{"id":9123,"date":"2025-09-29T13:27:36","date_gmt":"2025-09-29T13:27:36","guid":{"rendered":"https:\/\/techhub.saworks.io\/docs\/preparation-de-certifications\/certification-azure\/gerer-les-charges-de-travail-hybrides-avec-azure-arc\/restreindre-lacces-avec-rbac\/"},"modified":"2025-09-29T13:35:45","modified_gmt":"2025-09-29T13:35:45","slug":"restreindre-lacces-avec-rbac","status":"publish","type":"docs","link":"https:\/\/techhub.saworks.io\/fr\/docs\/preparation-de-certifications\/certification-azure\/gerer-les-charges-de-travail-hybrides-avec-azure-arc\/restreindre-lacces-avec-rbac\/","title":{"rendered":"Restreindre l\u2019acc\u00e8s avec RBAC"},"content":{"rendered":"\n
\n

Azure Monitor<\/strong> stocke les journaux collect\u00e9s \u00e0 partir des syst\u00e8mes g\u00e9r\u00e9s dans un espace de travail Log Analytics<\/strong>.
Chaque espace de travail constitue une limite de s\u00e9curit\u00e9<\/strong> que vous pouvez prot\u00e9ger avec RBAC<\/strong> au niveau de l\u2019espace de travail.
Cependant, le contenu de chaque espace de travail est \u00e9galement soumis \u00e0 un m\u00e9canisme de contr\u00f4le d\u2019acc\u00e8s<\/strong> qui examine les autorisations attribu\u00e9es aux ressources individuelles<\/strong> \u00e0 partir desquelles les journaux ont \u00e9t\u00e9 collect\u00e9s.<\/p>\n\n\n\n

La d\u00e9termination du m\u00e9canisme qui s\u2019applique d\u00e9pend de plusieurs facteurs, notamment :<\/p>\n\n\n\n

<\/div>\n\n\n\n

Mode d\u2019acc\u00e8s<\/strong><\/h3>\n\n\n\n

Cela repr\u00e9sente la m\u00e9thode utilis\u00e9e pour acc\u00e9der \u00e0 l\u2019espace de travail et d\u00e9finit le mode de contr\u00f4le d\u2019acc\u00e8s<\/strong> appliqu\u00e9 automatiquement. Il existe deux modes d\u2019acc\u00e8s :<\/p>\n\n\n\n

    \n
  • Contexte de l\u2019espace de travail<\/strong> :
    Ce mode s\u2019applique lorsque vous acc\u00e9dez aux journaux depuis la section Azure Monitor<\/strong> du portail Azure.
    Dans ce cas, la port\u00e9e est d\u00e9finie sur toutes les donn\u00e9es de toutes les tables<\/strong> de l\u2019espace de travail.<\/li>\n\n\n\n
  • Contexte de la ressource<\/strong> :
    Ce mode s\u2019applique lorsque vous acc\u00e9dez aux journaux depuis le volet d\u2019une ressource individuelle<\/strong>.
    Dans ce cas, la port\u00e9e est d\u00e9finie sur toutes les donn\u00e9es de cette ressource sp\u00e9cifique uniquement<\/strong>.<\/li>\n<\/ul>\n\n\n\n
    <\/div>\n\n\n\n

    Mode de contr\u00f4le d\u2019acc\u00e8s<\/strong><\/h3>\n\n\n\n

    Il s\u2019agit d\u2019un param\u00e8tre au niveau de l\u2019espace de travail qui d\u00e9finit comment les autorisations sont d\u00e9termin\u00e9es au niveau de l\u2019espace de travail et de la ressource. Il existe deux modes :<\/p>\n\n\n\n

      \n
    • Exiger des autorisations au niveau de l\u2019espace de travail<\/strong> :
      Ce mode est bas\u00e9 sur les autorisations de l\u2019espace de travail, que ce soit dans le contexte de l\u2019espace de travail ou de la ressource.<\/li>\n\n\n\n
    • Utiliser les autorisations de la ressource ou de l\u2019espace de travail<\/strong> :
      Ce mode est bas\u00e9 sur les autorisations de l\u2019espace de travail dans le contexte de l\u2019espace de travail<\/strong>, et sur les autorisations de la ressource dans le contexte de la ressource<\/strong>.
      C\u2019est le param\u00e8tre par d\u00e9faut<\/strong> pour tous les espaces de travail.<\/li>\n<\/ul>\n\n\n\n
      <\/div>\n\n\n\n

      Bien que cela fonctionne comme pr\u00e9vu pour les ressources Azure<\/strong>, cela pose un d\u00e9fi lors de l\u2019acc\u00e8s aux donn\u00e9es collect\u00e9es \u00e0 partir d\u2019ordinateurs locaux<\/strong>, car ils ne sont pas soumis au RBAC Azure<\/strong>.
      Azure Arc<\/strong> permet de r\u00e9soudre ce probl\u00e8me, car il attribue un ID de ressource<\/strong> et un groupe de ressources Azure correspondant<\/strong> \u00e0 chaque ordinateur non Azure.
      Ainsi, vous pouvez configurer l\u2019acc\u00e8s aux journaux collect\u00e9s \u00e0 partir d\u2019ordinateurs locaux<\/strong> en utilisant le m\u00eame m\u00e9canisme<\/strong> que celui appliqu\u00e9 aux ressources Azure.<\/p>\n\n\n\n

      <\/div>\n\n\n\n

      G\u00e9rer l\u2019acc\u00e8s<\/strong><\/h3>\n\n\n\n

      Pour g\u00e9rer l\u2019acc\u00e8s \u00e0 l\u2019aide de RBAC<\/strong> pour les ressources locales, suivez la proc\u00e9dure suivante :<\/p>\n\n\n\n

        \n
      1. Depuis le portail Azure<\/strong>, acc\u00e9dez \u00e0 Azure Arc<\/strong>.<\/li>\n\n\n\n
      2. S\u00e9lectionnez G\u00e9rer les serveurs<\/strong>.<\/li>\n\n\n\n
      3. Dans la liste des serveurs g\u00e9r\u00e9s, s\u00e9lectionnez le serveur appropri\u00e9, puis dans le menu de navigation<\/strong>, s\u00e9lectionnez Contr\u00f4le d\u2019acc\u00e8s (IAM)<\/strong>.<\/li>\n<\/ol>\n\n\n\n
        <\/div>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        <\/div>\n\n\n\n

        Le tableau suivant d\u00e9crit les cinq onglets disponibles sur la page Contr\u00f4le d\u2019acc\u00e8s (IAM), ainsi que les actions que vous pouvez y effectuer.<\/p>\n\n\n\n

        <\/div>\n\n\n\n
        Onglet<\/strong><\/th>Explication<\/strong><\/th><\/tr><\/thead>
        V\u00e9rifier l\u2019acc\u00e8s<\/strong><\/th>Vous pouvez utiliser les liens de l\u2019onglet V\u00e9rifier l\u2019acc\u00e8s<\/em> pour ajouter une affectation de r\u00f4le sur la ressource, consulter les affectations de r\u00f4le et afficher les affectations de refus. Vous pouvez \u00e9galement rechercher des principaux de s\u00e9curit\u00e9 Microsoft Entra sp\u00e9cifiques, tels que des utilisateurs et des groupes, et d\u00e9terminer les niveaux d\u2019acc\u00e8s qu\u2019ils ont sur la ressource. En savoir plus : D\u00e9marrage rapide \u2013 Afficher les acc\u00e8s d\u2019un utilisateur aux ressources Azure<\/em>.<\/td><\/tr>
        Affectations de r\u00f4le<\/strong><\/th>Dans l\u2019onglet Affectations de r\u00f4le<\/em>, vous pouvez consulter les affectations de r\u00f4le actuelles et les modifier si n\u00e9cessaire. En savoir plus : Ajouter ou supprimer des affectations de r\u00f4le Azure via le portail Azure<\/em>.<\/td><\/tr>
        Affectations de refus<\/strong><\/th>Utilisez l\u2019onglet Affectations de refus<\/em> pour consulter les utilisateurs bloqu\u00e9s qui sont emp\u00each\u00e9s d\u2019effectuer certaines actions, m\u00eame si une affectation de r\u00f4le leur accorde l\u2019acc\u00e8s requis. En savoir plus : Lister les affectations de refus Azure via le portail Azure<\/em>.<\/td><\/tr>
        Administrateurs classiques<\/strong><\/th>Dans l\u2019onglet Administrateurs classiques<\/em>, consultez les administrateurs classiques de votre organisation. Ces utilisateurs ne sont n\u00e9cessaires que si vous utilisez encore des d\u00e9ploiements classiques Azure. En savoir plus : Administrateurs d\u2019abonnement classique Azure<\/em>.<\/td><\/tr>
        R\u00f4les<\/strong><\/th>Dans l\u2019onglet R\u00f4les<\/em>, vous pouvez affecter des comptes d\u2019utilisateurs aux r\u00f4les int\u00e9gr\u00e9s. Vous ajoutez une affectation de r\u00f4le depuis la barre d\u2019outils. En savoir plus : Ajouter ou supprimer des affectations de r\u00f4le Azure via le portail Azure<\/em>.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
        <\/div>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        <\/div>\n\n\n\n
        \n

        \ud83d\udca1 Astuce<\/strong><\/h3>\n\n\n\n

        Dans la barre d\u2019outils, s\u00e9lectionnez + Ajouter<\/strong> pour ajouter un coadministrateur<\/strong> ou une nouvelle affectation de r\u00f4le<\/strong>.<\/p>\n<\/div>\n\n\n\n

        <\/div>\n\n\n\n

        Lectures compl\u00e9mentaires<\/strong><\/h3>\n\n\n\n

        Vous pouvez en apprendre davantage en consultant le document suivant :<\/p>\n\n\n\n

          \n
        • Qu\u2019est-ce que le contr\u00f4le d\u2019acc\u00e8s bas\u00e9 sur les r\u00f4les Azure (Azure RBAC) ?<\/strong><\/li>\n<\/ul>\n\n\n\n
          <\/div>\n\n\n\n

          Unit\u00e9 suivante : \u00c9valuation du module<\/strong><\/h3>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

          Azure Monitor stocke les journaux collect\u00e9s \u00e0 partir des syst\u00e8mes g\u00e9r\u00e9s dans un espace de travail Log Analytics.Chaque espace de travail constitue une […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":9083,"menu_order":7,"comment_status":"closed","ping_status":"closed","template":"","doc_tag":[],"doc_badge":[],"class_list":["post-9123","docs","type-docs","status-publish","hentry"],"author_avatar":"https:\/\/secure.gravatar.com\/avatar\/6a70e7c73db9f245e650948d09d74f61?s=96&d=mm&r=g","author_name":"Annick N'dri","_links":{"self":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9123"}],"collection":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/comments?post=9123"}],"version-history":[{"count":0,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9123\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9083"}],"wp:attachment":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/media?parent=9123"}],"wp:term":[{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_tag?post=9123"},{"taxonomy":"doc_badge","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_badge?post=9123"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}