Déléguer la gestion des attributions de rôles Azure à d’autres personnes avec des conditions

En tant qu’administrateur, vous pouvez recevoir plusieurs demandes d’octroi d’accès aux ressources Azure que vous souhaitez déléguer à quelqu’un d’autre. Vous pouvez affecter un utilisateur aux rôles Propriétaire ou Administrateur de l’accès utilisateur , mais il s’agit de rôles hautement privilégiés. Cet article décrit un moyen plus sécurisé de déléguer la gestion des attributions de rôles à d’autres utilisateurs de votre organisation, mais ajoute des restrictions pour ces attributions de rôles. Par exemple, vous pouvez limiter les rôles qui peuvent être attribués ou limiter les principaux auxquels les rôles peuvent être attribués.

Le diagramme suivant montre comment un délégué avec des conditions ne peut affecter que les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde aux seuls groupes Marketing ou Ventes.

Prerequisites

Pour attribuer des rôles Azure, vous devez disposer de :

Microsoft.Authorization/roleAssignments/write autorisations, telles que l’administrateur de contrôle d’accès en fonction du rôle ou l’administrateur de l’accès utilisateur

Étape 1 : Déterminer les autorisations dont le délégué a besoin

Pour déterminer les autorisations dont le délégué a besoin, répondez aux questions suivantes :

Quels rôles le délégué peut-il attribuer ?
À quels types de principaux le délégué peut-il attribuer des rôles ?
À quels principaux le délégué peut-il attribuer des rôles ?
Le délégué peut-il supprimer des attributions de rôle ?

Une fois que vous connaissez les autorisations dont le délégué a besoin, vous utilisez les étapes suivantes pour ajouter une condition à l’attribution de rôle du délégué. Pour obtenir des exemples de conditions, consultez Exemples pour déléguer la gestion des attributions de rôle Azure avec des conditions.

Étape 2 : Démarrer une nouvelle attribution de rôle

Connectez-vous au portail Azure.
Suivez les étapes pour ouvrir la page Ajouter une attribution de rôle.
Sous l’onglet Rôles , sélectionnez l’onglet Rôles d’administrateur privilégié .
Sélectionnez le rôle Administrateur du contrôle d'accès basé sur les rôles.

L’onglet Conditions s’affiche.

Vous pouvez sélectionner n’importe quel rôle qui inclut les actions Microsoft.Authorization/roleAssignments/write ou Microsoft.Authorization/roleAssignments/delete, telles que Administrateur de l'accès utilisateur, mais Administrateur des Rôles Basés sur le Contrôle d'Accès a moins d’autorisations.
Sous l’onglet Membres , recherchez et sélectionnez le délégué.

Étape 3 : Ajouter une condition

Il existe deux façons d’ajouter une condition. Vous pouvez utiliser un modèle de condition ou utiliser un éditeur de condition avancé.

Template
Éditeur de conditions

Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.

La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.

Sélectionnez un modèle de condition, puis sélectionnez Configurer.

Modèle de condition	Sélectionnez ce modèle pour
Limiter les rôles	Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
Limiter les rôles et les types principaux	Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez Autoriser l’utilisateur à attribuer uniquement ces rôles aux types principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)
Limiter les rôles et les principaux	Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez Autoriser l’utilisateur à attribuer uniquement ces rôles aux principaux que vous sélectionnez
Autoriser tous sauf certains rôles spécifiques	Autoriser l’utilisateur à attribuer tous les rôles à l’exception des rôles que vous sélectionnez

Dans le volet de configuration, ajoutez les configurations requises.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Si les modèles de condition ne fonctionnent pas pour votre scénario ou si vous souhaitez un plus grand contrôle, vous pouvez utiliser l’éditeur de conditions.

Ouvrir l’éditeur de condition

Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.

La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.
Sélectionnez Ouvrir l’éditeur de condition avancé.

La page Ajouter une condition d’attribution de rôle s’affiche.
Pour l’option Type de l’éditeur , laissez le visuel par défaut sélectionné.

Ajouter une action

Dans la section Ajouter une action , sélectionnez Ajouter une action.

Le volet Sélectionner une action s’affiche. Ce volet est une liste filtrée d’actions basées sur l’attribution de rôle destinée à être la cible de votre condition.
Sélectionnez l’action Créer ou mettre à jour les attributions de rôles que vous souhaitez autoriser si la condition est vraie.

Conseil / Astuce

Si vous sélectionnez à la fois Créer ou mettre à jour des attributions de rôles et supprimer des actions d’attribution de rôle , vous ne pourrez pas ajouter d’expression de condition. Si vous souhaitez cibler ces deux actions, vous devez ajouter deux conditions. Pour plus d’informations, consultez Exemple : Limiter les rôles.

Générer des expressions

Dans la section Générer une expression , sélectionnez Ajouter une expression.

Voici où vous générez l’expression pour limiter les attributions de rôles que le délégué peut ajouter.
Dans la liste source de l’attribut , sélectionnez Demande.
Dans la liste Attributs , sélectionnez l’un des attributs suivants pour le côté gauche de l’expression.
- L’ID de définition de rôle est utilisé pour limiter les rôles que le délégué peut attribuer.
- L’ID de principal est utilisé pour restreindre les principaux spécifiques auxquels le délégué peut attribuer des rôles.
- Le type de principal est utilisé pour limiter les types de principaux (utilisateurs, groupes ou principaux de service) auxquels le délégué peut attribuer des rôles.

Dans la liste Opérateur , sélectionnez un opérateur.

Selon l’attribut et l’expression que vous souhaitez générer, vous sélectionnez généralement ces opérateurs, ce qui vous permet de sélectionner une ou plusieurs valeurs pour le côté droit de l’expression.

Caractéristique	Opérateur commun
ID de définition de rôle	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
Principal ID	ForAnyOfAnyValues:GuidEquals
Type de principal	ForAnyOfAnyValues:StringEqualsIgnoreCase

Dans la zone Valeur , entrez une ou plusieurs valeurs pour le côté droit de l’expression.
Ajoutez des expressions supplémentaires si nécessaire.

Conseil / Astuce

Lorsque vous ajoutez plusieurs expressions pour déléguer la gestion des attributions de rôle avec des conditions, vous utilisez généralement l’opérateur And entre les expressions au lieu de l’opérateur Or par défaut.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Étape 4 : Attribuer un rôle avec une condition pour déléguer

Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.
Sélectionnez Vérifier + attribuer pour attribuer le rôle.

Après quelques instants, le délégué reçoit le rôle Administrateur de contrôle d’accès en fonction du rôle avec vos conditions d’attribution de rôle.

Étape 5 : Le délégué attribue des rôles avec des conditions

Le délégué peut désormais suivre les étapes permettant d’attribuer des rôles.

Lorsque le délégué tente d’attribuer des rôles dans le portail Azure, la liste des rôles est filtrée pour afficher simplement les rôles qu’ils peuvent attribuer.

S’il existe une condition pour les acteurs principaux, la liste des acteurs principaux disponibles pour être affectés est également filtrée.

Si le délégué tente d’attribuer un rôle qui se trouve en dehors des conditions à l’aide d’une API, l’attribution de rôle échoue avec une erreur. Pour plus d’informations, consultez Symptôme - Impossible d’attribuer un rôle.

Modifier une condition

Il existe deux façons de modifier une condition. Vous pouvez utiliser le modèle de condition ou utiliser l’éditeur de condition.

Dans le portail Azure, ouvrez la page Contrôle d’accès (IAM) pour l’attribution de rôle qui a une condition que vous souhaitez afficher, modifier ou supprimer.
Sélectionnez l’onglet Attributions de rôles et recherchez l’attribution de rôle.
Dans la colonne Condition , sélectionnez Afficher/Modifier.

Si vous ne voyez pas le lien Affichage/Modification , vérifiez que vous examinez la même étendue que l’attribution de rôle.

La page Ajouter une condition d’attribution de rôle s’affiche. Cette page est différente selon que la condition correspond à un modèle existant.
Si la condition correspond à un modèle existant, sélectionnez Configurer pour modifier la condition.
Si la condition ne correspond pas à un modèle existant, utilisez l’éditeur de condition avancé pour modifier la condition.

Par exemple, pour modifier une condition, faites défiler jusqu’à la section d’expression de build et mettez à jour les attributs, l’opérateur ou les valeurs.

Pour modifier la condition directement, sélectionnez le type de l’éditeur de code, puis modifiez le code de la condition.
Lorsque vous avez terminé, cliquez sur Enregistrer pour mettre à jour la condition.

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-10-15