de labo.

Le tableau suivant compare l’attribution de rôle Créateur de laboratoire pour le groupe de ressources ou le plan de labo.

Activité Resource group Plan de labo
Créer des labos dans le groupe de ressources** Oui Oui
Afficher les labos qu’ils ont créés Oui Oui
Afficher les labos d’autres utilisateurs au sein du groupe de ressources Oui Non
Modifier ou supprimer des labos créés par l’utilisateur Oui Oui
Modifier ou supprimer des labos d’autres utilisateurs au sein du groupe de ressources Non Non
Attribuer des rôles aux labos d’autres utilisateurs au sein du groupe de ressources Non Non

** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.

Rôle Contributeur de lab

Attribuez le rôle Contributeur de lab pour accorder à un utilisateur l’autorisation de gérer un labo existant.

Attribuez le rôle Contributeur de lab sur le labo.

Diagramme montrant la hiérarchie des ressources et le rôle Contributeur de lab, attribué au labo.

Lorsque vous attribuez le rôle Contributeur de lab sur le labo, l’utilisateur peut gérer le labo affecté. Plus précisément, l’utilisateur :

  • Peut afficher, modifier tous les paramètres, ou supprimer le labo affecté.
  • L’utilisateur ne peut pas afficher les labos d’autres utilisateurs.
  • Ne peut pas créer de labos.

Rôle Assistant de lab

Attribuez le rôle Assistant de lab pour accorder à un utilisateur l’autorisation d’afficher un labo, et de démarrer, arrêter et réimager des machines virtuelles de labo pour le labo.

Attribuez le rôle Assistant de lab sur le groupe de ressources ou le labo.

Diagramme montrant la hiérarchie des ressources et le rôle Assistant de lab, attribué au groupe de ressources et au labo.

Lorsque vous attribuez le rôle Assistant de lab sur le groupe de ressources, l’utilisateur :

  • Peut afficher tous les labos au sein du groupe de ressources et démarrer, arrêter ou réimager des machines virtuelles de labo pour chaque labo.
  • Ne peut pas supprimer ou apporter d’autres modifications aux labos.

Lorsque vous attribuez le rôle Assistant de lab sur le labo, l’utilisateur :

  • Peut afficher le labo affecté et démarrer, arrêter ou réimager des machines virtuelles de labo.
  • Ne peut pas supprimer ou apporter d’autres modifications au labo.
  • Ne peut pas créer de labos.

Lorsque vous avez le rôle Assistant de lab, pour afficher les autres labos auxquels vous avez accès, veillez à choisir le filtre Tous les labos sur le site web Azure Lab Services.

Rôle Lecteur des services lab

Attribuez le rôle Lecteur des services lab pour accorder à l’utilisateur l’autorisation d’afficher les labos existants. L’utilisateur ne peut apporter aucune modification aux labos existants.

Attribuez le rôle Lecteur des services lab sur le groupe de ressources ou le labo.

Diagramme montrant la hiérarchie des ressources et le rôle Lecteur des services lab, attribué au groupe de ressources et au plan de labo.

Lorsque vous attribuez le rôle Lecteur des services lab sur le groupe de ressources, l’utilisateur peut :

  • Afficher tous les labos au sein du groupe de ressources.

Lorsque vous attribuez le rôle Lecteur des services lab sur le groupe de ressources, l’utilisateur peut :

  • Afficher uniquement le labo en question.

Gestion des identités et des accès

La page Contrôle d’accès (IAM) du portail Azure permet de configurer le contrôle d’accès en fonction du rôle sur les ressources Azure Lab Services. Vous pouvez utiliser des rôles intégrés pour les individus et les groupes dans Active Directory. La capture d’écran suivante montre l’intégration Active Directory (Azure RBAC) à l’aide du contrôle d’accès (IAM) dans le Portail Microsoft Azure :

Capture d’écran montrant la page Contrôle d’accès dans le portail Azure pour gérer les attributions de rôles.

Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Structure de plan de labo et de groupe de ressources

Votre organisation doit consacrer du temps à la planification de la structure des groupes de ressources et des plans de labo. Ceci est particulièrement important lorsque vous attribuez des rôles sur le groupe de ressources, car cela applique également des autorisations à toutes les ressources du groupe de ressources.

Pour veiller à ce que les utilisateurs disposent uniquement d’un accès aux ressources appropriées :

  • Créez des groupes de ressources qui contiennent uniquement des ressources liées aux labos.

  • Organisez les plans de labo et les labos en groupes de ressources distincts en fonction des utilisateurs qui doivent avoir accès.

Par exemple, vous pouvez créer des groupes de ressources distincts pour différents services afin d’isoler les ressources de labo de chaque service. Les créateurs de labos d’un service peuvent ensuite recevoir des autorisations sur le groupe de ressources, ce qui leur accorde uniquement l’accès aux ressources du labo de leur service.

Important

Planifiez la structure des groupes de ressources et des plans de labo en amont, car il n’est pas possible de déplacer des plans de labo ou des labos vers un autre groupe de ressources une fois qu’ils ont été créés.

Accès à plusieurs groupes de ressources

Vous pouvez accorder aux utilisateurs l’accès à plusieurs groupes de ressources. Sur le site web Azure Lab Services, l’utilisateur peut ensuite choisir parmi la liste des groupes de ressources pour afficher ses labos.

Capture d’écran montrant comment choisir parmi des groupes de ressources sur le site web Azure Lab Services.

Accès à plusieurs plans de labo

Vous pouvez accorder aux utilisateurs l’accès à plusieurs plans de labo. Par exemple, lorsque vous attribuez le rôle Créateur de laboratoire à un utilisateur sur un groupe de ressources qui contient plusieurs plans de labo. L’utilisateur peut ensuite choisir parmi la liste des plans de labo lors de la création d’un labo.

Capture d’écran montrant comment choisir parmi les plans de labo lors de la création d’un labo sur le site web Azure Lab Services.

Étapes suivantes