Voir et gérer les fournisseurs de services

Les clients peuvent consulter Fournisseurs de services dans le Portail Azure à des fins de contrôle et de visibilité de leurs fournisseurs de services qui utilisent Azure Lighthouse. Dans Fournisseur de services, les clients peuvent déléguer des ressources spécifiques, passer en revue les offres nouvelles ou mises à jour, supprimer l’accès d’un fournisseur de services, et bien plus encore.

Pour accéder à Fournisseurs de services du Portail Azure, entrez « Fournisseurs de services » dans la zone de recherche de l’en-tête de page du Portail Azure. Vous pouvez également accéder à Azure Lighthouse dans le Portail Azure, puis sélectionner Afficher les offres des fournisseurs de services.

Remarque

Pour afficher Fournisseurs de services, un utilisateur du locataire du client doit disposer du rôle intégré Lecteur (ou d’un autre rôle intégré qui comprend l’accès Lecteur).

Pour ajouter ou mettre à jour des offres, déléguer des ressources et supprimer des offres, l’utilisateur doit disposer d’un rôle avec l’autorisation Microsoft.Authorization/roleAssignments/write, comme le rôle Propriété.

Fournisseurs de services affiche uniquement des informations sur les fournisseurs de services qui ont accès aux abonnements ou aux groupes de ressources du client via Azure Lighthouse. Il n’affiche pas d’informations sur les fournisseurs de services supplémentaires qui n’utilisent pas Azure Lighthouse.

Afficher les détails du fournisseur de services

Pour afficher les détails des fournisseurs de services actuels qui utilisent Azure Lighthouse pour travailler sur le locataire du client, sélectionnez Offres de fournisseur de services sur le menu du service de Fournisseurs de services.

Chaque offre affiche le nom du fournisseur de services, ainsi que l’offre y étant associée. Sélectionnez une offre pour afficher une description et d’autres informations, y compris les attributions de rôles accordées par le fournisseur de services.

Dans la colonne Délégations, vous pouvez voir le nombre d’abonnements ou groupes de ressources délégués au fournisseur de services pour une offre. Le fournisseur de services peut travailler sur ces abonnements et/ou groupes de ressources en fonction des niveaux d’accès spécifiés dans l’offre.

Ajouter des offres de fournisseur de services

Vous pouvez ajouter une nouvelle offre de fournisseur de services dans Offres de fournisseur de services.

Pour ajouter une offre de la Place de marché, sélectionnez Ajouter une offre dans la barre de commandes, puis choisissez Ajouter via la Place de marché. Pour afficher les Offres de service géré publiées spécifiquement pour un client, sélectionnez Produits privés. Sinon, recherchez une offre publique. Lorsque vous trouvez l’offre qui vous intéresse, sélectionnez-la pour examiner les détails. Si vous souhaitez ajouter l’offre, sélectionnez Créer, puis fournissez les informations nécessaires.

Pour ajouter une offre à partir d’un modèle, sélectionnez Ajouter une offre dans la barre de commandes, puis choisissez Ajouter via un modèle. Le volet Charger un modèle d’offre apparaît et vous permet de charger un modèle à partir de votre fournisseur de services et d’intégrer votre abonnement (ou groupe de ressources). Si vous souhaitez obtenir plus d’informations, consultez Déployer dans le Portail Azure.

Mettre à jour les offres de fournisseur de services

Une fois qu’un client ajoute une offre, un fournisseur de services peut publier une version mise à jour de la même offre sur la Place de marché Azure, par exemple pour ajouter une nouvelle définition de rôle. Si une nouvelle version de l’offre est publiée, une icône « mise à jour » apparaît sur la ligne de cette offre. Sélectionnez cette icône pour voir les modifications dans la version actuelle de l’offre.

Après avoir passé en revue les changements, vous pouvez choisir d’effectuer une mise à jour vers la nouvelle version. Lorsque vous le faites, les autorisations et autres paramètres spécifiés dans la nouvelle version s’appliquent à tous les abonnements et/ou groupes de ressources précédemment délégués pour cette offre.

Supprimer des offres de fournisseur de services

Vous pouvez supprimer une offre de fournisseur de services à tout moment, en sélectionnant l’icône Corbeille sur la ligne de cette offre.

Une fois votre suppression confirmée, ce fournisseur de services n’a plus accès aux ressources qui étaient anciennement déléguées pour cette offre.

Important

Si un abonnement dispose de deux offres ou plus du même fournisseur de services, la suppression de l’une d’entre elles peut entraîner la perte de l’accès accordé par les autres délégations à certains utilisateurs du fournisseur de services. Ce problème se produit uniquement lorsque le même utilisateur et le même rôle sont inclus dans plusieurs délégations, puis que l’une des délégations est supprimée. Pour restaurer l’accès, vous devez répéter le processus d’intégration pour les offres que vous ne souhaitez pas supprimer pas.

Déléguer des ressources

Pour qu’un fournisseur de services puisse accéder aux ressources d’un client et les gérer, un ou plusieurs abonnements et/ou groupes de ressources doivent être délégués. Lorsqu’un client ajoute une offre sans déléguer de ressources, une note apparaît en haut de la section Offres du fournisseur de services. Le fournisseur de services ne peut pas travailler sur les ressources du locataire du client tant que la délégation n’est pas effectuée.

Pour déléguer des abonnements ou des groupes de ressources :

1. Cochez la case correspondant à la ligne contenant le fournisseur de services, l’offre et le nom. Sélectionnez ensuite Déléguer des ressources en haut de l’écran.
2. Dans la section Détails de l’offre du volet Déléguer des ressources, examinez les informations relatives au fournisseur de services et à l’offre. Pour réviser les attributions de rôles pour l’offre, sélectionnez Cliquer ici pour voir les détails de l’offre sélectionnée.
3. Dans la section Déléguer, sélectionnez Déléguer des abonnements ou Déléguer des groupes de ressources.
4. Choisissez les abonnements ou groupes de ressources que aimeriez déléguer pour cette offre, puis sélectionnez Ajouter.
5. Cochez la case à cocher pour confirmer que vous souhaitez accorder à ce fournisseur de services l’accès à ces ressources, puis sélectionnez Déléguer.

Afficher les délégations

Les délégations représentent une association de ressources client spécifiques (abonnements et/ou groupes de ressources) à des attributions de rôles qui accordent des autorisations au fournisseur de services pour ces ressources. Pour afficher ces informations de délégation, sélectionnez Délégations dans le menu du service.

Les filtres du haut du volet vous permettent de trier et regrouper vos informations de délégation. Vous pouvez également filtrer par fournisseur de service, offres ou mots clés spécifiques.

Remarque

Lors de l’affichage des attributions de rôle pour l’étendue déléguée dans le Portail Azure ou via des API, les clients ne peuvent pas voir les attributions de rôles pour les utilisateurs du locataire du fournisseur de services qui ont un accès via Azure Lighthouse. De même, les utilisateurs du locataire du fournisseur de services ne peuvent pas voir les attributions de rôles pour les utilisateurs du locataire d’un client, quel que soit le rôle qui leur a été attribué.

Les attributions d’Administrateur classique dans un locataire du client peuvent être visibles par les utilisateurs du locataire gérant ou inversement, car les rôles d’administrateur classique n’utilisent pas le modèle de déploiement Resource Manager.

Auditer et restreindre des délégations dans votre environnement

Les clients peuvent souhaiter examiner tous les abonnements et/ou groupes de ressources déléguées à Azure Lighthouse, ou imposer des restrictions sur les locataires auxquels ils sont délégués. Ces options sont particulièrement utiles pour les clients disposant d’un grand nombre d’abonnements ou en présence de nombreux utilisateurs effectuant des tâches de gestion.

Nous fournissons une définition de stratégie intégrée Azure Policy pour auditer la délégation d’étendues sur un locataire gestionnaire. Vous pouvez attribuer cette stratégie à un groupe d’administration comprenant tous les abonnements que vous souhaitez auditer. Lorsque vous utilisez cette stratégie pour vérifier la conformité, tous les abonnements et/ou groupes de ressources délégués dans ce groupe d’administration apparaissent dans un état non conforme. Vous pouvez ensuite passer en revue les résultats afin de vous assurer de l'absence de délégations inattendues.

Une autre définition de stratégie intégrée vous permet de limiter les délégations à des locataires gestionnaires spécifiques. Vous pouvez attribuer cette stratégie à un groupe d’administration qui comprend tous les abonnements pour lesquels vous souhaitez limiter les délégations. Une fois la stratégie déployée, toute tentative visant à déléguer un abonnement à un locataire en dehors de ceux que vous spécifiez est refusée.

Pour plus d’informations sur l’attribution d’une stratégie et l’affichage des résultats de l’état de conformité, consultez Démarrage rapide : Créer une attribution de stratégie.

Étapes suivantes

• Apprenez-en davantage sur Azure Lighthouse.
• Découvrez comment auditer l’activité d’un fournisseur de services.
• Découvrez comment les fournisseurs de services peuvent voir et gérer les clients dans le Portail Azure.
• Découvrez comment les entreprises qui gèrent plusieurs locataires peuvent utiliser Azure Lighthouse pour consolider leur expérience de gestion.