Créer des groupes d’administration

  • 3 minutes

Les organisations qui utilisent plusieurs abonnements ont besoin de pouvoir gérer efficacement l’accès, les stratégies et la conformité. Les groupes d’administration Azure offrent un niveau d’étendue et de contrôle au-delà des abonnements. Vous pouvez utiliser des groupes d’administration comme conteneurs pour gérer l’accès, la stratégie et la conformité de vos abonnements

Points à connaître sur les groupes d’administration

Prenez en compte les caractéristiques suivantes des groupes d’administration Azure :

  • Par défaut, tous les nouveaux abonnements sont placés sous le groupe d’administration de niveau supérieur, ou groupe racine.

  • Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.

  • Une arborescence de groupes d’administration peut prendre en charge jusqu’à six niveaux de profondeur.

  • L’autorisation du contrôle d’accès en fonction du rôle Azure pour les opérations de groupe d’administration n’est pas activée par défaut.

Le diagramme suivant montre comment utiliser les groupes d’administration Azure pour organiser les abonnements dans une hiérarchie de gestion unifiée des stratégies et des accès. Dans ce scénario, l’organisation a un seul groupe d’administration de niveau supérieur. Chaque répertoire sous le groupe racine est imbriqué dans le groupe de niveau supérieur.

Diagramme montrant comment utiliser les groupes d’administration Azure pour organiser les abonnements dans une hiérarchie de gestion unifiée des stratégies et des accès.

Éléments à prendre en compte pour l’utilisation des groupes d’administration

Passez en revue les différentes façons d’utiliser les groupes d’administration dans Azure Policy pour gérer vos abonnements :

  • Utilisez les hiérarchies et les groupes personnalisés. Alignez vos abonnements Azure en utilisant des hiérarchies et des regroupements personnalisés qui répondent à la structure organisationnelle et aux scénarios métier de votre entreprise. Vous pouvez utiliser des groupes d’administration pour cibler des stratégies et des dépenses budgétaires dans les abonnements.

  • Tenez compte de l’héritage de stratégie. Contrôlez l’héritage hiérarchique de l’accès et des privilèges dans les définitions de stratégie. Tous les abonnements d’un groupe d’administration héritent des conditions appliquées au groupe d’administration. Vous pouvez appliquer des stratégies à un groupe d’administration afin de limiter les régions disponibles pour la création de machines virtuelles. La stratégie peut être appliquée à tous les groupes d’administration, abonnements et ressources sous le groupe d’administration initial pour que les machines virtuelles soient créées uniquement dans les régions spécifiées.

  • Tenez compte des règles de conformité. Organisez vos abonnements dans des groupes d’administration pour vous aider à respecter les règles de conformité des différents services et équipes.

  • Utilisez les rapports sur les coûts. Utilisez des groupes d’administration pour effectuer des rapports sur les coûts par service ou pour des scénarios métier spécifiques. Vous pouvez utiliser des groupes d’administration pour générer des rapports sur les détails budgétaires des abonnements.

Créer des groupes d’administration

Vous pouvez créer un groupe d’administration avec Azure Policy en utilisant le portail Azure, PowerShell ou Azure CLI. Voici un exemple de ce que vous voyez dans le portail Azure :

Capture d’écran montrant comment créer un groupe de ressources dans le portail Azure.

Un groupe d’administration a un identificateur unique (ID) de répertoire et un nom complet. L’ID est utilisé pour envoyer des commandes sur le groupe d’administration. La valeur d’ID ne peut pas être changée après sa création, car elle est utilisée dans l’ensemble du système Azure pour identifier le groupe d’administration. Le nom complet du groupe d’administration est facultatif et peut être changé à tout moment.