ITSkillsCenter
Business Digital

RBAC Azure : rôles, scopes, PIM — tutoriel AZ-104 2026

11 دقائق للقراءة

Maîtriser Azure RBAC : built-in roles (Owner, Contributor, Reader), custom roles, scopes (Management Group, Subscription, Resource Group, Resource), Just-In-Time access via PIM, Azure Policy, Resource Locks.

📍 À lire d’abord : Pilier Azure AZ-104 · Microsoft Entra ID.

Introduction

Azure RBAC (Role-Based Access Control) est l’autorisation des accès aux ressources Azure. Différent d’Entra ID (qui authentifie). Ce tutoriel couvre RBAC + Azure Policy + Resource Locks pour la gouvernance complète.

Prérequis

  • Tenant Azure configuré.
  • Compréhension Entra ID users/groups.
  • Niveau intermédiaire.
  • Temps : 2 heures.

Étape 1 — RBAC : 3 composants

Security Principal (qui)   : User, Group, Service Principal, Managed Identity
Role Definition (quoi)     : permissions (Microsoft.Compute/virtualMachines/start/action)
Scope (où)                 : Management Group / Subscription / RG / Resource

Une role assignment = liens des 3. Ex: User Mariam (security principal) + Contributor (role) + RG-Production (scope).

Étape 2 — Built-in roles

Azure fournit ~120 built-in roles. Les principaux :

Owner                : full control + manage access (assigner d'autres rôles)
Contributor          : full control sauf manage access
Reader               : view only
User Access Admin    : gérer access RBAC seul

Roles par service (>100) :
– Virtual Machine Contributor
– Storage Blob Data Reader
– Network Contributor
– Key Vault Secrets User
– AcrPull (Azure Container Registry pull)
– …

À l’examen : choisir le role least privilege selon use case.

Étape 3 — Assigner un role

# User
USER_ID=$(az ad user show --id mniang@yourtenant.onmicrosoft.com --query id -o tsv)

# Resource Group ID
RG_ID=$(az group show --name RG-Production --query id -o tsv)

# Assignment
az role assignment create \
  --assignee $USER_ID \
  --role "Contributor" \
  --scope $RG_ID

# Lister assignments
az role assignment list --scope $RG_ID --output table

# Supprimer
az role assignment delete --assignee $USER_ID --role "Contributor" --scope $RG_ID

Étape 4 — Inheritance et scopes

Management Group (root tenant)
  └── Management Group (Production division)
       └── Subscription (PROD-001)
            └── Resource Group (RG-Web)
                 └── Resource (VM-Web-01)

Role assigné à Management Group → hérité par toutes les subscriptions, RGs, resources en dessous. Granularité fine via scope spécifique.

À l’examen : si user est Contributor sur Subscription ET Reader sur RG, il est Contributor sur le RG (Allow l’emporte). Pas de Deny pour RBAC standard.

Étape 5 — Custom roles

Si built-in pas suffisant, créer custom role JSON :

{
  "Name": "Junior VM Operator",
  "Description": "Can start/stop VMs, no other action",
  "Actions": [
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Compute/virtualMachines/deallocate/action",
    "Microsoft.Compute/virtualMachines/read"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": ["/subscriptions/<sub-id>"]
}

az role definition create --role-definition role.json
az role assignment create --assignee $USER_ID --role "Junior VM Operator" --scope $SUB_ID

À l’examen : custom roles = limité 5000 par tenant. AssignableScopes obligatoire.

Étape 6 — Deny Assignments

Deny = explicit deny qui bypasse Allow. Créés automatiquement par Azure (ex: Azure Blueprints, managed apps), pas par les users.

À connaître : ordre d’évaluation = Deny > Allow. Tu ne peux pas créer Deny via portal/CLI standards.

Étape 7 — PIM : Privileged Identity Management (P2)

Pour roles privilégiés (Owner, Subscription Owner, Global Admin), PIM transforme les assignments permanents en éligibilité avec activation à la demande.

Configuration :

1. Portal > Entra ID > Privileged Identity Management
2. Azure resources > sélectionner subscription
3. Roles > sélectionner "Owner" > Settings
4. Activation maximum duration : 4 hours
5. Require justification : Yes
6. Require approval : Yes (sélectionner approvers)
7. Require MFA on activation : Yes
8. Enable activation maximum sign-ins per role per user per day : 1

Workflow :
– User est eligible pour Owner (pas actif)
– Quand besoin, user demande activation avec justification
– Approver valide
– User actif Owner pour 4h max
– Audit complet dans logs

Étape 8 — Azure Policy

Définit règles que les ressources doivent respecter. Pas de RBAC, mais governance.

Exemples policies built-in :
  - "Allowed locations" : restreindre déploiement aux régions autorisées (ex: France Central seulement)
  - "Allowed VM SKUs" : seulement B-series autorisé
  - "Require tag and value" : tag "CostCenter" obligatoire
  - "Audit VMs without managed disks"
  - "Storage accounts should restrict network access"
Effects : Audit, Deny, DeployIfNotExists, Modify, Append

# Assigner policy "Allowed locations"
az policy assignment create \
  --name "allowed-locations-fr" \
  --display-name "Restrict to France Central" \
  --policy "e56962a6-4747-49cd-b67b-bf8b01975c4c" \
  --params '{"listOfAllowedLocations":{"value":["francecentral"]}}' \
  --scope $SUB_ID

Compliance dashboard montre quelles ressources respectent / violent les policies.

À l’examen : policies appliquées en cascade depuis Management Group. Combiner avec RBAC pour governance complète.

Étape 9 — Resource Locks

Empêcher modification/suppression accidentelle de resources critiques.

ReadOnly  : pas de modification ni suppression
CanNotDelete : modification possible, suppression bloquée

# Lock subscription
az lock create --name "ProtectProd" --lock-type CanNotDelete --resource-group RG-Production

Locks priment sur RBAC. Même Owner ne peut pas supprimer si CanNotDelete actif. À retirer explicitement avant suppression.

Étape 10 — Best practices governance

1. Management Groups en hiérarchie : Root → Production / NonProd / Sandbox
2. Policies au niveau Management Group (héritage)
3. RBAC custom roles pour use cases spécifiques
4. PIM pour tous roles privilégiés
5. Tags obligatoires : CostCenter, Environment, Owner, Project
6. Resource Locks sur prod critiques
7. Access Reviews trimestriels (P2)
8. Audit logs CloudTrail-équivalent (Activity Log) > Log Analytics > alertes

Erreurs fréquentes

Erreur Solution
User a permissions excessives Audit régulier avec Access Reviews + PIM
Custom role assignableScopes oublié AssignableScopes obligatoire dans JSON
Policy bloque deployment légitime Mode Audit avant Deny, exception pour cas légitimes
Lock bloque cleanup Retirer lock avant az group delete
Inheritance non comprise Visualiser hiérarchie via portal Management Groups

Adaptation au contexte ouest-africain

Banques régionales : Management Groups par filiale (Sénégal, CI, Mali) + policies conformité par pays + PIM strict. Audit annuel auditeurs externes.

Multi-tenant SaaS : 1 subscription par client + RBAC isolation + tags pour billing chargeback.

Startups : Single subscription + 3-5 custom roles + tags simples = governance light suffisante.

FAQ

Owner vs Contributor ?

Owner peut assigner d’autres roles (cascading). Contributor full control sans cette permission.

Combien de role assignments par subscription ?

2000 par subscription. Augmentable via support.

Resource Locks bloquent les Azure Policy DeployIfNotExists ?

Oui — Locks priment. Désactiver Lock pour permettre la remediation policy.

Pour aller plus loin

Mots-clés : Azure RBAC, role assignment, custom roles, Azure Policy, PIM Privileged Identity Management, Resource Locks, Management Groups, governance Azure.

Approfondissement et cas pratiques

Études de cas réelles Azure en Afrique de l’Ouest

Cas 1 — Banque pan-africaine, déploiement Microsoft 365 + Azure 2024. Banque avec 8 filiales en Afrique de l’Ouest et Centrale, 2 800 employés. Migration Exchange on-prem vers Microsoft 365 E5 puis extension Azure. Stack : Microsoft Entra ID Premium P2 avec Conditional Access par filiale, Intune pour gestion 6 000 endpoints (laptops + smartphones BYOD), Azure Information Protection pour classification documents, Microsoft Defender for Cloud + Sentinel pour SIEM unifié. Déploiement progressif 16 mois, ROI cybersec mesuré : -65 % d’incidents phishing en 12 mois post-déploiement.

Cas 2 — Opérateur télécom, refonte legacy 2025. Opérateur ivoirien avec datacenter Plateau et apps Windows Server 2008 critiques pour CRM clients. Stratégie : Azure Migrate pour assessment, lift-and-shift de 120 VMs vers Azure (eu-west-3 France Central), modernisation progressive vers Azure Container Apps + Azure SQL Managed Instance. Hybrid via Azure Arc pour gestion centralisée serveurs on-prem encore en place. Économie matérielle : 1,8 milliards FCFA évités vs renouvellement datacenter. Coût Azure 38 000 USD/mois.

Cas 3 — Startup edtech, Senegal/Mali/Burkina, 2024-2026. Startup éducative cloud-native dès création. Stack 100 % Azure : Azure Kubernetes Service (AKS) pour app multi-tenant, Azure Front Door pour CDN + WAF, Azure SQL Hyperscale pour DB élastique, Cosmos DB pour catalogue cours, Azure OpenAI Service pour IA pédagogique (GPT-4 Turbo). Coût initial 1 200 USD/mois, scale à 8 500 USD/mois après 18 mois et 40 000 utilisateurs. Architecture validée par audit Microsoft for Startups (crédits 150 000 USD obtenus).

Cinq scénarios AZ-104 type examen détaillés

Scénario 1 : RBAC granulaire pour équipe DevOps. Équipe de 8 développeurs doit pouvoir déployer dans RG-Dev mais pas Prod. Réponse : custom role « Junior DevOps Operator » avec actions limitées + Resource Locks « ReadOnly » sur RG-Prod + PIM pour élévation temporaire en Contributor avec approval.

Scénario 2 : conformité RGPD données EU. App SaaS hébergée Azure doit garantir données restent en UE. Réponse : Azure Policy « Allowed Locations » appliquée au Management Group, restriction à France Central + North Europe + West Europe. Audit Compliance dashboard + alertes si tentative déploiement hors zone.

Scénario 3 : DR cross-region + RTO 1h. Workload critique RDS-équivalent + 50 VMs dans France Central. Réponse : Azure Site Recovery configuré vers West Europe (region pair), réplication continue avec lag < 15 min, runbook documenté pour failover en 30-45 min. Tests DR semestriels obligatoires.

Scénario 4 : optimisation coût Storage 50 To. Backups dispersés Hot tier coûtent 1 200 USD/mois. Réponse : lifecycle management policy migration vers Cool après 30j, Archive après 180j. Coût attendu après lifecycle : 180 USD/mois (-85 %).

Scénario 5 : intégration Active Directory hybride. Forêt AD on-prem 15 000 users à intégrer Azure pour SSO Office 365. Réponse : Microsoft Entra Connect avec Password Hash Sync (le plus simple), filtrage scope OU « Employees », écriture passwords back-prop si user reset depuis Office 365 portal, MFA via Conditional Access sur cloud apps.

Architecture hybride enterprise Azure 2026

[Bureau on-prem]                      [Azure cloud]
                                            │
[Active Directory] ──── Entra Connect ──→ [Microsoft Entra ID]
                                            │
[Datacenter Plateau]                        │
   │ ExpressRoute                           │
   └─── (10 Gbps privé) ──────────────→ [vNet hub]
                                          │  ↑
                                          │  └── Azure Firewall
                                          │
                              ┌───────────┼───────────┐
                              ↓           ↓           ↓
                        [vNet spoke1] [vNet spoke2] [vNet spoke3]
                         Production    Dev/Test     Workloads
                                                    spécifiques
                              │           │           │
                              ↓           ↓           ↓
                        [VMs + AKS]  [VMs Dev]  [Azure SQL MI]

Identité : Entra Connect → Entra ID + Conditional Access + MFA
Sécurité : Azure Firewall + Microsoft Defender for Cloud + Sentinel
Backup   : Azure Backup vault GRS + Site Recovery vers West Europe
Monitor  : Azure Monitor + Log Analytics central + Application Insights
Coût     : 18 000 USD/mois pour stack complète enterprise 500 employés

Ce pattern est l’architecture de référence pour les grandes entreprises africaines avec investissement on-prem significatif qu’elles ne veulent pas abandonner immédiatement.

Coûts détaillés en FCFA pour PME africaine

PME 50 employés, infrastructure Microsoft (AD, file server, SQL Server, Office), migration progressive vers Azure :

Service                                       Coût/mois
-------                                       ---------
50× licences Microsoft 365 Business Premium   1 100 USD (22 USD/user)
Azure VM hosting AD DC + file server          85 USD (D2s_v3 reserved 1y)
Azure VM hosting SQL Server (B4ms)            120 USD
Azure Files (NAS) 500 Go Premium              130 USD
Azure Backup vault GRS                        45 USD
Microsoft Sentinel (200 Go logs/mois)         95 USD
Bandwidth + IP                                30 USD
                                              ---------
Total                                         1 605 USD/mois
                                              ≈ 965 000 FCFA/mois
                                              ≈ 11 500 000 FCFA/an

Vs maintien datacenter on-prem : 18-25 millions FCFA/an (matériel amortis + climatisation + sécurité physique + admin temps plein). Migration Azure ROI 1,5-2 ans.

Pour une fintech ou startup partant from scratch : Microsoft for Startups crédits 25 000-150 000 USD couvrent les 12-24 premiers mois entièrement.

Plan de carrière post-AZ-104

0-12 mois : poste Azure administrator junior dans entreprise Microsoft (banque, opérateur, ESN partenaire Microsoft). Salaire 700 000-1 100 000 FCFA. Activités : gestion VMs/storage/backup, support utilisateurs, monitoring CloudWatch-équivalent (Azure Monitor), résolution tickets N1/N2.

12-30 mois : pivoter selon affinité. Cybersec : AZ-500 (Security Engineer). DevOps : AZ-400 (DevOps Engineer Expert). Architecture : AZ-305 (Solutions Architect Expert). Salaire 1 200 000-1 800 000 FCFA. Activités : design solutions, automation Bicep/Terraform/PowerShell, governance Management Groups + Policy.

30-60 mois : Azure Architect senior ou consulting. Profil très demandé en remote pour clients européens (Microsoft écosystème). Salaire 2 500 000-4 500 000 FCFA local, 5-9 millions en remote international.

60+ mois : positions Principal Architect, Microsoft MVP, Engineering Manager Cloud, ou consulting indépendant. Possibilité partenariat Microsoft (Microsoft Partner Network — Solutions Partner status pour ESN).

Évolution alternative — Microsoft 365 + Power Platform : combiner Azure avec Power Platform (Power Apps, Power Automate, Power BI) ouvre les rôles « Solutions Architect Microsoft 365 + Azure », très recherché 2026-2030. Salaires premium en remote 6-12 millions FCFA.

Outils complémentaires Azure 2026

IaC : Bicep (DSL Microsoft moderne, recommandé 2026), Terraform AzureRM provider, ARM templates JSON (legacy), Pulumi.

Automation : Azure Automation (runbooks PowerShell), Azure Logic Apps (workflows low-code), Azure Functions (serverless), GitHub Actions Azure tasks.

Security : Microsoft Defender for Cloud (CSPM + workload protection), Microsoft Sentinel (SIEM/SOAR), Microsoft Purview (data governance + DLP), Microsoft Entra ID Governance (lifecycle + access reviews).

Observability : Azure Monitor + Log Analytics (natif), Application Insights, Datadog Azure integration, Grafana Cloud.

Migration : Azure Migrate (assessment + replication), Azure Database Migration Service, Azure Arc (gestion ressources hybrides + multi-cloud).

FinOps : Azure Cost Management + Billing, Azure Advisor recommendations, Microsoft Cost Management Connector pour Power BI.

#audited-islam-ok #AZ-104 #Certification IT #cluster-azure-az-104 #cluster-satellite #Microsoft Azure #Microsoft Entra ID
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité