Événements
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantCe navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Les facteurs qui déterminent les données auxquelles vous pouvez accéder dans un espace de travail Log Analytics sont :
Cet article explique comment gérer l'accès aux données dans un espace de travail Log Analytics.
Les facteurs qui définissent les données auxquelles vous pouvez accéder sont décrits dans le tableau suivant. Chaque facteur fait l’objet d’une description approfondie dans les sections qui suivent.
Factor | Description |
---|---|
Mode d’accès | Méthode utilisée pour accéder à l’espace de travail. Définit l’étendue des données disponibles et le mode de contrôle d’accès qui est appliqué. |
Mode de contrôle d’accès | Paramètre de l’espace de travail qui détermine si des autorisations sont appliquées au niveau de la ressource ou de l’espace de travail. |
Contrôle d’accès en fonction du rôle Azure (RBAC) | Autorisations appliquées à des utilisateurs spécifiques ou à des groupes d’utilisateurs pour l’espace de travail ou la ressource qui envoie des données à l’espace de travail. Définit les données auxquelles vous avez accès. |
Azure RBAC au niveau de la table | Autorisations facultatives qui définissent des types de données spécifiques dans l’espace de travail auxquels vous pouvez accéder. Peut s’appliquer à tous les modes d’accès ou modes de contrôle d’accès. |
Le mode d’accès fait référence à la façon dont vous accédez à un espace de travail Log Analytics et définit les données auxquelles vous pouvez accéder pendant la session actuelle. Le mode est déterminé en fonction de l’étendue que vous sélectionnez dans Log Analytics.
Il existe deux modes d’accès :
Les enregistrements sont disponibles dans les requêtes ressource-contexte seulement s’ils sont associés à la ressource appropriée. Pour vérifier cette association, exécutez une requête et en vérifiant que la colonne _ResourceId est remplie.
Il existe des limitations connues avec les ressources suivantes :
Le tableau suivant récapitule les modes d’accès :
Problème | Contexte d’espace de travail | Contexte d’espace de ressource |
---|---|---|
À qui chaque modèle s’adresse-t-il ? | Administration centrale. Les administrateurs qui ont besoin de configurer une collecte de données et les utilisateurs qui ont besoin d’accéder à un large éventail de ressources. Également nécessaire pour les utilisateurs qui doivent accéder aux journaux des ressources situées en dehors d’Azure. |
Équipes d’application. Administrateurs de ressources Azure en cours de supervision. Leur permet de se concentrer sur leur ressource sans effectuer de filtrage. |
De quoi un utilisateur a-t-il besoin pour voir les journaux ? | Autorisations sur l’espace de travail. Consultez « Autorisations d’espace de travail » dans Gérer l’accès en utilisant des autorisations d’espace de travail. |
Accès en lecture à la ressource. Consultez « Autorisations de ressources » dans Gérer l’accès en utilisant des autorisations Azure. Les autorisations peuvent être héritées du groupe de ressources ou de l’abonnement ou directement attribuées à la ressource. L’autorisation sur les journaux pour la ressource est automatiquement attribuée. L’utilisateur n’a pas besoin d’accéder à l’espace de travail. |
Quelle est l’étendue des autorisations ? | Espace de travail. Les utilisateurs ayant accès à l’espace de travail peuvent interroger tous les journaux dans cet espace de travail à partir des tables sur lesquelles ils ont des autorisations. Consultez Définir un accès en lecture au niveau de la table. |
Ressource Azure. Les utilisateurs peuvent interroger les journaux pour des ressources, groupes de ressources ou abonnements auxquels ils ont accès dans n’importe quel espace de travail, mais ils ne peuvent pas interroger les journaux pour d’autres ressources. |
Comment un utilisateur peut-il accéder aux journaux ? | Dans le menu Azure Monitor, sélectionnez Journaux. Sélectionnez Journaux dans Espaces de travail Log Analytics. Depuis des workbooks Azure Monitor. |
Sélectionnez Journaux dans le menu pour la ressource Azure. Les utilisateurs auront accès aux données pour cette ressource. Sélectionnez Journaux dans le menu Azure Monitor. Les utilisateurs auront accès aux données pour toutes les ressources auxquelles ils ont accès. Sélectionnez Journaux dans Espaces de travail Log Analytics, si les utilisateurs ont accès à l’espace de travail. Depuis des workbooks Azure Monitor. |
Le mode de contrôle d’accès est un paramètre sur chaque espace de travail qui définit comment les autorisations sont déterminées pour l’espace de travail.
Exiger des autorisations d’espace de travail. Ce mode de contrôle n’autorise pas un contrôle Azure RBAC précis. Pour accéder à l’espace de travail, l’utilisateur doit avoir des autorisations sur l’espace de travail ou sur des tables spécifiques.
Si un utilisateur accède à l’espace de travail dans le contexte de l’espace de travail, il a accès à toutes les données de toutes les tables auxquelles il est autorisé à accéder. Si un utilisateur accède à l’espace de travail dans le contexte de la ressource, il a accès uniquement aux données de cette ressource dans les tables auxquelles il est autorisé à accéder.
Il s’agit du paramétrage par défaut pour tous les espaces de travail créés avant mars 2019.
Utiliser les autorisations de ressource ou d’espace de travail. Ce mode de contrôle autorise un contrôle Azure RBAC granulaire. Les utilisateurs peuvent être autorisés à accéder uniquement aux données associées aux ressources qu’ils peuvent afficher en attribuant l’autorisation read
Azure.
Quand un utilisateur accède à l’espace de travail dans le contexte de l’espace de travail, les autorisations d’espace de travail s’appliquent. Quand un utilisateur accède à l’espace de travail dans le contexte de la ressource, seules les autorisations de ressource sont vérifiées, les autorisations d’espace de travail étant ignorées. Activez Azure RBAC pour un utilisateur en le supprimant des autorisations d’espace de travail et en permettant à ses autorisations de ressource d’être reconnues.
Il s’agit du paramétrage par défaut pour tous les espaces de travail créés après mars 2019.
Notes
Si un utilisateur a seulement des autorisations au niveau des ressources pour l’espace de travail, il peut accéder à l’espace de travail seulement en utilisant le mode ressource-contexte, à condition que le mode d’accès à l’espace de travail soit défini sur Utiliser les autorisations de ressource ou d’espace de travail.
Affichez le mode de contrôle d’accès à l’espace de travail actuel dans la page Vue d’ensemble de l’espace de travail, dans le menu Espace de travail Log Analytics.
Changez ce paramètre dans la page Propriétés de l’espace de travail. Si vous n’avez pas les autorisations de configurer l’espace de travail, la possibilité de modifier le paramètre est désactivée.
L’accès à un espace de travail est géré en utilisant le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Pour accorder l’accès à l’espace de travail Log Analytics en utilisant des autorisations Azure, suivez les étapes décrites dans Attribuer des rôles Azure pour gérer l’accès à vos ressources d’abonnement Azure.
Plusieurs comptes peuvent être associés à chaque espace de travail. Chaque compte peut avoir accès à plusieurs espaces de travail. Le tableau suivant liste les autorisations Azure pour différentes actions d’espace de travail :
Action | Autorisations Azure nécessaires | Notes |
---|---|---|
Changer le niveau tarifaire. | Microsoft.OperationalInsights/workspaces/*/write |
|
Créer un espace de travail dans le portail Azure. | Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/* |
|
Visualiser les propriétés de base de l’espace de travail et entrer dans le panneau Espace de travail du portail. | Microsoft.OperationalInsights/workspaces/read |
|
Interroger des journaux en utilisant n’importe quelle interface. | Microsoft.OperationalInsights/workspaces/query/read |
|
Accéder à tous les types de journaux en utilisant des requêtes. | Microsoft.OperationalInsights/workspaces/query/*/read |
|
Accéder à une table de journal spécifique - méthode héritée | Microsoft.OperationalInsights/workspaces/query/<table_name>/read |
|
Lire les clés de l’espace de travail pour autoriser l’envoi de journaux à cet espace de travail. | Microsoft.OperationalInsights/workspaces/sharedKeys/action |
|
Créer ou mettre à jour une règle récapitulative | Microsoft.Operationalinsights/workspaces/summarylogs/write |
|
Ajouter et supprimer des solutions de monitoring. | Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Ces autorisations doivent être accordées au niveau du groupe de ressources ou de l’abonnement. |
|
Visualiser des données dans les vignettes de solution Sauvegarde et Récupération de site. | Administrateur/coadministrateur Accède aux ressources déployées en utilisant le modèle de déploiement classique. |
|
Exécuter une tâche de recherche. | Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write |
|
Restaurer des données depuis la conservation à long terme. | Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write |
|
Créer ou mettre à jour une règle de résumé | Microsoft.Operationalinsights/workspaces/summarylogs/write |
Attribuez des utilisateurs à ces rôles pour leur donner accès à différentes étendues :
Créez des affectations au niveau de la ressource (espace de travail) afin d’assurer un contrôle d’accès précis. Pour créer des rôles avec les autorisations spécifiques nécessaires, utilisez des rôles personnalisés.
Notes
Pour ajouter et supprimer des utilisateurs au niveau d’un rôle utilisateur, vous devez avoir les autorisations Microsoft.Authorization/*/Delete
et Microsoft.Authorization/*/Write
.
Les membres du rôle Lecteur Log Analytics peuvent afficher la totalité des données et paramètres de supervision, notamment la configuration des diagnostics Azure sur toutes les ressources Azure. Permet aux membres d’afficher toutes les données relatives aux ressources dans le champ d’application qui leur a été attribué, notamment :
Le rôle Lecteur Log Analytics inclut les actions Azure suivantes :
Type | Autorisation | Description |
---|---|---|
Action | */read |
Possibilité de visualiser toutes les ressources Azure et la configuration des ressources. Inclut la visualisation des éléments suivants : - État d’extension de machine virtuelle. - Configuration des diagnostics Azure sur les ressources. - Totalité des paramètres et propriétés de l’ensemble des ressources. Pour les espaces de travail, permet aux autorisations illimitées de lire les paramètres de l’espace de travail et d’interroger les données. Voir des options plus précises dans la liste précédente. |
Action | Microsoft.Support/* |
Possibilité d’ouvrir des cas de support. |
Non-action | Microsoft.OperationalInsights/workspaces/sharedKeys/read |
Interdiction de lecture de la clé d’espace de travail requise pour l’utilisation de l’API de collecte de données et pour l’installation des agents. Ceci empêche l’utilisateur d’ajouter de nouvelles ressources à l’espace de travail. |
Les membres du rôle Contributeur Log Analytics peuvent effectuer les opérations suivantes :
Avertissement
Vous pouvez utiliser l’autorisation pour ajouter une extension de machine virtuelle à une machine virtuelle afin d’avoir un contrôle total sur une machine virtuelle.
Le rôle Contributeur Log Analytics inclut les actions Azure suivantes :
Autorisation | Description |
---|---|
*/read |
Possibilité de visualiser toutes les ressources Azure et la configuration des ressources. Inclut la visualisation des éléments suivants : - État d’extension de machine virtuelle. - Configuration des diagnostics Azure sur les ressources. - Totalité des paramètres et propriétés de l’ensemble des ressources. Pour les espaces de travail, permet aux autorisations illimitées de lire les paramètres de l’espace de travail et d’interroger les données. Voir des options plus précises dans la liste précédente. |
Microsoft.Automation/automationAccounts/* |
Possibilité de créer et de configurer des comptes Azure Automation, et notamment d’ajouter et de modifier des runbooks. |
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/* |
Ajouter, mettre à jour et supprimer des extensions de machine virtuelle, notamment l’extension Microsoft Monitoring Agent et l’extension Agent OMS pour Linux. |
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action |
Visualisation de la clé du compte de stockage ; Obligatoire pour configurer Log Analytics pour la lecture des journaux provenant des comptes de stockage Azure. |
Microsoft.Insights/alertRules/* |
Ajouter, mettre à jour et supprimer des règles d’alerte. |
Microsoft.Insights/diagnosticSettings/* |
Ajouter, mettre à jour et supprimer des paramètres de diagnostic sur des ressources Azure. |
Microsoft.OperationalInsights/* |
Ajout, mise à jour et suppression de configuration pour les espaces de travail Log Analytics. Pour modifier des paramètres avancés d’espace de travail, l’utilisateur a besoin de Microsoft.OperationalInsights/workspaces/write . |
Microsoft.OperationsManagement/* |
Ajout et suppression de solutions de gestion. |
Microsoft.Resources/deployments/* |
Création et suppression de déploiements ; Obligatoire pour l’ajout et la suppression de solutions, d’espaces de travail et de comptes Automation. |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
Création et suppression de déploiements ; Obligatoire pour l’ajout et la suppression de solutions, d’espaces de travail et de comptes Automation. |
Pour lire ou envoyer des données à un espace de travail dans le contexte de la ressource, vous avez besoin des autorisations suivantes sur la ressource :
Autorisation | Description |
---|---|
Microsoft.Insights/logs/*/read |
Possibilité de visualiser toutes les données de journal pour la ressource |
Microsoft.Insights/logs/<tableName>/read Exemple : Microsoft.Insights/logs/Heartbeat/read |
Possibilité d’afficher une table spécifique pour cette ressource - méthode héritée |
Microsoft.Insights/diagnosticSettings/write |
Possibilité de configurer les paramètres de diagnostic pour autoriser la configuration des journaux pour cette ressource |
L’autorisation /read
est généralement accordée à partir d’un rôle disposant des autorisations */read ou *, comme les rôles intégrés Lecteur et Contributeur. Les rôles personnalisés qui incluent des actions spécifiques ou des rôles intégrés dédiés peuvent ne pas inclure cette autorisation.
Outre l’utilisation des rôles intégrés pour un espace de travail Log Analytics, vous pouvez créer des rôles personnalisés pour attribuer des autorisations plus précises. Voici quelques exemples courants.
Exemple 1 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources.
*/read
ou Microsoft.Insights/logs/*/read
à leurs ressources. S’ils ont déjà le rôle de Lecteur Log Analytics sur l’espace de travail, c’est suffisant.Exemple 2 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources et d’exécuter un travail de recherche.
*/read
ou Microsoft.Insights/logs/*/read
à leurs ressources. S’ils ont déjà le rôle de Lecteur Log Analytics sur l’espace de travail, c’est suffisant.Microsoft.OperationalInsights/workspaces/tables/write
: obligatoire pour pouvoir créer la table de résultats de la recherche (_SRCH).Microsoft.OperationalInsights/workspaces/searchJobs/write
: requis pour autoriser l’exécution de l’opération du travail de recherche.Exemple 3 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources et de configurer ses ressources pour envoyer des journaux à l’espace de travail Log Analytics.
Microsoft.OperationalInsights/workspaces/read
et Microsoft.OperationalInsights/workspaces/sharedKeys/action
. Avec ces autorisations, les utilisateurs ne peuvent pas exécuter des requêtes au niveau de l’espace de travail. Ils peuvent uniquement énumérer l’espace de travail et l’utiliser comme destination pour les paramètres de diagnostic ou la configuration de l’agent.Microsoft.Insights/logs/*/read
et Microsoft.Insights/diagnosticSettings/write
. Si le rôle Lecteur ou Contributeur Log Analytics leur est déjà attribué, ou s’ils disposent déjà des autorisations */read
sur cette ressource, c’est suffisant.Exemple 4 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources, et non d’envoyer des journaux à l’espace de travail Log Analytics ou de lire des événements de sécurité.
Microsoft.Insights/logs/*/read
.Microsoft.Insights/logs/SecurityEvent/read
. La non-action doit avoir le même rôle personnalisé que l’action qui fournit l’autorisation de lecture (Microsoft.Insights/logs/*/read
). Si l’utilisateur hérite de l’action de lecture d’un autre rôle attribué à cette ressource, à l’abonnement ou au groupe de ressources, il peut lire tous les types de journaux. C’est également le cas s’il hérite de l’autorisation */read
qui est par exemple associée au rôle Lecteur ou Contributeur.Exemple 5 : accorder à un utilisateur l’autorisation de lire les données d’un journal à partir de ses ressources et toutes les connexions Microsoft Entra et toutes les données de journal l’accès de la solution Update Management dans l’espace de travail Log Analytics.
Microsoft.OperationalInsights/workspaces/read
: obligatoire pour que l’utilisateur puisse énumérer l’espace de travail et ouvrir le panneau correspondant dans le portail AzureMicrosoft.OperationalInsights/workspaces/query/read
: obligatoire pour chaque utilisateur qui peut exécuter des requêtesMicrosoft.OperationalInsights/workspaces/query/SigninLogs/read
: pour pouvoir lire les journaux de connexion Microsoft EntraMicrosoft.OperationalInsights/workspaces/query/Update/read
: pour pouvoir lire les journaux de la solution Gestion des mises à jourMicrosoft.OperationalInsights/workspaces/query/UpdateRunProgress/read
: pour pouvoir lire les journaux de la solution Gestion des mises à jourMicrosoft.OperationalInsights/workspaces/query/UpdateSummary/read
: pour pouvoir lire les journaux de Gestion des mises à jourMicrosoft.OperationalInsights/workspaces/query/Heartbeat/read
: obligatoire pour pouvoir utiliser les solutions Gestion des mises à jourMicrosoft.OperationalInsights/workspaces/query/ComputerGroup/read
: obligatoire pour pouvoir utiliser les solutions Gestion des mises à jour*/read
, attribué au rôle Lecteur, ou Microsoft.Insights/logs/*/read
Exemple 6 : Restreindre l’accès d’un utilisateur à la restauration des données depuis la conservation à long terme.
Microsoft.OperationalInsights/workspaces/restoreLogs/write
Consultez Gérer l’accès en lecture au niveau de la table.
Événements
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantEntrainement
Module
Créer et configurer un espace de travail Log Analytics - Training
Dans ce module, vous allez apprendre à créer, puis configurer l’accès à un espace de travail Log Analytics. Vous allez également apprendre à configurer la conservation des données et à activer les alertes d’état d’intégrité pour un espace de travail Log Analytics.
Certification
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Expliquez les fonctionnalités de Microsoft Entra ID pour moderniser des solutions d’identité, implémenter des solutions hybrides et une gouvernance des identités.