Solution Microsoft, Expert – Active Directory – Serveur Windows, Sécurité - CYBER - Cloud AZURE, OFFICE 365
Découvrez des articles sur Windows, Active Directory, Azure, Office 365, Teams et cybersécurité.
Compte Azure Gratuit
Compte Azure
Le compte Azure gratuit est parfait pour les nouveaux utilisateurs qui souhaitent découvrir et explorer Azure. Pour vous inscrire, vous avez besoin d’un numéro de téléphone, d’une carte de crédit et d’un compte Microsoft ou GitHub. Les informations de carte de crédit sont utilisées uniquement pour vérifier votre identité. Aucun service ne vous est facturé tant que vous ne passez pas à un abonnement payant. Vous allez découvrir les principaux composants architecturaux d’Azure. Vous découvrirez l’organisation physique d’Azure : centres de données, zones de disponibilité et régions ; et vous découvrirez la structure organisationnelle d’Azure : ressources et groupes de ressources, abonnements et groupes d’administration.
Objectifs
À l’issue, vous pourrez :
· Décrire les régions, les paires de régions et les régions souveraines Azure
· Décrire les zones de disponibilité.
· Décrire les centres de données Azure.
· Décrire les ressources et les groupes de ressources Azure.
· Décrire les abonnements.
· Décrire les groupes d’administration.
· Décrire la hiérarchie des groupes de ressources, des abonnements et des groupes d’administration
Qu’est-ce que Microsoft Azure ?
Azure est un ensemble de services cloud en constante évolution qui vous aide à faire face aux défis actuels et futurs de l’entreprise. Azure vous offre la possibilité de créer, gérer et déployer des applications sur un réseau de dimension mondiale avec vos outils et frameworks préférés.
Que propose Azure ?
L’innovation sans limites. Générez des applications et solutions intelligentes avec une technologie, des outils et des services avancés pour aller de l’avant votre entreprise. Unifiez en toute transparence votre technologie pour simplifier la gestion de plateformes et fournir des innovations de manière efficace et sécurisée sur un cloud fiable.
· Donnez vie à des idées : Généré sur une plateforme fiable pour faire progresser votre organisation avec des services cloud et IA de pointe.
· Unifiez en toute transparence : Gérez efficacement toutes vos infrastructures, données, analyses et solutions IA dans l’ensemble d’une plateforme intégrée.
· Innovez sur la confiance : Appuyez-vous sur une technologie fiable d’un partenaire dédié à la sécurité et à la responsabilité.
À quoi me sert Azure ?
Azure fournit plus de 100 services qui vous permettent de tout faire, de l’exécution de vos applications existantes sur des machines virtuelles à l’exploration de nouveaux paradigmes logiciels, tels que les bots intelligents et la réalité mixte.
De nombreuses équipes commencent à explorer le cloud en déplaçant leurs applications existantes vers des machines virtuelles qui s’exécutent dans Azure. La migration de vos applications existantes vers des machines virtuelles est un bon début, mais le cloud est bien plus qu’un autre emplacement d’exécution de vos machines virtuelles.
Par exemple, Azure propose des services d’intelligence artificielle (IA) et de machine learning (ML) qui peuvent communiquer de façon naturelle par la vision, l’écoute et la parole. Il fournit également des solutions de stockage qui augmentent de manière dynamique pour s’adapter à de grandes quantités de données. Les services Azure permettent de trouver des solutions inenvisageables sans la puissance du cloud.
Bien démarrer avec les comptes Azure
Pour créer et utiliser des services Azure, vous avez besoin d’un abonnement Azure. Quand vous suivez des modules Learn, la plupart du temps, un abonnement temporaire est créé pour vous. Cet abonnement s’exécute dans un environnement appelé « bac à sable (sandbox) Learn ». Quand vous travaillez avec vos propres applications et ressources métier, vous devez créer un compte Azure, après quoi un abonnement sera créé pour vous. Une fois que vous avez créé un compte Azure, vous êtes libre de créer des abonnements supplémentaires. Par exemple, votre entreprise peut utiliser un seul compte Azure pour l’ensemble de son activité, mais des abonnements distincts pour les services de développement, de marketing et de vente. Une fois que vous avez créé un abonnement Azure, vous pouvez commencer à créer des ressources Azure dans chaque abonnement.
Si vous débutez avec Azure, vous pouvez demander un compte gratuit sur le site web Azure qui vous permettra de commencer à explorer Azure sans qu’aucuns frais ne vous soient facturés. Quand vous êtes prêt, vous pouvez choisir de mettre à niveau votre compte gratuit. Vous pouvez aussi créer un abonnement sur lequel vous sera facturée l’utilisation de services Azure qui ne sont pas prévus dans le cadre d’un compte gratuit.
Créer un compte Azure
Vous pouvez acheter un accès à Azure directement auprès de Microsoft en vous inscrivant sur le site web Azure ou par l’intermédiaire d’un représentant Microsoft. Vous pouvez également acheter un accès à Azure par le biais d’un partenaire Microsoft. Les partenaires fournisseurs de solutions cloud offrent une gamme complète de solutions cloud managées pour Azure.
Qu’est-ce que le compte Azure gratuit ?
Le compte Azure gratuit comprend :
· L’accès gratuit aux principaux produits Azure pendant 12 mois
· Un crédit à utiliser dans les 30 premiers jours.
· L’accès à plus de 25 produits toujours gratuits
Qu’est-ce que le compte étudiant Azure gratuit ?
Le compte étudiant Azure gratuit inclut :
· Accès gratuit à certains services Azure pendant 12 mois.
· Un crédit à utiliser pendant les 12 premiers mois.
· Accès gratuit à certains outils de développement de logiciels.
Le compte étudiant Azure gratuit est une offre destinée aux étudiants qui inclut un crédit de 100 $ et des outils de développement gratuits. Vous pouvez également vous inscrire sans carte de crédit.
Qu’est-ce que le bac à sable Microsoft Learn ?
La plupart des exercices Learn utilisent une technologie appelée « bac à sable » (sandbox), qui crée un abonnement temporaire et l’ajoute à votre compte Azure. Cet abonnement temporaire vous permet de créer des ressources Azure dans le cadre d’un module Learn. Learn nettoie automatiquement les ressources temporaires une fois que vous avez terminé le module.
Quand vous suivez un module Learn, vous pouvez tout à fait utiliser votre abonnement personnel pour effectuer les exercices qu’il contient. Cependant, le bac à sable est la méthode à privilégier, car il vous permet de créer et de tester gratuitement des ressources Azure.
Explorer le bac à sable Learn
Décrire l’infrastructure physique d’Azure
Tout au long de votre parcours Microsoft Azure, vous entendrez et emploierez des termes tels que régions, zones de disponibilité, ressources, abonnements, etc. Ce module porte essentiellement sur les principaux composants architecturaux d’Azure. Les principaux composants architecturaux d’Azure peuvent être divisés en deux composantes essentielles : l’infrastructure physique et l’infrastructure de gestion.
Infrastructure physique
À la base de l’infrastructure physique d’Azure se trouvent les centres de données. D’un point de vue conceptuel, les centres de données s’apparentent à des centres de données de grandes entreprises. Il s’agit d’installations dont les ressources sont organisées dans des racks, avec une alimentation, un système de refroidissement et une infrastructure réseau dédiés.
En tant que fournisseur de services cloud mondial, Azure dispose de centres de données dans le monde entier. Cependant, ces centres de données individuels ne sont pas directement accessibles. Les centres de données sont regroupés dans des régions Azure ou des zones de disponibilité Azure conçues pour vous faire bénéficier d’une résilience et d’une fiabilité pour vos charges de travail vitales pour l’entreprise.
Le site d’infrastructure globale vous donne la possibilité d’explorer de manière interactive l’infrastructure Azure sous-jacente.
Régions
Une région est une zone géographique constituée d’au moins un centre de données, mais qui peut en contenir plusieurs proches les uns des autres et reliés par un réseau à faible latence. Azure assigne et contrôle intelligemment les ressources au sein de chaque région pour que les charges de travail soient correctement équilibrées.
Quand vous déployez une ressource dans Azure, vous êtes souvent amené à choisir la région où vous souhaitez qu’elle Quand vous déployez une ressource dans Azure, vous êtes souvent amené à choisir la région où vous souhaitez qu’elle soit déployée.
Notes
Certains services ou fonctionnalités de machines virtuelles ne sont disponibles que dans certaines régions, comme des tailles de machines virtuelles ou des types de stockage spécifiques. De même, certains services Azure mondiaux ne vous obligent pas à sélectionner une région particulière, comme c’est le cas de Microsoft Entra ID, d’Azure Traffic Manager et d’Azure DNS.
Zones de disponibilité
Les zones de disponibilité sont des centres de données physiquement séparés au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un refroidissement et d’un réseau indépendants. Une zone de disponibilité est configurée pour être une limite d’isolation. Si une zone de disponibilité tombe en panne, l’autre continue à fonctionner. Les zones de disponibilité sont connectées via des réseaux en fibre optique privés très rapides.
Important
Pour garantir la résilience, au moins trois zones de disponibilité distinctes sont présentes dans toutes les régions qui ont des zones de disponibilité. En revanche, les zones de disponibilité ne sont actuellement pas prises en charge par toutes les régions Azure.
Utiliser des zones de disponibilité dans vos applications
Vous souhaitez vérifier que vos services et données sont redondants pour protéger vos informations en cas de défaillance. Quand vous hébergez votre infrastructure, la configuration de votre propre redondance nécessite la création d’environnements matériels en double. Azure peut vous aider à rendre votre application hautement disponible via des zones de disponibilité.
Vous pouvez utiliser des zones de disponibilité pour exécuter des applications stratégiques et bâtir la haute disponibilité dans votre architecture d’application par la colocalisation de vos ressources de calcul, de stockage, de réseau et de données dans une zone de disponibilité, et par la réplication dans d’autres zones de disponibilité. Ne perdez pas de vue que la duplication de vos services et le transfert de données entre les zones de disponibilité peuvent occasionner des coûts.
Les zones de disponibilité sont utilisées principalement pour les machines virtuelles, les disques managés, les équilibreurs de charge et les bases de données SQL. Les services Azure qui prennent en charge les zones de disponibilité sont classés en trois catégories :
· Services zonaux : vous épinglez la ressource à une zone spécifique (par exemple, des machines virtuelles, des disques managés, des adresses IP).
· Services redondants interzones : la plateforme effectue automatiquement une réplication entre des zones (par exemple, un stockage redondant interzone, SQL Database).
· Services non régionaux : les services sont toujours disponibles à partir de zones géographiques Azure et sont résilients aux pannes à l’échelle de la zone ainsi qu’aux pannes à l’échelle de la région.
En dépit de la résilience supplémentaire qu’apportent les zones de disponibilité, un événement de grand ampleur est susceptible d’impacter plusieurs zones de disponibilité dans une même région. Pour offrir une résilience encore plus importante, Azure propose des paires de régions.
Paires de régions
La plupart des régions Azure sont associées à une autre région au sein d’une même zone géographique (par exemple États-Unis, Europe ou Asie) distante d’au moins 480 kilomètres. Cette approche permet la réplication de ressources à l’échelle d’une zone géographique, ce qui contribue à réduire les risques d’interruptions liées à des événements tels que des catastrophes naturelles, des troubles civils, des coupures de courant ou des pannes de réseau physique affectant une région entière. Par exemple, si une région formant une paire est touchée par une catastrophe naturelle, les services basculent automatiquement vers l’autre région de la paire de régions.
Important
Tous les services Azure ne répliquent pas automatiquement les données. Tous ne se retirent pas non plus automatiquement d’une région défaillante pour effectuer une réplication croisée vers une autre région compatible. Dans ces scénarios, la récupération et la réplication doivent être configurées par le client.
Voici quelques exemples de paires de régions Azure : USA Ouest/USA Est et Asie Sud-Est/Asie Est. Dans la mesure où les deux régions sont directement connectées et suffisamment éloignées pour être à l’écart des sinistres locaux, vous pouvez les utiliser pour assurer la redondance des données et la fiabilité des services.
Les paires de régions offrent les avantages supplémentaires suivants :
· En cas de panne importante d’Azure, une région de chaque paire est prioritaire pour garantir qu’au moins l’une d’entre elles est restaurée aussi rapidement que possible pour les applications hébergées dans cette paire de régions.
· Les mises à jour Azure planifiées sont déployées sur les régions jumelées, à raison d’une région à la fois, pour limiter les interruptions de service et les risques de panne de l’application.
· Les données continuent de résider dans la même zone géographique que la région avec laquelle elle est jumelée (sauf Brésil Sud) afin de répondre aux exigences relatives à la fiscalité et à l’application de la loi.
Important
· La plupart des régions sont appairées dans les deux directions, ce qui signifie qu’elles assurent la sauvegarde de la région qui assure leur propre sauvegarde (les régions USA Ouest et USA Est assurent mutuellement leurs sauvegardes). Toutefois, certaines régions comme Inde Ouest et Brésil Sud sont appairées dans une seule direction. Dans un appairage unidirectionnel, la région primaire n’assure pas de sauvegarde pour sa région secondaire. Ainsi, même si la région secondaire d’Inde Ouest est Inde Sud, Inde Sud ne s’appuie pas sur Inde Ouest. La région secondaire de la région Inde Ouest est Inde Sud, mais la région secondaire de la région Inde Sud est Inde Centre. La région Brésil Sud est unique, car elle est couplée avec une région située en dehors de sa zone géographique. La région secondaire de la région Brésil Sud est USA Centre Sud. La région secondaire de la région USA Centre Sud n’est pas Brésil Sud.
Régions souveraines
Outre les régions normales, Azure dispose également de régions souveraines. Les régions souveraines sont des instances d’Azure isolées de l’instance principale d’Azure. Vous pouvez être amené à utiliser une région souveraine à des fins légales ou de conformité.
Les régions souveraines Azure sont les suivantes :
· US DoD Centre, US Gov Virginie, US Gov Iowa, etc. : Ces régions sont des instances physiques et logiques isolées du réseau d’Azure pour les agences gouvernementales et partenaires du secteur public des États-Unis. Ces centres de données sont gérés par un personnel autorisé aux États-Unis et incluent des certifications de conformité supplémentaires.
· Chine Est, Chine Nord, etc. : Ces régions sont disponibles via un partenariat unique conclu entre Microsoft et 21Vianet, qui stipule que Microsoft ne gère pas directement les centres de données.
Décrire l’infrastructure de gestion Azure
L’infrastructure de gestion comprend des ressources et des groupes de ressources, des abonnements et des comptes Azure. La compréhension de l’organisation hiérarchique vous aidera à planifier vos projets et produits dans Azure.
Ressources et groupes de ressources Azure
Une ressource est le bloc de construction de base d’Azure. Tout ce que vous créez, provisionnez, déployez, etc. est une ressource. Les machines virtuelles, les réseaux virtuels, les bases de données, les services cognitifs, etc. sont tous considérés comme des ressources dans Azure.
Les groupes de ressources sont simplement des regroupements de ressources. Quand vous créez une ressource, vous devez la placer dans un groupe de ressources. Même si un groupe de ressources peut contenir de nombreuses ressources, une même ressource ne peut se trouver que dans un seul groupe de ressources à la fois. Certaines ressources peuvent être déplacées entre les groupes de ressources, mais une fois que vous avez déplacé une ressource dans un nouveau groupe, elle n’est plus associée à l’ancien groupe. Par ailleurs, il n’est pas possible d’imbriquer des groupes de ressources. Autrement dit, vous ne pouvez pas placer le groupe de ressources B dans le groupe de ressources A.
Les groupes de ressources offrent un moyen pratique de regrouper des ressources. Quand vous appliquez une action à un groupe de ressources, cette action s’applique à toutes les ressources contenues dans le groupe de ressources. Si vous supprimez un groupe de ressources, toutes les ressources qu’il contient sont supprimées. Si vous accordez ou refusez l’accès à un groupe de ressources, vous accordez ou refusez l’accès à toutes les ressources contenues dans le groupe de ressources.
Quand vous provisionnez des ressources, il est judicieux de réfléchir à la structure de groupe de ressources qui répond le mieux à vos besoins.
Par exemple, si vous configurez un environnement de développement provisoire, le fait de regrouper toutes les ressources signifie que vous pourrez déprovisionner toutes les ressources associées à la fois en supprimant le groupe de ressources. Si vous provisionnez des ressources de calcul qui auront besoin de trois schémas d’accès différents, il est peut-être préférable de regrouper les ressources en fonction du schéma d’accès, puis d’attribuer l’accès au niveau du groupe de ressources.
Il n’existe pas de règles strictes concernant la façon d’utiliser les groupes de ressources. Réfléchissez à la meilleure façon de configurer vos groupes de ressources pour en optimiser l’utilité.
Abonnements Azure
Dans Azure, les abonnements sont une unité de gestion, de facturation et de mise à l’échelle. Comme les groupes de ressources offrent un moyen d’organiser logiquement les ressources, les abonnements vous permettent d’organiser logiquement vos groupes de ressources et facilitent la facturation.
L’utilisation d’Azure nécessite un abonnement Azure. Un abonnement vous donne un accès authentifié et autorisé aux produits et services Azure. Il vous permet également de provisionner des ressources. Un abonnement Azure est lié à un compte Azure, qui est une identité dans Microsoft Entra ID ou dans un répertoire approuvé par Microsoft Entra ID.
Un compte peut comporter plusieurs abonnements, mais il est seulement nécessaire d’en posséder un. Dans un compte multi-abonnement, vous pouvez utiliser les abonnements pour configurer différents modèles de facturation et appliquer différentes stratégies de gestion d’accès. Vous pouvez utiliser des abonnements Azure pour définir des limites autour de produits, de services et de ressources Azure. Vous pouvez utiliser deux types de limites d’abonnement :
· Limites de facturation : Ce type d’abonnement détermine la façon dont l’utilisation d’Azure est facturée à un compte Azure. Vous pouvez créer plusieurs abonnements en fonction des conditions de facturation. Azure génère des factures et des rapports de facturation distincts pour chaque abonnement afin que vous puissiez organiser et gérer les coûts.
· Limites de contrôle d’accès : Azure applique des stratégies de gestion des accès au niveau de l’abonnement, ce qui vous permet de créer des abonnements distincts pour les différentes structures organisationnelles. Par exemple, dans une entreprise, vous avez différents services auxquels vous appliquez des stratégies d’abonnement Azure distinctes. Ce modèle de facturation vous permet de gérer et de contrôler l’accès aux ressources provisionnées par les utilisateurs dans les différents abonnements.
Créer des abonnements Azure supplémentaires
De la même manière que vous utilisez des groupes de ressources pour séparer les ressources par fonction ou accès, vous pouvez créer des abonnements supplémentaires à des fins de gestion des ressources ou de la facturation. Par exemple, vous pouvez choisir de créer des abonnements supplémentaires pour une facturation séparée :
· Environnements : vous pouvez choisir de créer plusieurs abonnements pour configurer des environnements distincts pour le développement et les tests, pour des raisons de sécurité ou pour isoler les données à des fins de conformité. Cette conception est particulièrement utile, car le contrôle d’accès aux ressources s’effectue au niveau de l’abonnement.
· Structures organisationnelles : vous pouvez créer des abonnements qui reflètent vos différentes structures organisationnelles. Par exemple, vous pouvez limiter l’accès d’une équipe aux ressources à faible coût, mais autoriser le service informatique à accéder à l’ensemble des ressources. Cette conception vous permet de gérer et contrôler l’accès aux ressources provisionnées par les utilisateurs au sein de chaque abonnement.
· Facturation : vous pouvez créer des abonnements supplémentaires pour vos besoins de facturation. Les coûts sont initialement agrégés au niveau de l’abonnement, mais vous pouvez créer plusieurs abonnements pour gérer et suivre les coûts de la manière qui vous convient le mieux. Par exemple, créez un abonnement dédié à vos charges de travail de production et un autre abonnement réservé à vos charges de travail de développement et de test.
Groupes d’administration Azure
Le dernier élément est le groupe d’administration. Les ressources sont rassemblées dans des groupes de ressources, et les groupes de ressources sont rassemblés dans des abonnements. Si vous débutez dans Azure, vous pouvez juger que cette hiérarchie suffit à maintenir les choses organisées. Mais imaginez que vous ayez affaire à plusieurs applications, plusieurs équipes de développement, dans plusieurs zones géographiques.
Si vous disposez d’un grand nombre d’abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements. Vous organisez les abonnements en conteneurs appelés groupes d’administration, et vous appliquez des conditions de gouvernance aux groupes d’administration. Tous les abonnements contenus dans un groupe d’administration héritent automatiquement des conditions appliquées au groupe d’administration, de la même façon que les groupes de ressources héritent des paramètres des abonnements et que les ressources héritent des groupes de ressources. Les groupes d’administration vous permettent une gestion de niveau entreprise à grande échelle, quel que soit le type de vos abonnements. Les groupes d’administration peuvent être imbriqués.
Groupe d’administration, abonnements et hiérarchie de groupes de ressources
Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements pour organiser vos ressources dans une hiérarchie à des fins de stratégie unifiée et de gestion de l’accès. Le diagramme suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes d’administration.
Voici quelques exemples de la façon dont vous pouvez utiliser les groupes d’administration :
· Créer une hiérarchie qui applique une stratégie. Vous pouvez limiter la localisation des machines virtuelles à la région USA Ouest dans un groupe nommé Production. Cette stratégie est héritée par tous les abonnements descendants de ce groupe d’administration et s’applique à toutes les machines virtuelles relevant de ces abonnements. Cette stratégie de sécurité ne peut pas être modifiée par le propriétaire de la ressource ou de l’abonnement, ce qui permet une gouvernance améliorée.
· Fournir aux utilisateurs un accès à plusieurs abonnements. En déplaçant plusieurs abonnements relevant d’un groupe d’administration, vous pouvez créer une affectation de contrôle d’accès en fonction du rôle (RBAC) dans le groupe d’administration. L’affectation du contrôle d’accès en fonction du rôle Azure au niveau du groupe d’administration signifie que tous les sous-groupes d’administration, abonnements, groupes de ressources et ressources relevant de ce groupe d’administration hériteraient également de ces autorisations. Une affectation sur le groupe d’administration peut autoriser les utilisateurs à accéder à tout ce dont ils ont besoin, au lieu de créer un script Azure RBAC sur différents abonnements.
Informations importantes concernant les groupes d’administration :
· 10 000 groupes d’administration peuvent être pris en charge dans un seul annuaire.
· Une arborescence de groupes d’administration peut prendre en charge jusqu’à six niveaux de profondeur. Cette limite n’inclut pas le niveau Racine ni le niveau de l’abonnement.
· Chaque groupe d’administration et chaque abonnement ne peut avoir qu’un seul parent