> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/fr/automatisation/connecting-azure-automation/azure-ad-roles-and-permissions.md). # Exigences d'exécution des runbooks ## Modules PowerShell {% hint style="info" %} La section Modules PowerShell est mise à jour automatiquement en fonction du [dépôt public](https://github.com/realmjoin/realmjoin-runbooks). {% endhint %} Les runbooks partagés disponibles sur [GitHub](https://github.com/realmjoin/realmjoin-runbooks) attendent/utilisent les modules Windows PowerShell suivants : | Module | Version minimale dans les runbooks | | -------------------------------- | ---------------------------------- | | `Az.Accounts` | 5.5.0 | | `Az.Compute` | 5.1.1 | | `Az.DesktopVirtualization` | 5.4.1 | | `Az.ManagementPartner` | 0.7.5 | | `Az.Resources` | 9.0.1 | | `Az.Storage` | 9.6.0 | | `ExchangeOnlineManagement` | 3.9.2 | | `Microsoft.Graph.Authentication` | 2.37.0 | | `MicrosoftTeams` | 7.6.0 | | `RealmJoin.RunbookHelper` | 0.8.6 | Le portail RealmJoin importera et installera automatiquement ces modules s’ils sont référencés depuis l’intérieur d’un runbook. Cette importation respectera également les versions minimales spécifiées pour les modules. ## Autorisations {% hint style="info" %} La section Autorisations est mise à jour automatiquement en fonction du [dépôt public](https://github.com/realmjoin/realmjoin-runbooks). {% endhint %} Les runbooks partagés RealmJoin utilisent [l’identité managée attribuée par le système](https://learn.microsoft.com/en-us/azure/automation/enable-managed-identity-for-automation) pour interagir avec Entra ID, l’API MS Graph, etc. La liste suivante de rôles et d’autorisations vous permettra d’utiliser tous les runbooks actuellement disponibles dans notre dépôt partagé. Il n’est pas recommandé de réduire ces rôles/autorisations, car les runbooks sont testés uniquement avec cet ensemble d’autorisations. Si vous réduisez l’ensemble des rôles/autorisations, certains runbooks cesseront de fonctionner. ### Rôles Entra ID Veuillez attribuer les rôles Entra ID suivants à l’identité managée * Développeur d'application * Administrateur d’appareils cloud * Administrateur Exchange * Administrateur Teams * Administrateur d’utilisateurs ### Autorisations de l’API Graph Veuillez accorder les autorisations suivantes de l’API Graph à l’identité managée * `Application.Read.All` * `Application.ReadWrite.OwnedBy` * `AuditLog.Read.All` * `BitLockerKey.Read.All` * `Channel.ReadBasic.All` * `ChannelMember.ReadWrite.All` * `CloudPC.ReadWrite.All` * `Device.ReadWrite.All` * `DeviceLocalCredential.Read.All` * `DeviceManagementApps.ReadWrite.All` * `DeviceManagementConfiguration.ReadWrite.All` * `DeviceManagementManagedDevices.PrivilegedOperations.All` * `DeviceManagementManagedDevices.ReadWrite.All` * `DeviceManagementServiceConfig.ReadWrite.All` * `Directory.Read.All` * `Group.Create` * `Group.ReadWrite.All` * `GroupMember.ReadWrite.All` * `IdentityRiskyUser.ReadWrite.All` * `InformationProtectionPolicy.Read.All` * `Mail.Send` * `Organization.Read.All` * `Place.Read.All` * `Policy.Read.All` * `Reports.Read.All` * `ReportSettings.ReadWrite.All` * `RoleAssignmentSchedule.Read.Directory` * `RoleManagement.Read.All` * `RoleManagement.Read.Directory` * `Team.Create` * `TeamSettings.ReadWrite.All` * `User.ReadWrite.All` * `UserAuthenticationMethod.ReadWrite.All` * `WindowsUpdates.ReadWrite.All` ### Autres autorisations d’API d’application Veuillez accorder les autorisations suivantes de l’API Office 365 Exchange Online à l’identité managée * `Exchange.ManageAsApp` Veuillez accorder les autorisations suivantes de l’API WindowsDefenderATP à l’identité managée * `Machine.Read.All` * `Machine.Isolate` * `Machine.RestrictExecution` * `Ti.ReadWrite.All` Veuillez accorder les autorisations suivantes de l’API SharePoint à l’identité managée * `User.Read.All` * `Sites.Read.All` * `Sites.FullControl.All` ### Attribution des rôles et des autorisations L’attribution d’autorisations aux identités managées ne peut actuellement pas être effectuée via Azure Portal. Nous recommandons d’utiliser MS Graph / un script PowerShell pour cela. Vous pouvez trouver un exemple de ce processus [ici](https://github.com/Workplace-Foundation/approle-and-directoryrole-granter). ### Autorisations de ressources Azure Veuillez accorder au moins l’accès « Contributor » à l’abonnement ou au groupe de ressources hébergeant le compte Azure Automation pour les runbooks Certains runbooks utiliseront un Storage Account Azure pour stocker des rapports ou des sauvegardes. Veuillez accorder au moins l’accès « Contributor » à l’abonnement ou au groupe de ressources correspondant. La plupart des runbooks peuvent alors créer eux-mêmes les ressources à l’intérieur du groupe de ressources. ## Méthodes d’authentification ### Identités managées Azure Automation prend en charge [Identités managées](https://docs.microsoft.com/en-us/azure/automation/enable-managed-identity-for-automation) (attribuée par le système) comme principal moyen d’authentification. Cela remplace les comptes RunAs obsolètes. Les RealmJoin Runbooks prennent actuellement en charge les comptes RunAs si aucune identité managée n’est configurée. {% hint style="warning" %} Si une identité managée et un compte RunAs sont configurés en même temps, les runbooks du dépôt partagé de RealmJoin préféreront automatiquement utiliser l’identité managée lors de l’utilisation des versions plus récentes de notre module de prise en charge `RealmJoin.RunbookHelper` à partir de la version v0.8.0. Les anciennes versions du module ne pouvaient pas utiliser pleinement les identités managées et privilégiaient le compte RunAs. Veuillez vous assurer d’accorder les autorisations nécessaires à l’identité managée ou de la désactiver complètement afin de n’utiliser que le compte RunAs. {% endhint %} ### Secret client Certains runbooks privés peuvent nécessiter une authentification de type ClientID/Secret. Il n’existe actuellement aucun runbook partagé nécessitant un ClientID et un Secret. Si nécessaire, un ClientID et un Secret peuvent être stockés dans les informations d’identification managées nommées « realmjoin-automation-cred » dans le compte Azure Automation. Actuellement, le « realmjoin-automation-cred » dans le compte d’automatisation est créé par défaut par RJ-Wizard, mais rempli avec des valeurs aléatoires - il faudrait le renseigner avec des valeurs correctes. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/fr/automatisation/connecting-azure-automation/azure-ad-roles-and-permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.