Cette page vous a-t-elle été utile ?
Votre avis sur ce contenu est important. N'hésitez pas à nous faire part de vos commentaires.
Vous avez d'autres commentaires ?
1500 caractères restants
Exporter (0) Imprimer
Développer tout

Gestion des comptes, des abonnements et des rôles d'administrateur

Mis à jour: juin 2015

Cette rubrique présente les comptes, les abonnements et les rôles d'administrateur Windows Azure pour les utilisateurs qui doivent accéder à Azure afin de gérer des services. Ces fonctionnalités vous permettent de contrôler l'accès aux ressources, l'utilisation et les informations de facturation des services que vous créez et exécutez sur Azure. Ne confondez pas cet accès avec l'activation de l'accès pour les utilisateurs finaux de votre service.

Dans cette rubrique

noteRemarque
Cette rubrique n'explique pas comment s'inscrire à un compte Azure. Pour plus d'informations sur les options d'achat Azure, consultez Options d'achat, Version d'évaluation gratuite et Offres spéciales membres (pour les membres MSDN, Microsoft Partner Network, BizSpark et autres programmes Microsoft).

Un compte Azure détermine la façon dont l'utilisation d''Azure est indiquée et qui est l'administrateur du compte.

Les abonnements vous aident à planifier l'accès aux ressources des services de cloud computing. Ils vous permettent également de contrôler la façon dont l'utilisation des ressources est indiquée, facturée et payée. Chaque abonnement peut avoir un mode différent de facturation et de paiement. Par conséquent, vous pouvez disposer de différents abonnements et de différents plans par service, projet, bureau régional, etc. Chaque service cloud appartient à un abonnement, et l'ID d'abonnement peut être nécessaire pour les opérations par programmation.

Les comptes et les abonnements sont créés dans le centre de gestion Azure. La personne qui crée le compte est l'administrateur de compte de tous les abonnements créés dans ce compte. Il s'agit également de l'administrateur de services fédérés pour l'abonnement.

Le graphique ci-dessous illustre le rôle principal que joue l'administrateur de compte dans la création et la gestion des abonnements Azure.

Relation entre l'administrateur de compte Azure et l'administrateur de services fédérés

Un administrateur de compte utilisant un compte Microsoft doit se connecter tous les 2 ans (ou plus fréquemment) pour maintenir actif son compte. Les comptes inactifs sont annulés, et les abonnements associés supprimés. Il n'existe aucune exigence de connexion si vous utilisez un compte professionnel ou un compte d'établissement scolaire.

Il existe trois rôles associés aux comptes et aux abonnements Azure :

 

Rôle d'administrateur Limite Résumé

Administrateur de compte

Un par compte Azure

Autorisé à accéder au centre de gestion (créer des abonnements, supprimer des abonnements, remplacer la facturation pour un abonnement, modifier un administrateur de services fédérés, etc.)

Administrateur de services fédérés

1 par abonnement Azure

Autorisé à accéder au Portail de gestion Azure pour tous les abonnements du compte. Par défaut, identique à l'administrateur de compte lorsqu'un abonnement est créé.

Coadministrateur

200 par abonnement (en plus de l'administrateur de services fédérés)

Identique à l'administrateur de services, mais ne peut pas modifier l'association des abonnements aux répertoires Azure.

L'administrateur de compte pour un abonnement est la seule personne qui a accès au centre de gestion. L'administrateur de compte n'a pas d'autre accès aux services dans cet abonnement ; il doit également être administrateur de services fédérés ou coadministrateur pour cela. Pour des raisons de sécurité, l'administrateur de compte pour un abonnement ne peut être modifié que par un appel au support technique Azure. L'administrateur de compte peut facilement réattribuer l'administrateur de services fédérés pour un abonnement au Centre de gestion à tout moment.

L'administrateur de services fédérés est le premier coadministrateur d'un abonnement. Comme d'autres coadministrateurs, l'administrateur de services fédérés a accès à la gestion des ressources du cloud à l'aide du Portail de gestion Azure, ainsi qu'à des outils comme Visual Studio, d'autres SDK et outils en ligne de commande, tels que PowerShell. L'administrateur de services fédérés peut également ajouter et supprimer d'autres coadministrateurs.

Le graphique ci-dessous illustre les droits d'accès et de gestion de base de ces rôles d'administrateur.

Relation entre le compte Azure, l'administrateur et le coadministrateur de services fédérés

Différences importantes entre l'administrateur de services fédérés et les coadministrateurs :

  • Les coadministrateurs ne peuvent pas supprimer l'administrateur de services fédérés du Portail de gestion Azure. Seul l'administrateur de compte peut modifier cette affectation dans le centre de gestion.

  • L'administrateur de services fédérés est le seul utilisateur autorisé à modifier l'association d'un abonnement avec un répertoire dans le Portail de gestion Azure.

L'accès à Azure commence par un ID d'utilisateur, qui est une combinaison d'adresse électronique et de mot de passe utilisée par Azure pour authentifier les utilisateurs. Les ID d'utilisateur se présentent de deux manières : Comptes Microsoft et comptes professionnels ou d'établissement scolaire.

  • Les comptes Microsoft prennent la forme <utilisateur>@outlook.com<utilisateur>@hotmail.com ou <utilisateur>@live.com.

  • Les comptes professionnels ou d'établissement scolaire prennent la forme judy@contoso.onmicrosoft.com ou judy@contoso.com, par exemple. « Contoso » peut être un nom de domaine quelconque.

Les comptes professionnels ou d'établissement scolaire sont différents des comptes Microsoft, car ils proviennent d'Azure Active Directory. Étant donné que les comptes professionnels ou d'établissement scolaire sont créés dans Azure Active Directory, vous avez plus d'options pour les gérer. Par exemple, les comptes professionnels ou d'établissement scolaire peuvent être complétés par l'authentification multifacteur, qui exige que l'utilisateur entre des informations supplémentaires pour la vérification de son identité.

Ainsi, en règle générale, utilisez des comptes professionnels ou d'établissement scolaire chaque fois que vous devez affecter un accès administrateur à Azure. Chaque abonnement Azure dispose d'un répertoire par défaut que vous pouvez utiliser pour créer des comptes professionnels ou d'établissement scolaire.

La portail de gestion Azure et la plupart des outils clients pour les services, tels que Visual Studio ou PowerShell, prennent en charge l'authentification basée sur les comptes. Il s'agit d'un schéma d'authentification basé sur des jetons, qui requiert simplement que l'utilisateur entre son ID d'utilisateur. Cependant, l'authentification à Windows Azure basée sur le compte lorsque vous utilisez des outils exécutés sur un client est une fonctionnalité relativement nouvelle. Avant cela, disposer d'un certificat de gestion pour un abonnement sur le client était la seule façon de s'authentifier. Cette authentification basée sur les certificats implique l'accès à un site Web spécial avec votre ID d'utilisateur pour télécharger un fichier d'abonnement (anciennement un fichier publishsettings), qui contient des informations sur les abonnements auxquels vous avez accès et leurs certificats, puis le référencement de ce fichier ou des certificats dans vos outils. Vous pouvez également créer le certificat vous-même, le télécharger dans le portail de gestion Azure, puis le référencer de la même manière.

Cette méthode est compliquée, sujette aux erreurs, et nécessite d'une infrastructure à clé publique (PKI) pour être correctement sécurisée.

L'authentification basée sur les certificats pour des fonctions de gestion est toujours prise en charge (et certains services Azure peuvent encore en avoir besoin), mais elle est plus compliquée et moins sécurisée que la gestion basée sur les comptes. Il est également simple de confondre cette authentification basée sur les certificats pour des fonctions de gestion des services avec l'authentification basée sur les certificats qui permet aux programmes et aux utilisateurs d'utiliser vos services lorsqu'ils sont en cours d'exécution.

C'est pourquoi, vous devez choisir l'authentification basée sur les comptes plutôt que l'authentification basée sur les certificats pour les fonctions de gestion des services, dans la mesure du possible.

ImportantImportant
L'authentification basée sur les comptes repose sur des jetons émis par un fournisseur d'authentification, et le fournisseur d'authentification choisit la durée de vie du jeton, qui peut être au minimum d'un jour ou au maximum de plusieurs semaines. Lorsque le jeton expire, l'utilisateur doit se reconnecter. Si vous avez besoin d'un accès client permanent aux fonctions de gestion des services, par exemple, pour des scripts de déploiement intégrés ou des projets de code longs, la gestion basée sur les certificats peut être la bonne solution.

Consultez les Notes de publication du Kit de développement logiciel (SDK) Microsoft Azure.

Généralement, plus le nombre d'administrateurs est élevé, plus vous devez vous intéresser aux instructions et aux meilleures pratiques. Même si vos services sont de petite taille et ont peu d'administrateurs, à mesure qu'ils évoluent, les meilleures pratiques en matière d'abonnement et de gestion de compte vous aideront à maintenir l'ordre durant cette croissance.

Utilisez des comptes professionnels ou d'établissement scolaire pour tous les rôles d'administration. Cela vous permet d'exploiter la puissance d'Azure Active Directory pour la gouvernance. Utilisez des répertoires pour gérer les utilisateurs et l'affectation de délégués, s'il y a lieu, pour votre entreprise. Pour plus d'informations, consultez Azure Active Directory.

Lorsque vous ajoutez ou modifiez une affectation de rôle d'administrateur, utilisez le même nom de domaine que celui avec lequel vous êtes connecté. Par exemple, si vous êtes administrateur de compte dans le domaine contoso.onmicrosoft.com et que vous réaffectez l'administrateur de services pour un abonnement, ajoutez-le avec un ID d'utilisateur dans le domaine contoso.onmicrosoft.com. Procédez de même si vous ajoutez des coadministrateurs dans le Portail de gestion Azure.

Créez un autre abonnement pour chaque service et donnez à chaque abonnement un nom unique. Cela vous permet de consulter l'utilisation et de contrôler l'accès dans chaque service de façon granulaire.

Afficher:
© 2015 Microsoft