Partager via


Gérer la sécurité et les autorisations des rôles dans Azure Automation

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) permet de gérer les accès des ressources Azure. Grâce à Azure RBAC, vous pouvez répartir les tâches au sein de votre équipe et accorder aux utilisateurs, groupes et applications uniquement les accès nécessaires pour accomplir leur travail. Vous pouvez accorder un accès en fonction du rôle aux utilisateurs à l’aide du Portail Azure, des outils en ligne de commande Azure ou des API de gestion Azure.

Rôles dans les comptes Automation

Dans Azure Automation, l’accès est octroyé en attribuant le rôle Azure approprié aux utilisateurs, groupes et applications, dans l’étendue du compte Automation. Les rôles intégrés pris en charge par un compte Automation sont présentés ci-après :

Rôle Description
Propriétaire Le rôle Propriétaire autorise l’accès à l’ensemble des ressources et actions d’un compte Automation, notamment l’accès aux autres utilisateurs, groupes et applications pour gérer le compte Automation.
Contributeur Le rôle Collaborateur vous permet de gérer tous les éléments excepté la modification des autorisations d’accès des autres utilisateurs à un compte Automation.
Lecteur Le rôle Lecteur vous permet d’afficher toutes les ressources d’un compte Automation, mais vous ne pouvez pas y apporter de modifications.
Contributeur Automation Le rôle Contributeur Automation vous permet de gérer toutes les ressources du compte Automation, excepté la modification des autorisations d’accès des autres utilisateurs à un compte Automation.
Opérateur Automation Le rôle Opérateur Automation vous permet de voir le nom et les propriétés du runbook, et de créer et gérer des travaux pour tous les runbooks dans un compte Automation. Ce rôle est utile si vous souhaitez protéger vos ressources de compte Automation telles que les ressources d’informations d’identification et les runbooks et empêcher leur affichage ou leur modification, tout en autorisant les membres de votre organisation à exécuter ces runbooks.
Opérateur de travaux Automation Le rôle Opérateur de travaux Automation vous permet de créer et de gérer des travaux pour tous les runbooks dans un compte Automation.
Opérateur de runbook Automation Le rôle Opérateur de runbook Automation vous permet de voir le nom et les propriétés d’un runbook.
Contributeur Log Analytics Le rôle Contributeur Log Analytics vous permet de lire toutes les données de surveillance et de modifier les paramètres de surveillance. La modification des paramètres de supervision inclut l’ajout de l’extension de machine virtuelle aux machines virtuelles, la lecture des clés de comptes de stockage permettant de configurer la collection de journaux d’activité du stockage Azure, la création et la configuration de comptes Automation, l’ajout de solutions et la configuration de diagnostics Azure sur toutes les ressources Azure.
Lecteur Log Analytics Le rôle Lecteur Log Analytics vous permet d’afficher et de rechercher toutes les données de surveillance, ainsi que d’afficher les paramètres de surveillance. Vous pouvez notamment afficher la configuration des diagnostics Azure sur toutes les ressources Azure.
Contributeur d’analyse Le rôle Contributeur de surveillance vous permet de lire toutes les données de surveillance et de mettre à jour les paramètres de surveillance.
Lecteur d’analyse Le rôle Lecteur d’analyse vous permet de lire toutes les données de surveillance.
Administrateur de l'accès utilisateur Le rôle Administrateur de l’accès utilisateur vous permet de gérer l’accès utilisateur aux comptes Azure Automation.

Autorisations des rôles

Les tableaux suivants décrivent les autorisations spécifiques à chaque rôle. Il peut s’agir d’Actions qui accordent des autorisations et de Not Actions qui limitent les autorisations.

Owner

Un propriétaire peut tout gérer, notamment l’accès. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Automation/automationAccounts/* Créer et gérer les ressources de tous les types.

Contributeur

Un contributeur peut tout gérer, sauf les accès. Le tableau suivant indique les autorisations accordées et refusées pour le rôle :

Actions Description
Microsoft.Automation/automationAccounts/* Créer et gérer les ressources de tous les types
NotActions
Microsoft.Authorization/*/Delete Supprimer des rôles et des attributions de rôles.
Microsoft.Authorization/*/Write Créer des rôles et des attributions de rôles.
Microsoft.Authorization/elevateAccess/Action Refuse la possibilité de créer un administrateur de l’accès utilisateur.

Lecteur

Remarque

Nous avons récemment apporté une modification à l’autorisation du rôle Lecteur intégré pour le compte Automation. En savoir plus

Un lecteur peut afficher toutes les ressources d’un compte Automation, mais il ne peut pas y apporter de modifications.

Actions Description
Microsoft.Automation/automationAccounts/read Afficher toutes les ressources dans un compte Automation.

Contributeur Automation

Un contributeur Automation peut gérer toutes les ressources du compte Automation, excepté l’accès. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Automation/automationAccounts/* Créer et gérer les ressources de tous les types.
Microsoft.Authorization/*/read Lire les rôles et les attributions de rôle.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Resources/subscriptions/resourceGroups/read Lire les déploiements de groupes de ressources.
Microsoft.Support/* Créer et gérer les tickets de support.
Microsoft.Insights/ActionGroups/* Lire/écrire/supprimer des groupes d’actions.
Microsoft.Insights/ActivityLogAlerts/* Lire/écrire/supprimer des alertes de journal d’activité.
Microsoft.Insights/diagnosticSettings/* Paramètres de diagnostic en lecture/écriture/suppression.
Microsoft.Insights/MetricAlerts/* Lire/écrire/supprimer des alertes métriques quasiment en temps réel.
Microsoft.Insights/ScheduledQueryRules/* Alertes de lecture/écriture/suppression dans le journal Azure Monitor.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Répertorier les clés pour un espace de travail Log Analytics

Remarque

Le rôle Contributeur Automation peut être utilisé pour accéder à n’importe quelle ressource à l’aide de l’identité managée, si les autorisations appropriées sont définies sur la ressource cible ou à l’aide d’un compte d’identification. Un compte d’identification Automation est configuré par défaut avec les droits de Contributeur sur l’abonnement. Suivez le principe des privilèges minimum et attribuez avec précaution les seules autorisations nécessaires pour exécuter votre runbook. Par exemple, si le compte Automation est requis uniquement pour démarrer ou arrêter une machine virtuelle Azure, les autorisations affectées au compte d’identification ou à l’identité managée doivent servir uniquement à démarrer ou arrêter la machine virtuelle. De même, si un runbook lit à partir du stockage blob, attribuez des autorisations en lecture seule.

Dans le cadre de l’attribution des autorisations, il est recommandé d’utiliser le contrôle d’accès en fonction du rôle Azure affecté à une identité managée. Passez en revue nos recommandations relatives aux meilleures pratiques pour l’utilisation d’une identité managée affectée par le système ou par l’utilisateur, notamment en lien avec la gestion et la gouvernance pendant sa durée de vie.

Opérateur Automation

Un opérateur Automation est capable de créer et gérer des travaux, et de lire le nom et les propriétés du runbook pour tous les runbooks d’un compte Automation.

Remarque

Si vous souhaitez contrôler l’accès de l’opérateur à des runbooks individuels, ne définissez pas ce rôle. Utilisez plutôt une association des rôles Opérateur de travaux Automation et Opérateur de runbook Automation.

Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Authorization/*/read Lire l’autorisation.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Lire des ressources Runbook Worker hybrides.
Microsoft.Automation/automationAccounts/jobs/read Répertorier les travaux du runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Reprendre un travail en pause.
Microsoft.Automation/automationAccounts/jobs/stop/action Annuler un travail en cours d’exécution.
Microsoft.Automation/automationAccounts/jobs/streams/read Lire les flux de travail et la sortie.
Microsoft.Automation/automationAccounts/jobs/output/read Obtenir la sortie d’un travail.
Microsoft.Automation/automationAccounts/jobs/suspend/action Suspendre un travail en cours.
Microsoft.Automation/automationAccounts/jobs/write Créer des travaux.
Microsoft.Automation/automationAccounts/jobSchedules/read Obtenir une planification de travail Azure Automation.
Microsoft.Automation/automationAccounts/jobSchedules/write Créer une planification de travail Azure Automation.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Obtenir l’espace de travail lié au compte Automation.
Microsoft.Automation/automationAccounts/read Obtenir un compte Azure Automation.
Microsoft.Automation/automationAccounts/runbooks/read Obtenir un runbook Azure Automation.
Microsoft.Automation/automationAccounts/schedules/read Obtenir une ressource de planification Azure Automation.
Microsoft.Automation/automationAccounts/schedules/write Créer ou mettre à jour une ressource de planification Azure Automation.
Microsoft.Resources/subscriptions/resourceGroups/read Lire les rôles et les attributions de rôle.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte.
Microsoft.Support/* Créer et gérer les tickets de support.
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.

Opérateur de travaux Automation

Un rôle Opérateur de travaux Automation est accordé au niveau de l’étendue du compte Automation. Les autorisations de l’opérateur permettent donc de créer et de gérer les travaux pour tous les runbooks du compte. Si le rôle Opérateur de travaux dispose des autorisations de lecture sur le groupe de ressources contenant le compte Automation, les membres du rôle ont la possibilité de démarrer des runbooks. Toutefois, ils ne peuvent pas les créer, les modifier ou les supprimer.

Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Authorization/*/read Lire l’autorisation.
Microsoft.Automation/automationAccounts/jobs/read Répertorier les travaux du runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Reprendre un travail en pause.
Microsoft.Automation/automationAccounts/jobs/stop/action Annuler un travail en cours d’exécution.
Microsoft.Automation/automationAccounts/jobs/streams/read Lire les flux de travail et la sortie.
Microsoft.Automation/automationAccounts/jobs/suspend/action Suspendre un travail en cours.
Microsoft.Automation/automationAccounts/jobs/write Créer des travaux.
Microsoft.Resources/subscriptions/resourceGroups/read Lire les rôles et les attributions de rôle.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte.
Microsoft.Support/* Créer et gérer les tickets de support.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Lit un groupe de Runbooks Workers hybrides.
Microsoft.Automation/automationAccounts/jobs/output/read Obtient le résultat d’un travail.

Opérateur de runbook Automation

Un rôle Opérateur de runbook Automation est accordé au niveau de l’étendue du runbook. Un opérateur de runbook Automation peut voir le nom et les propriétés du runbook. Ce rôle associé au rôle Opérateur de travaux Automation permet à l’opérateur de créer et gérer également des travaux pour le runbook. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Automation/automationAccounts/runbooks/read Répertorier les runbooks.
Microsoft.Authorization/*/read Lire l’autorisation.
Microsoft.Resources/subscriptions/resourceGroups/read Lire les rôles et les attributions de rôle.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte.
Microsoft.Support/* Créer et gérer les tickets de support.

Contributeur Log Analytics

Un contributeur Log Analytics peut lire toutes les données de surveillance et modifier les paramètres de surveillance. La modification des paramètres de supervision comprend l’ajout de l’extension de machine virtuelle aux machines virtuelles, la lecture des clés de compte de stockage pour pouvoir configurer la collecte des journaux à partir du stockage Azure, la création et configuration de comptes Automation, l’ajout de fonctionnalités et la configuration des diagnostics Azure sur toutes les ressources Azure. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
*/read Lire les ressources de tous les types, à l’exception des secrets.
Microsoft.ClassicCompute/virtualMachines/extensions/* Créer et gérer les extensions de machines virtuelles.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Répertorier les clés de compte de stockage classique.
Microsoft.Compute/virtualMachines/extensions/* Créer et gérer les extensions de machines virtuelles classiques.
Microsoft.Insights/alertRules/* Règles d’alerte en lecture/écriture/suppression.
Microsoft.Insights/diagnosticSettings/* Paramètres de diagnostic en lecture/écriture/suppression.
Microsoft.OperationalInsights/* Gérer les journaux Azure Monitor.
Microsoft.OperationsManagement/* Gérer les fonctionnalités d’Azure Automation dans les espaces de travail.
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Storage/storageAccounts/listKeys/action Répertorier les clés de compte de stockage.
Microsoft.Support/* Créer et gérer les tickets de support.
Microsoft.HybridCompute/machines/extensions/write Installe ou met à jour une extension Azure Arc.

Lecteur Log Analytics

Un lecteur Log Analytics peut afficher et rechercher toutes les données de surveillance, ainsi qu’afficher les paramètres de surveillance, notamment la configuration des diagnostics Azure sur toutes les ressources Azure. Le tableau suivant indique les autorisations accordées ou refusées pour le rôle :

Actions Description
*/read Lire les ressources de tous les types, à l’exception des secrets.
Microsoft.OperationalInsights/workspaces/analytics/query/action Gérer les requêtes dans les journaux Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Effectuer des recherches dans les journaux Azure Monitor.
Microsoft.Support/* Créer et gérer les tickets de support.
NotActions
Microsoft.OperationalInsights/workspaces/sharedKeys/read Impossible de lire les clés d’accès partagé.

Contributeur d’analyse

Un contributeur de surveillance peut lire toutes les données de surveillance et mettre à jour les paramètres de surveillance. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
*/read Lire les ressources de tous les types, à l’exception des secrets.
Microsoft.AlertsManagement/alerts/* Gérer les alertes.
Microsoft.AlertsManagement/alertsSummary/* Gérer le tableau de bord des alertes.
Microsoft.Insights/AlertRules/* Gérer les règles d’alerte.
Microsoft.Insights/components/* Gérer les composants Application Insights.
Microsoft.Insights/DiagnosticSettings/* Gérer les paramètres de diagnostic.
Microsoft.Insights/eventtypes/* Événements du journal d’activité, (événements de gestion) dans un abonnement. Cette autorisation est applicable pour l’accès par programme et portail dans le journal d’activité.
Microsoft.Insights/LogDefinitions/* Cette autorisation est nécessaire pour les utilisateurs qui doivent accéder aux journaux d’activité via le portail. Répertorier les catégories de journaux dans le journal d’activité.
Microsoft.Insights/MetricDefinitions/* Lire des définitions de mesure (liste de types de mesure disponibles pour une ressource).
Microsoft.Insights/Metrics/* Lire des mesures pour une ressource.
Microsoft.Insights/Register/Action Inscrire le fournisseur Microsoft.Insights
Microsoft.Insights/webtests/* Gérer les tests web Application Insights.
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Gérer les packs de la solution Journaux Azure Monitor.
Microsoft.OperationalInsights/workspaces/savedSearches/* Gérer les recherches enregistrées des journaux Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Rechercher dans les espaces de travail Log Analytics.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Répertorier les clés pour un espace de travail Log Analytics.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Gérer les configurations Storage Insight dans les journaux Azure Monitor.
Microsoft.Support/* Créer et gérer les tickets de support.
Microsoft.WorkloadMonitor/workloads/* Gérer les charges de travail.

Lecteur d’analyse

Un lecteur de surveillance peut lire toutes les données de surveillance. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
*/read Lire les ressources de tous les types, à l’exception des secrets.
Microsoft.OperationalInsights/workspaces/search/action Rechercher dans les espaces de travail Log Analytics.
Microsoft.Support/* Créer et gérer les tickets de support

Administrateur de l'accès utilisateur

Un administrateur de l’accès utilisateur peut gérer l’accès des utilisateurs aux ressources Azure. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
*/read Lire toutes les ressources
Microsoft.Authorization/* Gérer les autorisations
Microsoft.Support/* Créer et gérer les tickets de support

Autorisations d’accès au rôle Lecteur

Important

Pour renforcer la posture de sécurité globale d’Azure Automation, le Lecteur RBAC intégré n’a pas accès aux clés de compte Automation par le biais de l’appel d’API - GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.

Le rôle Lecteur intégré pour le compte Automation ne peut pas utiliser API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION pour récupérer les clés de compte Automation. Il s’agit d’une opération à privilèges élevés qui fournit des informations sensibles pouvant présenter un risque de sécurité à un acteur malveillant indésirable avec des privilèges faibles qui peut accéder aux clés de compte Automation et peut effectuer des actions avec un niveau de privilèges élevés.

Pour accéder à API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION, nous vous recommandons de passer à des rôles intégrés, tels que Propriétaire, Contributeur ou Contributeur Automation, pour accéder aux clés de compte Automation. Ces rôles, par défaut, auront l’autorisation listKeys. Comme bonne pratique, nous vous recommandons de créer un rôle personnalisé avec des autorisations limitées pour accéder aux clés de compte Automation. Pour un rôle personnalisé, vous devez ajouter l’autorisation Microsoft.Automation/automationAccounts/listKeys/action à la définition du rôle. En savoir plus sur la création d’un rôle personnalisé dans le portail Azure.

Autorisations de configuration de fonctionnalité

Les sections suivantes décrivent les autorisations minimales nécessaires pour activer les fonctionnalités Update Management et le Suivi des modifications et inventaire.

Autorisations pour activer Update Management ainsi que le Suivi des modifications et inventaire pour l’espace de travail

Action Permission Étendue minimale
Écrire le nouveau déploiement Microsoft.Resources/deployments/* Abonnement
Écrire le nouveau groupe de ressources Microsoft.Resources/subscriptions/resourceGroups/write Abonnement
Créer le nouvel espace de travail par défaut Microsoft.OperationalInsights/workspaces/write Resource group
Créer un compte Microsoft.Automation/automationAccounts/write Resource group
Lier l’espace de travail et le compte Microsoft.OperationalInsights/workspaces/write
Microsoft.Automation/automationAccounts/read
Compte Workspace
Automation
Créer une extension MMA Microsoft.Compute/virtualMachines/write Machine virtuelle
Créer une recherche enregistrée Microsoft.OperationalInsights/workspaces/write Espace de travail
Créer une configuration d’étendue Microsoft.OperationalInsights/workspaces/write Espace de travail
Vérification de l’état d’intégration - Lire l’espace de travail Microsoft.OperationalInsights/workspaces/read Espace de travail
Vérification de l’état d’intégration - Lire la propriété de l’espace de travail lié du compte Microsoft.Automation/automationAccounts/read Compte Automation
Vérification de l’état d’intégration - Lire la solution Microsoft.OperationalInsights/workspaces/intelligencepacks/read Solution
Vérification de l’état d’intégration - Lire la machine virtuelle Microsoft.Compute/virtualMachines/read Machine virtuelle
Vérification de l’état d’intégration - Lire le compte Microsoft.Automation/automationAccounts/read Compte Automation
Vérification de l’espace de travail d’intégration de la machine virtuelle1 Microsoft.OperationalInsights/workspaces/read Abonnement
Inscrire le fournisseur Log Analytics Microsoft.Insights/register/action Abonnement

1 Cette autorisation est nécessaire pour activer les fonctionnalités du portail de la machine virtuelle.

Autorisations d’activation d’Update Management et du Suivi des modifications et inventaire à partir d’un compte Automation

Action Permission Étendue minimale
Créer un déploiement Microsoft.Resources/deployments/* Abonnement
Créer un groupe de ressources Microsoft.Resources/subscriptions/resourceGroups/write Abonnement
Panneau AutomationOnboarding - Créer un espace de travail Microsoft.OperationalInsights/workspaces/write Resource group
Panneau AutomationOnboarding - Lire l’espace de travail lié Microsoft.Automation/automationAccounts/read Compte Automation
Panneau AutomationOnboarding - Lire la solution Microsoft.OperationalInsights/workspaces/intelligencepacks/read Solution
Panneau AutomationOnboarding - Lire l’espace de travail Microsoft.OperationalInsights/workspaces/intelligencepacks/read Espace de travail
Créer un lien pour l’espace de travail et le compte Microsoft.OperationalInsights/workspaces/write Espace de travail
Écrire le compte pour shoebox Microsoft.Automation/automationAccounts/write Compte
Créer/modifier la recherche enregistrée Microsoft.OperationalInsights/workspaces/write Espace de travail
Créer/modifier la configuration d’étendue Microsoft.OperationalInsights/workspaces/write Espace de travail
Inscrire le fournisseur Log Analytics Microsoft.Insights/register/action Abonnement
Étape 2 - activer plusieurs machines virtuelles
Panneau VMOnboarding - Créer l’extension MMA Microsoft.Compute/virtualMachines/write Machine virtuelle
Créer/modifier la recherche enregistrée Microsoft.OperationalInsights/workspaces/write Espace de travail
Créer/modifier la configuration d’étendue Microsoft.OperationalInsights/workspaces/write Espace de travail

Gérer les autorisations de rôles pour les groupes de Workers hybrides et les Workers hybrides

Vous pouvez créer des rôles personnalisés Azure dans Automation et accorder les autorisations suivantes aux groupes de Workers hybrides et aux Workers hybrides :

Autorisations Update Management

La gestion des mises à jour peut être utilisée pour évaluer et planifier des déploiements de mises à jour sur des machines dans plusieurs abonnements dans le même locataire Microsoft Entra, ou entre les locataires à l’aide d’Azure Lighthouse. Le tableau suivant indique les autorisations nécessaires pour gérer les déploiements de mises à jour.

Ressource Rôle Portée
Compte Automation Contributeur de machine virtuelle Groupe de ressources pour le compte
Espace de travail Log Analytics Contributeur Log Analytics Espace de travail Log Analytics
Espace de travail Log Analytics Lecteur Log Analytics Abonnement
Solution Contributeur Log Analytics Solution
Machine virtuelle Contributeur de machine virtuelle Machine virtuelle
Actions sur la machine virtuelle
Afficher l’historique de l’exécution de la planification des mises à jour (Exécutions machine de la configuration Software Update) Lecteur Compte Automation
Actions sur la machine virtuelle Permission
Créer une planification des mises à jour (Configurations de Software Update) Microsoft.Compute/virtualMachines/write Pour les groupes de ressources et les listes de machines virtuelles statiques
Créer une planification des mises à jour (Configurations de Software Update) Microsoft.OperationalInsights/workspaces/analytics/query/action Pour l’ID de ressource d’espace de travail lors de l’utilisation d’une liste dynamique non Azure.

Remarque

Quand vous utilisez Update Management, assurez-vous que la stratégie d’exécution des scripts est RemoteSigned.

Configurer Azure RBAC pour votre compte Automation

La section suivante vous explique comment configurer Azure RBAC sur votre compte Automation via le portail Azure et PowerShell.

Configurer Azure RBAC à l’aide du portail Azure

  1. Connectez-vous au portail Azure et ouvrez votre compte Automation depuis la page Comptes Automation.

  2. Sélectionnez Contrôle d’accès (IAM) et sélectionnez un rôle dans la liste des rôles disponibles. Vous pouvez choisir l’un des rôles intégrés disponibles pris en charge par un compte Automation ou un rôle personnalisé que vous avez défini. Attribuez le rôle à un utilisateur auquel vous souhaitez accorder des autorisations.

    Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

    Remarque

    Vous pouvez uniquement définir le contrôle d’accès en fonction du rôle au niveau de l’étendue du compte Automation, et non à celui d’une ressource située sous ce compte.

Supprimer des attributions de rôles d’un utilisateur

Vous pouvez supprimer l’autorisation d’accès d’un utilisateur qui ne gère pas le compte Automation ou qui ne travaille plus pour l’organisation. Les étapes suivantes montrent comment supprimer les attributions de rôles d’un utilisateur. Pour obtenir des instructions détaillées, consultez Supprimer les attributions de rôles Azure :

  1. Ouvrez Contrôle d’accès (IAM) dans une étendue, par exemple un groupe d’administration, un abonnement, un groupe de ressources ou une ressource pour lesquels vous souhaitez supprimer l’accès.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.

  3. Dans la liste des attributions de rôle, ajoutez une coche en regard de l’utilisateur comportant l’attribution de rôle à supprimer.

  4. Sélectionnez Supprimer.

    Supprimer des utilisateurs

Configurer Azure RBAC à l’aide de PowerShell

Vous pouvez également configurer l’accès en fonction du rôle pour un compte Automation à l’aide des cmdlets Azure PowerShell suivantes :

Get-AzRoleDefinition répertorie tous les rôles Azure qui sont disponibles dans Microsoft Entra ID. Vous pouvez utiliser cette cmdlet avec le paramètre Name pour répertorier toutes les actions qu’un rôle spécifique peut effectuer.

Get-AzRoleDefinition -Name 'Automation Operator'

Voici l’exemple de sortie :

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Get-AzRoleAssignment répertorie les attributions de rôle Azure dans l’étendue spécifiée. Sans paramètres, cette cmdlet renvoie toutes les attributions de rôle effectuées dans l’abonnement. Utilisez le paramètre ExpandPrincipalGroups pour répertorier les affectations d’accès de l’utilisateur spécifié, ainsi que les groupes auxquels l’utilisateur appartient.

Exemple : utilisez la cmdlet suivante pour lister tous les utilisateurs et leurs rôles dans un compte Automation.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Voici l’exemple de sortie :

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : User

Utilisez New-AzRoleAssignment pour attribuer un accès à des utilisateurs, des groupes et des applications à une étendue particulière.

Exemple : utilisez la commande suivante pour affecter le rôle « Opérateur Automation » à un utilisateur dans l’étendue du compte Automation.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Voici l’exemple de sortie :

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType         : User

Utilisez Remove-AzRoleAssignment pour supprimer l’accès d’un utilisateur, groupe ou application spécifié dans une étendue particulière.

Exemple : utilisez la commande suivante pour supprimer l’utilisateur du rôle Opérateur Automation dans l’étendue du compte Automation.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Dans l’exemple précédent, remplacez sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name et Automation account name par les détails de votre compte. Choisissez oui quand vous êtes invité à confirmer la suppression des attributions de rôle de l’utilisateur.

Expérience utilisateur pour le rôle Opérateur d’Automation – Compte Automation

Quand un utilisateur affecté au rôle Opérateur Automation sur l’étendue du compte Automation consulte le compte Automation auquel il est affecté, il peut afficher uniquement la liste des runbooks, des tâches de runbook et des planifications créés dans le compte Automation. Cet utilisateur ne peut pas afficher les définitions de ces éléments. Il peut démarrer, arrêter, interrompre, reprendre ou planifier la tâche de runbook. Toutefois, l’utilisateur n’a pas accès aux autres ressources Automation telles que les configurations, les groupes de Runbooks Worker hybrides ou les nœuds DSC.

Aucun accès aux ressources

Configurer Azure RBAC pour les runbooks

Azure Automation vous permet d’attribuer des rôles Azure à des runbooks spécifiques. Pour cela, exécutez le script suivant afin d’ajouter un utilisateur à un runbook spécifique. Un administrateur de compte Automation ou un administrateur de locataire peut exécuter ce script.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

Une fois le script exécuté, invitez l’utilisateur à se connecter au Portail Azure et à sélectionner Toutes les ressources. Dans la liste, l’utilisateur peut voir le runbook pour lequel il a été ajouté en tant qu’opérateur de runbook Automation.

Runbook Azure RBAC dans le portail

Expérience utilisateur pour le rôle d’opérateur Automation - Runbook

Lorsqu’un utilisateur affecté au rôle Opérateur Automation sur l’étendue Runbook consulte un runbook qui lui a été attribué, il peut seulement démarrer le runbook et afficher les tâches de runbook.

Accès uniquement pour démarrer

Étapes suivantes