Politique de gouvernance des comptes Azure

Lignes directrices sur les permissions pour vos abonnements Azure avec Sherweb.

• L’objectif de ce document est de présenter la politique de gouvernance des comptes Azure de Sherweb, alignée sur les meilleures pratiques de sécurité Azure de Microsoft, incluant les principes de moindre privilège et de “Zero Trust”.

• En tant que propriétaire de vos abonnements Azure, il est important de comprendre quelles permissions sont configurées automatiquement ainsi que les options dont vous disposez lors de l’attribution des accès à Sherweb.

• Pour plus d’informations sur l’impact sur votre relation avec Sherweb, veuillez consulter le calendrier de Azure Service Schedule.

Permissions par défaut pour tous les nouveaux abonnements Azure

Lorsqu'un nouvel abonnement Azure est créé sous le Compte de Sherweb, les éléments suivants s’appliquent :

• Le “Sherweb Admin Agent” (également appelé Foreign Principal ou Service Principal) est automatiquement créé sur l’abonnement Azure.

• Les permissions “Owner” sont automatiquement assignées à ce rôle.

   

Pour les transferts uniquement :

Afin de permettre à Sherweb de vous accompagner durant le processus de transfert :

• Les permissions "Owner" doivent être accordées sur l’abonnement Azure pendant 10 jours (ou jusqu’à la fin du transfert). 

• Une fois le transfert complété, vous pouvez ajuster les accès du Foreign Principal de Sherweb sur l’abonnement.

• Pour accorder les permissions sur les abonnements transférés, veuillez consulter les commandes PowerShell dans la section Procédure.

Quels rôles RBAC Azure (moindre privilège) doivent être assignés à Sherweb ?

Nous recommandons d’attribuer les rôles Azure RBAC suivants afin de :

• Bénéficier de votre rabais Azure Sherweb (partenaires uniquement).

• Recevoir du support de Sherweb pour les actions spécifiques au modèle CSP Indirect Provider, incluant :  

  • Demandes d’augmentation de quotas via le portail Azure.

  • Annulation de réservations Azure.

Note sur le rabais Azure et l'étendue du support de Sherweb

Si au moins un rôle admissible au Partner Earned Credit (PEC) n’est pas assigné au Foreign Principal de Sherweb : Vous ne recevrez pas votre rabais Azure Sherweb.

Sherweb aura une capacité limitée ou nulle à vous supporter sur votre abonnement Azure.

Rôles recommandés:

Learn more about the available built-in Azure RBAC roles that you can assign to your Azure Subscription  

Procédure – Attribution des accès (moindre privilège / “Owner”) pour maintenir le support et le rabais

Voici les étapes pour attribuer le niveau minimal de permissions requis :

Prérequis

• Disposer des identifiants d’un utilisateur avec le rôle “Global Administrator”.

• Il est fortement recommandé d’élever les privilèges pour les manipulations Azure.

  https://learn.microsoft.com/en-us/azure/role-based-access-control/elevate-access-global-admin?tabs=azure-portal%2Centra-audit-logs

Connaître : La localisation des données du compte (Canada, USA, Europe): Tu peux obtenir l’emplacement des données du compte à l’aide de ton portail de gestion de compte Cumulus, au besoin.

L'identifiant de Compte Chaque compte (*.onmicrosoft.com) possède un identifiant de compte (tenant ID) unique. Vous pouvez obtenir votre tenant ID à l’aide du portail Azure.
1.
 

2.

Le ou les identifiant d’abonnement Azure Chaque abonnement Azure possède un identifiant d’abonnement (subscription ID) unique. Vous pouvez obtenir votre ID d’abonnement à l’aide du portail Azure.
1.

2.
 

Étape 1 – Accéder à Azure et ouvrir PowerShell

• Aller sur le: Azure Portal 

• Suivre les Instructions: Start Cloud Shell 

Étape 2 – Se connecter via PowerShell

• Dans l'interface “Azure CLoud Shell” ajouter la commande suivante et cliquer sur “Entrer”

  Connect-AzAccount-UseDeviceAuthentication

Étape 3 – Retirer les rôles existants

Suivre les instructions ici pour Supprimer toute attribution de rôle.

Étape 4 – Assigner les nouvelles permissions

Note: Sélectionner <ADMIN_AGENTS_ID> selon la localisation :

• Si la localisation est USA : 065b0bfc-1277-41bc-bbb7-9b221db190c0

• Si la localisation est Canada : c3e7caf0-c590-4086-9467-abbcd2d62e58
• Si la localisation est Europe (principal) : e0ba3fef-0a31-4139-a9d4-4711b4324da4
• Si la localisation est Europe (secondaire) : 999d911a-e48f-4ed9-8a6b-6b3a07cdf6b0
• Si la localisation est Royaume-Uni : 7cc94c08-5bdf-4615-b501-49167881e880

Owner (admissible PEC)

New-AzRoleAssignment -ObjectID "Admin Agent ID" -RoleDefinitionName "Owner" -Scope "/subscriptions/Sub ID" -ObjectType "ForeignGroup" 

Quota Request Operator

New-AzRoleAssignment -ObjectID "Admin Agent ID" -RoleDefinitionName "Quota Request Operator" -Scope "/subscriptions/Sub ID" -ObjectType "ForeignGroup"

Support Request Contributor (admissible PEC)

New-AzRoleAssignment -ObjectID "Admin Agent ID" -RoleDefinitionName "Support Request Contributor" -Scope "/subscriptions/Sub ID" -ObjectType "ForeignGroup"

Reservations Administrator

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId < Admin Agent ID> -RoleDefinitionName "Reservations Administrator"

Option Azure CLI

Lancer les commandes suivantes:
 

az login --tenant [Customer_Tenant_ID]

az account set --subscription [Azure_CSP_Subscription_ID]

az role assignment create --role "Owner" --assignee-object-id [AdminAgents_ID] --scope "/subscriptions/Azure_CSP_Subscription_ID " --assignee-principal-type “ForeignGroup”

Ressources supplémentaires

• Azure built-in roles : détails des rôles disponibles.

• Roles and permissions required to receive partner earned credit : liste des rôles permettant d’obtenir le crédit partenaire.

• Best practices for Azure RBAC : recommandations pour l’attribution des rôles.