Partager via

Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure

  • Article

En tant qu’administrateur général dans Microsoft Entra ID, il est possible que vous n’ayez pas accès à tous les abonnements et groupes d’administration de votre locataire. Cet article décrit les méthodes pour élever votre accès à tous les abonnements et groupes d’administration.

Remarque

Pour plus d’informations sur la visualisation ou la suppression de données personnelles, consultez Demandes générales de la personne concernée pour le RGPD, Demandes de la personne concernée pour le RGPD sur Azure ou Demandes de la personne concernée pour le RGPD sur Windows, en fonction de votre domaine et de vos besoins spécifiques. Pour plus d’informations sur le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

Pourquoi devez-vous élever votre accès ?

Si vous êtes administrateur général, il peut vous arriver de vouloir effectuer les actions suivantes :

  • Récupérer l’accès à un abonnement ou groupe d’administration Azure quand un utilisateur a perdu cet accès
  • Accorder à un autre utilisateur ou à vous-même un accès à un abonnement ou à un groupe d’administration Azure
  • Voir tous les abonnements ou groupes d’administration Azure au sein d’une organisation
  • Autoriser une application d’automation (telle qu’une application de facturation ou d’audit) à accéder à tous les abonnements ou groupes d’administration Azure

Comment fonctionne l’accès avec élévation de privilèges ?

Les ressources Microsoft Entra ID et Azure sont sécurisées de façon indépendante les unes des autres. Ainsi, les attributions de rôles Microsoft Entra n’accordent pas d’accès aux ressources Azure et inversement, les attributions de rôles Azure n’accordent pas d’accès à Microsoft Entra ID. Cependant, si vous êtes Administrateur général dans Microsoft Entra ID, vous pouvez vous attribuer à vous-même un accès à tous les abonnements et groupes d’administration Azure de votre locataire. Utilisez cette fonctionnalité si vous n’avez pas accès aux ressources de l’abonnement Azure, comme les machines virtuelles ou les comptes de stockage, et que vous voulez utiliser vos privilèges d’administrateur général pour accéder à ces ressources.

Quand vous élevez votre accès, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure au niveau de l’étendue racine (/). Ceci vous permet de voir toutes les ressources et d’attribuer des accès dans n’importe quel abonnement ou groupe d’administration du locataire. Les attributions de rôles Administrateur de l’accès utilisateur peuvent être supprimées à l’aide d’Azure PowerShell, d’Azure CLI ou de l’API REST.

Vous devez supprimer cet accès avec élévation de privilèges après avoir effectué les modifications nécessaires au niveau de l’étendue racine.

Élever l’accès

Effectuer des étapes dans l’étendue racine

Étape 1 : élever l’accès d’un administrateur général

Effectuez les étapes suivantes pour élever l’accès d’un administrateur général à l’aide du portail Azure.

  1. Connectez-vous au portail Azure en tant qu’administrateur général.

    Si vous utilisez Microsoft Entra Privileged Identity Management, activez votre attribution de rôle Administrateur général.

  2. Accédez à Microsoft Entra ID>Gérer>Propriétés.

    Sélectionner les propriétés de Microsoft Entra (capture d’écran)

  3. Sous Gestion de l’accès pour les ressources Azure, définissez la bascule sur Oui.

    Gestion des accès aux ressources Azure - capture d’écran

    Quand vous définissez la bascule sur Oui, le rôle Administrateur de l’accès utilisateur vous est attribué dans Azure RBAC au niveau de l’étendue racine (/). Ceci vous accorde l’autorisation d’attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à ce locataire Microsoft Entra. Cette bascule est disponible seulement pour les utilisateurs auxquels le rôle Administrateur général a été attribué dans Microsoft Entra ID.

    Quand vous définissez la bascule sur Non, le rôle Administrateur de l’accès utilisateur dans Azure RBAC est supprimé de votre compte d’utilisateur. Vous ne pouvez plus attribuer des rôles dans tous les abonnements et groupes d’administration Azure associés à ce locataire Microsoft Entra. Vous pouvez voir et gérer seulement les abonnements et groupes d’administration Azure auxquels l’accès vous a été accordé.

    Remarque

    Si vous utilisez Privileged Identity Management, la désactivation de l’attribution de rôle n’a pas pour effet de définir l’option Gestion de l’accès pour les ressources Azure sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

  4. Sélectionnez Enregistrer pour enregistrer vos paramètres.

    Ce paramètre n’est pas une propriété globale et s’applique uniquement à l’utilisateur connecté. Vous ne pouvez pas élever l’accès pour tous les membres du rôle Administrateur général.

  5. Déconnectez-vous et reconnectez-vous pour actualiser votre accès.

    Vous devez maintenant avoir accès à tous les abonnements et groupes d’administration de votre locataire. Quand vous affichez la page Contrôle d’accès (IAM), vous pouvez remarquer que le rôle Administrateur de l’accès utilisateur vous a été attribué au niveau de l’étendue racine.

    Attributions de rôle d’abonnement au niveau de l’étendue racine : capture d’écran

  6. Apportez les modifications nécessaires via un accès avec élévation de privilèges.

    Pour obtenir des informations sur l’attribution de rôles, consultez Attribuer des rôles Azure à l’aide du portail Azure. Si vous utilisez Privileged Identity Management, consultez Découvrir les ressources Azure à gérer ou Attribuer des rôles de ressources Azure.

  7. Procédez de la manière décrite dans la section suivante pour supprimer votre accès avec élévation de privilèges.

Étape 2 : supprimez l’accès élevé

Pour supprimer l’attribution de rôle Administrateur de l’accès utilisateur au niveau de l’étendue racine (/), effectuez les étapes suivantes.

  1. Connectez-vous en tant qu’utilisateur avec celui utilisé pour élever l’accès.

  2. Accédez à Microsoft Entra ID>Gérer>Propriétés.

  3. Définissez la bascule Gestion de l’accès pour les ressources Azure sur Non. Comme il s’agit d’un paramètre par utilisateur, vous devez être connecté sous le même utilisateur que celui utilisé pour élever l’accès.

    Si vous tentez de supprimer l’attribution de rôle Administrateur de l’accès utilisateur dans la page Contrôle d’accès (IAM), le message suivant s’affiche. Pour supprimer l’attribution de rôle, vous devez rétablir la bascule sur Non ou utiliser Azure PowerShell, Azure CLI ou l’API REST.

    Supprimer des attributions de rôle avec une étendue racine

  4. Déconnectez-vous en tant qu’administrateur général.

    Si vous utilisez Privileged Identity Management, désactivez votre attribution de rôle Administrateur général.

    Remarque

    Si vous utilisez Privileged Identity Management, la désactivation de l’attribution de rôle n’a pas pour effet de définir l’option Gestion de l’accès pour les ressources Azure sur Non. Si vous souhaitez conserver l’accès avec privilèges minimum, nous vous recommandons de définir cette bascule sur Non avant de désactiver l’attribution de rôle.

Voir les utilisateurs avec un accès élevé

Si vous avez des utilisateurs disposant d’un accès élevé, des bannières s’affichent dans deux emplacements du portail Azure. Cette section explique comment déterminer si vous avez des utilisateurs disposant d’un accès élevé dans votre locataire. Cette fonctionnalité étant déployée en plusieurs phases, il est possible qu’elle ne soit pas encore disponible dans votre locataire.

Option 1 :

  1. Dans le portail Azure, accédez à Microsoft Entra ID>Gérer>Propriétés.

  2. Sous Gestion de l’accès pour les ressources Azure, recherchez la bannière suivante.

    You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

    Capture d’écran de la bannière qui indique qu’il existe des utilisateurs disposant d’un accès élevé.

  3. Sélectionnez le lien Gérer les utilisateurs avec un accès élevé pour voir la liste des utilisateurs disposant d’un accès élevé.

Option 2 :

  1. Dans le portail Azure, accédez à un abonnement.

  2. Sélectionnez Contrôle d’accès (IAM) .

  3. En haut de la page, recherchez la bannière suivante.

    Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

    Capture d’écran de la bannière sur la page Contrôle d’accès (IAM) qui indique qu’il existe des utilisateurs disposant d’un accès élevé.

  4. Sélectionnez le lien Afficher les attributions de rôles pour voir la liste des utilisateurs disposant d’un accès élevé.

Supprimer l’accès élevé pour des utilisateurs

Si vous avez des utilisateurs disposant d’un accès élevé, vous devez agir immédiatement et supprimer cet accès. Pour supprimer ces attributions de rôles, vous devez également disposer d’un accès élevé. Cette section explique comment supprimer l’accès élevé pour des utilisateurs de votre locataire en utilisant le portail Azure. Cette fonctionnalité étant déployée en plusieurs phases, il est possible qu’elle ne soit pas encore disponible dans votre locataire.

  1. Connectez-vous au portail Azure en tant qu’administrateur général.

  2. Accédez à Microsoft Entra ID>Gérer>Propriétés.

  3. Sous Gestion de l’accès pour les ressources Azure, définissez le bouton bascule sur Oui, comme décrit précédemment dans Étape 1 : Élever l’accès pour un administrateur général.

  4. Sélectionnez le lien Gérer les utilisateurs avec un accès élevé.

    Le volet Utilisateurs avec un accès élevé s’affiche avec une liste d’utilisateurs disposant d’un accès élevé dans votre locataire.

    Capture d’écran du volet Utilisateurs avec un accès élevé qui liste les utilisateurs disposant d’un accès élevé.

  5. Pour supprimer l’accès élevé pour des utilisateurs, ajoutez une coche en regard de l’utilisateur, puis sélectionnez Supprimer.

Afficher les entrées du journal d’accès élevé dans les journaux d’activité de répertoire

Lorsque l’accès est élevé, une entrée est ajoutée aux journaux. En tant qu’administrateur général dans Microsoft Entra ID, vous souhaiterez peut-être vérifier quand l’accès a été élevé et qui l’a fait. Les entrées du journal d’accès élevé n’apparaissent pas dans les journaux d’activité standard, mais apparaissent dans les journaux d’activité du répertoire. Cette section décrit les différentes façons dont vous pouvez afficher les entrées du journal d’accès élevé.

Afficher les entrées du journal d’accès élevé à l’aide du Portail Azure

  1. Connectez-vous au portail Azure en tant qu’administrateur général.

  2. Accédez à Surveiller>Journal des activités.

  3. Définissez la liste Activité sur Activité d’annuaire.

  4. Recherchez l’opération suivante, qui signifie l’action d’accès avec élévation de privilèges.

    Assigns the caller to User Access Administrator role

    Capture d’écran montrant les journaux d’activité de l’annuaire dans Moniteur.

Afficher les entrées du journal d’accès élevé à l’aide d’Azure CLI

  1. Utilisez la commande az login pour vous connecter en tant qu’administrateur général.

  2. Utilisez la commande az rest pour effectuer l’appel suivant, dans lequel vous devrez filtrer par une date comme indiqué dans l’exemple de tampon et spécifier un nom de fichier où vous souhaitez stocker les journaux.

    L’url appelle une API pour récupérer les journaux dans Microsoft.Insights. La sortie sera enregistrée dans votre fichier.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

  3. Dans le fichier de sortie, recherchez elevateAccess.

    Le journal ressemble à ce qui suit, dans lequel vous pouvez voir l’horodatage du moment où l’action s’est produite et qui l’a appelée.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
  "subscriptionId": "",
  "tenantId": "33333333-3333-3333-3333-333333333333"
},
{
  "authorization": {
    "action": "Microsoft.Authorization/elevateAccess/action",
    "scope": "/providers/Microsoft.Authorization"
  },
  "caller": "user@example.com",
  "category": {
    "localizedValue": "Administrative",
    "value": "Administrative"
  },

Déléguer l’accès à un groupe pour afficher les entrées du journal d’accès élevé à l’aide d’Azure CLI

Si vous souhaitez être en mesure d’obtenir régulièrement les entrées du journal d’accès élevé, vous pouvez déléguer l’accès à un groupe, puis utiliser Azure CLI.

  1. Accédez à Microsoft Entra ID>Groupes.

  2. Créez un groupe de sécurité et notez l’ID d’objet de groupe.

  3. Utilisez la commande az login pour vous connecter en tant qu’administrateur général.

  4. Utilisez la commande az role assignment create pour attribuer le rôle Lecteur au groupe qui peut seulement lire les journaux au niveau du locataire, qui se trouvent dans Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"

  5. Ajoutez un utilisateur qui lira les journaux dans le groupe créé précédemment.

Un utilisateur du groupe peut maintenant exécuter régulièrement la commande az rest pour afficher les entrées du journal d’accès élevé.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Étapes suivantes