Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les groupes de services Azure offrent un moyen flexible d’organiser et de gérer les ressources entre les abonnements et les groupes de ressources, parallèlement à n’importe quelle hiérarchie de ressources Azure existante. Elles sont idéales pour les scénarios nécessitant un regroupement inter-limites, des autorisations minimales et des agrégations de données entre les ressources. Ces fonctionnalités permettent aux équipes de créer des collections de ressources personnalisées qui s’alignent sur les besoins opérationnels, organisationnels ou persona. Cet article vous donne une vue d’ensemble des groupes de services, des scénarios à utiliser pour et des faits importants.
Important
Les groupes de services Azure sont actuellement en préversion publique. Consultez les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour les conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Fonctionnalités clés
- Hiérarchies multiples : les groupes de services permettent des scénarios où les ressources peuvent être regroupées dans différentes vues à plusieurs fins.
- Appartenance flexible : les groupes de services permettent aux ressources provenant de différents abonnements d’être regroupées, fournissant une vue unifiée et des fonctionnalités de gestion. Ils permettent également le regroupement d’abonnements, de groupes de ressources et de ressources. Les mêmes ressources peuvent être connectées à de nombreux groupes de services différents, ce qui permet à différents personnages et scénarios clients d’être créés et utilisés.
- Gestion des privilèges faibles : les groupes de services sont conçus pour fonctionner avec des autorisations minimales, ce qui garantit que les utilisateurs peuvent gérer les ressources sans avoir besoin de droits d’accès excessifs.
Exemples de scénarios
Les clients peuvent créer de nombreuses vues différentes qui prennent en charge la façon dont ils organisent leurs ressources.
Vue unifiée des ressources
- Les organisations avec plusieurs applications et environnements peuvent utiliser des groupes de services pour créer une vue centralisée des informations sur les ressources dans différents environnements. Les ressources membres ou les conteneurs de ressources provenant de différents environnements au sein de différents groupes d’administration ou abonnements peuvent être liés à un seul groupe de services, fournissant un point de référence unifié pour les détails des ressources.
- Étant donné que les groupes de services n’héritent pas des autorisations de leurs membres, les clients peuvent appliquer des principes de privilège minimum pour attribuer des autorisations sur les groupes de services qui autorisent l’affichage des informations sur les ressources. Cette fonctionnalité permet des scénarios où deux utilisateurs peuvent accéder au même groupe de services, mais un seul est autorisé à voir certaines ressources.
Création d’un inventaire
- Les clients peuvent connecter des ressources aux groupes de services pour obtenir une vue consolidée de toutes les ressources d’un type ou d’une fonction particulier dans l’ensemble de l’environnement.
- Personnages variables
- Avec les groupes de services, les organisations ont la possibilité de gérer plusieurs hiérarchies sur les mêmes ressources pour différentes personnes et leurs propres vues individuelles. Les clients peuvent utiliser les mêmes ressources pour être membres d’un groupe de services de charge de travail, d’un groupe de services de département, et d’un groupe de services intégrant toutes les ressources de production.
Fonctionnement
Les groupes de services Azure sont une hiérarchie au niveau du locataire parallèle qui permet le regroupement de ressources. La séparation des groupes d’administration, des abonnements et des groupes de ressources permet aux groupes de services d’être connectés plusieurs fois à différentes ressources et conteneurs de ressources sans avoir d’impact sur les structures existantes.
Informations sur les groupes de services
- Un groupe de services est créé dans le fournisseur de ressources Microsoft.Management.
- Les groupes de services permettent l’imbrication automatique pour créer jusqu’à 10 « niveaux » de profondeur de regroupement. L’imbrication peut être gérée via la propriété « parent » au sein de la ressource de groupe de services.
- Les attributions de rôles sur le groupe de services peuvent être héritées uniquement aux groupes de services enfants. Il n’existe aucun héritage par le biais des appartenances aux ressources ou aux conteneurs de ressources.
- Il existe une limite de 2 000 membres du groupe de services provenant du même abonnement.
- Dans la fenêtre Aperçu, il existe une limite de 10 000 groupes de services dans un seul locataire.
- Les ID des groupes de services et des membres du groupe de services prennent en charge jusqu’à 250 caractères. Ils peuvent être alphanumériques et spéciaux : - _ ( ). ~
- Les groupes de services nécessitent un ID global unique. Deux locataires Microsoft Entra ne peuvent pas avoir de groupe de services avec des ID identiques.
- L’appartenance aux groupes de services est gérée par « Microsoft.Relationship/ServiceGroupMember » sur le membre souhaité (une ressource, un groupe de ressources ou un abonnement) lors du ciblage du groupe de services souhaité.
Groupements de ressources Azure Resource Manager
Azure offre un large éventail de conteneurs de ressources qui permettent à nos clients de gérer les ressources à de nombreuses échelles différentes. Les groupes de services sont uniquement les plus récents dans une famille de conteneurs Azure Resource Manager (ARM) utilisés pour organiser votre environnement.
Ce tableau présente un résumé des différences entre les groupes.
Comparaison de scénarios
| Scenario | Groupe de ressources | Subscription | Groupe d’administration | Groupe de services | Tags |
|---|---|---|---|---|---|
| Exiger l’héritage de l’affectation sur l’étendue à chaque ressource membre/descendante | Supported* | Supported | Supported | Non pris en charge | Non pris en charge |
| Consolidation des ressources pour la réduction des attributions de rôles/attributions de stratégie | Supported | Supported | Supported | Non pris en charge | Non pris en charge |
| Regroupement de ressources partagées entre les limites d’étendue. Ex. Ressources réseau globales d’un abonnement/groupe de ressources partagés entre plusieurs applications qui ont leurs propres abonnements/groupes de ressources. | Non pris en charge | Non pris en charge | Non pris en charge | Supported | Supported |
| Créer des regroupements distincts qui permettent des agrégations distinctes de métriques | Non pris en charge | Supported | Supported | Supported | Supported** |
| Appliquer des restrictions à l’échelle de l’entreprise ou des configurations organisationnelles sur de nombreuses ressources | Supported* | Supported* | Supported* | Non pris en charge | Supported*** |
* : Lorsqu’une politique est appliquée à une étendue, elle s'applique à tous les membres de l’étendue. Par exemple, sur un groupe de ressources, il s’applique uniquement aux ressources qu’elle contient.
** : Les balises peuvent être appliquées dans des étendues et sont ajoutées aux ressources individuellement. Azure Policy a des stratégies intégrées qui peuvent aider à gérer les étiquettes.
: les balises Azure peuvent être utilisées comme critères dans Azure Policy pour appliquer des stratégies à certaines ressources. Les balises Azure sont soumises à des limitations.
Faits importants sur les groupes de services
- Un seul locataire peut prendre en charge 10 000 groupes de services.
- L’arborescence des groupes de services peut prendre en charge jusqu’à 10 niveaux de profondeur. Cette limite n’inclut pas le niveau racine.
- Chaque groupe de services peut avoir de nombreux enfants.
- Un nom/ID de groupe de services unique peut comporter jusqu’à 250 caractères.
- Il n’existe aucune limite de nombre de membres de groupes de services, mais il existe une limite de 2 000 relations (y compris ServiceGroupMember) dans un abonnement
Groupe de services racine
Les groupes de services, comme les groupes d’administration, ont un groupe de services racine, qui est le parent principal de tous les groupes de services de ce locataire. L’ID du groupe de services racine est identique à son ID de locataire.
Les groupes de services créent le groupe de services racine lors de la première demande reçue dans l’espace locataire ; les utilisateurs ne peuvent pas créer ni mettre à jour le groupe de services racine. "/providers/microsoft.management/servicegroups/[tenantId]"
L’accès à la racine doit être donné à partir d’un utilisateur disposant d’autorisations « microsoft.authorization/roleassignments/write » au niveau du locataire. Par exemple, l’administrateur général du locataire peut élever son accès sur le locataire pour disposer de ces autorisations. Détails sur l’élévation des accès d’administrateur général du locataire
Contrôles d’accès en fonction du rôle
Il existe trois définitions de rôles intégrés pour prendre en charge les Groupes de services dans la version préliminaire.
Note
Les contrôles d'accès basés sur des rôles personnalisés ne sont pas pris en charge pendant la version d'évaluation.
Administrateur de groupe de services : ce rôle intégré gère tous les aspects des groupes de services et des relations et est le rôle par défaut donné aux utilisateurs lorsqu’ils créent un groupe de services.
Contributeur de groupe de services : ce rôle intégré doit être attribué aux utilisateurs lorsqu’ils doivent créer ou gérer le cycle de vie d’un groupe de services. Ce rôle autorise toutes les actions, à l’exception des fonctionnalités d’attribution de rôle.
Lecteur de groupe de services : ce rôle intégré fournit un accès en lecture seule aux informations du groupe de services et peut être affecté à d’autres ressources afin d’afficher les relations connectées.
Toute personne disposant d’autorisations valides au sein du locataire peut créer un groupe de services sous la racine. L’utilisateur qui crée le groupe de services devient l’administrateur de groupe de services. Pour modifier le groupe de services ou créer des groupes de services enfants, un utilisateur doit avoir « Contributeur de groupe de services » à ce groupe de services. Pour ajouter des membres, les utilisateurs doivent avoir « Contributeur de groupe de services » sur le groupe de services et Microsoft.Relationship/write sur la ressource.