Créez la politique au niveau racine pour verrouiller ou déverrouiller un Azure compte. En tant qu’administrateur Azure , verrouillez un abonnement, un groupe de ressources ou une Azure ressource pour éviter toute suppression et modification accidentelle.
Procédure
-
Connectez-vous à l’organisation Azure .
-
Recherchez et sélectionnez des utilisateurs.
-
Dans la liste Nom d’utilisateur, sélectionnez un utilisateur.
-
Dans le volet de navigation, sélectionnez Rôles affectés.
-
Sous les rôles administratifs, ajoutez le rôle d’administrateur général en sélectionnant Ajouter des affectations.
-
Entrez Microsoft Entra ID dans la zone de recherche et sélectionnez .
-
Sous Gestion des accès aux ressources Azure, définissez le commutateur sur Oui.
Cette option vous permet de gérer l’accès à tous les Azure abonnements et groupes d’administration de ce locataire.
-
Recherchez et sélectionnez Politique.
-
Sélectionnez + Définition de politique.
-
Saisissez les informations suivantes :
- Sélectionnez le groupe racine du locataire à l’aide des points de suspension sur l’emplacement de la définition.
Vous pouvez sélectionner un groupe d’administration ou un abonnement. Si vous sélectionnez le groupe racine du locataire, tous les abonnements enfants peuvent également être gérés.
- Entrez le nom de la définition de politique. Par exemple, LockAccount_policy.
- Description de l’objectif de la définition de stratégie.
- Sous RÈGLE DE POLITIQUE, copiez le code JSON suivant :
{
"properties": {
"displayName": "CAM_LockAccount_Policy",
"policyType": "Custom",
"mode": "All",
"description": "Blocks the creation of resources and configurations that fall under Azure Policy enforcement.",
"parameters": {
"allowedResourceTypes": {
"type": "Array",
"metadata": {
"displayName": "Allowed Resource Types",
"description": "List of resource types that are allowed for creation. Any resource type not listed here will be blocked.",
"strongType": "resourceTypes"
},
"defaultValue": []
},
"allowedLocations": {
"type": "Array",
"metadata": {
"displayName": "Allowed Locations",
"description": "List of allowed Azure regions for resource creation."
},
"defaultValue": []
},
"effect": {
"type": "String",
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
},
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"defaultValue": "Deny"
}
},
"policyRule": {
"if": {
"anyOf": [
{
"not": {
"field": "type",
"in": "[parameters('allowedResourceTypes')]"
}
},
{
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
}
}
- Sélectionnez Enregistrer.
Remarque : Pour vérifier si la politique est créée, accédez à PolicyDefinitions. Modifiez le champ d’application du filtre et le type de politique pour trouver la politique.
- Sélectionnez le nom de la politique et copiez l’ID de définition.