Administrateurs d’abonnement Azure Classic

Microsoft vous recommande de gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Si vous utilisez toujours le modèle de déploiement classique, vous devez migrer vos ressources du déploiement classique vers le déploiement Resource Manager. Pour plus d’informations, consultez Déploiement Azure Resource Manager et déploiement Classic.

Cet article décrit la mise hors service des rôles Coadministrateur et Administrateur de services fédérés, et comment convertir ces attributions de rôles.

Forum aux questions

Que se passe-t-il avec les attributions de rôles d’administrateur classiques après le 31 août 2024 ?

• Les rôles Coadministrateur et Administrateur de service sont supprimés et ne sont plus pris en charge. Vous devez convertir ces attributions de rôle en rôles RBAC Azure immédiatement.

Comment déterminer les abonnements qui ont des administrateurs classiques ?

• Vous pouvez utiliser une requête Azure Resource Graph pour répertorier les abonnements avec des attributions de rôle Administrateur de service ou Coadministrateur. Pour la procédure à suivre, consultez Répertorier les administrateurs classiques.

Quel est le rôle Azure équivalent que je dois attribuer aux coadministrateurs ?

• Le rôle Propriétaire au niveau de l'étendue de l'abonnement dispose de l'accès équivalent. Cependant, Propriétaire est un rôle d'administrateur privilégié et donne pleinement accès à la gestion des ressources Azure. Vous devez envisager un rôle de fonction de travail avec moins d'autorisations, réduire l'étendue ou ajouter une condition.

Quel est le rôle Azure équivalent que je dois attribuer aux administrateurs de services fédérés ?

• Le rôle Propriétaire au niveau de l'étendue de l'abonnement dispose de l'accès équivalent.

Pourquoi dois-je effectuer une migration vers Azure RBAC ?

• Azure RBAC offre un contrôle d’accès précis, une compatibilité avec Microsoft Entra Privileged Identity Management (PIM) et une prise en charge complète des journaux d’audit. Tous les investissements futurs seront consacrés à Azure RBAC.

Qu’en est-il du rôle Administrateur de compte ?

• L’Administrateur de compte est l’utilisateur principal de votre compte de facturation. Le rôle Administrateur de compte n’est pas déconseillé. Il est donc inutile de convertir cette attribution de rôle. Un même utilisateur peut avoir les rôles Administrateur de compte et Administrateur de service. Toutefois, vous devez uniquement convertir l’attribution de rôle Administrateur de service.

Que dois-je faire si je perds l’accès à un abonnement ?

• Si vous supprimez vos administrateurs classiques sans avoir au moins une attribution de rôle Propriétaire pour un abonnement, vous perdez l’accès à l’abonnement et l’abonnement sera orphelin. Pour récupérer l’accès à un abonnement, vous pouvez effectuer les opérations suivantes :

  • Suivez les étapes pour élever l’accès afin de gérer tous les abonnements d’un locataire.
  • Attribuez le rôle Propriétaire à l’étendue de l’abonnement pour un utilisateur.
  • Supprimez l’accès avec élévation des privilèges.

Que dois-je faire si j’ai une forte dépendance vis-à-vis des coadministrateurs ou de l’administrateur de services fédérés ?

• Envoyez un e-mail ACARDeprecation@microsoft.com et décrivez votre scénario.

Répertorier les administrateurs classiques

Mise hors service des coadministrateurs

Si vous avez toujours des administrateurs classiques, effectuez les étapes suivantes pour vous aider à convertir les attributions de rôles Coadministrateur.

Étape 1 : examinez vos coadministrateurs actuels

1. Connectez-vous au portail Azure en tant que Propriétaire d'un abonnement.

2. Utilisez le Portail Azure ou Azure Resource Graph pour répertorier vos coadministrateurs.

3. Examinez les journaux de connexion de vos coadministrateurs pour déterminer s'ils sont des utilisateurs actifs.

Étape 2 : supprimer les coadministrateurs qui n'ont plus besoin d'un accès

1. Si l'utilisateur n'est plus dans votre entreprise, supprimez le coadministrateur.

2. Si l'utilisateur a été supprimé, mais que son affectation de coadministrateur n'a pas été supprimée, supprimez le coadministrateur.

   Les utilisateurs qui ont été supprimés incluent généralement le texte (l'utilisateur n'a pas été trouvé dans ce répertoire).

   

3. Une fois l'activité de l'utilisateur examinée, si ce dernier n'est plus actif, supprimez le coadministrateur.

Étape 3 : Convertir les coadministrateurs en rôle de fonction de travail

La plupart des utilisateurs n'ont pas besoin des mêmes autorisations qu'un coadministrateur. Considérez plutôt un rôle de fonction de travail.

1. Si un utilisateur a toujours besoin d'un certain accès, déterminez le rôle de fonction de travail approprié dont il a besoin.

2. Déterminez l'étendue dont a besoin l'utilisateur.

3. Suivez les étapes pour attribuer un rôle de fonction de travail à l'utilisateur.

4. Supprimer le coadministrateur.

Étape 4 : Convertir les coadministrateurs en rôle Propriétaire avec des conditions

Certains utilisateurs peuvent avoir besoin d'un accès plus important que celui que peut offrir un rôle de fonction. Si vous devez attribuer le rôle Propriétaire, envisagez d’ajouter une condition ou d’utiliser Microsoft Entra Privileged Identity Management (PIM) pour limiter l’attribution de rôle.

1. Attribuez le rôle Propriétaire avec des conditions.

   Attribuez le rôle Propriétaire dans l’étendue de l’abonnement avec des conditions. Si vous disposez de PIM, rendez l’utilisateur éligible à l’attribution de rôle Propriétaire.

2. Supprimer le coadministrateur.

Étape 5 : Convertir les coadministrateurs en rôle Propriétaire

Si un utilisateur doit être administrateur d’un abonnement, attribuez le rôle Propriétaire dans l’étendue de l’abonnement.

• Suivez les étapes fournies dans Convertir un coadministrateur avec le rôle Propriétaire.

Convertir un coadministrateur avec le rôle Propriétaire

Le moyen le plus simple de convertir une attribution de rôle Coadministrateur en rôle Propriétaire dans l’étendue de l’abonnement consiste à utiliser les étapes de correction.

1. Connectez-vous au portail Azure en tant que Propriétaire d'un abonnement.

2. Ouvrez Abonnements et sélectionnez un abonnement.

3. Sélectionnez Contrôle d’accès (IAM) .

4. Sélectionnez l'onglet Administrateurs classiques pour afficher la liste des coadministrateurs.

5. Pour le coadministrateur que vous souhaitez convertir en rôle Propriétaire, sous la colonne Corriger, sélectionnez le lien Attribuer un rôle RBAC.

6. Dans le volet Ajouter une attribution de rôle, passez en revue l’attribution de rôle.

   

7. Sélectionnez Vérifier + affecter pour affecter le rôle Propriétaire et supprimer l’attribution de rôle Coadministrateur.

Supprimer un coadministrateur

Suivez ces étapes pour supprimer un coadministrateur.

1. Connectez-vous au portail Azure en tant que Propriétaire d'un abonnement.

2. Ouvrez Abonnements et sélectionnez un abonnement.

3. Sélectionnez Contrôle d’accès (IAM) .

4. Sélectionnez l'onglet Administrateurs classiques pour afficher la liste des coadministrateurs.

5. Ajoutez une coche en regard du Coadministrateur que vous souhaitez supprimer.

6. Sélectionnez Supprimer.

7. Dans la zone de message qui s’affiche, sélectionnez Oui.

   

Mise hors service du rôle Administrateur de services fédérés

Si vous avez toujours des administrateurs classiques, effectuez les étapes suivantes pour vous aider à convertir l’attribution de rôle Administrateur de services fédérés. Avant de supprimer l’Administrateur de services fédérés, vous devez disposer d’au moins un utilisateur auquel est attribué le rôle Propriétaire dans l’étendue de l’abonnement sans conditions afin d’éviter de créer un abonnement orphelin. Un propriétaire d’abonnement a le même accès que l’administrateur de service.

Étape 1 : passer en revue votre administrateur de services fédérés actuel

1. Connectez-vous au portail Azure en tant que Propriétaire d'un abonnement.

2. Utilisez le Portail Azure ou Azure Resource Graph pour répertorier votre administrateur de service.

3. Passez en revue les journaux de connexion de votre administrateur de services fédérés pour déterminer s’ils sont un utilisateur actif.

Étape 2 : passer en revue vos propriétaires de compte de facturation actuels

L’utilisateur affecté au rôle Administrateur de services fédérés peut également être le même utilisateur que l’administrateur de votre compte de facturation. Vous devez passer en revue vos propriétaires de compte de facturation actuels pour vous assurer qu’ils sont toujours exacts.

1. Utilisez le portail Azure pour obtenir les propriétaires de votre compte de facturation.

2. Passez en revue votre liste de propriétaires de compte de facturation. Si nécessaire, mettez à jour ou ajoutez un autre propriétaire de compte de facturation.

Étape 3 : Convertir l’administrateur de services fédérés en rôle Propriétaire

Votre administrateur de services fédérés peut être un compte Microsoft ou un compte Microsoft Entra. Un compte Microsoft est un compte personnel tel qu’Outlook, OneDrive, Xbox LIVE ou Microsoft 365. Un compte Microsoft Entra est une identité créée via Microsoft Entra ID.

1. Si l’utilisateur Administrateur de services fédérés est un compte Microsoft et que vous souhaitez que cet utilisateur conserve les mêmes autorisations, convertissez l’administrateur de services fédérés en rôle Propriétaire.

2. Si l’utilisateur Administrateur de services fédérés est un compte Microsoft Entra et que vous souhaitez que cet utilisateur conserve les mêmes autorisations, convertissez l’administrateur de services fédérés en rôle Propriétaire.

3. Si vous souhaitez remplacer l’utilisateur Administrateur de services fédérés par un autre utilisateur, attribuez le rôle Propriétaire à ce nouvel utilisateur dans l’étendue de l’abonnement sans conditions. Ensuite, supprimez l’administrateur de services fédérés.

Convertir l’administrateur de services fédérés en rôle Propriétaire

Le moyen le plus simple de convertir une attribution de rôle Administrateur de services fédérés en rôle Propriétaire dans l’étendue de l’abonnement consiste à utiliser les étapes de correction.

1. Connectez-vous au portail Azure en tant que Propriétaire d'un abonnement.

2. Ouvrez Abonnements et sélectionnez un abonnement.

3. Sélectionnez Contrôle d’accès (IAM) .

4. Sélectionnez l’onglet Administrateurs classiques pour afficher l’administrateur de services fédérés.

5. Pour l’administrateur de services fédérés, sous la colonne Corriger, sélectionnez le lien Attribuer un rôle RBAC.

6. Dans le volet Ajouter une attribution de rôle, passez en revue l’attribution de rôle.

   

7. Sélectionnez Vérifier + affecter pour affecter le rôle Propriétaire et supprimer l’attribution de rôle Administrateur de services fédérés.

Supprimer l’administrateur de services fédérés

1. Connectez-vous au portail Azure en tant que Propriétaire d'un abonnement.

2. Ouvrez Abonnements et sélectionnez un abonnement.

3. Sélectionnez Contrôle d’accès (IAM) .

4. Sélectionnez l’onglet Administrateurs classiques.

5. Ajoutez une coche à côté de l’administrateur de service.

6. Sélectionnez Supprimer.

7. Dans la zone de message qui s’affiche, sélectionnez Oui.

   

Étapes suivantes

• Comprendre les différents rôles
• Attribuer des rôles Azure à l’aide du portail Azure
• Présentation des rôles d'administrateur Azure dans le cadre des Contrats client Microsoft