AZ 900T00A FR TrainerHandbook FSI

RÉSERVÉ À UNE UTILISATION FORMATEUR.
UTILISATION ÉTUDIANT INTERDITE

Microsoft
Official
Course
AZ-900T00FR
Microsoft Azure - Notions
fondamentales
RÉSERVÉ À UNE UTILISATION FORMATEUR. UTILISATION ÉTUDIANT INTERDITE
Microsoft Azure - Notions
AZ-900T00FR
fondamentales
II Disclaimer

Les informations contenues dans le présent document, y compris l’URL et les autres références à des sites
Web Internet, peuvent être modifiées sans préavis. Sauf mention contraire, les sociétés, organisations,
produits, noms de domaine, adresses e-mail, logos, personnes, lieux et événements mentionnés ici à titre
d’exemple sont purement fictifs, et aucune association à tout(e) société, organisation, produit, nom de
domaine, adresse e-mail, logo, personne, lieu ou événement réel n’est intentionnelle ou volontaire. Il
appartient à l’utilisateur de veiller au respect de toutes les dispositions légales applicables en matière de
copyright. En vertu des droits d’auteur, aucune partie de ce document ne peut être reproduite, stockée
ou introduite dans un système de recherche automatique, ni transmise sous quelque forme ou par
quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), ou dans
n’importe quel but, sans l’autorisation écrite de Microsoft Corporation.

Selon les cas, Microsoft détient des brevets (ou a déposé des demandes de brevets), ainsi que des
marques, des copyrights ou autres droits de propriété intellectuelle sur les questions évoquées dans ce
document. Sauf disposition contraire expressément stipulée dans un accord de licence écrit concédé par
Microsoft, la communication de ce document ne confère au destinataire aucun droit sur les brevets,
marques, copyrights et autres droits de propriété intellectuelle.

Les noms des fabricants, produits ou URL sont fournis à titre d’information uniquement et Microsoft ne
fait aucune déclaration ni n’offre aucune garantie, qu’elle soit expresse, implicite ou légale, quant à ces
fabricants ou à l’utilisation des produits avec des technologies Microsoft. L’inclusion d'un fabricant ou
d'un produit n’implique pas que Microsoft cautionne le fabricant ou le produit. Des liens vers des sites
tiers peuvent éventuellement être fournis. De tels sites ne sont pas sous le contrôle de Microsoft et
Microsoft n’est nullement responsable du contenu des sites ainsi liés ou des liens inclus dans les sites
ainsi liés, ou encore des changements ou des mises à jour qui peuvent y être apportés. Microsoft décline
toute responsabilité quant à la diffusion web ou toute autre forme de transmission reçue d’un site lié.
Microsoft ne vous fournit ces liens que par commodité, et l’inclusion de liens n'implique nullement que
Microsoft cautionne le site ou les produits qu’il contient.

© 2019 Microsoft Corporation. Tous droits réservés.

Microsoft et les marques de commerce mentionnées dans http://www.microsoft.com/trademarks 1
sont des marques de commerce du groupe de sociétés Microsoft. Toutes les autres marques de com-
merce appartiennent à leurs propriétaires respectifs.

1 http://www.microsoft.com/trademarks
EULA III
TERMES DU CONTRAT DE LICENCE MICROSOFT

COURSEWARE MICROSOFT DISPENSÉ PAR UN INSTRUCTEUR
Les présents termes du contrat de licence constituent un contrat entre Microsoft Corporation (ou en
fonction du lieu où vous vivez, l’un de ses affiliés) et vous. Lisez-les attentivement. Ils portent sur votre
utilisation du contenu accompagnant ce contrat, y compris le support sur lequel vous l'avez reçu, le cas
échéant. Les termes de ce contrat de licence portent également sur le Contenu Formateur et l'ensemble
des mises à jour et des suppléments du Contenu Sous Licence, à moins que d’autres termes n’accom-
pagnent ces produits, auquel cas ces derniers prévalent.
EN ACCÉDANT, TÉLÉCHARGEANT OU UTILISANT LE CONTENU SOUS LICENCE, VOUS ACCEPTEZ LES
TERMES DE CE CONTRAT. SI VOUS NE LES ACCEPTEZ PAS, VOUS NE POUVEZ PAS ACCÉDER,
TÉLÉCHARGER OU UTILISER LE CONTENU SOUS LICENCE.
Si vous vous conformez aux termes du présent contrat, vous disposez des droits ci-dessous pour
chaque licence dont vous faites l'acquisition.
1. DÉFINITIONS.
1. « Centre de Formation Agréé » désigne un Membre du Programme Microsoft Imagine Academy
(MSIA), un Membre Microsoft Learning Competency, ou une autre entité de ce type que Microsoft
peut désigner occasionnellement.
2. « Session de Formation Agréée » désigne le cours de formation dispensé par un instructeur
utilisant le Courseware Microsoft dispensé par un instructeur et animé par un Formateur dans ou
par l'intermédiaire d'un Centre de Formation Agréé.
3. « Appareil de Salle de Classe » désigne un (1) ordinateur sécurisé dédié qu'un Centre de Formation
Agréé possède ou contrôle dans l'un des établissements de formation du Centre de Formation
Agréé, conforme aux exigences matérielles minimum requises pour le Courseware Microsoft
dispensé par un instructeur spécifique.
4. « Utilisateur Final » désigne un individu qui (i) s'est dûment inscrit et qui participe à une Session de
Formation Agréée ou à une Session de Formation Privée, (ii) un employé d'un Membre MPN, (iii)
un employé à temps plein de Microsoft, un Membre du Programme Microsoft Imagine Academy
(MSIA) ou un Microsoft Learn for Educators – Validated Educator.
5. « Contenu Sous Licence » désigne le contenu accompagnant le présent contrat et pouvant inclure
le Courseware Microsoft dispensé par un instructeur ou le Contenu Formateur.
6. « Microsoft Certified Trainer » ou « MCT » désigne un individu qui (i) est engagé pour animer une
session de formation destinée à des Utilisateurs Finaux pour le compte d'un Centre de Formation
Agréé ou un Membre MPN, et (ii) est actuellement certifié en tant que Microsoft Certified Trainer
conformément au Programme de Certification Microsoft.
7. « Courseware Microsoft dispensé par un instructeur » désigne le cours de formation dispensé sous
la marque Microsoft par un instructeur, qui forme des professionnels de l'informatique, des
développeurs, des étudiants d'une institution académique et autres apprenants à des technologies
Microsoft. Un titre de Courseware Microsoft dispensé par un instructeur peut être appelé forma-
tion MOC, Microsoft Dynamics ou formation Microsoft Business Group.
8. « Membre du Programme Microsoft Imagine Academy (MSIA) » désigne un membre actif du
Programme Microsoft Imagine Academy.
9. « Microsoft Learn for Educators – Validated Educator » désigne un éducateur qui a été validé en
tant qu'éducateur actif via le programme Microsoft Learn for Educators au lycée, dans une univer-
sité, un collège, un institut technologique ou un établissement d'éducation primaire ou secondaire.
IV EULA
10. « Membre Microsoft Learning Competency » désigne un membre actif du programme Microsoft
Partner Network, en règle et jouissant actuellement du statut de Compétence pédagogique.
11. « MOC » désigne la formation dispensée par un instructeur d'un « Official Microsoft Learning
Product » qui forme des professionnels de l'informatique, des développeurs, des étudiants d'une
institution académique et autres apprenants, à des technologies Microsoft.
12. « Membre MPN » désigne un membre du programme Microsoft Partner Network actif et en règle.
13. « Appareil Personnel » désigne un (1) ordinateur personnel, un appareil, une station de travail ou
autre appareil électronique numérique que vous possédez ou contrôlez personnellement et qui est
au minimum conforme aux exigences matérielles requises pour le Courseware Microsoft dispensé
par un instructeur spécifique.
14. « Session de Formation Privée » désigne les cours de formation dispensés par un instructeur
fournis par des Membres MPN à des clients d'entreprise pour remplir un objectif d'apprentissage
prédéfini fondé sur un Courseware Microsoft dispensé par un instructeur. Ces formations ne font
pas l'objet d'annonces ou de promotions à l'attention du public général et la participation à ces
classes est limitée aux individus employés par le client d'entreprise ou un de ses sous-traitants.
15. « Formateur » désigne (i) un instructeur certifié engagé par un Membre du Programme Microsoft
Imagine Academy pour animer une Session de Formation Agréée, (ii) un instructeur certifié en tant
que Microsoft Learn for Educators – Validated Educator, et/ou (iii) un MCT.
16. « Contenu Formateur » désigne la version Formateur du Courseware Microsoft dispensé par un
instructeur ainsi que le contenu supplémentaire conçu exclusivement pour que les formateurs
puissent animer une session de formation basée sur le Courseware Microsoft dispensé par un
instructeur. Le Contenu Formateur peut inclure des présentations Microsoft PowerPoint, un guide
de préparation du formateur, des supports formateur, des packs Microsoft One, un guide d'instal-
lation de la salle de classe et un formulaire de commentaires sur la formation en Pré-distribution.
Pour clarifier, le Contenu Formateur n'inclut pas de logiciels, de disques durs virtuels ni de ma-
chines virtuelles.
2. DROITS D'UTILISATION.Le Contenu Sous Licence n'est pas vendu, mais concédé sous licence. Le
Contenu Sous Licence est concédé sous licence sur la base d'une copie par utilisateur. Vous devez
donc acquérir une licence pour chaque individu ayant accès au Contenu Sous Licence ou l'utilisant.
●● 2.1 Les cinq ensembles distincts de droits d'utilisation sont décrits ci-dessous. Un seul
ensemble de droits s'applique à vous.
1. Si vous êtes Membre du Programme Microsoft Imagine Academy (MSIA) :
1. Chaque licence acquise pour votre propre compte ne peut être utilisée que pour l'examen
d'une (1) copie du Courseware Microsoft dispensé par un instructeur sous la forme sous
laquelle il vous a été remis. Si le Courseware Microsoft dispensé par un instructeur est au
format numérique, vous pouvez installer une (1) copie sur trois (3) Appareils Personnels au
maximum. Vous ne pouvez pas installer le Courseware Microsoft dispensé par un instruc-
teur sur un appareil que vous ne possédez pas ou ne contrôlez pas.
2. Pour chaque licence que vous acquérez pour le compte d'un Utilisateur Final ou d'un
Formateur, vous pouvez :
1. distribuer une (1) version papier du Courseware Microsoft dispensé par un instructeur à
un (1) Utilisateur Final inscrit à la Session de Formation Agréée, et uniquement immédi-
atement avant le début de la Session de Formation Agréée faisant l'objet du Courseware
Microsoft dispensé par un instructeur fourni, ou
EULA V
2. fournir à un (1) Utilisateur Final le code d'échange unique et les instructions d'accès à
une (1) version numérique du Courseware Microsoft dispensé par un instructeur, ou
3. fournir à un (1) Formateur le code d'échange unique et les instructions d'accès à un (1)
Contenu Formateur,
à condition que vous vous conformiez aux exigences suivantes :
3. vous ne fournirez un accès au Contenu Sous Licence qu'aux seuls individus ayant acquis une
licence valide pour le Contenu Sous Licence,
4. vous veillerez à ce que chaque Utilisateur Final participant à une Session de Formation
Agréée possède sa propre copie sous licence valide du Courseware Microsoft dispensé par
un instructeur faisant l'objet de la Session de Formation Agréée,
5. vous veillerez à ce que chaque Utilisateur Final ayant reçu la version papier du Courseware
Microsoft dispensé par un instructeur reçoive une copie du présent contrat, et à ce que
chaque Utilisateur Final accepte que son utilisation du Courseware Microsoft dispensé par
un instructeur soit soumise aux termes de ce contrat avant toute remise du Courseware
Microsoft dispensé par un instructeur. Chaque individu devra signaler son acceptation du
présent contrat d'une manière conforme à la législation locale avant de pouvoir accéder au
Courseware Microsoft dispensé par un instructeur,
6. vous veillerez à ce que chaque Formateur animant une Session de Formation Agréée
possède sa propre copie sous licence valide du Contenu Formateur faisant l'objet de la
Session de Formation Agréée,
7. vous ne ferez appel qu'à des Formateurs qualifiés qui disposent d'une connaissance et
d'une expérience approfondies de la technologie Microsoft faisant l'objet du Courseware
Microsoft dispensé par un instructeur enseigné pour toutes vos Sessions de Formation
Agréées,
8. vous ne fournirez que 15 heures de formation hebdomadaire au maximum pour chaque
Session de Formation Agréée utilisant un titre de MOC, et
9. vous reconnaissez que les Formateurs qui ne sont pas des MCT n'auront pas accès à toutes
les ressources de formation pour le Courseware Microsoft dispensé par un instructeur.
2. Si vous êtes un Membre de Microsoft Learning Competency :
2. Pour chaque licence que vous acquérez pour le compte d'un Utilisateur Final ou d'un MCT,
vous pouvez :
un (1) Utilisateur Final participant à la Session de Formation Agréée, et uniquement
immédiatement avant le début de la Session de Formation Agréée faisant l'objet du
Courseware Microsoft dispensé par un instructeur fourni, ou
2. fournir à un (1) Utilisateur Final participant à la Session de Formation Agréée le code
d'échange unique et les instructions d'accès à une (1) version numérique du Courseware
Microsoft dispensé par un instructeur, ou
VI EULA
3. fournir à un (1) MCT le code d'échange unique et les instructions d'accès à un (1)
Contenu Formateur,
3. vous ne fournirez un accès au Contenu sous licence qu'aux seuls individus ayant acquis une
licence valide pour le Contenu sous licence,
Agréée possède sa propre copie sous licence valide du Courseware Microsoft dispensé par
un instructeur faisant l'objet de la Session de Formation Agréée,
5. vous veillerez à ce que chaque Utilisateur Final ayant reçu une version papier du Course-
ware Microsoft dispensé par un instructeur reçoive un exemplaire du présent contrat, et à
ce que chaque Utilisateur Final accepte que son utilisation du Courseware Microsoft
dispensé par un instructeur soit soumise aux termes de ce contrat avant toute remise du
Courseware Microsoft dispensé par un instructeur. Chaque individu devra signaler son
acceptation du présent contrat d'une manière conforme à la législation locale avant de
pouvoir accéder au Courseware Microsoft dispensé par un instructeur,
6. vous veillerez à ce que chaque MCT animant une Session de Formation Agréée possède sa
propre copie sous licence valide du Contenu Formateur faisant l'objet de la Session de
Formation Agréée,
7. vous ne ferez appel qu'à des MCT qualifiés qui possèdent également l'accréditation de
Certification Microsoft applicable faisant l'objet du titre du MOC enseigné pour toutes vos
Sessions de Formation Agréées avec MOC,
8. vous ne fournirez un accès au Courseware Microsoft dispensé par un instructeur qu'aux
Utilisateurs Finaux, et
9. vous ne fournirez un accès au Contenu Formateur qu'aux MCT.
3. Si vous êtes un Membre MPN :
2. Pour chaque licence que vous acquérez pour le compte d'un Utilisateur Final ou d'un
Formateur, vous pouvez :
un (1) Utilisateur Final participant à la Session de Formation Privée, et uniquement
immédiatement avant le début de la Session de Formation Privée faisant l'objet du
Courseware Microsoft dispensé par un instructeur fourni, ou
2. fournir à un (1) Utilisateur Final participant à la Session de Formation Privée le code
d'échange unique et les instructions d'accès à une (1) version numérique du Courseware
Microsoft dispensé par un instructeur, ou
3. fournir à un (1) Formateur animant la Session de Formation Privée le code d'échange
unique et les instructions d'accès à un (1) Contenu Formateur,
EULA VII
3. vous ne fournirez un accès au Contenu Sous Licence qu'aux seuls individus ayant acquis une
licence valide pour le Contenu Sous Licence,
Privée possède sa propre copie sous licence valide du Courseware Microsoft dispensé par
un instructeur faisant l'objet de la Session de Formation Privée,
5. vous veillerez à ce que chaque Utilisateur Final ayant reçu une version papier du Course-
ware Microsoft dispensé par un instructeur reçoive un exemplaire du présent contrat, et que
chaque Utilisateur Final accepte que son utilisation du Courseware Microsoft dispensé par
un instructeur soit soumise aux termes de ce contrat avant que le Courseware Microsoft
dispensé par un instructeur lui soit remis. Chaque individu devra signaler son acceptation
du présent contrat d'une manière conforme à la législation locale avant de pouvoir accéder
au Courseware Microsoft dispensé par un instructeur,
6. vous veillerez à ce que chaque Formateur animant une Session de Formation Privée pos-
sède sa propre copie sous licence valide du Contenu Formateur faisant l'objet de la Session
de Formation Privée,
7. vous ne ferez appel qu'à des Formateurs qualifiés qui possèdent l'accréditation de Certifica-
tion Microsoft applicable faisant l'objet du titre du Courseware Microsoft dispensé par un
instructeur enseigné pour toutes vos Sessions de Formation Privées,
8. vous ne ferez appel qu'à des MCT qualifiés qui possèdent l'accréditation de Certification
Microsoft applicable faisant l'objet du titre du MOC enseigné pour toutes vos Sessions de
Formation Privées avec MOC,
9. vous ne fournirez un accès au Courseware Microsoft dispensé par un instructeur qu'aux
Utilisateurs Finaux, et
10. vous ne fournirez un accès au Contenu Formateur qu'aux Formateurs.
4. Si vous êtes un Utilisateur Final :
Pour chaque licence que vous acquérez, vous pouvez utiliser le Courseware Microsoft dispensé
par un instructeur à des fins de formation personnelle uniquement. Si le Courseware Microsoft
dispensé par un instructeur est au format numérique, vous pouvez accéder au Courseware
Microsoft dispensé par un instructeur en ligne en utilisant le code d'échange unique qui vous a
été remis par le fournisseur de la formation, et installer et utiliser une (1) copie du Courseware
Microsoft dispensé par un instructeur sur trois (3) Appareils Personnels au maximum. Vous
pouvez également imprimer une (1) copie du Courseware Microsoft dispensé par un instruc-
teur. Vous ne pouvez pas installer le Courseware Microsoft dispensé par un instructeur sur un
appareil que vous ne possédez pas ou ne contrôlez pas.
5. Si vous êtes un Formateur.
1. Pour chaque licence que vous acquérez, vous pouvez installer et utiliser une (1) copie du
Contenu Formateur sous le format qui vous a été remis sur un (1) Appareil Personnel dans
le seul but de préparer et de fournir une Session de Formation Agréée ou une Session de
Formation Privée, et installer une (1) copie supplémentaire sur un autre Appareil Personnel
en tant que copie de sauvegarde, ne pouvant être utilisée que pour réinstaller le Contenu
Formateur. Vous ne pouvez pas installer ou utiliser une copie du Contenu Formateur sur un
appareil que vous ne possédez pas ou ne contrôlez pas. Vous pouvez également imprimer
une (1) copie du Contenu Formateur à des seules fins de préparation et de prestation d'une
Session de Formation Agréée ou d'une Session de Formation Privée.
VIII EULA
2. Si vous êtes un MCT, vous pouvez personnaliser les sections écrites du Contenu Formateur
qui sont logiquement associées avec les instructions d'une session de formation conformé-
ment à la version la plus récente du contrat MCT.
3. Si vous choisissez d'exercer les droits précédents, vous acceptez de vous conformer aux
exigences suivantes : (i) les personnalisations peuvent uniquement être utilisées pour
animer des Sessions de Formation Agréée et des Sessions de Formation Privée, et (ii) toutes
les personnalisations doivent être conformes au présent contrat. Pour clarifier, toute
utilisation de « personnalisation » désigne uniquement une opération consistant à changer
l'ordre des diapos et du contenu, et/ou à ne pas utiliser toutes les diapos ou tout le con-
tenu. Elle ne signifie pas la modification de diapos ou de contenu.
●● 2.2 Séparation des composants. Le Contenu Sous Licence est fourni en tant qu'unité
unique et vous ne pouvez pas séparer ses composants et les installer sur différents appareils.
●● 2.3 Redistribution du Contenu Sous Licence. Sauf disposition express énoncée dans les
droits d'utilisation ci-dessus, vous ne pouvez pas distribuer le Contenu Sous Licence ou toute
section de ce contenu (y compris les modifications autorisées) à des tiers sans l'autorisation écrite
express de Microsoft.
●● 2.4 Avis relatifs aux Tiers. Le Contenu Sous Licence peut contenir du code de tiers que
Microsoft, et non le tiers, vous concède sous licence aux termes du présent contrat. Les mentions
éventuelles relatives au code de tiers sont incluses pour votre information uniquement.
●● 2.5 Termes de contrat supplémentaires. Certains Contenus Sous Licence peuvent contenir
des composants associés à des termes de contrat, des conditions et des licences supplémentaires
relatifs à leur utilisation. Tout terme n'entrant pas en conflit avec ces conditions et licences s'ap-
plique également à votre utilisation de ce composant respectif et complète les termes décrits dans
ce contrat.
3. CONTENU SOUS LICENCE BASÉ SUR UNE TECHNOLOGIE EN PRÉ-DISTRIBUTION.Si l'objet du
Contenu Sous Licence est basé sur une version en pré-distribution de technologie Microsoft («
Pré-distribution»), outre les autres dispositions du présent contrat, les termes suivants s'appliquent
également :
1. Contenu sous Licence en Pré-distribution. L'objet du Contenu Sous Licence concerne la version
en Pré-distribution de la technologie Microsoft. La technologie peut ne pas fonctionner à la
manière d'une version finale de la technologie et il est possible que nous apportions des modifica-
tions à la technologie pour la version finale. Il peut également arriver que nous ne distribuions pas
de version finale. Le Contenu Sous Licence basé sur la version finale de la technologie peut ne pas
contenir les mêmes informations que le Contenu Sous Licence basé sur la version en Pré-distribu-
tion. Microsoft n'est pas tenu de vous fournir des contenus supplémentaires, y compris un
Contenu Sous Licence basé sur la version finale de la technologie.
2. Commentaires. Si vous acceptez de faire part à Microsoft de vos commentaires sur le Contenu
Sous Licence, soit directement, soit via un tiers désigné, vous accordez à Microsoft, à titre gratuit,
le droit d'utiliser, de partager et de commercialiser vos commentaires de quelque manière et dans
quelque objectif que ce soit. Vous accordez également à des tiers, à titre gratuit, tous les droits de
brevet dont ils ont besoin pour que leurs produits, technologies et de services puissent utiliser ou
s'interfacer avec des composants spécifiques d'une technologie Microsoft, d'un produit Microsoft
ou d'un service incluant les commentaires. Vous ne ferez pas part de commentaires qui sont
soumis à une licence exigeant que Microsoft concède sous licence sa technologie, ses technolo-
gies ou ses produits à des tiers parce que nous incluons vos commentaires dans ces derniers. Ces
droits survivent à ce contrat.
EULA IX
3. Terme de Pré-distribution. Si vous êtes un Membre du Programme Microsoft Imagine Academy,

un Membre Microsoft Learning Competency, un Membre MPN, un Microsoft Learn for Educators
– Validated Educator ou un Formateur, vous cesserez d'utiliser toutes les copies du Contenu Sous
Licence sur la technologie en Pré-distribution à (i) la date à laquelle Microsoft vous informe qu'il
s'agit de la date de fin d'utilisation du Contenu Sous Licence sur la technologie en Pré-distribution,
ou (ii) soixante (60) jours après l la mise sur le marché de la technologie faisant l'objet du Contenu
Sous Licence, selon la date la plus précoce (« Terme de Pré-distribution »). À l'expiration ou à la
résiliation du terme de Pré-distribution, vous supprimerez définitivement toutes les copies du
Contenu Sous Licence en votre possession ou sous votre contrôle.
4. PORTÉE DE LA LICENCE. Le Contenu Sous Licence n'est pas vendu, mais concédé sous licence. Le
présent contrat vous concède uniquement certains droits d'utilisation du Contenu Sous Licence.
Microsoft se réserve tous les autres droits. Sauf si la loi en vigueur vous confère d’autres droits,
nonobstant la présente limitation, vous n’êtes autorisé à utiliser le Contenu Sous Licence qu’en
conformité avec les termes du présent contrat. À cette fin, vous devez vous conformer aux restrictions
techniques contenues dans le Contenu Sous Licence qui vous permet de l'utiliser d'une certaine façon.
Sauf autorisation expresse accordée aux termes de ce contrat, vous n'êtes pas autorisé à :
●● accéder ou autoriser un individu à accéder au Contenu Sous Licence s'il n'a pas acquis une licence
valide pour le Contenu Sous Licence,
●● modifier, supprimer ou obscurcir les mentions de droit d'auteur ou autres mentions protectrices (y
compris les filigranes), marques ou identifications contenues dans le Contenu Sous Licence,
●● modifier ou créer un ouvrage dérivé du Contenu Sous Licence,
●● afficher publiquement le Contenu Sous Licence ou le mettre à disposition d'autres personnes pour
accès ou utilisation,
●● copier, imprimer, installer, vendre, publier, transmettre, prêter, adapter, réutiliser, fournir un lien
vers ou publier, rendre disponible ou distribuer le Contenu Sous Licence à des tiers,
●● contourner les restrictions techniques du Contenu Sous Licence, ou
●● reconstituer la logique, décompiler, supprimer, démanteler les protections ou désassembler le
Contenu Sous Licence, sauf dans la mesure où ces opérations seraient expressément permises par
la réglementation applicable nonobstant la présente limitation.
5. RÉSERVATION DE DROITS ET PROPRIÉTÉ. Microsoft se réserve tout droit qui ne vous est pas
expressément concédé dans ce Contrat. Le Contenu Sous Licence est protégé par les lois sur le droit
d'auteur et autres lois et traités sur la propriété intellectuelle. Microsoft ou ses fournisseurs sont les
propriétaires du titre, du droit d'auteur et des autres droits de propriété intellectuelle relatifs au
Contenu Sous Licence.
6. RESTRICTIONS À L'EXPORTATION. Le Contenu Sous Licence est soumis aux lois et réglementations
américaines en matière d’exportation. Vous devez vous conformer à toutes les réglementations
nationales et internationales en matière d’exportation concernant le Contenu Sous Licence. Ces
réglementations comprennent des restrictions sur les pays destinataires, les utilisateurs finaux et les
utilisations finales. Des informations supplémentaires sont disponibles sur le site www.microsoft.com/
exporting (en anglais).
7. SERVICES D'ASSISTANCE TECHNIQUE. Le Contenu Sous Licence étant fourni « en l'état », nous ne
fournissons pas nécessairement de services d'assistance technique.
8. RÉSILIATION. Sans préjudice de tout autre droit, Microsoft peut résilier le présent contrat si vous ne
vous conformez pas aux conditions générales de ce contrat. À la résiliation de ce contrat pour
quelque raison que ce soit, vous cesserez immédiatement toute utilisation du Contenu Sous Licence,
X EULA
et vous supprimerez et détruirez définitivement toutes les copies du Contenu Sous Licence en votre
possession ou sous votre contrôle.
9. LIENS VERS DES SITES TIERS. Il se peut que vous utilisiez des liens vers des sites tiers suite à l'utilisa-
tion du Contenu Sous Licence. Les sites tiers ne sont pas sous le contrôle de Microsoft, et Microsoft
décline toute responsabilité quant au contenu des sites tiers, aux liens contenus sur les sites tiers et
aux modifications ou mises à jour apportées aux sites tiers. Microsoft n'est pas responsable de la
diffusion sur le Web ou toute autre forme de transmission reçues de sites tiers. Microsoft fournit ces
liens à des sites tiers uniquement pour vous aider, et l'inclusion d'un lien ne signifie en aucun cas que
Microsoft endosse le site tiers.
10. INTÉGRALITÉ DES ACCORDS. Le présent contrat ainsi que les termes concernant le Contenu Forma-
teur, les mises à jour et les suppléments constituent l’intégralité des accords en ce qui concerne le
Contenu Sous Licence, les mises à jour et les suppléments.
11. LOI APPLICABLE.
1. États-Unis. Si vous avez acquis le Contenu Sous Licence aux États-Unis, la loi de l’État de Washing-
ton régit l’interprétation de ce contrat et s’appliquent en cas de réclamation pour rupture dudit
contrat, sans donner d’effet aux dispositions régissant les conflits de lois. Les lois de l'État dans
lequel vous vivez régissent toutes les autres réclamations, notamment les réclamations fondées sur
les lois fédérales en matière de protection des consommateurs, de concurrence déloyale et de
délits.
2. En dehors des États-Unis. Si vous avez acquis le Contenu Sous Licence dans un autre pays, les lois
de ce pays s'appliquent.
12. EFFET JURIDIQUE. Le présent contrat décrit certains droits légaux. Vous pouvez bénéficier d’autres
droits prévus par les lois de votre pays. Vous pouvez également bénéficier de certains droits à l’égard
de la partie auprès de laquelle vous avez acquis le Contenu Sous Licence. Le présent contrat ne
modifie pas les droits que vous confèrent les lois de votre pays si celles-ci ne le permettent pas.
13. EXCLUSIONS DE GARANTIE. LE CONTENU SOUS LICENCE EST CONCÉDÉ SOUS LICENCE « EN
L'ÉTAT » ET « TEL QUE DISPONIBLE ». VOUS ASSUMEZ TOUS LES RISQUES LIÉS À SON UTILISA-
TION. MICROSOFT ET SES AFFILIÉS RESPECTIFS N'ACCORDENT AUCUNE GARANTIE OU CONDI-
TION EXPRESSE. VOUS POUVEZ BÉNÉFICIER DE DROITS SUPPLÉMENTAIRES RELATIFS AUX
CONSOMMATEURS EN VERTU DU DROIT DE VOTRE PAYS QUE CE CONTRAT NE PEUT MODIFIER.
LORSQUE CELA EST AUTORISÉ PAR LE DROIT LOCAL, MICROSOFT ET SES AFFILIÉS EXCLUENT
LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICU-
LIER ET D’ABSENCE DE CONTREFAÇON.
14. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR DE
MICROSOFT, DE SES AFFILIÉS RESPECTIFS ET DE SES FOURNISSEURS UNE INDEMNISATION EN
CAS DE DOMMAGES DIRECTS UNIQUEMENT DANS LA LIMITE DE 5,00 $ US. VOUS NE POUVEZ
PRÉTENDRE À AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES, Y COMPRIS LES
DOMMAGES SPÉCIAUX, INDIRECTS, INCIDENTS OU ACCESSOIRES ET LES PERTES DE BÉNÉFICES.
Cette limitation concerne
●● toute affaire relative au Contenu Sous Licence, aux services, au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers ; et
●● les réclamations pour rupture de contrat ou violation de garantie ou condition, les réclamations en
cas de responsabilité sans faute, de négligence ou autre délit dans la limite autorisée par la loi en
vigueur.
EULA XI
Elle s'applique également même si Microsoft connaissait ou aurait dû connaître l’éventualité d’un tel
dommage. La limitation ou l’exclusion ci-dessus peut également ne pas vous être applicable si votre
pays n’autorise pas l’exclusion ou la limitation de responsabilité pour les dommages incidents,
indirects ou de quelque nature que ce soit.
Veuillez noter : ce Contenu Sous Licence étant distribué au Québec, Canada, certaines des clauses
de ce contrat sont fournies ci-dessous en français.
Contents
■■ Module 0 Présentation du cours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

À propos de ce cours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
■■ Module 1 Décrire les concepts du cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Décrire le cloud computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Décrire les avantages de l’utilisation des services cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Décrire les types de services cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
■■ Module 2 Décrire l’architecture et les services Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Décrire les composants architecturaux principaux d’Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Décrire les services de calcul et de mise en réseau Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Décrire les services de stockage Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Décrire l’accès et la sécurité des identités Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
■■ Module 3 Décrire la gestion et la gouvernance d’Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Décrire la gestion des coûts dans Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Décrire les fonctionnalités et les outils d’Azure pour la gouvernance et la conformité . . . . . . . . . . . . . . 123
Décrire les fonctionnalités et les outils de gestion et de déploiement des ressources Azure . . . . . . . . . 137
Décrire les outils de surveillance dans Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Module 0 Présentation du cours
À propos de ce cours
À propos de cette formation
Description du cours
Ce cours fournit des connaissances de base sur les éléments suivants : concepts liés au cloud, principaux
services Azure, sécurité, confidentialité, conformité et fiabilité
Niveau :
Débutant
Public
Ce cours est destiné aux candidats qui viennent de découvrir le cloud computing et les modalités de
prestation de ce service par Microsoft Azure. Il s’agit d’un cours d’une journée qui donne aux étudiants
l’occasion de faire des exercices d’introduction. Le contenu des deux formations s’aligne sur le domaine
de l’objectif de l’examen AZ-900.
Prérequis
Il n’y a pas de prérequis pour cette formation, mais elle sera plus accessible aux participants ayant des
connaissances ou une expérience en informatique.
Acquis d’apprentissage escomptés
●● Concepts de base du cloud computing et d’Azure et prise en main des abonnements et des comptes
Azure
●● Avantages des services de cloud computing, distinction entre les catégories et les types de cloud
computing et examen des divers concepts, des ressources et de la terminologie nécessaires à l’utilisa-
tion de l’architecture Azure
●● Principaux services disponibles avec Microsoft Azure
●● Fonctionnalités de sécurité générale et de sécurité réseau, et comment utiliser les divers services
Azure pour garantir la sécurité et la fiabilité des ressources cloud
2
●● Fonctionnalités d’identité, de gouvernance, de confidentialité et de conformité, et comment Azure

peut vous aider à sécuriser l’accès aux ressources du cloud
●● Facteurs qui influencent les coûts ainsi que les outils à utiliser pour estimer et gérer vos dépenses
cloud
Programme de la formation
Module 1 - Concepts du cloud
Ce module présente les notions de base du cloud computing. Vous découvrirez les avantages des
services de cloud computing et vous apprendrez à distinguer les différents types et catégories de cloud
computing. Enfin, vous examinerez les divers concepts, les ressources et la terminologie nécessaires à
l’utilisation de l’architecture Azure.
●● Leçon 1 : Cloud computing
●● Leçon 2 : Avantages du cloud

●● Leçon 3 : Types de services cloud
●● Leçon 4 : Questions de révision du module 1

●● Leçon 5 : Résumé du module 1
Module 2 : Architecture et services Azure
Dans ce module, vous découvrez les principaux services disponibles dans Microsoft Azure.
●● Leçon 1 : Composants architecturaux Azure
●● Leçon 2 : Calcul et mise en réseau
●● Leçon 3 : Stockage
●● Leçon 4 : Identité, accès et sécurité
●● Leçon 6 - Résumé du module 2

Module 3 : Gestion et gouvernance
Dans ce module, découvrez les ressources de gestion et de gouvernance disponibles pour vous aider à
gérer vos ressources sur le cloud et locales.
●● Leçon 1 : Gestion des coûts
●● Leçon 2 : Gouvernance et conformité

●● Leçon 3 : Outils de gestion et déploiement
●● Leçon 4 : Outils de surveillance
●● Leçon 6 : Résumé du module 3

3
Examen de certification AZ-900

L’examen de certification AZ-900 : Microsoft Azure - Notions fondamentales,1 s’adresse aux candidats
souhaitant démontrer une maîtrise des connaissances de base en matière de services cloud et de fourni-
ture de ces services avec Microsoft Azure. L’examen est destiné aux candidats ayant une formation
technique et qui ont besoin de valider leurs connaissances de base sur les services cloud. Aucune expéri-
ence technique en informatique n’est requise, mais certaines connaissances ou une expérience générale
en informatique seraient bénéfiques.
Cet examen peut être considéré comme une première étape facultative dans l’apprentissage de l’utilisa-
tion des services cloud et de la façon dont ces concepts se matérialisent dans Microsoft Azure. Cet
examen permet également de préparer d’autres examens liés à Microsoft Azure ou aux services cloud de
Microsoft. Bien qu’il s’agisse d’une première étape bénéfique pour valider les connaissances fondamen-
tales, passer cet examen n’est pas une condition préalable à la préparation de toute autre certification
Azure.
L’examen aborde 3 thèmes. Les pourcentages indiquent la pondération de chaque domaine dans l’exa-
men. Plus le pourcentage est élevé, plus l’examen contiendra de questions sur ce domaine. Assurez-vous
de lire la page d’examen pour connaître les compétences couvertes dans chaque domaine.
Thèmes abordés par la formation AZ-900 Pondération

Description des concepts du cloud 25 à 30 %
Décrire l’architecture et les services Azure 35 à 40 %
Décrire la gestion et gouvernance Azure 30 à 35 %
✔️ Cet examen ne comprend pas de test pratique.
Accès aux labos

Microsoft Learn Sandbox
La majorité des labos de cette formation peuvent être effectués dans le bac à sable Microsoft Learn. Pour
utiliser ce bac à sable, vous avez besoin d’un compte Microsoft. Le bac à sable fonctionne en associant
temporairement votre compte Microsoft à un abonnement Azure. Si vous avez déjà un abonnement
Azure, ne vous inquiétez pas. L’utilisation du bac à sable n’aura aucune incidence sur votre abonnement
Azure actuel. Cela vous permet d’accéder gratuitement aux ressources Azure nécessaires pour effectuer
les travaux pratiques. Le bac à sable se fermera automatiquement après une période de temps prédéter-
minée. Des informations supplémentaires sur le bac à sable seront présentées dans la formation.
Un lien direct vers les labos de bac à sable Microsoft Learn est inclus au début de chaque exercice de
labo.
1 https://docs.microsoft.com/fr-fr/learn/certifications/exams/az-900
Module 1 Décrire les concepts du cloud
Décrire le cloud computing

Présentation de Microsoft Azure - Notions fon-
damentales
Microsoft Azure est une plateforme de cloud computing qui fournit un ensemble de services en con-
stante expansion pour vous aider à créer des solutions qui vous permettront d’atteindre vos objectifs
professionnels. Les services Azure prennent tout en charge, du plus simple au plus complexe. Azure
propose des services web simples pour héberger votre présence commerciale dans le cloud. Azure prend
également en charge l’exécution d’ordinateurs entièrement dématérialisés gérant vos solutions logicielles
personnalisées. Azure fournit une myriade de services cloud, parmi lesquels le stockage étendu,
l’hébergement de base de données et la gestion centralisée des comptes. Azure offre également de
nouvelles fonctionnalités telles que l’intelligence artificielle (IA) et des services axés sur l’Internet des
objets (IoT).
Dans cette série, vous aborderez les bases du cloud computing, vous vous familiariserez avec certains des
services principaux fournis par Microsoft Azure, et vous en apprendrez plus sur les services de gouvern-
ance et de conformité que vous pouvez utiliser.
Qu’est-ce que le cours Azure - Notions fondamentales ?

Azure - Notions fondamentales est une série de trois parcours d’apprentissage qui vous aident à vous
familiariser avec Azure et ses nombreux services et fonctionnalités.
Que vous soyez intéressé par les services de calcul, de mise en réseau ou de stockage, en découvrant les
meilleures pratiques en matière de sécurité dans le cloud ou en explorant les options de gouvernance et
de gestion, considérez Azure - Notions fondamentales comme votre guide organisé sur Azure.
Azure - Notions fondamentales inclut des exercices interactifs qui vous permettent de vous familiariser
avec Azure. De nombreux exercices fournissent un environnement de portail Azure temporaire appelé
bac à sable (sandbox), qui vous permet de vous entraîner à créer des ressources cloud gratuitement et à
votre propre rythme.
6
L’expérience informatique technique n’est pas obligatoire. Toutefois, le fait d’avoir des connaissances
générales vous aidera à tirer le meilleur parti de votre expérience d’apprentissage.
Pourquoi dois-je suivre le cours Azure - Notions fonda-

mentales ?
Si vous commencez à travailler avec le cloud ou que vous disposez déjà d’une expérience dans le cloud,
le cours Azure - Notions fondamentales vous fournit tout ce dont vous avez besoin pour commencer.
Quels que soient vos objectifs, Azure - Notions fondamentales vous concerne. Vous devriez suivre ce
cours si :
●● Vous avez un intérêt général pour Azure ou pour le cloud
●● Vous souhaitez bénéficier d’une certification officielle Microsoft (AZ-900)
Les cours du parcours d’apprentissage Azure - Notions fondamentales peuvent vous aider à préparer
l’examen AZ-900 : Microsoft Azure - Notions fondamentales Cet examen comprend trois domaines de
connaissances :
Domaine du cours AZ-900 Pondération

Description des concepts du cloud 25 à 30 %
Décrire l’architecture et les services Azure 35 à 40 %
Décrire la gestion et la gouvernance d’Azure 30 à 35 %
Chaque domaine est mappé à un parcours d’apprentissage dans Azure - Notions fondamentales. Les
pourcentages affichés indiquent la pondération relative de chaque zone à l’examen. Plus le pourcentage
est élevé, plus le nombre de questions contenues dans l’examen sera important. Assurez-vous de lire la
page d’examen pour connaître les compétences couvertes dans chaque domaine.
Cette formation vous aide à développer une compréhension approfondie d’Azure.
Présentation du cloud computing

Dans ce module, vous serez initié aux concepts généraux du cloud. Vous commencerez par une introduc-
tion générale du cloud. Ensuite, vous vous plongerez dans des concepts tels que la responsabilité
partagée, les différents modèles de cloud et vous découvrirez la méthode de tarification propre au cloud.
Si vous vous êtes déjà familiarisé avec le cloud computing, ce module sera en grande partie de la révision
pour vous.
Objectifs d’apprentissage
Au terme de ce module, vous pourrez :
●● Définir le cloud computing
●● Décrire le modèle de responsabilité partagée
●● Définir les modèles de cloud, notamment public, privé et hybride
●● Identifier les cas d’utilisation appropriés pour chaque modèle de cloud
●● Décrire le modèle basé sur la consommation
●● Comparer les modèles de tarification de cloud
7
Qu’est-ce que le cloud computing ?

Le cloud computing est ce qui fournit des services de calcul sur Internet. Les services de calcul compren-
nent les infrastructures informatiques courantes telles que les machines virtuelles, le stockage, les bases
de données et la mise en réseau. Les services cloud élargissent également les offres informatiques
traditionnelles pour inclure des éléments tels que l’Internet des objets (IoT), l’apprentissage automatique
(ML) et l’intelligence artificielle (IA).
Étant donné que le cloud computing utilise Internet pour fournir ces services, il n’est pas limité par une
infrastructure physique comme peut l’être un centre de données traditionnel. Cela signifie que si vous
avez besoin d’augmenter rapidement votre infrastructure informatique, vous n’avez pas besoin d’attendre
de construire un nouveau centre de données. Vous pouvez utiliser le cloud pour étendre rapidement
votre empreinte informatique.
Cette courte vidéo présente une introduction rapidement au cloud computing.
https://www.microsoft.com/videoplayer/embed/RE4LyBB
Décrire le modèle de responsabilité partagée

Vous avez peut-être entendu parler du modèle de responsabilité partagée, mais vous ne comprenez pas
nécessairement ce que cela signifie ou quel est son impact sur le cloud computing.
Commençons par un centre de données d’entreprise traditionnel. L’entreprise est responsable de l’entre-
tien de l’espace physique, de la sécurité et de la maintenance ou du remplacement des serveurs en cas de
problème. Le département informatique est responsable de la maintenance de toute l’infrastructure et
des logiciels nécessaires au bon fonctionnement du centre de données. Ils sont aussi probablement
responsables du maintien des correctifs et des bonnes versions de tous les systèmes.
Dans le cadre du modèle de responsabilité partagée, ces responsabilités sont partagées entre le fournis-
seur de cloud et l’utilisateur. La sécurité physique, l’alimentation, le refroidissement et la connectivité
réseau relèvent de la responsabilité du fournisseur de cloud. Le consommateur n’est pas hébergé dans le
centre de données, il ne serait donc pas logique qu’il ait l’une de ces responsabilités.
En même temps, le consommateur est responsable des données et des informations stockées dans le
cloud. (Vous ne souhaiteriez pas que le fournisseur de cloud puisse lire vos informations.) Le consomma-
teur est également responsable de la sécurité d’accès, ce qui signifie que vous ne donnerez accès qu’à
ceux qui en ont besoin.
Ensuite, pour certains aspects, la responsabilité dépend de la situation. Si vous utilisez une base de
données SQL cloud, le fournisseur de cloud est responsable de la maintenance de la base de données
actuelle. Cependant, vous êtes toujours responsable des données qui sont ingérées dans la base de
données. Si vous avez déployé une machine virtuelle et y installez une base de données SQL, vous êtes
responsable des correctifs et des mises à jour de la base de données, ainsi que de la maintenance des
données et des informations stockées dans celle-ci.
Avec un centre de données sur site, vous êtes responsable de tout. Avec le cloud computing, ces re-
sponsabilités changent. Le modèle de responsabilité partagée est fortement associé aux types de services
cloud (abordés plus loin dans ce parcours d’apprentissage) : IaaS (Infrastructure as a Service), PaaS
8
(Platform as a Service) et SaaS (Software as a Service). IaaS confère la plus grande responsabilité au
consommateur. Le fournisseur de services cloud est responsable des éléments de base de la sécurité
physique, de l’alimentation et de la connectivité. De l’autre côté du tableau, SaaS confie la majeure partie
de la responsabilité au fournisseur du cloud. PaaS, qui se situe à mi-chemin entre IaaS et SaaS, répartit
équitablement les responsabilités entre le fournisseur et le consommateur.
Le diagramme suivant montre comment le modèle de responsabilité partagée indique qui est responsa-
ble de quoi, en fonction du type de services cloud.
Vous serez toujours responsable :

●● Des informations et des données stockées dans le cloud
●● Des appareils qui sont autorisés à se connecter à votre cloud (téléphones portables, ordinateurs, etc.)
●● Des comptes et des identités des personnes, services et appareils au sein de votre organisation
Le fournisseur de cloud est toujours responsable :
●● Du centre de données physique
●● Du réseau physique
●● Des hôtes physiques
Votre modèle de service déterminera la responsabilité pour des aspects comme :
●● Les systèmes d’exploitation
●● Les contrôles de réseau
●● Les applications
●● L’identité et l’infrastructure
9
Définir les modèles de cloud

Que sont les modèles de cloud ? Les modèles de cloud définissent le type de déploiement des ressources
du cloud. Les trois modèles de cloud sont les suivants : privé, public et hybride.
Cloud privé
Commençons par le cloud privé. Un cloud privé est, d’une certaine manière, l’évolution naturelle d’un
centre de données d’entreprise. Il s’agit d’un cloud (fourniture de services informatiques sur l’Internet) qui
est utilisé par une seule entité. Le cloud privé offre un contrôle beaucoup plus important à l’entreprise et
à son département informatique. Cependant, il s’accompagne également d’un coût plus élevé et de
moins d’avantages que le déploiement d’un cloud public. Enfin, un cloud privé peut être hébergé à partir
de votre centre de données sur site. Il peut également être hébergé dans un centre de données dédié
hors site, voire par un tiers qui a dédié ce centre de données à votre entreprise.
Cloud public
Un cloud public est créé, contrôlé et entretenu par un fournisseur de cloud tiers. Avec un cloud public,
toute personne qui souhaite acheter des services cloud peut accéder aux ressources et les utiliser. La
disponibilité publique générale est une différence majeure entre les clouds publics et les clouds privés.
Cloud hybride
Un cloud hybride est un environnement de calcul qui utilise à la fois des clouds publics et des clouds
privés dans un environnement interconnecté. Un environnement de cloud hybride peut être utilisé pour
permettre à un cloud privé de répondre à une forte demande temporaire en déployant des ressources de
cloud public. Le cloud hybride peut être utilisé pour fournir une couche supplémentaire de sécurité. Par
exemple, les utilisateurs peuvent choisir librement les services qu’ils souhaitent conserver dans le cloud
public et ceux à déployer dans leur infrastructure de cloud privé.
Le tableau suivant met en évidence quelques aspects comparatifs importants entre les modèles de cloud.
Cloud public Cloud privé Cloud hybride

Aucune dépense d’investisse- Les organisations disposent de la Offre une flexibilité maximale
ment pour la mise à l’échelle maîtrise totale des ressources et
de la sécurité
Les privilèges d’accès aux Les données ne sont pas Les organisations déterminent
applications peuvent être hébergées avec celles d’autres l’emplacement d’exécution de
rapidement attribués ou annulés organisations leurs applications
Les organisations ne paient que Le matériel doit être acheté pour Les organisations contrôlent les
ce qu’elles utilisent le démarrage et la maintenance exigences légales ou les recom-
mandations en matière de
sécurité ou de conformité
Les organisations ne disposent Les organisations sont responsa-
pas de la maîtrise totale des bles de la maintenance et des
ressources et de la sécurité mises à jour du matériel
10
Multicloud
Un quatrième scénario, de plus en plus probable, est un scénario multicloud. Dans ce type de scénario,
vous utilisez plusieurs fournisseurs de clouds publics. Peut-être utilisez-vous différentes fonctionnalités à
partir de différents fournisseurs de cloud. Ou peut-être avez-vous commencé à utiliser le cloud avec un
fournisseur et vous êtes en train de migrer vers un autre fournisseur. Quoi qu’il en soit, dans un environ-
nement multicloud, vous traitez avec deux fournisseurs de clouds publics ou plus et gérez les ressources
et la sécurité dans les deux environnements.
Azure Arc
Azure Arc est un ensemble de technologies qui aident à gérer votre environnement cloud. Azure Arc peut
vous aider à gérer votre environnement cloud, qu’il s’agisse d’un cloud public uniquement sur Azure, d’un
cloud privé dans votre centre de données, d’une configuration hybride ou même d’un environnement
multiclouds fonctionnant sur plusieurs fournisseurs de cloud computing à la fois.
Azure VMware Solution

Que faire si vous êtes déjà installé avec VMware dans un environnement de cloud privé, mais que vous
souhaitez migrer vers un cloud public ou hybride ? Azure VMware Solution vous permet d’exécuter vos
charges de travail VMware avec une intégration et une scalabilité sans faille.
Décrire le modèle basé sur la consommation

Lorsque l’on compare les modèles d’infrastructure informatique, il y a deux types de dépenses à prendre
en compte. Les dépenses d’investissement (CapEx) et les dépenses de fonctionnement (OpEx).
Les dépenses d’investissement sont généralement des dépenses exceptionnelles et initiales destinées à
acheter ou à garantir des ressources concrètes. Ces dépenses comprennent par exemple l’acquisition
d’un nouveau bâtiment, la rénovation du parking, la construction d’un centre de données ou l’achat d’un
véhicule de société.
En revanche, les dépenses de fonctionnement consistent à dépenser de l’argent pour des services ou des
produits sur la durée. Ces dépenses incluent par exemple la location d’un centre de convention ou
l’abonnement à des services cloud.
Le cloud computing fait partie des dépenses fonctionnelles, car il fonctionne sur un modèle basé sur la
consommation. Dans le cas du cloud computing, vous ne payez pas pour l’infrastructure physique,
l’électricité, la sécurité ou tout autre élément associé à la maintenance d’un centre de données. Au lieu de
cela, vous payez les ressources informatiques que vous utilisez. Si vous n’utilisez pas de ressources
informatiques ce mois-ci, vous ne payez rien.
Ce modèle basé sur la consommation offre de nombreux avantages, notamment :
●● Une absence de coût initial
●● Aucun besoin d’acheter et de gérer une infrastructure coûteuse que les utilisateurs n’exploitent pas
toujours au maximum
●● La possibilité de payer pour des ressources supplémentaires quand elles sont nécessaires
●● La possibilité de cesser de payer pour les ressources qui ne sont plus nécessaires
Avec un centre de données traditionnel, vous essayez d’estimer les ressources dont vous aurez besoin. Si
vous avez surestimé vos besoins, vous dépensez plus pour votre centre de données que nécessaire et
vous gaspillez potentiellement de l’argent. Si vous sous-estimez vos besoins, votre centre de données
11
atteindra rapidement sa capacité et vos applications et services risquent de souffrir d’une baisse de
performance. Résoudre un problème de sous-approvisionnement de centre de données peut prendre
beaucoup de temps. Vous devrez peut-être commander, recevoir et installer davantage de matériel. Vous
devrez également ajouter de l’alimentation, du refroidissement et de la mise en réseau pour le matériel
supplémentaire.
Dans un modèle basé sur le cloud, vous n’avez pas à vous soucier d’estimer correctement vos besoins en
ressources. Si vous constatez que vous avez besoin de plus de machines virtuelles, vous en ajoutez. Si la
demande diminue et que vous n’avez plus besoin d’autant de machines virtuelles, vous en supprimez
selon les besoins. Dans tous les cas, vous payez pour les machines virtuelles que vous utilisez, et non
pour la « capacité supplémentaire » dont dispose le fournisseur de cloud.
Comparer les modèles de tarification de cloud

Le cloud computing consiste à fournir des services informatiques sur Internet en utilisant un modèle
tarifaire de type paiement à l’utilisation. En règle générale, vous ne payez que les services cloud que vous
utilisez, ce qui vous permet :
●● De planifier et gérer vos coûts d’exploitation
●● D’exécuter votre infrastructure plus efficacement
●● D’adapter vos ressources à mesure que vos besoins métier évoluent
En quelque sorte, le cloud computing est un moyen de louer de la puissance de calcul et de l’espace de
stockage à un centre de données d’une autre société. Vous pouvez utiliser les ressources cloud de la
même façon que les ressources stockées dans votre propre centre de données. Toutefois, contrairement à
votre propre centre de données, lorsque vous avez fini d’utiliser les ressources du cloud, vous les rendez.
Vous êtes facturé uniquement en fonction de ce que vous utilisez.
Au lieu de conserver en permanence des processeurs et de l’espace de stockage dans votre centre de
données, vous les louez durant la période où vous en avez besoin. Le fournisseur de cloud s’occupe de la
gestion de l’infrastructure sous-jacente à votre place. Le cloud vous permet de relever rapidement vos
plus gros défis métier et de fournir des solutions de pointe à vos utilisateurs.
Contrôle des connaissances

Choisissez la meilleure réponse pour chaque question. Ensuite, sélectionnez Vérifier les réponses.
Multiple choice
Il fournit des services de calcul sur Internet.
Il fournit des services de stockage sur Internet.
Il fournit des sites web accessibles sur Internet.
12
Multiple choice
Quel modèle de cloud utilise certains centres de données axés sur la distribution de services cloud à ceux qui
en font la demande, et certains centres de données axés sur un seul client ?
Cloud public
Cloud hybride
Multicloud
Multiple choice
Selon le modèle de responsabilité partagée, quel type de services cloud confère la plus grande responsabilité
au client ?
Infrastructure as a Service (IaaS)
Software as a Service (SaaS)
Platform as a Service (PaaS)
Résumé
Dans ce module, vous avez étudié les concepts généraux du cloud. Vous avez commencé à vous familiar-
iser avec ce qu’est le cloud computing. Vous avez également découvert le modèle de responsabilité
partagée et comment vous et votre fournisseur de cloud computing partagez la responsabilité de la
sécurité de vos informations dans le cloud. Vous avez brièvement abordé les différences entre les
modèles de cloud (public, privé, hybride et multicloud). Enfin, vous avez terminé par une unité sur la
façon dont le cloud fait passer les dépenses en informatique d’une dépense d’investissement à une
dépense opérationnelle.
Vous devez maintenant pouvoir :
●● Définir le cloud computing
●● Décrire le modèle de responsabilité partagée
●● Définir les modèles de cloud, notamment public, privé et hybride
●● Identifier les cas d’utilisation appropriés pour chaque modèle de cloud
●● Décrire le modèle basé sur la consommation
●● Comparer les modèles de tarification de cloud
Ressources complémentaires
Les ressources suivantes fournissent plus d’informations sur les sujets de ce module ou liés à ce module.
●● Modèle de responsabilité partagée1- Le modèle de responsabilité partagée est le partage des
responsabilités du cloud entre vous et votre fournisseur de cloud.
1 https://docs.microsoft.com/azure/security/fundamentals/shared-responsibility
13
●● Présentation d’Azure VMware Solution2 est un cours Microsoft Learn qui permet d’approfondir les
connaissances sur Azure VMware Solution.
●● Présentation des services de cloud hybride Azure3 est un cours Microsoft Learn qui rentre plus en
détail dans ce qu’est le cloud hybride.
2 https://docs.microsoft.com/learn/modules/intro-azure-vmware-solution/
3 https://docs.microsoft.com/learn/modules/intro-to-azure-hybrid-services/
14
Décrire les avantages de l’utilisation des ser-

vices cloud
Introduction
Dans ce module, vous allez découvrir quelques-uns des avantages qu’offre le cloud computing. Vous
apprendrez comment le cloud computing peut vous aider à répondre à une demande variable tout en
offrant une bonne expérience à vos clients. Vous en apprendrez également davantage sur la sécurité, la
gouvernance et la gestion globale dans le cloud.
●● Décrire les avantages de la haute disponibilité et de la scalabilité dans le cloud
●● Décrire les avantages de la fiabilité et de la prévisibilité dans le cloud
●● Décrire les avantages de la sécurité et de la gouvernance dans le cloud
●● Décrire les avantages de la gestion dans le cloud
Décrire les avantages de la haute disponibilité et

de la scalabilité dans le cloud
Lors de la création ou du déploiement d’une application cloud, deux des principales préoccupations sont
le temps de fonctionnement (ou la disponibilité) et la capacité à gérer la demande (ou la scalabilité).
Haute disponibilité
Lorsque vous déployez une application, un service ou toute autre ressource informatique, il est important
que ces ressources soient disponibles en cas de besoin. La haute disponibilité vise à garantir une disponi-
bilité maximale, quels que soient les perturbations ou les événements qui peuvent survenir.
Lors de la conception de votre solution, vous devrez tenir compte des garanties de disponibilité du
service. Azure est un environnement cloud hautement disponible avec des garanties de temps de
fonctionnement qui varient selon le service. Ces garanties font partie des contrats de niveau de service
(SLA).
Cette courte vidéo détaille les SLA d’Azure.
https://www.microsoft.com/videoplayer/embed/RWEA4z
15
Scalabilité
Un autre avantage du cloud computing est la scalabilité des ressources cloud. La scalabilité fait référence
à la capacité d’ajuster les ressources pour répondre à la demande. Si vous rencontrez soudainement un
pic de trafic et que vos systèmes sont dépassés, la capacité de mise à l’échelle signifie que vous pouvez
ajouter plus de ressources pour mieux gérer la hausse de la demande.
L’autre avantage de la scalabilité est que vous ne surpayez pas les services. Comme le cloud est un
modèle basé sur la consommation, vous payez seulement pour ce que vous utilisez. Si la demande
diminue, vous pouvez réduire vos ressources et donc vos coûts.
Il existe généralement deux types de mise à l’échelle : verticale et horizontale. La mise à l’échelle verticale
est axée sur l’augmentation ou la diminution des capacités des ressources. La mise à l’échelle horizontale
consiste à ajouter ou à soustraire le nombre de ressources.
Mise à l’échelle verticale

Avec la mise à l’échelle verticale, si vous développez une application et que vous avez besoin de plus de
puissance de traitement, vous pouvez mettre à l’échelle verticalement en ajoutant des processeurs ou de
la RAM à la machine virtuelle. À l’inverse, si vous vous rendez compte que vous avez trop spécifié les
besoins, vous pouvez procéder à une mise à l’échelle verticale en réduisant les spécifications des proces-
seurs et de la RAM.
Mise à l’échelle horizontale

Avec la mise à l’échelle horizontale, si vous subissez soudainement une forte augmentation de la de-
mande, vos ressources peuvent être mises à l’échelle (automatiquement ou manuellement). Par exemple,
vous pouvez ajouter des machines virtuelles ou des conteneurs supplémentaires, en les mettant à
l’échelle. De même, en cas de baisse significative, les ressources déployées peuvent être mises à l’échelle
(automatiquement ou manuellement).
Décrire les avantages de la fiabilité et de la pré-

visibilité dans le cloud
La fiabilité et la prévisibilité sont deux avantages essentiels du cloud qui vous aident à développer des
solutions en toute confiance.
Fiabilité
La fiabilité est la capacité d’un système à récupérer après des défaillances et à continuer de fonctionner. Il
s’agit également de l’un des piliers d’Azure Well-Architected Framework
Le cloud, de par sa conception décentralisée, offre naturellement une infrastructure fiable et résiliente.
Grâce à sa conception décentralisée, le cloud vous permet de déployer des ressources dans des régions
du monde entier. À cette échelle mondiale, même si une catastrophe se produit dans une région, les
autres régions continuent de fonctionner. Vous pouvez concevoir vos applications de manière à tirer
automatiquement parti de cette fiabilité accrue. Dans certains cas, votre environnement cloud se déplac-
era automatiquement vers une autre région, sans intervention de votre part. Dans la suite de cette série,
vous en saurez plus sur la façon dont Azure tire parti de son envergure mondiale pour assurer la fiabilité.
16
Prévisibilité
La prévisibilité dans le cloud vous permet d’avancer en toute confiance. La prévisibilité peut être axée sur
la prévisibilité des performances ou sur la prévisibilité des prix. La prévisibilité des performances ainsi que
la prévisibilité des prix sont fortement influencées par Microsoft Azure Well-Architected Framework. En
déployant une solution créée autour de ce cadre, vous disposez d’une solution dont le coût et les
performances sont prévisibles.
Performances
La prévisibilité des performances consiste à prévoir les ressources nécessaires pour offrir une expérience
positive à vos clients. La mise à l’échelle automatique, l’équilibreur de charge et la haute disponibilité ne
sont que quelques-uns des concepts du cloud qui permettent de prévoir les performances. Si tout d’un
coup vous avez besoin de plus de ressources, la mise à l’échelle automatique peut déployer des ressourc-
es supplémentaires pour répondre à la demande, puis les réduire lorsque la demande diminue. Ou bien si
le trafic est fortement concentré sur une zone, l’équilibrer de charge permet de rediriger une partie de la
surcharge vers des zones moins sollicitées.
Coût
La prévisibilité des coûts est axée sur la prédiction ou la prévision des dépenses liées au cloud. Avec le
cloud, vous pouvez suivre vos ressources en temps réel, les surveiller pour vous assurer que vous les
utilisez le plus efficacement possible, et appliquer l’analyse des données pour trouver des modèles et des
tendances qui permettent de mieux planifier les déploiements de ressources. En opérant dans le cloud et
en utilisant des analyses et des informations, vous pouvez prédire les coûts futurs et ajuster vos ressourc-
es en fonction des besoins. Vous pouvez même utiliser des outils tels que le coût total de possession
(TCO) ou la calculatrice de prix pour obtenir une estimation des dépenses potentielles liées au cloud.
Décrire les avantages de la sécurité et de la gou-

vernance dans le cloud
Que vous déployiez un service Infrastructure as a Service (IaaS) ou Software as a Service (SaaS), les
fonctionnalités du cloud prennent en charge la gouvernance et la conformité. Des éléments tels que les
modèles définis permettent de garantir que toutes vos ressources déployées respectent les normes de
l’entreprise et les exigences réglementaires gouvernementales De plus, vous pouvez mettre à jour toutes
vos ressources déployées en fonction des nouvelles normes dès que celles-ci changent. L’audit basé sur
le cloud permet de signaler toute ressource non conforme aux normes de votre entreprise et propose
des stratégies d’atténuation. En fonction de votre modèle de fonctionnement, les correctifs et les mises à
jour logicielles peuvent également être appliqués automatiquement, ce qui contribue à la gouvernance et
à la sécurité.
En ce qui concerne la sécurité, vous pouvez trouver une solution cloud qui correspond à vos besoins en
matière de sécurité. Si vous souhaitez un contrôle total de la sécurité, une Infrastructure as a Service
(SaaS) vous fournit des ressources physiques, mais vous laisse gérer les systèmes d’exploitation et les
logiciels installés, y compris les correctifs et la maintenance. Si vous souhaitez que les correctifs et la
maintenance soient pris en charge automatiquement, le service Platform as a Service (PaaS) et le service
Software as a Service (SaaS) peuvent constituer les meilleures stratégies de cloud pour vous.
Et comme le cloud est conçu comme un mode de fourniture de ressources informatiques via Internet, les
fournisseurs de cloud sont généralement bien placés pour gérer des problèmes tels que les attaques de
déni de service distribué (DDoS), ce qui rend votre réseau plus résistant et plus sûr.
17
En établissant très tôt une bonne empreinte de gouvernance, vous pouvez maintenir votre empreinte de
cloud computing à jour, sécurisée et bien gérée.
Décrire les avantages de la gestion dans le cloud

L’un des principaux avantages du cloud computing réside dans les options de gestion. Il existe deux types
de gestion pour le cloud computing que vous découvrirez dans cette série, et tous deux présentent
d’excellents avantages.
Gestion du cloud
La gestion du cloud désigne la gestion de vos ressources cloud. Dans le cloud, vous pouvez :
●● Faire évoluer automatiquement le déploiement des ressources en fonction des besoins
●● Déployer les ressources sur la base d’un modèle préconfiguré, ce qui supprime la nécessité d’une
configuration manuelle
●● Surveiller la santé des ressources et remplacer automatiquement les ressources défaillantes
●● Recevoir automatiquement des alertes basées sur des métriques configurées, afin de connaître les
performances en temps réel
Gestion dans le cloud

La gestion dans le cloud concerne la manière dont vous pouvez gérer votre environnement et vos
ressources dans le cloud. Vous pouvez les gérer :
●● Par le biais d’un portail web
●● En utilisant une interface de ligne de commande
●● En utilisant des API
●● En utilisant PowerShell

Multiple choice
Quel type de mise à l’échelle implique l’ajout ou la suppression de ressources pour répondre à la demande ?
La mise à l’échelle verticale
La mise à l’échelle horizontale
La mise à l’échelle directe
18
Multiple choice
Qu’est-ce qui est défini comme la capacité d’un système à récupérer après des défaillances et à continuer de
fonctionner ?
Fiabilité
Prévisibilité
Scalabilité
Résumé
Dans ce module, vous avez découvert certains des avantages de travailler dans le cloud. Vous avez appris
ce que sont la haute disponibilité et la fiabilité, et comment elles contribuent au bon fonctionnement de
vos applications. Vous avez également appris comment le cloud peut fournir un environnement plus
sécurisé. Enfin, vous avez appris que le cloud fournit un environnement très facile à gérer pour vos
ressources.
●● Décrire les avantages de la haute disponibilité et de la scalabilité dans le cloud
●● Décrire les avantages de la fiabilité et de la prévisibilité dans le cloud
●● Décrire les avantages de la sécurité et de la gouvernance dans le cloud
●● Décrire les avantages de la gestion dans le cloud
●● Créer d’excellentes solutions avec Microsoft Azure Well-Architected Framework4 est un cours Mi-
crosoft Learn qui vous présente Microsoft Azure Well-Architected Framework.
4 https://docs.microsoft.com/learn/paths/azure-well-architected-framework/
19
Décrire les types de services cloud

Introduction
Dans ce module, vous découvrirez les différents types de services cloud. Vous apprendrez comment
chaque type de service cloud détermine la flexibilité dont vous disposerez pour gérer et configurer les
ressources. Vous comprendrez comment le modèle de responsabilité partagée s’applique à chaque type
de service cloud et quels sont les différents cas d’utilisation pour chaque type de service cloud.
●● Décrire un service IaaS (Infrastructure as a Service)
●● Décrire un service PaaS (Platform as a Service)
●● Décrire un service SaaS (Software as a Service)
●● Identifier les cas d’utilisation appropriés pour chaque service cloud (IaaS, PaaS, SaaS)
Décrire Infrastructure as a Service (PaaS)

L’Infrastructure as a Service (IaaS) est la catégorie la plus flexible des services cloud, car elle vous offre le
maximum de contrôle sur vos ressources cloud. Dans un modèle IaaS, le fournisseur de services cloud est
responsable de la maintenance du matériel, de la connectivité du réseau (à Internet) et de la sécurité
physique. Vous êtes responsable de tout le reste : l’installation, la configuration et la maintenance du
système d’exploitation, la configuration du réseau, de la base de données et du stockage, etc. Avec le
service IaaS, vous louez le matériel dans un centre de données cloud, mais ce que vous faites du matériel
ne dépend que de vous.
Modèle de responsabilité partagée

Le modèle de responsabilité partagée s’applique à tous les types de services cloud. Avec le modèle IaaS,
la plus grande part de responsabilité vous incombe. Le fournisseur de services cloud est responsable de
la maintenance de l’infrastructure physique et de son accès à Internet. Vous êtes responsable de l’installa-
tion et de la configuration, des correctifs et des mises à jour, ainsi que de la sécurité.
20
Scénarios
Voici quelques scénarios courants dans lesquels le service IaaS peut s’avérer utile :
●● Migration « Lift-and-shift » : Vous mettez en place des ressources cloud semblables à votre centre de
données sur site, puis vous déplacez simplement les éléments qui fonctionnent sur site vers l’infra-
structure IaaS.
●● Test et développement : Vous avez mis en place des configurations pour les environnements de
développement et de test que vous devez reproduire rapidement. Avec une structure IaaS, vous
pouvez mettre en place ou arrêter rapidement les différents environnements, tout en gardant un
contrôle total.
Décrire Platform as a Service (PaaS)

Platform as a Service (PaaS) est le compromis entre la location d’un espace dans un centre de données
(Infrastructure as a Service) et le paiement d’une solution complète et déployée (Software as a Service).
Dans un environnement PaaS, le fournisseur cloud gère l’infrastructure physique, la sécurité physique et
la connexion Internet. Il assure également la maintenance des systèmes d’exploitation, des intergiciels
(middleware), des outils de développement et des services décisionnels qui composent une solution
cloud. Dans un scénario PaaS, vous n’avez pas à vous soucier des licences ou des correctifs pour les
systèmes d’exploitation et les bases de données.
Le service PaaS est adapté pour fournir un environnement de développement complet sans avoir à se
soucier de la maintenance de toute l’infrastructure de développement.

Le modèle de responsabilité partagée s’applique à tous les types de services cloud. Le service PaaS
partage la responsabilité entre vous et le fournisseur de services cloud. Ce dernier est responsable de la
maintenance de l’infrastructure physique et de son accès à Internet, comme dans le service IaaS. Dans le
21
service PaaS, le fournisseur de services cloud assure également la maintenance des systèmes d’exploita-
tion, des bases de données et des outils de développement. Considérez le service PaaS comme l’utilisa-
tion d’une machine associée à un domaine : Le département informatique assure la maintenance de
l’appareil avec des mises à jour, des correctifs et des actualisations réguliers.
Selon la configuration, vous ou votre fournisseur de services cloud pouvez être responsable des para-
mètres de mise en réseau et de la connectivité dans votre environnement cloud, de la sécurité réseau et
des applications, et de l’infrastructure d’annuaire.
Scénarios
Voici quelques scénarios courants dans lesquels le service PaaS peut s’avérer utile :
●● Structure de développement : PaaS fournit une structure sur laquelle les développeurs peuvent
s’appuyer pour développer ou personnaliser des applications basées sur le cloud. Comme pour la
création d’une macro Excel, PaaS permet aux développeurs de créer des applications à l’aide de
composants logiciels intégrés. Des fonctionnalités cloud, telles que la scalabilité, la haute disponibilité
et la capacité de mutualisation sont incluses, ce qui réduit le volume de codage que les développeurs
doivent effectuer.
●● Analytique ou aide à la décision : Les outils fournis comme services avec le PaaS permettent aux
organisations d’analyser et d’explorer leurs données, d’en tirer des informations, de dégager des
tendances et de prévoir les résultats afin d’améliorer les prévisions, les décisions en matière de
conception de produits, le retour sur investissement et autres décisions importantes pour l’entreprise.
Décrire Software as a Service (SaaS)

Software as a Service (SaaS) est le modèle de cloud le plus complet en matière de produits. Avec SaaS,
vous louez ou utilisez une application entièrement développée. Une implémentation SaaS inclut par
exemple des e-mails, des logiciels financiers, des applications de messagerie et des logiciels de connec-
tivité.
22
Bien que le modèle SaaS soit peut-être le moins flexible, c’est aussi le plus facile à déployer. Il s’agit du
service qui nécessite le moins de connaissances techniques ou de compétences pour être pleinement
utilisé.

Le modèle de responsabilité partagée s’applique à tous les types de services cloud. Le modèle SaaS est
celui qui confère le plus de responsabilités au fournisseur de services cloud et le moins de responsabilités
à l’utilisateur. Dans un environnement SaaS, vous êtes responsables des données que vous mettez dans le
système, des appareils que vous autorisez à se connecter au système et des utilisateurs qui y ont accès.
Presque tout le reste incombe au fournisseur de services cloud. Ce dernier est responsable de la sécurité
physique des centres de données, de l’alimentation, de la connectivité et du développement des applica-
tions et des correctifs.
Scénarios
Voici quelques scénarios courants pour SaaS :
●● E-mail et messagerie
●● Applications de productivité des entreprises
●● Suivi des finances et des dépenses

23
Multiple choice
Quel type de service cloud est le plus adapté à une migration « life-and-shift » d’un centre de données sur
site vers un déploiement cloud ?
Multiple choice
Dans quel type de service cloud se trouve généralement une solution de suivi des finances et des dépenses ?
Résumé
Dans ce module, vous avez découvert les types de services cloud et certains scénarios courants pour
chaque type. Vous avez également renforcé la manière dont le modèle de responsabilité partagée
détermine vos responsabilités en fonction des différents types de services cloud.
●● Décrire un service IaaS (Infrastructure as a Service)
●● Décrire un service PaaS (Platform as a Service)
●● Décrire un service SaaS (Software as a Service)
●● Identifier les cas d’utilisation appropriés pour chaque service cloud (IaaS, PaaS, SaaS)
24
Answers
Multiple choice
■■ Il fournit des services de calcul sur Internet.
Il fournit des services de stockage sur Internet.
Il fournit des sites web accessibles sur Internet.
Explanation
Le cloud computing est ce qui fournit des services de calcul sur Internet.
Multiple choice
Quel modèle de cloud utilise certains centres de données axés sur la distribution de services cloud à ceux
qui en font la demande, et certains centres de données axés sur un seul client ?
Cloud public
■■ Cloud hybride
Multicloud
Explanation
Le modèle de cloud hybride est une combinaison de cloud public et de cloud privé. Il utilise à la fois les
centres de données dédiés uniquement à un client et les centres de données partagés avec le public.
Multiple choice
Selon le modèle de responsabilité partagée, quel type de services cloud confère la plus grande responsa-
bilité au client ?
■■ Infrastructure as a Service (IaaS)
Explanation
IaaS confère la plus grande responsabilité au consommateur. Le fournisseur de services cloud est responsa-
ble des éléments de base de la sécurité physique, de l’alimentation et de la connectivité.
Multiple choice
Quel type de mise à l’échelle implique l’ajout ou la suppression de ressources pour répondre à la de-
mande ?
La mise à l’échelle verticale
■■ La mise à l’échelle horizontale
La mise à l’échelle directe
Explanation
La mise à l’échelle horizontale consiste à ajouter ou à soustraire le nombre de ressources.
25
Multiple choice
Qu’est-ce qui est défini comme la capacité d’un système à récupérer après des défaillances et à continuer
de fonctionner ?
■■ Fiabilité
Prévisibilité
Scalabilité
Explanation
La fiabilité est la capacité d’un système à récupérer après des défaillances et à continuer de fonctionner. Elle
est l’un des piliers de Microsoft Azure Well-Architected Framework.
Multiple choice
Quel type de service cloud est le plus adapté à une migration « life-and-shift » d’un centre de données
sur site vers un déploiement cloud ?
■■ Infrastructure as a Service (IaaS)
Explanation
Avec un type de service IaaS, vous pouvez vous rapprocher de votre environnement sur site, ce qui rend une
transition « lift-and-shift » vers le cloud relativement simple.
Multiple choice
Dans quel type de service cloud se trouve généralement une solution de suivi des finances et des
dépenses ?
■■ Software as a Service (SaaS)
Explanation
Le service SaaS donne accès à des solutions logicielles, telles que le suivi de finances et des dépenses, des
e-mails ou des systèmes de billetterie.
Module 2 Décrire l’architecture et les services
Azure
Décrire les composants architecturaux princi-

paux d’Azure
Introduction
Dans ce module, vous découvrirez les composants principaux de l’architecture Azure. Vous découvrirez
l’organisation physique d’Azure : les centres de données, les zones de disponibilité et les régions. Vous
découvrirez également la structure organisationnelle d’Azure : les ressources et les groupes de ressourc-
es, les abonnements et les groupes d’administration.
●● Décrire les régions, les paires régionales et les régions souveraines Azure
●● Décrire les zones de disponibilité
●● Décrire les centres de données Azure
●● Décrire les ressources et les groupes de ressources Azure
●● Décrire les abonnements
●● Décrire les groupes d’administration
●● Décrire la hiérarchie des groupes de ressources, les abonnements et les groupes d’administration
28
Qu’est-ce que Microsoft Azure ?
https://www.microsoft.com/videoplayer/embed/RWEsag
Azure est un ensemble de services cloud en constante évolution qui aide votre organisation à faire face
aux défis actuels et futurs. Azure vous offre la possibilité de créer, de gérer et de déployer des applica-
tions sur un réseau de dimension mondiale avec vos outils et structures préférés.
Que propose Azure ?

Avec l’aide d’Azure, vous avez tout ce dont vous avez besoin pour créer votre prochaine grande solution.
Les listes suivantes présentent plusieurs des avantages offerts par Azure, pour vous permettre d’inventer
selon vos besoins :
●● Préparez l’avenir : L’innovation continue chez Microsoft soutient vos projets de développement
d’aujourd’hui et vos visions de produits de demain.
●● Développez selon vos conditions : Vous avez le choix. Avec une philosophie résolument tournée
vers l’open source et la prise en charge de l’ensemble des langages et des infrastructures, vous
pouvez développer en toute liberté et déployer partout où vous le souhaitez.
●● Opérez en mode hybride en toute transparence : Localement, dans le cloud et en périphérie, nous
serons à vos côtés où que vous soyez. Intégrez et gérez vos environnements avec des outils et des
services conçus pour une solution de cloud hybride.
●● Faites confiance au cloud : Bénéficiez d’une sécurité de bout en bout, assurée par une équipe
d’experts, et d’une conformité proactive approuvée par les entreprises, les administrations et les
start-up.
À quoi me sert Azure ?

Azure fournit plus de 100 services qui vous permettent de tout faire, de l’exécution de vos applications
existantes sur des machines virtuelles à l’exploration de nouveaux paradigmes logiciels, tels que les bots
intelligents et la réalité mixte.
De nombreuses équipes commencent à explorer le cloud en déplaçant leurs applications existantes vers
des machines virtuelles qui s’exécutent dans Azure. La migration de vos applications existantes vers des
machines virtuelles est un bon début, mais le cloud est bien plus qu’un autre emplacement pour exécuter
vos machines virtuelles.
Par exemple, Azure fournit des services d’intelligence artificielle (IA) et d’apprentissage automatique qui
peuvent communiquer de façon naturelle avec vos utilisateurs en utilisant la vue, l’ouïe et la voix. Il
fournit également des solutions de stockage qui augmentent de manière dynamique pour s’adapter à de
grandes quantités de données. Les services Azure permettent de trouver des solutions inenvisageables
sans la puissance du cloud.
29
Bien démarrer avec les comptes Azure

Pour créer et utiliser des services Azure, vous avez besoin d’un abonnement Azure. Quand vous suivez
des modules Learn, la plupart du temps, un abonnement temporaire est créé pour vous. Cet abonnement
s’exécute dans un environnement appelé « bac à sable » (sandbox) Learn. Quand vous travaillez avec vos
propres applications et ressources métier, vous devez créer un compte Azure, puis, un abonnement sera
créé pour vous. Une fois que vous avez créé un compte Azure, vous êtes libre de créer des abonnements
supplémentaires. Par exemple, votre entreprise peut utiliser un seul compte Azure pour l’ensemble de
son activité, mais des abonnements distincts pour les services de développement, de marketing et de
vente. Une fois que vous avez créé un abonnement Azure, vous pouvez commencer à créer des ressourc-
es Azure dans chaque abonnement.
Si vous débutez avec Azure, vous pouvez demander un compte gratuit sur le site web Azure qui vous
permettra de commencer à découvrir Azure sans qu’aucuns frais ne vous soient facturés. Quand vous
êtes prêt, vous pouvez choisir de mettre à niveau votre compte gratuit. Vous pouvez créer un autre
abonnement sur lequel vous sera facturée l’utilisation de services Azure qui ne sont pas prévus dans le
cadre d’un compte gratuit.
Créer un compte Azure

Vous pouvez acheter un accès à Azure directement auprès de Microsoft en vous inscrivant sur le site web
Azure ou par l’intermédiaire d’un représentant Microsoft. Vous pouvez également acheter un accès à
Azure par l’intermédiaire d’un partenaire Microsoft. Les partenaires fournisseurs de solutions cloud
proposent une gamme de solutions complètes de cloud géré pour Azure.
https://www.microsoft.com/videoplayer/embed/RWK1QU
30
Pour plus d’informations sur la création d’un compte Azure, consultez le module d’apprentissage Créer
un compte Azure1.
En quoi consiste le compte gratuit Azure ?

Le compte gratuit Azure comprend les éléments suivants :
●● Un accès gratuit aux produits populaires d’Azure pendant 12 mois
●● Un crédit à dépenser pendant les 30 premiers jours
●● L’accès à plus de 25 produits toujours gratuits
Le compte Azure gratuit est parfait pour les nouveaux utilisateurs qui souhaitent découvrir et explorer
Azure. Pour vous inscrire, vous avez besoin d’un numéro de téléphone, d’une carte de crédit et d’un
compte Microsoft ou GitHub. Les informations de carte de crédit sont utilisées uniquement pour vérifier
votre identité. Aucun service ne vous est facturé tant que vous ne passez pas à un abonnement payant.
En quoi consiste le compte Azure gratuit pour les étudiants ?

Le compte Azure gratuit pour les étudiants comprend les éléments suivants :
●● Un accès gratuit à certains services d’Azure pendant 12 mois
●● Un crédit à dépenser pendant les 12 premiers mois
●● Un accès gratuit à certains outils de développement de logiciels
Le compte Azure gratuit pour les étudiants2 est une offre pour les étudiants qui leur octroie un crédit
de 100 $ et des outils de développement gratuits. Notez également que vous pouvez y souscrire sans
carte de crédit.
En quoi consiste le bac à sable Microsoft Learn ?

La plupart des exercices Learn utilisent une technologie appelée « bac à sable » (sandbox), qui crée un
abonnement temporaire et l’ajoute à votre compte Azure. Cet abonnement temporaire vous permet de
créer des ressources Azure pour la durée d’un module Learn. Learn nettoie automatiquement les res-
sources temporaires une fois que vous avez terminé le module.
Quand vous suivez un module Learn, vous pouvez tout à fait utiliser votre abonnement personnel pour
effectuer les exercices qu’il contient. Toutefois, le bac à sable est la méthode à privilégier, car il vous
permet de créer et de tester gratuitement des ressources Azure.
Exercice - Découvrir le bac à sable Learn

Important : Afin d’utiliser Microsoft Learn Sandbox pour ce labo, vous devez le lancer dans Microsoft Learn.
Le labo se trouve ici : https://docs.microsoft.com/learn/modules/describe-core-architectural-compo-
nents-of-azure/4-exercise-explore-learn-sandbox
Dans cet exercice, vous allez découvrir le bac à sable Learn. Vous pouvez interagir avec le bac à sable
Learn de trois manières différentes. Pendant les exercices, vous recevrez des instructions pour au moins
l’une des méthodes ci-dessous.
1 https://docs.microsoft.com/learn/modules/create-an-azure-account/
2 https://azure.microsoft.com/free/students/
31
Vous commencez par activer le bac à sable Learn. Ensuite, vous examinerez chacune des méthodes pour
travailler dans le bac à sable Learn.
Activer le bac à sable Learn

Si vous ne l’avez pas encore fait, utilisez le bouton Activer le bac à sable ci-dessus pour activer le bac à
sable Learn.
Si vous recevez un avis indiquant que Microsoft Learn a besoin de votre autorisation pour créer une
ressource Azure, utilisez le bouton Examiner l’autorisation pour examiner et accepter les autorisations.
Une fois que vous avez approuvé les autorisations, l’activation du bac à sable peut prendre quelques
minutes.
Tâche 1 : Utiliser l’interface de ligne de commande Power-

Shell
Une fois le bac à sable lancé, la moitié de l’écran sera en mode interface de ligne de commande Power-
Shell. Si vous êtes familier avec PowerShell, vous pouvez gérer votre environnement Azure à l’aide de
commandes PowerShell.
Conseil : Vous pouvez savoir que vous êtes en mode PowerShell grâce au PS précédant votre répertoire
sur la ligne de commande.
Utilisez la commande PowerShell Get-date pour obtenir la date et l’heure actuelles.
Get-date
La plupart des commandes spécifiques à Azure commencent par les lettres az. La commande Get-date
que vous venez d’exécuter est une commande spécifique à PowerShell. Essayons une commande Azure
pour vérifier quelle version de l’interface de ligne de commande vous utilisez en ce moment.
az version
Tâche 2 : Utiliser l’interface de ligne de commande BASH

Si BASH vous est plus familier, vous pouvez utiliser la commande BASH à la place en passant à l’interface
de ligne de commande BASH.
Entrez bash pour passer à l’interface de ligne de commande BASH.
32
bash
Conseil : Vous pouvez savoir que vous êtes en mode BASH grâce au nom d’utilisateur affiché sur la ligne
de commande. Il s’agit de votre nom d’utilisateur@azure.
Encore une fois, utilisez la commande Get-date pour obtenir la date et l’heure actuelles.
Get-date
Vous avez reçu un message d’erreur, car Get-date est une commande spécifique à PowerShell.
Utilisez la commande date pour obtenir la date et l’heure actuelles.

date
Tout comme dans le mode PowerShell de l’interface de ligne de commande, vous pouvez utiliser les
lettres az pour lancer une commande Azure dans le mode BASH. Essayez d’exécuter une mise à jour de
l’interface de ligne de commande avec az upgrade.
az upgrade
Vous pouvez repasser en mode PowerShell en entrant pwsh sur la ligne de commande BASH.
Tâche 3 : Utiliser le mode interactif Azure CLI

Une autre façon d’interagir est d’utiliser le mode interactif Azure CLI. Cela modifie le comportement de
l’interface de ligne de commande pour qu’il ressemble davantage à un environnement de développe-
ment intégré (IDE). Le mode interactif offre une saisie automatique, des descriptions de commandes et
même des exemples. Si vous n’êtes pas familier avec BASH et PowerShell, mais que vous souhaitez utiliser
la ligne de commande, le mode interactif peut vous aider.
Entrez az interactive pour passer en mode interactif.
az interactive
Décidez si vous souhaitez envoyer des données de télémétrie et entrez OUI ou NON.
Vous devrez peut-être patienter une ou deux minutes pour permettre au mode interactif de s’initialiser
complètement. Ensuite, entrez la lettre « a » et la saisie automatique devrait commencer à fonctionner. Si
la saisie automatique ne fonctionne pas, effacez ce que vous avez saisi, attendez un peu plus longtemps
et réessayez.
33
Une fois initialisé, vous pouvez utiliser les touches fléchées ou la tabulation pour vous aider à compléter
vos commandes. Le mode interactif est configuré spécifiquement pour Azure, vous n’avez donc pas
besoin d’entrer az pour lancer une commande (mais vous pouvez le faire si vous le souhaitez ou si vous y
êtes habitué). Essayez à nouveau les commandes de mise à niveau ou de version, mais cette fois sans az
devant.
version
upgrade
Les commandes devraient avoir fonctionné de la même manière qu’avant, et vous avoir donné les mêmes
résultats. Utilisez la commande exit pour quitter le mode interactif.
exit
Tâche 4 : Utiliser le portail Azure

Vous aurez également la possibilité d’utiliser le portail Azure pendant les exercices de bac à sable. Vous
devez utiliser le lien donné dans l’exercice pour accéder au portail Azure. En utilisant ce lien, au lieu
d’ouvrir le portail vous-même, vous vous assurez que l’abonnement correct est utilisé et que l’exercice
reste gratuit pour vous.
Connectez-vous au portail Azure pour découvrir l’interface Azure Web. Une fois sur le portail, vous
pouvez voir tous les services qu’Azure a à offrir et jeter un coup d’œil aux groupes de ressources, etc.
34
Continuer
Vous êtes prêt. Nous reviendrons à ce bac à sable plus tard dans ce module et créerons réellement une
ressource Azure !
Décrire l’infrastructure physique Azure

Tout au long de votre parcours avec Microsoft Azure, vous entendrez et utiliserez des termes tels que
régions, zones de disponibilité, ressources, abonnements, etc. Ce module concerne les composants
principaux de l’architecture Azure. Les principaux composants architecturaux Azure peuvent être répartis
en deux groupes principaux : l’infrastructure physique et l’infrastructure de gestion.
Infrastructure physique
L’infrastructure physique Azure commence par les centres de données. Conceptuellement parlant, les
centres de données sont les mêmes que ceux des grandes entreprises. Il s’agit d’installations où les
ressources sont disposées dans des racks, avec une infrastructure dédiée d’alimentation, de refroidisse-
ment et de mise en réseau.
En tant que fournisseur mondial de cloud computing, Azure possède des centres de données dans le
monde entier. Toutefois, ces centres de données individuels ne sont pas directement accessibles. Les
centres de données sont regroupés en régions Azure ou en zones de disponibilité Azure, conçues pour
vous aider à assurer la résilience et la fiabilité de vos charges de travail critiques.
Le site Global infrastructure3 vous permet de découvrir de manière interactive l’infrastructure Azure
sous-jacente.
Régions
Une région est une zone géographique qui contient au moins un centre de données, voire plusieurs
centres de données proches les uns des autres et reliés par un réseau à faible latence. Azure assigne et
contrôle intelligemment les ressources au sein de chaque région pour que les charges de travail soient
correctement équilibrées.
Quand vous déployez une ressource dans Azure, vous êtes souvent amené à choisir la région où vous
souhaitez qu’elle soit déployée.
Remarque : Certains services ou fonctionnalités des machines virtuelles ne sont disponibles que dans
certaines régions, par exemple des tailles de machines virtuelles ou des types de stockage spécifiques. De
même, certains services Azure mondiaux ne vous obligent pas à sélectionner une région particulière,
comme c’est le cas d’Azure Active Directory, d’Azure Traffic Manager et d’Azure DNS.
Zones de disponibilité
Les zones de disponibilité sont des centres de données physiquement séparés au sein d’une région
Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés
d’une alimentation, d’un refroidissement et d’une mise en réseau indépendants. Une zone de disponibil-
ité est configurée pour être une limite d’isolation. Si une zone de disponibilité tombe en panne, l’autre
continue à fonctionner. Les zones de disponibilité sont connectées via des réseaux en fibre optique privés
très rapides.
3 https://infrastructuremap.microsoft.com/
35
Important : Pour garantir la résilience, au moins trois zones de disponibilité distinctes sont présentes dans
toutes les régions prenant en charge les zones de disponibilité. Cependant, certaines régions Azure ne
prennent pas actuellement en charge les zones de disponibilité.
Utiliser des zones de disponibilité dans vos applications

Vous souhaitez vous assurer que vos services et vos données sont redondants afin de pouvoir protéger
vos informations en cas de défaillance. Quand vous hébergez votre infrastructure, la configuration de
votre propre redondance nécessite la création d’environnements matériels en double. Azure peut vous
aider à rendre votre application hautement disponible via des zones de disponibilité.
Vous pouvez utiliser des zones de disponibilité pour exécuter des applications stratégiques et générer la
haute disponibilité dans votre architecture d’applications par la colocalisation de vos ressources de calcul,
de stockage, de mise en réseau et de données dans une zone, et par la réplication dans d’autres zones.
N’oubliez pas que la duplication de vos services et le transfert de données entre zones peuvent entraîner
des frais.
Les zones de disponibilité sont utilisées principalement pour les machines virtuelles, les disques managés,
les équilibreurs de charge et les bases de données SQL. Les services Azure qui prennent en charge les
zones de disponibilité sont classés en trois catégories :
●● Services zonaux : Vous épinglez la ressource à une zone spécifique (par exemple, des machines
virtuelles, des disques managés, des adresses IP).
●● Services redondants interzone : La plateforme effectue automatiquement une réplication entre des
zones (par exemple, un stockage redondant interzone, base de données SQL).
●● Services non régionaux : Les services sont toujours disponibles à partir des zones géographiques
Azure et résistent aux pannes à l’échelle de la zone ou de la région.
Il est possible qu’un événement soit si important qu’il ait une incidence sur plusieurs zones de disponibil-
ité dans une seule région, même avec la résilience supplémentaire fournie par les zones de disponibilité.
Pour la renforcer davantage, Azure propose des paires régionales.
36
Paires régionales
La plupart des régions Azure sont associées à une autre région au sein de la même zone géographique
(par exemple, États-Unis, Europe ou Asie) à au moins 500 kilomètres de distance. Cette approche permet
la réplication des ressources sur l’ensemble d’une région, aidant ainsi à réduire la probabilité d’interrup-
tions liées à des événements tels que des catastrophes naturelles, des troubles civils, des coupures de
courant ou des pannes de réseau physique affectant une région entière. Par exemple, si une région d’une
paire est touchée par une catastrophe naturelle, les services basculent automatiquement vers l’autre
région, jumelée, de la paire régionale.
Important : Tous les services Azure ne répliquent pas automatiquement les données ou ne se replient pas
automatiquement sur une région défaillante pour effectuer une réplication croisée vers une autre région
activée. Dans ces cas-ci, la récupération et la réplication doivent être configurées par le client.
Voici quelques exemples de paires régionales Azure : USA Ouest/USA Est et Asie Sud-Est/Asie Est. Dans la
mesure où les paires de régions sont directement connectées et suffisamment éloignées pour être isolées
des catastrophes locales, vous pouvez les utiliser pour assurer la redondance des données et la fiabilité
des services.
Les paires régionales offrent les avantages supplémentaires

suivants :
●● En cas de panne importante d’Azure, une région de chaque paire est prioritaire pour garantir qu’au
moins l’une d’entre elles est restaurée aussi rapidement que possible pour les applications hébergées
dans cette paire de régions.
●● Les mises à jour Azure planifiées sont déployées sur les régions jumelées, à raison d’une région à la
fois, pour limiter les interruptions de service et les risques de panne de l’application.
●● Les données continuent de résider dans la même zone géographique que la région avec laquelle elle
est jumelée (sauf Brésil Sud) afin de répondre aux exigences relatives à la fiscalité et à l’application de
la loi.
37
Important : La plupart des directions sont jumelées dans deux directions, ce qui signifie qu’elles sont la
sauvegarde de la région qui leur fournit une sauvegarde (USA Ouest et USA Est se sauvegardent mutuelle-
ment). Toutefois, certaines régions, telles que l’Inde Ouest et le Brésil Sud, sont jumelées dans une seule
direction. Dans un jumelage unidirectionnel, la région primaire ne fournit pas de sauvegarde à sa région
secondaire. Ainsi, même si la région secondaire de l’Inde Ouest est l’Inde Sud, l’Inde Sud ne dépend pas de
l’Inde Ouest. La région secondaire de la région Inde Ouest est Inde Sud, mais la région secondaire de la
région Inde Sud est Inde Centre. La région Brésil Sud est unique, car elle est jumelée avec une région située
en dehors de sa zone géographique. La région secondaire de la région Brésil Sud est USA Centre Sud. La
région secondaire de la région USA Centre Sud n’est pas Brésil Sud.
Régions souveraines
En plus des régions normales, Azure possède également des régions souveraines. Les régions souveraines
sont des instances d’Azure qui sont isolées de l’instance principale d’Azure. Vous pouvez avoir besoin
d’utiliser une région souveraine pour des raisons de conformité ou légales.
Les régions souveraines d’Azure comprennent :
●● US DoD Centre, US Gov Virginie, US Gov Iowa, etc. : Ces régions sont des instances physiques et
logiques isolées du réseau d’Azure pour les agences gouvernementales et partenaires du secteur
public des États-Unis. Ces centres de données sont gérés par un personnel autorisé aux États-Unis et
incluent des certifications de conformité supplémentaires.
●● Chine Est, Chine Nord, etc. : Ces régions sont disponibles via un partenariat unique conclu entre
Microsoft et 21Vianet, qui stipule que Microsoft ne gère pas directement les centres de données.
Décrire l’infrastructure de gestion Azure

L’infrastructure de gestion comprend les ressources Azure et les groupes de ressources, les abonnements
et les comptes. La compréhension de l’organisation hiérarchique vous aidera à planifier vos projets et
produits au sein d’Azure.
Ressources et groupes de ressources Azure

Une ressource est le bloc élémentaire d’Azure. Tout ce que vous créez, approvisionnez, déployez, etc. est
une ressource. Les machines virtuelles, les réseaux virtuels, les bases de données, les services cognitifs,
etc. sont tous considérés comme des ressources dans Azure.
Les groupes de ressources sont simplement des regroupements de ressources. Lorsque vous créez une
ressource, vous devez la placer dans un groupe de ressources. Une ressource unique ne peut se trouver
que dans un seul groupe de ressources à la fois alors qu’un groupe de ressources peut contenir de
nombreuses ressources. Certaines ressources peuvent être déplacées entre les groupes de ressources,
mais lorsque vous déplacez une ressource vers un nouveau groupe, elle n’est plus associée à l’ancien
38
groupe. Par ailleurs, les groupes de ressources ne peuvent pas être imbriqués, ce qui signifie que vous ne
pouvez pas placer le groupe de ressources B à l’intérieur du groupe de ressources A.
Les groupes de ressources constituent un moyen pratique de regrouper des ressources. Lorsque vous
appliquez une action à un groupe de ressources, celle-ci s’applique à toutes les ressources de ce groupe.
Si vous supprimez un groupe de ressources, toutes les ressources qu’il contient seront également
supprimées. Si vous accordez ou refusez l’accès à un groupe de ressources, vous accordez ou refusez l’ac-
cès à toutes les ressources de ce groupe.
Lorsque vous approvisionnez des ressources, il est judicieux de réfléchir à la structure du groupe de
ressources qui répond le mieux à vos besoins.
Par exemple, si vous mettez en place un environnement de développement temporaire, le fait de re-
grouper toutes les ressources signifie que vous pouvez déprovisionner toutes les ressources associées en
une seule fois en supprimant le groupe de ressources. Si vous approvisionnez des ressources informa-
tiques qui nécessiteront trois schémas d’accès différents, il est préférable de regrouper les ressources en
fonction du schéma d’accès, puis d’attribuer l’accès au niveau du groupe de ressources.
Il n’existe pas de règles strictes sur la façon d’utiliser les groupes de ressources, alors réfléchissez à la
façon de configurer vos groupes de ressources pour maximiser leur utilité.
Abonnements Azure
Dans Azure, les abonnements sont une unité de gestion, de facturation et de mise à l’échelle. De la même
manière que les groupes de ressources sont un moyen d’organiser logiquement les ressources, les
abonnements vous permettent d’organiser logiquement vos groupes de ressources et de faciliter la
facturation.
L’utilisation d’Azure nécessite un abonnement Azure. Un abonnement vous donne un accès authentifié et
autorisé aux produits et services Azure. Il vous permet également de provisionner des ressources. Un
abonnement Azure est lié à un compte Azure, qui est une identité dans Azure Active Directory (Azure AD)
ou dans un annuaire auquel Azure AD fait confiance.
Un compte peut avoir plusieurs abonnements, mais il n’est tenu d’en avoir qu’un seul. Dans un compte à
abonnements multiples, vous pouvez utiliser les abonnements pour configurer différents modèles de
facturation et appliquer différentes politiques de gestion des accès. Vous pouvez utiliser des abonne-
ments Azure pour définir des limites autour de produits, de services et de ressources Azure. Vous pouvez
utiliser deux types de limites d’abonnement :
●● Limites de facturation : Ce type d’abonnement détermine la façon dont l’utilisation d’Azure est
facturée à un compte Azure. Vous pouvez créer plusieurs abonnements en fonction des conditions de
facturation. Azure génère des factures et des rapports de facturation distincts pour chaque abonne-
ment afin que vous puissiez organiser et gérer les coûts.
39
●● Limites de contrôle d’accès : Azure applique des stratégies de gestion des accès au niveau de l’abon-
nement, ce qui vous permet de créer des abonnements distincts pour les différentes structures
organisationnelles. Par exemple, dans une entreprise, vous avez différents services auxquels vous
appliquez des stratégies d’abonnement Azure distinctes. Ce modèle de facturation vous permet de
gérer et de contrôler l’accès aux ressources provisionnées par les utilisateurs dans les différents
abonnements.
Créer des abonnements Azure supplémentaires

De la même manière que vous utilisez des groupes de ressources pour séparer les ressources par fonc-
tion ou par accès, vous pouvez créer des abonnements supplémentaires à des fins de gestion des
ressources ou de facturation. Par exemple, vous pouvez choisir de créer des abonnements supplémen-
taires pour une facturation séparée :
●● Environnements : Vous pouvez choisir de créer des abonnements pour configurer des environne-
ments distincts pour le développement et les tests et la sécurité, ou pour isoler les données pour des
raisons de conformité. Cette conception est particulièrement utile, car le contrôle d’accès aux res-
sources s’effectue au niveau de l’abonnement.
●● Structures organisationnelles : Vous pouvez créer des abonnements qui reflètent vos différentes
structures organisationnelles. Par exemple, vous pouvez limiter une équipe à des ressources à moin-
dre coût, tout en accordant au service informatique une gamme complète. Cette conception permet
de gérer et de contrôler l’accès aux ressources provisionnées par les utilisateurs au sein de chaque
abonnement.
●● Facturation : Vous pouvez également créer des abonnements supplémentaires pour vos besoins de
facturation. Les coûts sont initialement agrégés au niveau de l’abonnement, mais vous pouvez créer
plusieurs abonnements pour gérer et suivre les coûts de la manière qui vous convient le mieux. Par
exemple, créez un abonnement dédié à vos charges de travail de production et un autre abonnement
réservé à vos charges de travail de développement et de test.
Groupes d’administration Azure

La dernière pièce est le groupe d’administration. Les ressources sont regroupées en groupes de ressourc-
es, et les groupes de ressources sont regroupés en abonnements. Si vous débutez dans Azure, cette
hiérarchie peut sembler suffisante pour organiser les choses. Néanmoins, imaginez que vous ayez affaire
à plusieurs applications, plusieurs équipes de développement, dans plusieurs pays/région.
Si votre organisation a un grand nombre d’abonnements, vous pouvez avoir besoin d’un moyen de gérer
efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration
Azure offrent un niveau d’étendue qui dépasse celui des abonnements. Vous organisez les abonnements
en conteneurs appelés groupes d’administration et vous appliquez vos conditions de gouvernance aux
groupes d’administration. Tous les abonnements d’un groupe d’administration héritent automatiquement
des conditions appliquées au groupe d’administration, de la même manière que les groupes de ressourc-
es héritent des paramètres des abonnements et que les ressources héritent des groupes de ressources.
Les groupes d’administration permettent une gestion de qualité professionnelle à grande échelle, quel
que soit le type de vos abonnements. Les groupes d’administration peuvent être imbriqués.
Groupe d’administration, abonnements et hiérarchie des

groupes de ressources
Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements pour organiser
vos ressources dans une hiérarchie à des fins de stratégie unifiée et de gestion des accès. Le diagramme
40
suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes
d’administration.
Voici quelques exemples de la façon dont vous pourriez utiliser les groupes d’administration :
●● Créer une hiérarchie qui applique une stratégie : Vous pouvez limiter la localisation des machines
virtuelles à la région USA Ouest dans un groupe nommé Production. Cette stratégie est héritée par
tous les abonnements descendants de ce groupe d’administration et s’applique à toutes les machines
virtuelles dans ces abonnements. Cette stratégie de sécurité ne peut pas être modifiée par le pro-
priétaire de la ressource ou de l’abonnement, ce qui permet une gouvernance améliorée.
●● Offrir un accès utilisateur à plusieurs abonnements : En déplaçant plusieurs abonnements sous un
groupe d’administration, vous pouvez créer une seule attribution de contrôle d’accès Azure basé sur
les rôles (Azure RBAC) sur le groupe d’administration. L’attribution d’Azure RBAC au niveau du groupe
d’administration signifie que tous les sous-groupes d’administration, abonnements, groupes de
ressources et ressources sous ce groupe d’administration héritent également de ces autorisations.
Une attribution sur le groupe d’administration peut autoriser les utilisateurs à accéder à tout ce dont
ils ont besoin, au lieu de créer un script Azure RBAC sur différents abonnements.
Informations importantes sur les groupes d’administration :
●● 10 000 groupes d’administration peuvent être pris en charge dans un seul annuaire.
●● Une arborescence de groupes d’administration peut prendre en charge jusqu’à six niveaux de profon-
deur. Cette limite n’inclut pas le niveau racine ni le niveau de l’abonnement.
●● Chaque groupe d’administration et chaque abonnement ne peuvent avoir qu’un seul parent.
Exercice - Créer une ressource Azure

Le labo se trouve ici : https://docs.microsoft.com/learn/modules/describe-core-architectural-compo-
nents-of-azure/7-exercise-create-azure-resource/
Dans cet exercice, vous allez utiliser le portail Azure pour créer une ressource. Le but de l’exercice est
d’observer comment les groupes de ressources Azure se remplissent avec les ressources créées.
Le bac à sable devrait déjà être activé, mais s’il s’est fermé, réactive- le avant de continuer.
41
Tâche 1 : Créer une machine virtuelle

Dans cette tâche, vous allez créer une machine virtuelle à l’aide du portail Azure.
1. Connectez-vous au portail Azure.
2. Sélectionnez Créer une ressource &gt ; Calcul &gt ; Machine virtuelle > Créer.
3. Le volet Créer une machine virtuelle s’ouvre sur l’onglet général.
4. Vérifiez ou entrez les valeurs suivantes pour chaque paramètre. Si un paramètre n’est pas spécifié, lais-
sez la valeur par défaut.
Onglet Informations de base
Paramètre Valeur
Abonnement Abonnement Concierge
Groupe de ressources Sélectionnez le nom du groupe de ressources
commençant par learn.
Nom de la machine virtuelle my-VM
Type d’authentification Mot de passe
Nom d’utilisateur azureuser
Mot de passe Saisissez un mot de passe.
Confirmer le mot de passe Saisissez à nouveau le mot de passe personnalisé.
Ports d’entrée publics Aucun
5. Sélectionnez Examiner et créer.
Important : Les détails du produit comprendront un coût associé à la création de la machine virtuelle. Ceci
est une fonction du système. Si vous créez la machine virtuelle dans le bac à sable Learn, vous n’encourrez
aucun coût.
6. Sélectionner Créer
Attendez que la machine virtuelle soit configurée. « Le déploiement est en cours » deviendra « Le
déploiement est terminé » lorsque la machine virtuelle sera prête.
Tâche 2 : Vérifier les ressources créées

Une fois le déploiement créé, vous pouvez vérifier qu’Azure a créé non seulement une machine virtuelle,
mais aussi toutes les ressources associées dont cette dernière a besoin.
1. Sélectionner Accueil
2. Sélectionner Groupes de ressources
3. Sélectionnez le groupe de ressources de bac à sable. Il commencera par learn.
Vous devriez voir apparaître une liste de ressources dans le groupe de ressources. Le compte de stockage
et le réseau virtuel sont associés au bac à sable Learn. Cependant, le reste des ressources a été créé
lorsque vous avez créé la machine virtuelle. Par défaut, Azure leur a donné un nom similaire pour faciliter
l’association et les a regroupées dans le même groupe de ressources.
Félicitations ! Vous avez créé une ressource dans Azure et avez eu l’occasion de voir comment les res-
sources étaient regroupées lors de leur création.
42
Nettoyer
Le bac à sable nettoie automatiquement vos ressources une fois que vous avez terminé ce module.
Lorsque vous travaillez dans votre propre abonnement, il est judicieux, à la fin d’un projet, de déterminer
si vous avez encore besoin des ressources que vous avez créées. Les ressources que vous laissez s’exécut-
er sont susceptibles de vous coûter de l’argent. Vous pouvez supprimer des ressources individuellement,
ou supprimer le groupe de ressources pour supprimer l’ensemble des ressources.

Multiple choice
Dans combien de groupes de ressources une ressource peut-elle se trouver en même temps ?
Un
Deux
Trois
Multiple choice
Qu’arrive-t-il aux ressources d’un groupe de ressources lorsqu’une action ou un paramètre au niveau du
groupe de ressources est appliqué ?
Les ressources actuelles héritent du paramètre, mais pas les ressources futures.
Les ressources futures héritent du paramètre, mais pas les ressources actuelles.
Le paramètre est appliqué aux ressources actuelles et futures.
Multiple choice
Quelle fonctionnalité Azure permet de répliquer des ressources dans des régions distantes d’au moins 500
kilomètres les unes des autres ?
Paires régionales
Résumé
Dans ce module, vous avez découvert la structure physique et de gestion de Microsoft Azure. Vous avez
découvert la relation entre les centres de données, les zones de disponibilité et les régions. Vous avez
découvert comment l’infrastructure prend en charge les avantages du cloud, tels que la haute disponibil-
ité et la fiabilité. Vous avez également découvert l’infrastructure de gestion Azure. Vous avez découvert
comment la relation entre les ressources et les groupes de ressources, ainsi que la manière dont les
abonnements et les groupes de gestion peuvent aider à gérer les ressources.
43
●● Décrire les régions, les paires régionales et les régions souveraines Azure
●● Décrire les zones de disponibilité
●● Décrire les centres de données Azure
●● Décrire les ressources et les groupes de ressources Azure
●● Décrire les abonnements
●● Décrire les groupes d’administration
●● Décrire la hiérarchie des groupes de ressources, les abonnements et les groupes d’administration
44
Décrire les services de calcul et de mise en ré-

seau Azure
Introduction
Dans ce module, vous allez découvrir certains services de calcul et de mise en réseau d’Azure. Vous
découvrirez trois des options de calcul (machines virtuelles, conteneurs et fonctions Azure). Vous décou-
vrirez également certaines des fonctions de mise en réseau, telles que les réseaux virtuels Azure, Azure
DNS et Azure ExpressRoute.
●● Comparer les types de calcul, y compris les instances de conteneurs, les machines virtuelles et les
fonctions
●● Décrire les options de machines virtuelles, y compris les machines virtuelles, les groupes de machines
virtuelles identiques, les groupes à haute disponibilité de machines virtuelles et Azure Virtual Desktop
●● Décrire les ressources requises pour les machines virtuelles
●● Décrire les options d’hébergement d’applications, notamment Azure Web Apps, les conteneurs et les
machines virtuelles
●● Décrire la mise en réseau virtuelle, y compris l’objectif des réseaux virtuels Azure, les sous-réseaux
virtuels Azure, le peering, Azure DNS, la passerelle VPN et ExpressRoute
●● Définir les points de terminaison publics et privés
Décrire les machines virtuelles Azure

Avec les machines virtuelles Azure, vous pouvez créer et utiliser des machines virtuelles dans le cloud. Les
machines virtuelles fournissent une infrastructure IaaS (Infrastructure as a Service) sous la forme d’un
serveur virtualisé, et peuvent être utilisées de nombreuses façons. Vous pouvez personnaliser tous les
logiciels exécutés sur la machine virtuelle, comme vous le feriez sur un ordinateur physique. Les machines
virtuelles constituent un choix idéal quand vous devez :
●● Avoir un contrôle total sur le système d’exploitation
●● Exécuter des logiciels personnalisés
●● Utiliser des configurations d’hébergement personnalisées
Une machine virtuelle Azure vous procure la flexibilité de la virtualisation en vous évitant d’acheter et de
maintenir le matériel physique qui exécute la machine virtuelle. Toutefois, tous comme avec une offre
IaaS, vous devez quand même effectuer la configuration, la mise à jour et la maintenance des logiciels qui
s’exécutent sur la machine virtuelle.
Vous pouvez même créer ou utiliser une image déjà créée pour provisionner rapidement des machines
virtuelles. Vous pouvez créer et provisionner une machine virtuelle en quelques minutes quand vous
sélectionnez une image de machine virtuelle préconfigurée. Une image est un modèle utilisé pour créer
une machine virtuelle et peut déjà inclure un système d’exploitation et d’autres logiciels, comme des
outils de développement ou des environnements d’hébergement Web.
45
Mettre à l’échelle des machines virtuelles dans Azure

Vous pouvez exécuter des machines virtuelles uniques à des fins de test, de développement ou de tâches
mineures, ou regrouper des machines virtuelles afin de fournir une haute disponibilité, une scalabilité et
une redondance. Azure peut également gérer le regroupement des machines virtuelles pour vous grâce à
des fonctionnalités telles que les groupes de machines virtuelles identiques et les groupes à haute
disponibilité.
Groupes de machines virtuelles identiques

Les groupes de machines virtuelles identiques vous permettent de créer et de gérer un groupe de
machines virtuelles identiques à charge équilibrée. Si vous créez simplement plusieurs machines virtuelles
dans le même but, vous devez vous assurer qu’elles sont toutes configurées de manière identique, puis
définir des paramètres d’acheminement réseau pour garantir l’efficacité. Vous auriez également dû
surveiller l’utilisation pour déterminer si vous deviez augmenter ou réduire le nombre de machines
virtuelles.
Au lieu de cela, avec les groupes de machines virtuelles identiques, Azure automatise la majeure partie de
ce travail. Les groupes identiques vous permettent de gérer, configurer et mettre à jour un grand nombre
de machines virtuelles. Le nombre d’instances de machine virtuelle peut augmenter ou diminuer automa-
tiquement en fonction de la demande ou d’un calendrier défini. Les groupes de machines virtuelles
identiques déploient aussi automatiquement un équilibreur de charge pour s’assurer que vos ressources
sont utilisées efficacement. Avec les groupes identiques de machines virtuelles, vous pouvez créer des
services à grande échelle pour des zones telles que le calcul, le Big Data et les charges de travail de
conteneur.
Groupes à haute disponibilité de machines virtuelles

Les groupes à haute disponibilité de machines virtuelles sont un autre outil qui vous aide à créer un
environnement plus résilient et hautement disponible. Les groupes à haute disponibilité sont conçus pour
garantir que les machines virtuelles échelonnent les mises à jour et disposent d’une alimentation et d’une
connectivité réseau variées, ce qui vous évite de perdre toutes vos machines virtuelles en cas de panne de
réseau ou d’alimentation unique.
Pour ce faire, les groupes à haute disponibilité regroupent les machines virtuelles de deux manières :
domaine de mise à jour et domaine d’erreur.
●● Domaine de mise à jour : Les machines virtuelles des groupes de domaine de mise à jour peuvent
être redémarrées en même temps. Cela vous permet d’appliquer des mises à jour tout en sachant
qu’un seul regroupement de domaines de mise à jour sera hors ligne à la fois. Toutes les machines
d’un domaine de mise à jour seront mises à jour. Un groupe de mise à jour en cours de processus de
mise à jour dispose d’un délai de 30 minutes pour récupérer avant que la maintenance du domaine
de mise à jour suivant ne commence.
●● Domaine d’erreur : Un domaine d’erreur regroupe vos machines virtuelles par source d’alimentation
et commutateur réseau communs. Par défaut, un groupe à haute disponibilité répartit vos machines
virtuelles sur un maximum de trois domaines de défaillance. Cela permet de se protéger contre une
panne d’alimentation physique ou de réseau en plaçant les machines virtuelles dans différents
domaines de défaillance (et donc en les connectant à différentes ressources d’alimentation et de mise
en réseau).
De plus, la configuration d’un groupe à haute disponibilité n’entraîne aucun coût supplémentaire. Vous
payez uniquement pour chaque instance de machine virtuelle que vous créez.
46
Exemples de cas d’utilisation de machines virtuelles

Voici quelques exemples ou cas d’utilisation courants des machines virtuelles :
●● Pendant le test et le développement Les machines virtuelles offrent un moyen simple et rapide de
créer différentes configurations de système d’exploitation et d’application. Le personnel chargé des
tests et du développement peut ensuite facilement supprimer les machines virtuelles quand il n’en a
plus besoin.
●● Pendant l’exécution d’applications dans le cloud La possibilité d’exécuter certaines applications
dans le cloud public, par opposition à la création d’une infrastructure traditionnelle pour les exécuter,
peut apporter des avantages économiques substantiels. Par exemple, une application peut avoir
besoin de gérer les fluctuations de la demande. Arrêter des machines virtuelles lorsque vous n’en avez
pas besoin ou les démarrer rapidement pour répondre à une augmentation soudaine de la demande
signifie que vous payez uniquement pour les ressources que vous utilisez.
●● Pendant l’extension de votre centre de données dans le cloud Une organisation peut étendre les
fonctionnalités de son propre réseau local en créant un réseau virtuel dans Azure et en ajoutant des
machines virtuelles à ce réseau virtuel. Des applications telles que SharePoint peuvent ensuite s’ex-
écuter sur une machine virtuelle Azure au lieu de s’exécuter localement. Cette configuration permet
de procéder à un déploiement plus simple ou moins onéreux que dans un environnement local.
●● Pendant une récupération d’urgence Tout comme avec l’exécution de certains types d’applications
dans le cloud et l’extension d’un réseau local dans le cloud, vous pouvez faire des économies signific-
atives en utilisant une approche IaaS pour la récupération d’urgence. En cas de panne du centre de
données principal, vous pouvez créer des machines virtuelles s’exécutant sur Azure pour exécuter vos
applications critiques, puis les arrêter quand le centre de données principal redevient opérationnel.
Migrer vers le cloud avec des machines virtuelles

Les machines virtuelles constituent également un excellent choix quand vous passez d’un serveur phy-
sique au cloud (également appelé « lift-and-shift »). Vous pouvez créer une image du serveur physique et
l’héberger dans une machine virtuelle avec peu ou pas de changements. Tout comme un serveur phy-
sique sur site, vous devez entretenir la machine virtuelle : vous êtes responsable de la maintenance du
système d’exploitation et des logiciels installés.
Ressources des machines virtuelles

Lorsque vous provisionnez une machine virtuelle, vous avez également la possibilité de choisir les
ressources associées à celle-ci, notamment :
●● La taille (objectif, nombre de cœurs de processeur et quantité de RAM)
●● Disques de stockage (disques durs, disques SSD, etc.)
●● Mise en réseau (réseau virtuel, adresse IP publique et configuration des ports)
Exercice - Créer une machine virtuelle Azure

Le labo se trouve ici : https://docs.microsoft.com/learn/modules/describe-azure-compute-network-
ing-services/3-exercise-create-azure-virtual-machine
Dans cet exercice, vous allez créer une machine virtuelle Azure et installer Nginx, un serveur web popu-
laire.
47
Vous pouvez utiliser le portail Azure, Azure CLI, Azure PowerShell ou un modèle Azure Resource Manager
(ARM).
Dans ce cas, vous allez utiliser le portail Azure CLI.
Tâche 1 : Créer une machine virtuelle Linux et installer Ng-

inx
Utilisez les commandes Azure CLI suivantes pour créer une machine virtuelle Linux et installer Nginx. Une
fois votre machine virtuelle créée, vous utiliserez l’extension de script personnalisé pour installer Nginx.
L’extension de script personnalisé est un moyen simple de télécharger et d’exécuter des scripts sur vos
machines virtuelles Azure. C’est l’une des nombreuses possibilités de configuration du système une fois
que votre machine virtuelle est opérationnelle.
1. Dans Cloud Shell, exécutez la commande suivante az vm create pour créer une machine virtuelle
Linux :
az vm create \
--resource-group [sandbox resource group name] \
--name my-vm \
--image UbuntuLTS \
--admin-username azureuser \
--generate-ssh-keys
La création de la machine virtuelle prendra quelques instants. Vous nommez la machine virtuelle
my-vm. Vous utilisez ce nom pour faire référence à la machine virtuelle dans les étapes ultérieures.
2. Exécutez la commande suivante az vm extension set pour configurer Nginx sur votre machine
virtuelle :
az vm extension set \
--vm-name my-vm \
--name customScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{"fileUris":["https://raw.githubusercontent.com/MicrosoftDocs/mslearn-welcome-to-az-
ure/master/configure-nginx.sh"]}' \
--protected-settings '{"commandToExecute": "./configure-nginx.sh"}'
Cette commande utilise l’extension de script personnalisé pour exécuter un script Bash sur votre
machine virtuelle. Le script est stocké sur GitHub. Pendant l’exécution de la commande, vous pouvez
examiner le script Bash4 sous un onglet distinct du navigateur. Pour récapituler, le script :
1. Exécute apt-get update pour télécharger les informations les plus récentes sur le package à
partir d’Internet. Cette étape permet de s’assurer que la commande suivante peut localiser la
dernière version du package Nginx.
2. Installe Nginx.
4 https://raw.githubusercontent.com/MicrosoftDocs/mslearn-welcome-to-azure/master/configure-nginx.sh?azure-portal=true
48
3. Définit la page d’accueil, /var/www/html/index.html, pour afficher un message d’accueil com-

prenant le nom d’hôte de votre machine virtuelle.
Continuer
C’est tout pour cet exercice. Le bac à sable continuera à fonctionner, et vous reviendrez à ce point dans
quelques unités pour mettre à jour la configuration du réseau afin de pouvoir accéder au site Web.
Décrire Azure Virtual Desktop

Azure Virtual Desktop est un autre type de machine virtuelle. Azure Virtual Desktop est un service de
virtualisation de bureau et d’application qui s’exécute dans le cloud. Il permet à vos utilisateurs d’utiliser
une version cloud de Windows à partir de n’importe quel emplacement. Azure Virtual Desktop fonctionne
sur tous les appareils et systèmes d’exploitation, et s’accompagne d’applications que vous pouvez utiliser
pour accéder à des bureaux distants ou à la plupart des navigateurs modernes.
La vidéo suivante vous donne un aperçu d’Azure Virtual Desktop :
https://www.microsoft.com/videoplayer/embed/RE4LRpC
Améliorer la sécurité
Azure Virtual Desktop assure une gestion centralisée de la sécurité des postes de travail des utilisateurs
avec Azure Active Directory (Azure AD). Vous pouvez activer l’authentification multifacteur pour sécuriser
les connexions des utilisateurs. Vous pouvez également sécuriser l’accès aux données en affectant de
manière précise des contrôles d’accès en fonction du rôle (RBAC) aux utilisateurs.
Avec Azure Virtual Desktop, les données et les applications sont séparées du matériel local. Le bureau et
les applications sont exécutés dans le cloud, ce qui réduit le risque de laisser des données confidentielles
sur un appareil personnel. De plus, les sessions utilisateur sont isolées dans des environnements mono-
session et multisession.
Déploiement de Windows 10 ou Windows 11 en multises-

sion
Azure Virtual Desktop permet d’utiliser Windows 10 ou Windows 11 Entreprise en multisession, le seul
système d’exploitation client de Windows qui autorise plusieurs utilisateurs simultanés sur une seule
machine virtuelle. Azure Virtual Desktop offre également une expérience plus cohérente avec une prise
en charge plus large des applications par rapport aux systèmes d’exploitation basés sur Windows Server.
Décrire les conteneurs Azure

Même si les machines virtuelles sont un excellent moyen de réduire les coûts comparé aux investisse-
ments nécessaires pour le matériel physique, elles restent limitées à un seul système d’exploitation par
49
machine virtuelle. Les conteneurs constituent un excellent choix si vous souhaitez exécuter plusieurs
instances d’une application sur une même machine hôte.
Que sont les conteneurs ?

Les conteneurs constituent un environnement de virtualisation. Tout comme plusieurs machines virtuelles
peuvent s’exécuter sur un seul hôte physique, vous pouvez exécuter plusieurs conteneurs sur un seul
hôte physique ou virtuel. Contrairement aux machines virtuelles, vous ne gérez pas le système d’exploita-
tion d’un conteneur. Les machines virtuelles apparaissent comme une instance d’un système d’exploita-
tion à laquelle vous pouvez vous connecter et que vous pouvez gérer. Les conteneurs sont légers et
conçus pour être créés, mis à l’échelle et arrêtés de manière dynamique. Il est possible de créer et de
déployer des machines virtuelles à mesure que la demande d’applications augmente, mais les conteneurs
constituent une méthode plus légère et plus agile. Les conteneurs sont conçus pour vous permettre de
répondre aux changements à la demande. Avec les conteneurs, vous pouvez rapidement redémarrer en
cas d’incident ou d’interruption matérielle. L’un des moteurs de conteneur les plus connus est Docker, qui
est pris en charge par Azure.
Comparer les machines virtuelles aux conteneurs

La vidéo suivante met en évidence plusieurs différences importantes entre les machines virtuelles et les
conteneurs :
https://www.microsoft.com/videoplayer/embed/RE2yuaq
Azure Container Instances

Azure Container Instances constitue le moyen le plus simple et le plus rapide d’exécuter un conteneur
dans Azure sans avoir à gérer de machines virtuelles, ni à utiliser d’autres services. Azure Container
Instances est une offre PaaS (Platform as a Service). Azure Container Instances vous permet de charger
vos conteneurs, puis le service se charge de les exécuter pour vous.
Utiliser des conteneurs dans vos solutions

Les conteneurs sont souvent utilisés pour créer des solutions utilisant une architecture de microservices.
C’est dans cette architecture que vous divisez vos solutions en structures plus petites et indépendantes.
Par exemple, vous pouvez diviser un site web en trois conteneurs : un qui héberge votre serveur front-
end, un autre qui héberge votre back-end et un troisième destiné au stockage. Ce fractionnement vous
permet de séparer des parties de votre application en sections logiques qui peuvent être gérées, mises à
l’échelle ou mises à jour séparément.
Imaginez que le back-end de votre site web a atteint sa capacité, mais que le front-end et le stockage ne
sont pas sollicités à l’extrême. Grâce aux conteneurs, vous pouvez mettre à l’échelle le serveur principal
pour améliorer les performances. Si quelque chose nécessitait un tel changement, vous pourriez égale-
ment choisir de changer le service de stockage ou de modifier le frontal sans avoir d’incidence sur les
autres composants.
50
Décrire Azure Functions

Azure Functions est une option de calcul sans serveur, pilotée par les événements, qui ne nécessite pas
de maintenir des machines virtuelles ou des conteneurs. Si vous créez une application à l’aide de ma-
chines virtuelles ou de conteneurs, ces ressources doivent être « en cours d’exécution » pour que votre
application puisse fonctionner. Avec Azure Functions, un événement réveille la fonction, ce qui évite de
devoir maintenir des ressources provisionnées en l’absence d’événements.
Informatique serverless dans Azure
https://www.microsoft.com/videoplayer/embed/RE2yzjL
Avantages d’Azure Functions

Azure Functions est idéal quand vous vous souciez uniquement du code exécutant votre service, et pas
de la plateforme ou de l’infrastructure sous-jacentes. Les fonctions sont couramment utilisées quand vous
avez besoin d’effectuer un travail en réponse à un événement (souvent par le biais d’une requête REST),
un minuteur ou un message d’un autre service Azure, et que ce travail peut être effectué rapidement, en
quelques secondes ou moins.
Les fonctions sont automatiquement mises à l’échelle en fonction de la demande, et constituent donc un
choix idéal lorsque la demande est variable.
Azure Functions exécute votre code lorsqu’il est déclenché et libère automatiquement les ressources
lorsque la fonction est terminée. Dans ce modèle, vous êtes facturé uniquement pour le temps proces-
seur utilisé pendant l’exécution de votre fonction.
Les fonctions peuvent être sans état ou avec état. Lorsqu’elles sont sans état (ce qui est le cas par défaut),
elles se comportent comme si elles étaient redémarrées chaque fois qu’elles répondent à un événement.
Lorsqu’elles sont avec état (elles sont alors appelées « Durable Functions »), un contexte est transmis via
la fonction pour effectuer le suivi de l’activité précédente.
Les fonctions sont un composant clé de l’informatique serverless. Il s’agit également d’une plateforme de
calcul générale permettant d’exécuter n’importe quel type de code. Si les besoins de l’application du
développeur changent, vous pouvez déployer le projet dans un environnement qui n’est pas serverless.
Cette flexibilité vous permet de gérer la mise à l’échelle, d’exécuter sur des réseaux virtuels et même
d’isoler complètement les fonctions.
Décrire les options d’hébergement d’applica-

tions Azure
Si vous devez héberger votre application sur Azure, vous pouvez d’abord vous tourner vers une machine
virtuelle ou des conteneurs. Les machines virtuelles et les conteneurs constituent tous deux d’excellentes
solutions d’hébergement. Les machines virtuelles vous offrent un contrôle maximal de l’environnement
d’hébergement et vous permettent de le configurer exactement comme vous le souhaitez. Elles peuvent
également être la méthode d’hébergement la plus familière si vous êtes nouveau dans le cloud. Les
51
conteneurs, qui permettent d’isoler et de gérer individuellement différents aspects de la solution

d’hébergement, peuvent également constituer une option robuste et convaincante.
Il existe d’autres options d’hébergement que vous pouvez utiliser avec Azure, notamment Azure App
Service.
Azure App Service

App Service vous permet de créer et d’héberger des applications web, des tâches en arrière-plan, des
back-ends mobiles et des API RESTful dans le langage de programmation de votre choix, sans devoir
gérer l’infrastructure. Il offre une mise à l’échelle automatique et une haute disponibilité. App Service
prend en charge Windows et Linux. Il permet des déploiements automatisés à partir de GitHub, Azure
DevOps ou n’importe quel référentiel Git pour prendre en charge un modèle de déploiement continu.
Azure App Service est une option d’hébergement robuste que vous pouvez utiliser pour héberger vos
applications dans Azure. Azure App Service vous permet de vous concentrer sur la création et la mainte-
nance de votre application, tandis qu’Azure se charge de maintenir l’environnement opérationnel.
Azure App Service est un service HTTP pour l’hébergement d’applications web, d’API REST et de back-
ends mobiles. Il prend en charge plusieurs langages, notamment .NET, .NET Core, Java, Ruby, Node.js,
PHP ou Python. Il prend également en charge les environnements Windows et Linux.
Types de services d’application

Avec App Service, vous pouvez héberger les styles de service d’application les plus courants tels que :
●● Applications web
●● Applications API
●● Tâches web
●● Applications mobiles
App Service gère la plupart des décisions d’infrastructure auxquelles vous faites face lors de l’héberge-
ment d’applications accessibles sur le web :
●● Le déploiement et la gestion sont intégrés à la plateforme.
●● Les points de terminaison peuvent être sécurisés.
●● Les sites peuvent être mis à l’échelle rapidement afin de gérer des charges de trafic élevées.
●● L’équilibrage de charge intégré et Traffic Manager offrent une haute disponibilité.
Tous ces styles d’application sont hébergés dans la même infrastructure et partagent ces avantages.
Grâce à sa flexibilité, App Service est le choix idéal pour héberger des applications orientées web.
Applications web
App Service offre une prise en charge complète de l’hébergement d’applications web avec ASP.NET, ASP.
NET Core, Java, Ruby, Node.js, PHP ou Python. Vous pouvez choisir un système d’exploitation hôte
Windows ou Linux.
Applications API
Comme dans l’hébergement d’un site web, vous pouvez générer des API web REST en utilisant le langage
et l’infrastructure de votre choix. Vous disposez d’une prise en charge complète de Swagger, et vous
52
pouvez empaqueter et publier votre API sur la Place de marché Azure. Les applications produites peuvent
être consommées à partir de n’importe quel client HTTP ou HTTPS.
Tâches web
Vous pouvez utiliser la fonctionnalité WebJobs pour exécuter un programme (.exe, Java, PHP, Python ou
Node.js) ou un script (.cmd, .bat, PowerShell ou Bash) dans le même contexte qu’une application web,
une application API ou une application mobile. Ils peuvent être planifiés ou exécutés par un déclencheur.
Les tâches web sont souvent utilisées pour exécuter des tâches en arrière-plan dans le cadre de votre
logique d’application.
Applications mobiles
Utilisez la fonctionnalité Mobile Apps d’App Service pour créer rapidement un back-end pour les applica-
tions iOS et Android. En quelques clics dans le portail Azure, vous pouvez :
●● Stocker les données d’application mobile dans une base de données SQL basée sur le cloud
●● Authentifier les clients par rapport à des fournisseurs de réseaux sociaux courants comme MSA,
Google, Twitter et Facebook
●● Envoyer des notifications Push
●● Exécuter une logique de back-end personnalisée en C# ou Node.js
Du côté de l’application mobile, vous disposez de la prise en charge des kits de développement logiciel
(SDK) pour les applications natives iOS et Android, Xamarin et React.
Décrire la mise en réseau virtuelle Azure

Les réseaux et sous-réseaux virtuels Azure permettent à des ressources Azure (par exemple, des machines
virtuelles, des applications web et des bases de données) de communiquer entre elles, avec des utilisa-
teurs sur Internet et avec des ordinateurs clients locaux. Considérez un réseau Azure comme étant une
extension de votre réseau local avec des ressources qui relient d’autres ressources Azure.
Les réseaux virtuels Azure fournissent les principales fonctionnalités de mise en réseau suivantes :
●● Isolation et segmentation
●● Communications Internet
●● Communications entre des ressources Azure
●● Communications avec des ressources locales
●● Acheminement du trafic réseau
●● Filtrage du trafic réseau
●● Connexion de réseaux virtuels
La mise en réseau virtuelle Azure prend en charge les points de terminaison publics et privés pour
permettre la communication entre des ressources externes ou internes avec d’autres ressources internes.
●● Les points de terminaison publics ont une adresse IP publique et sont accessibles partout dans le
monde.
●● Les points de terminaison privés existent au sein d’un réseau virtuel et ont une adresse IP privée
comprise dans l’espace d’adressage de ce réseau virtuel.
53
Isolation et segmentation
Le réseau virtuel Azure permet de créer plusieurs réseaux virtuels isolés. Lorsque vous configurez un
réseau virtuel, vous définissez un espace d’adressage IP privé, à l’aide de plages d’adresses IP publiques
ou privées. La plage d’adresses IP n’existe qu’à l’intérieur du réseau virtuel et ne peut pas être acheminée
par Internet. Vous pouvez diviser cet espace d’adressage IP en sous-réseaux et allouer une partie de
l’espace d’adressage défini à chaque sous-réseau nommé.
Un service de résolution de noms est intégré à Azure. Vous avez également la possibilité de configurer le
réseau virtuel de sorte qu’il utilise un serveur DNS interne ou externe.
Communications Internet
Vous pouvez activer les connexions entrantes en provenance d’Internet en définissant une adresse IP
publique ou un équilibreur de charge public.
Communications entre des ressources Azure

Vous voudrez permettre aux ressources Azure de communiquer entre elles en toute sécurité. Il existe
pour cela deux méthodes :
●● Les réseaux virtuels peuvent non seulement connecter des machines virtuelles, mais également
d’autres ressources Azure comme App Service Environment pour Power Apps, Azure Kubernetes
Service et Azure Virtual Machine Scale Sets.
●● Vous pouvez utiliser des points de terminaison de service pour établir une connexion à d’autres types
de ressources Azure, comme des comptes de stockage et des bases de données Azure SQL. Cette
approche permet de lier plusieurs ressources Azure à des réseaux virtuels et ainsi d’améliorer la
sécurité et d’assurer un acheminement optimal entre les ressources.
Communications avec des ressources locales

Les réseaux virtuels Azure vous permettent de lier des ressources ensemble dans votre environnement
local et au sein de votre abonnement Azure. En effet, vous pouvez créer un réseau qui couvre à la fois vos
environnements locaux et vos environnements cloud. Il existe trois mécanismes vous permettant d’assur-
er cette connectivité :
●● Les connexions de réseaux privés virtuels de point à site consistent en une connexion initiée depuis un
ordinateur extérieur à votre organisation et revenant vers votre réseau d’entreprise. Dans ce cas,
l’ordinateur client initie une connexion VPN chiffrée pour connecter cet ordinateur au réseau virtuel
Azure.
●● Les réseaux privés virtuels de site à site lient votre appareil ou passerelle VPN local à la passerelle VPN
Azure sur un réseau virtuel. En pratique, les appareils dans Azure peuvent apparaître comme étant sur
le réseau local. La connexion est chiffrée et fonctionne sur Internet.
●● Azure ExpressRoute offre une connectivité privée dédiée à Azure qui ne passe pas par Internet. Elle est
utile pour les environnements où vous avez besoin d’une plus grande bande passante et de niveaux
de sécurité encore plus élevés.
54
Acheminement du trafic réseau

Par défaut, Azure achemine le trafic entre les sous-réseaux sur tous les réseaux virtuels connectés, les
réseaux locaux et Internet. Il est également possible de contrôler l’acheminement et de remplacer ces
paramètres :
●● Une table d’acheminement permet de définir des règles d’acheminement du trafic. Vous pouvez créer
des tables d’acheminement personnalisées qui contrôlent la façon dont les paquets sont routés entre
les sous-réseaux.
●● Le protocole BGP (Border Gateway Protocol) fonctionne avec des passerelles VPN Azure ou Azure
ExpressRoute pour propager des itinéraires BGP locaux sur des réseaux virtuels Azure.
Filtrage du trafic réseau

Les réseaux virtuels Azure vous permettent de filtrer le trafic entre des sous-réseaux à l’aide des approch-
es suivantes :
●● Les groupes de sécurité réseau sont une ressource Azure pouvant contenir plusieurs règles de sécurité
d’entrée et de sortie. Vous pouvez définir ces règles pour autoriser ou bloquer le trafic, à partir de
facteurs tels que l’adresse IP source et de destination, le port et le protocole.
●● Une appliance virtuelle réseau est une machine virtuelle spécialisée qui peut être comparée une
appliance réseau renforcée. Une appliance virtuelle réseau remplit une fonction réseau particulière,
comme exécuter un pare-feu ou effectuer une optimisation WAN (réseau étendu).
Connexion de réseaux virtuels

Il est possible de lier des réseaux virtuels ensemble grâce au peering de réseaux virtuels. Le peering
permet à deux réseaux virtuels de se connecter directement l’un à l’autre. Le trafic réseau entre les
réseaux homologues est privé et circule sur le réseau fédérateur de Microsoft, sans jamais entrer dans
l’Internet public. Le peering permet de faire communiquer les ressources de chaque réseau virtuel
entre-elles. Ces réseaux virtuels peuvent être situés dans des régions distinctes, ce qui permet de créer un
réseau d’interconnexion global par le biais d’Azure.
Les itinéraires définis par l’utilisateur (UDR) vous permettent de contrôler les tables d’acheminement
entre les sous-réseaux d’un réseau virtuel ou entre les réseaux virtuels. Cela permet de mieux contrôler le
flux du trafic réseau.
Exercice - Configurer l’accès réseau

Le labo se trouve ici : https://docs.microsoft.com/learn/modules/describe-azure-compute-network-
ing-services/9-exercise-configure-network-access/
Dans cet exercice, vous allez configurer l’accès à la machine virtuelle que vous avez créée précédemment
dans ce module. Microsoft Learn Sandbox doit être en cours d’exécution. S’il a expiré, vous devrez refaire
l’exercice précédent (Exercice - Créer une machine virtuelle Azure).
Pour l’instant, la machine virtuelle que vous avez créée et sur laquelle vous avez installé Nginx n’est pas
accessible depuis Internet. Vous allez créer un groupe de sécurité réseau qui va changer cela en autor-
isant l’accès HTTP entrant sur le port 80.
55
Tâche 1 : Accéder à votre serveur web

Dans cette procédure, vous obtenez l’adresse IP de votre machine virtuelle et tentez d’accéder à la page
d’accueil de votre serveur web.
1. Exécutez la commande suivante az vm list-ip-addresses pour obtenir l’adresse IP de votre
machine virtuelle et stocker le résultat sous la forme d’une variable Bash :
IPADDRESS="$(az vm list-ip-addresses \
--name my-vm \
--query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
--output tsv)"
2. Exécutez la commande curl suivante pour télécharger la page d’accueil :

curl --connect-timeout 5 http://$IPADDRESS
L’argument --connect-timeout spécifie d’attendre cinq secondes que la connexion se produise.

Après cinq secondes, vous voyez un message d’erreur indiquant que le délai de connexion a expiré :
curl: (28) Connection timed out after 5001 milliseconds
Ce message signifie que la machine virtuelle n’était pas accessible dans le délai imparti.
3. En guise d’étape facultative, essayez d’accéder au serveur web à partir d’un navigateur :
1. Exécutez la commande ci-dessous pour afficher l’adresse IP de votre machine virtuelle dans la
console :
echo $IPADDRESS
Vous voyez une adresse IP, par exemple 23.102.42.235.

2. Copiez l’adresse IP que vous voyez dans le presse-papiers.
3. Ouvrez un nouvel onglet de navigateur et accédez à votre serveur web. Après quelques instants,
vous voyez que la connexion n’a pas lieu.
Si vous attendez l’expiration du délai du navigateur, vous obtenez un résultat semblable à celui-ci :
56
4. Ne fermez pas tout de suite cet onglet de navigateur.
Tâche 2 : Lister les règles de groupe de sécurité réseau act-

uelles
Votre serveur web n’était pas accessible. Pour en déterminer la raison, nous allons examiner vos règles
actuelles de groupe de sécurité réseau.
1. Exécutez la commande suivante az network nsg list pour lister les groupes de sécurité réseau
associés à votre machine virtuelle :
az network nsg list \
--query '[].name' \
--output tsv
Vous voyez ceci :

my-vmNSG
Chaque machine virtuelle sur Azure est associée à au moins un groupe de sécurité réseau. Dans ce
cas, Azure a créé pour vous un groupe de sécurité réseau appelé my-vmNSG.
57
2. Exécutez la commande az network nsg rule list suivante pour lister les règles associées au
groupe de sécurité réseau nommé my-vmNSG :
az network nsg rule list \
--nsg-name my-vmNSG
Vous voyez un grand bloc de texte au format JSON dans la sortie. À l’étape suivante, vous exécuterez
une commande similaire qui facilitera la lecture de cette sortie.
3. Exécutez la commande az network nsg rule list une deuxième fois. Cette fois, utilisez
l’argument --query pour récupérer uniquement le nom, la priorité, les ports affectés et l’accès
(Autoriser ou Refuser) pour chaque règle. L’argument --output formate la sortie sous forme de
table pour en faciliter la lecture.
--nsg-name my-vmNSG \
--query '[].{Name:name, Priority:priority, Port:destinationPortRange, Access:access}' \
--output table
Vous voyez ceci :

Name Priority Port Access
----------------- ---------- ------ --------
default-allow-ssh 1000 22 Allow
Vous voyez la règle par défaut, default-allow-ssh. Cette règle autorise les connexions entrantes via le
port 22 (SSH). SSH (Secure Shell) est un protocole utilisé sur Linux pour permettre aux administrateurs
d’accéder à distance au système. La priorité de cette règle est 1000. Les règles sont traitées par ordre
de priorité, les nombres inférieurs étant traités avant les nombres plus élevés.
Par défaut, le groupe de sécurité réseau d’une machine virtuelle Linux autorise l’accès au réseau unique-
ment via le port 22. Cela permet aux administrateurs d’accéder au système. Vous devez également
autoriser les connexions entrantes sur le port 80, autorisant l’accès via HTTP.
Tâche 3 : Créer la règle de sécurité du réseau

Ici, vous créez une règle de sécurité de réseau qui autorise l’accès entrant sur le port 80 (HTTP).
1. Exécutez la commande az network nsg rule create suivante pour créer une règle appelée
allow-http qui autorise l’accès entrant sur le port 80 :
az network nsg rule create \
--name allow-http \
--protocol tcp \
--priority 100 \
--destination-port-range 80 \
--access Allow
58
À des fins d’apprentissage, définissez ici la priorité sur 100. Dans ce cas, la priorité n’a pas d’impor-
tance. Vous auriez à prendre en compte la priorité si vous aviez des plages de ports superposées.
2. Pour vérifier la configuration, exécutez az network nsg rule list pour afficher la liste mise à
jour des règles :
--query '[].{Name:name, Priority:priority, Port:destinationPortRange, Access:access}' \
--output table
Vous voyez la règle default-allow-ssh et votre nouvelle règle allow-http :

Name Priority Port Access
----------------- ---------- ------ --------
default-allow-ssh 1000 22 Allow
allow-http 100 80 Allow
Tâche 4 : Accéder de nouveau à votre serveur web

Maintenant que vous avez configuré l’accès réseau au port 80, nous allons essayer d’accéder une deux-
ième fois au serveur web.
Remarque : Après avoir mis à jour le groupe de sécurité réseau, la propagation des règles mises à jour
peut prendre quelques instants. Réessayez l’étape suivante, en faisant des pauses entre les tentatives,
jusqu’à ce que vous obteniez les résultats souhaités.
1. Exécutez la même commande curl que vous avez exécutée précédemment :
curl --connect-timeout 5 http://$IPADDRESS
Vous voyez ceci :

<html><body><h2>Welcome to Azure! My name is my-vm.</h2></body></html>
2. Une étape facultative consiste à actualiser l’onglet de votre navigateur pour pointer vers votre serveur
web.
Vous voyez ceci :
59
Bravo ! Dans la pratique, vous pouvez créer un groupe de sécurité réseau autonome incluant les règles
d’accès réseau entrantes et sortantes dont vous avez besoin. Si vous avez plusieurs machines virtuelles
qui remplissent le même objectif, vous pouvez affecter ce groupe de sécurité réseau à chaque machine
virtuelle au moment de sa création. Cette technique vous permet de contrôler l’accès réseau à plusieurs
machines virtuelles sous un seul ensemble central de règles.
Décrire les réseaux virtuels privés Azure

Un réseau privé virtuel (VPN) utilise un tunnel chiffré dans un autre réseau. Les VPN sont généralement
déployés pour connecter deux ou plusieurs réseaux privés approuvés via un réseau non approuvé (en
général l’Internet public). Le trafic est chiffré lors de son déplacement sur le réseau non approuvé pour
empêcher les écoutes clandestines ou autres attaques. Les VPN permettent aux réseaux de partager des
informations sensibles en toute sécurité.
Passerelles VPN
Une passerelle VPN est un type de passerelle de réseau virtuel. Les instances de passerelle VPN Azure
sont déployées dans un sous-réseau dédié du réseau virtuel et permettent d’activer la connectivité
suivante :
●● Connecter des centres de données locaux à des réseaux virtuels par le biais d’une connexion site à site
●● Connecter des appareils individuels à des réseaux virtuels par le biais d’une connexion point à site
●● Connecter des réseaux virtuels à d’autres réseaux virtuels par le biais d’une connexion réseau à réseau
60
Toutes les données transférées sont chiffrées dans un tunnel privé quand elles transitent par Internet. Il
n’est possible de déployer qu’une seule passerelle VPN au sein d’un réseau virtuel. Cependant, vous
pouvez utiliser une passerelle pour vous connecter à plusieurs endroits, ce qui inclut d’autres réseaux
virtuels ou des centres de données locaux.
Quand vous déployez une passerelle VPN, vous spécifiez le type de VPN : basé sur une stratégie ou sur
un acheminement. La principale différence entre ces deux types de VPN est la façon dont est spécifié le
trafic à chiffrer. Dans Azure, les deux types de passerelles VPN utilisent une clé prépartagée comme seule
méthode d’authentification.
●● Les passerelles VPN basées sur une stratégie spécifient de manière statique l’adresse IP des paquets
qui doivent être chiffrés via chaque tunnel. Ce type d’appareil évalue chaque paquet de données par
rapport à ces jeux d’adresses IP pour choisir le tunnel à partir duquel le paquet sera envoyé.
●● Avec les passerelles basées sur un acheminement, les tunnels IPsec sont modélisés sous forme
d’interface réseau ou d’interface de tunnel virtuel. L’acheminement IP (avec des itinéraires statiques
ou des protocoles d’acheminement dynamique) détermine quelle interface de tunnel utiliser pour
envoyer chaque paquet. Les VPN basés sur un acheminement sont la méthode de connexion par
défaut des appareils locaux. Ils sont plus résilients en cas de changement de topologie, par exemple la
création de sous-réseaux.
Utilisez une passerelle VPN basée sur un acheminement si vous avez besoin des types de connectivité
suivants :
●● Connexion entre réseaux virtuels
●● Connexions point à site
●● Connexions multisites
●● Coexistence avec une passerelle Azure ExpressRoute
Scénarios de haute disponibilité

Si vous configurez un VPN pour assurer la sécurité de vos informations, vous voulez également être sûr
qu’il s’agit d’une configuration VPN hautement disponible et tolérante aux pannes. Il existe plusieurs
façons de maximiser la résilience de votre passerelle VPN.
Actif/de secours
Par défaut, les passerelles VPN sont déployées comme deux instances dans une configuration de type
actif/de secours, même si vous ne voyez qu’une ressource de passerelle VPN dans Azure. Quand une
maintenance planifiée ou une interruption non planifiée affecte l’instance active, l’instance de secours
prend automatiquement en charge les connexions sans intervention de l’utilisateur. Les connexions sont
interrompues pendant ce basculement, mais sont généralement restaurées au bout de quelques sec-
ondes pour la maintenance planifiée et de 90 secondes pour les interruptions non planifiées.
Actif/actif
Avec la prise en charge du protocole d’acheminement BGP, vous pouvez également déployer des
passerelles VPN dans une configuration de type actif/actif. Dans cette configuration, vous attribuez une
adresse IP publique unique à chaque instance. Ensuite, vous créez des tunnels distincts à partir de
l’appareil local pour chaque adresse IP. Vous pouvez étendre la haute disponibilité en déployant un
appareil VPN local supplémentaire.
61
Basculement ExpressRoute
Il existe une autre possibilité de haute disponibilité, qui consiste à configurer une passerelle VPN comme
un chemin de basculement sécurisé pour les connexions ExpressRoute. Les circuits ExpressRoute sont
résilients par nature, mais ils ne sont pas immunisés contre les problèmes physiques qui affectent les
câbles fournissant la connectivité ou les coupures qui affectent l’emplacement ExpressRoute entier. Dans
les scénarios de haute disponibilité, lorsqu’il existe un risque associé à une défaillance d’un circuit
ExpressRoute, vous pouvez également provisionner une passerelle VPN qui utilise Internet comme autre
mode de connectivité. De cette façon, vous pouvez faire en sorte de toujours maintenir une connexion
aux réseaux virtuels.
Passerelles redondantes interzone

Dans les régions qui prennent en charge les zones de disponibilité, les passerelles VPN et ExpressRoute
peuvent être déployées dans une configuration redondante interzone. Cette configuration offre aux
passerelles de réseau virtuel résilience, scalabilité et disponibilité accrue. Le fait de déployer des pas-
serelles dans les zones de disponibilité Azure permet de séparer les passerelles physiquement et logique-
ment au sein d’une région, tout en empêchant la connectivité réseau locale à Azure d’échouer au niveau
des zones. Ces passerelles ont besoin de différentes références SKU et utilisent des adresses IP publiques
standard au lieu d’adresses IP publiques de base.
Décrire Azure ExpressRoute

Azure ExpressRoute vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via une connexion
privée avec l’aide d’un fournisseur de connectivité. Cette connexion s’appelle un circuit ExpressRoute
Avec ExpressRoute, vous pouvez établir des connexions aux services cloud de Microsoft, comme Micro-
soft Azure et Microsoft 365. Cela vous permet d’établir une connexion à des bureaux, à des centres de
données ou à d’autres installations au cloud Microsoft. Chaque emplacement dispose de son propre
circuit ExpressRoute.
La connectivité peut provenir d’un réseau universel (IP VPN), d’un réseau Ethernet point à point ou d’une
interconnexion virtuelle via un fournisseur de connectivité dans un centre de colocalisation. Les connex-
ions ExpressRoute ne passent pas par l’Internet public. Elles offrent ainsi une meilleure fiabilité, des
vitesses supérieures, des latences cohérentes et une plus grande sécurité que les connexions classiques
sur Internet.
Fonctionnalités et avantages d’ExpressRoute

L’utilisation d’ExpressRoute comme service de connexion entre Azure et les réseaux locaux présente
plusieurs avantages.
●● Connectivité aux services cloud de Microsoft dans toutes les régions de la zone géopolitique.
●● Connectivité globale aux services de Microsoft dans toutes les régions grâce au module complémen-
taire ExpressRoute premium.
●● Acheminement dynamique entre votre réseau et Microsoft via des protocoles standard (BGP).
●● Redondance intégrée dans chaque emplacement de peering pour une plus grande fiabilité.
62
Connectivité aux services cloud de Microsoft

ExpressRoute permet un accès direct aux services suivants dans toutes les régions :
●● Microsoft Office 365
●● Microsoft Dynamics 365
●● Les services de calcul Azure comme les machines virtuelles Azure
●● Les services cloud Azure comme Azure Cosmos DB et Stockage Azure
Connectivité globale
Vous pouvez activer ExpressRoute Global Reach pour échanger des données entre vos sites locaux en
connectant vos circuits ExpressRoute. Par exemple, supposons que vous ayez un bureau en Asie et un
centre de données en Europe, tous deux équipés de circuits ExpressRoute les reliant au réseau Microsoft.
Vous pourriez utiliser ExpressRoute Global Reach pour connecter ces deux installations, leur permettant
de communiquer sans transférer de données sur l’Internet public.
Acheminement dynamique
ExpressRoute utilise le protocole BGP Le protocole BGP permet d’échanger des itinéraires entre les
réseaux locaux et les ressources exécutées dans Azure. Ce protocole active l’acheminement dynamique
entre votre réseau local et les services qui s’exécutent dans le cloud Microsoft.
Redondance intégrée
Chaque fournisseur de connectivité utilise des appareils redondants pour garantir la haute disponibilité
des connexions établies avec Microsoft. Vous pouvez configurer plusieurs circuits pour compléter cette
fonctionnalité.
Modèles de connectivité ExpressRoute

ExpressRoute prend en charge quatre modèles que vous pouvez utiliser pour connecter votre réseau local
au cloud Microsoft :
●● Colocation CloudExchange
●● Connexions Ethernet point à point
●● Connexion universelle
●● Directement à partir de sites ExpressRoute
Colocalisation avec un échange de cloud

La colocalisation fait référence au fait que votre centre de données, votre bureau ou toute autre installa-
tion est physiquement colocalisé dans un échange de cloud, tel qu’un fournisseur de services Internet.
Par exemple, si votre centre de données est colocalisé dans un échange de cloud, vous pouvez demander
une connexion croisée virtuelle au cloud Microsoft.
63
Connexions Ethernet point à point

La connexion Ethernet point à point fait référence à l’utilisation d’une connexion point à point pour
connecter votre installation au cloud Microsoft.
Réseaux universels
Avec des réseaux universels, vous pouvez intégrer votre réseau étendu (WAN) à Azure en établissant des
connexions avec vos bureaux et centres de données. Azure utilise votre connexion WAN pour fournir une
connexion similaire à celle que vous auriez entre votre centre de données et les filiales.
Directement à partir de sites ExpressRoute

Vous pouvez vous connecter directement au réseau mondial de Microsoft à des localisations de peering
stratégiquement réparties dans le monde. ExpressRoute Direct offre une double connectivité de 100
Gbits/s ou 10 Gbits/s qui prend en charge la connectivité Active/Active à grande échelle.
Considérations relatives à la sécurité

Avec ExpressRoute, vos données ne transitent pas via l’Internet public et ne sont donc pas exposées aux
risques potentiels associés aux communications Internet. ExpressRoute est une connexion privée entre
votre infrastructure locale et votre infrastructure Azure. Même si vous disposez d’une connexion Express-
Route, les requêtes DNS, la vérification de la liste de révocation des certificats et les demandes Azure
Content Delivery Network sont quand même envoyées via l’Internet public.
Décrire Azure DNS

Azure DNS est un service d’hébergement pour les domaines DNS qui fournit la résolution de noms en
utilisant l’infrastructure Microsoft Azure. En hébergeant vos domaines dans Azure, vous pouvez gérer vos
enregistrements DNS avec les mêmes informations d’identification, les mêmes API, les mêmes outils et la
même facturation que vos autres services Azure.
Avantages d’Azure DNS

Azure DNS tire parti de la portée et de la mise à l’échelle de Microsoft Azure pour offrir de nombreux
avantages, notamment :
●● Fiabilité et performances
●● Sécurité
●● Simplicité d’utilisation
●● Personnalisation des réseaux virtuels
●● Enregistrements d’alias
Fiabilité et performances
Les domaines DNS dans Azure DNS sont hébergés sur un réseau global de serveurs de noms DNS, offrant
résilience et haute disponibilité. Azure DNS utilise une mise en réseau Anycast afin que chaque requête
DNS obtienne une réponse du serveur DNS disponible le plus proche, pour des performances élevées et
une haute disponibilité de domaine.
64
Sécurité
Azure DNS est basé sur Azure Resource Manager, vous donnant l’accès à des fonctionnalités telles que :
●● Contrôle d’accès en fonction de rôles (Azure RBAC) : pour déterminer les utilisateurs qui sont autorisés
à accéder à des actions spécifiques pour votre organisation.
●● Journaux d’activité : pour surveiller la manière dont un utilisateur de votre organisation a modifié une
ressource ou pour rechercher une erreur lors de la résolution de problèmes.
●● Verrouillage de ressource : pour verrouiller un abonnement, un groupe de ressources ou une res-
source. Le verrouillage empêche les utilisateurs de votre organisation de supprimer ou de modifier
accidentellement des ressources critiques.
Simplicité d’utilisation
Azure DNS peut gérer les enregistrements DNS de vos services Azure et fournir un DNS pour vos res-
sources externes. Azure DNS est intégré au portail Azure et utilise les mêmes informations d’identifica-
tion, de contrat d’assistance et de facturation que vos autres services Azure.
Comme Azure DNS est basé sur Azure, cela vous permet de gérer les domaines et les enregistrements
par le biais du portail Azure, des applets de commande Azure PowerShell et de l’interface Azure CLI
multiplateforme. Les applications qui nécessitent une gestion DNS automatisée peuvent s’intégrer au
service en utilisant l’API REST et les kits SDK.
Réseaux virtuels personnalisables avec des domaines privés

Azure DNS prend désormais également en charge les domaines DNS privés. Cette fonctionnalité vous
permet d’utiliser vos propres noms de domaine personnalisés dans vos réseaux virtuels privés au lieu des
noms fournis par Azure.
Enregistrements d’alias
Azure DNS prend en charge les jeux d’enregistrements d’alias. Vous pouvez utiliser un jeu d’enregis-
trements d’alias pour référencer une ressource Azure, comme une adresse IP publique Azure, un profil
Azure Traffic Manager ou point de terminaison Azure Content Delivery Network. Si l’adresse IP de la
ressource sous-jacente change, le jeu d’enregistrements d’alias se met à jour de façon fluide pendant la
résolution DNS. Le jeu d’enregistrements d’alias pointe vers l’instance du service, laquelle est associée à
une adresse IP.
Important : Vous ne pouvez pas utiliser Azure DNS pour acheter un nom de domaine. Moyennant un abon-
nement annuel, vous pouvez acheter un nom de domaine à l’aide des domaines App Service ou d’un bureau
d’enregistrement de nom de domaine tiers. Une fois achetés, vos domaines peuvent alors être hébergés dans
Azure DNS pour la gestion des enregistrements.

65
Multiple choice
Quelle fonctionnalité de machine virtuelle Azure échelonne les mises à jour sur les machines virtuelles en
fonction de leur domaine de mise à jour et de leur domaine d’erreur ?
Groupe à haute disponibilité
Groupes identiques
Groupes de mise à jour
Multiple choice
Quel service Azure permet aux utilisateurs d’utiliser une version cloud de Windows depuis n’importe quel
endroit et de se connecter à partir de la plupart des navigateurs modernes ?
Azure Virtual Desktop
Machines virtuelles Azure
Résumé
Dans ce module, vous avez découvert certains des services de calcul et de mise en réseau qui font partie
d’Azure. Vous avez découvert les machines virtuelles ainsi que leurs différentes options (comme les
groupes de machines virtuelles identiques et les groupes à haute disponibilité de machines virtuelles).
Vous avez également découvert certaines fonctionnalités de mise en réseau, notamment la mise en
réseau virtuelle, ExpressRoute et les réseaux privés virtuels.
●● Comparer les types de calcul, y compris les instances de conteneurs, les machines virtuelles et les
fonctions
●● Décrire les options de machines virtuelles, y compris les machines virtuelles, les groupes de machines
virtuelles identiques, les groupes à haute disponibilité de machines virtuelles et Azure Virtual Desktop
●● Décrire les ressources requises pour les machines virtuelles
●● Décrire les options d’hébergement d’applications, notamment Azure Web Apps, les conteneurs et les
machines virtuelles
●● Décrire la mise en réseau virtuelle, y compris l’objectif des réseaux virtuels Azure, les sous-réseaux
virtuels Azure, le peering, Azure DNS, la passerelle VPN et ExpressRoute
●● Définir les points de terminaison publics et privés
66
Les ressources suivantes fournissent plus d’informations sur les sujets de ce module ou sur des sujets
supplémentaires liés à ce module.
●● Héberger une application web avec Azure App Service5 est un module Microsoft Learn qui explore
le processus d’hébergement d’une application web dans Azure.
●● Introduction aux services de base de réseau Azure6 est un cours Microsoft Learn qui fournit plus
amples informations sur la mise en réseau avec Azure.
5 https://docs.microsoft.com/learn/modules/host-a-web-app-with-azure-app-service/
6 https://docs.microsoft.com/learn/paths/intro-to-azure-network-foundation-services/
67
Décrire les services de stockage Azure

Introduction
Dans ce module, vous découvrirez les services de stockage Azure. Vous découvrirez les comptes de
stockage Azure et comment ils se rapportent aux différents services de stockage disponibles. Vous
découvrirez également les niveaux de stockage Blob, les options de redondance des données et les
moyens de transférer des données, voire des infrastructures entières, vers Azure.
●● Comparer les services de stockage Azure
●● Décrire les niveaux de stockage
●● Décrire les options de redondance
●● Décrire les options des comptes de stockage et les types de stockage
●● Identifier les options pour déplacer des fichiers, notamment AzCopy, l’Explorateur de stockage Azure
et Azure File Sync
●● Décrire les options de migration, notamment Azure Migrate et Azure Data Box
Décrire les comptes de stockage Azure

La vidéo suivante présente les différents services qui devraient être disponibles avec Stockage Azure.
https://www.microsoft.com/videoplayer/embed/RE4MAbS
Un compte de stockage fournit un espace de noms unique pour vos données de Stockage Azure, qui
sont accessibles partout dans le monde via les protocoles HTTP ou HTTPS. Dans ce compte, les données
sont sécurisées, hautement disponibles, durables et hautement évolutives.
Lorsque vous créez votre compte de stockage, vous commencez par choisir le type de compte de
stockage. Le type de compte détermine les services de stockage et les options de redondance et a un
impact sur les cas d’utilisation. Vous trouverez ci-dessous une liste des options de redondance qui seront
abordées plus tard dans ce module :
●● Stockage localement redondant (LRS)
●● Stockage géoredondant (GRS)
●● Stockage géoredondant avec accès en lecture (RA-GRS)
●● Stockage redondant interzone (ZRS)
●● Stockage géoredondant interzone (GZRS)
●● Stockage géoredondant interzone avec accès en lecture (RA-GZRS)
68
Type Services pris en charge Options de redon- Utilisation

dance
Standard à usage Stockage Blob (y LRS, GRS, RA-GRS, ZRS, Type de compte de
général v2 compris Data Lake GZRS, RA-GZRS stockage de base pour
Storage), Stockage File les objets blob, les
d’attente, Stockage fichiers, les files d’at-
Table et Azure Files tente et les tables.
Recommandé pour la
plupart des scénarios
utilisant Stockage Azure.
Si vous souhaitez une
prise en charge du
système de fichiers
réseau (NFS) dans Azure
Files, utilisez le type de
compte Partages de
fichiers Premium.
Objets blob de bloc Pre- Stockage Blob (y LRS, ZRS Type de compte de
mium compris Data Lake stockage Premium pour
Storage) les blocs blobs et les
objets blob d’ajout. Il
est recommandé pour
les scénarios avec des
taux de transaction
élevés des scénarios qui
utilisent des objets plus
petits ou des scénarios
qui nécessitent une
latence de stockage
constamment faible.
Partages de fichiers Azure Files LRS, ZRS Type de compte de
Premium stockage Premium pour
les partages de fichiers
uniquement. Recom-
mandé pour l’entreprise
ou des applications de
mise à l’échelle hautes
performances. Utilisez
ce type de compte si
vous souhaitez un
compte de stockage
prenant en charge à la
fois le protocole SMB et
NFS.
Objets blob de page Objets blob de page LRS Type de compte de
Premium uniquement stockage Premium pour
objet blob de page
uniquement.
69
Points de terminaison d’un compte de stockage

L’un des avantages de l’utilisation d’un compte de stockage Azure est de disposer d’un espace de noms
unique dans Azure pour vos données. Pour ce faire, chaque compte de stockage dans Azure doit avoir un
nom de compte unique dans Azure. La combinaison du nom du compte et du point de terminaison de
service Stockage Azure forme les points de terminaison de votre compte de stockage.
Gardez les règles suivantes à l’esprit lorsque vous nommez votre compte de stockage :
●● Les noms de compte de stockage doivent avoir entre 3 et 24 caractères, uniquement des lettres
minuscules et des chiffres.
●● Le nom de votre compte de stockage doit être unique dans Azure. Deux comptes de stockage ne
peuvent avoir le même nom. Cela permet de disposer d’un espace de noms unique et accessible dans
Azure.
Le tableau suivant présente le format des points de terminaison pour les services Azure Storage.
Services de stockage Point de terminaison

Stockage Blob https://<storage-account-name>.blob.core.
windows.net
Data Lake Storage Gen2 https://<storage-account-name>.dfs.core.win-
dows.net
Azure Files https://<storage-account-name>.file.core.win-
dows.net
Stockage File d’attente https://<storage-account-name>.queue.core.
windows.net
Stockage Table https://<storage-account-name>.table.core.
windows.net
Décrire le stockage redondant Azure

Le service Stockage Azure stocke toujours plusieurs copies de vos données afin qu’elles soient protégées
contre des événements planifiés ou non, notamment des défaillances matérielles temporaires, des pannes
de réseau ou de courant et des catastrophes naturelles majeures. La redondance garantit que votre
compte de stockage atteint ses objectifs de disponibilité et de durabilité, même en cas de défaillance.
Lorsque vous choisissez l’option de redondance la mieux adaptée à votre scénario, réfléchissez aux
compromis possibles entre, d’une part, des coûts réduits et, de l’autre, une disponibilité accrue. Les
facteurs déterminant le choix de l’option de redondance sont les suivants :
●● Mode de réplication de vos données dans la région primaire
●● Vos données sont répliquées dans une deuxième région géographiquement éloignée de la région
primaire, afin de vous protéger contre les catastrophes régionales.
●● Votre application nécessite un accès en lecture aux données répliquées dans la région secondaire en
cas d’indisponibilité de la région primaire.
Redondance dans la région primaire

Les données d’un compte de stockage Azure sont toujours répliquées trois fois dans la région primaire.
Stockage Azure propose deux options pour la réplication de vos données dans la région primaire, le
stockage localement redondant (LRS) et le stockage redondant interzone (ZRS).
70
Stockage localement redondant

Le stockage localement redondant (LRS) réplique vos données trois fois au sein d’un même emplacement
physique dans la région primaire. Le stockage localement redondant offre une durabilité des objets d’au
moins 11 « neuf » (99,999999999 %) sur une année donnée.
Le stockage localement redondant est l’option de redondance la moins coûteuse et offrant la durabilité la
plus faible en comparaison des autres options. Il protège vos données contre les défaillances de disque et
de rack du serveur. Toutefois, si un sinistre tel qu’un incendie ou une inondation se produit à l’intérieur
du centre de données, tous les réplicas d’un compte de stockage utilisant un stockage localement
redondant risquent d’être perdus ou irrécupérables. Pour atténuer ce risque, Microsoft recommande
d’utiliser le stockage redondant interzone (ZRS), le stockage géoredondant (GRS) ou le stockage géore-
dondant interzone (GZRS).
Stockage redondant interzone

Un stockage redondant interzone (ZRS) réplique vos données de Stockage Azure de façon synchrone
dans trois zones de disponibilité Azure au sein de la région primaire. Ce stockage offre une durabilité des
objets de données de Stockage Azure d’au moins 12 « neuf » (99,9999999999 %) sur une année donnée.
71
Avec l’option de stockage redondant interzone, vos données restent accessibles pour des opérations de
lecture et d’écriture, même si une zone devient indisponible. Aucun remontage des partages de fichiers
Azure à partir des clients connectés n’est nécessaire. Si une zone devient indisponible, Azure procède à
des mises à jour du réseau, telles que le repointage DNS. Ces mises à jour peuvent affecter votre applica-
tion si vous accédez aux données avant qu’elles soient terminées.
Microsoft recommande d’utiliser un stockage redondant interzone dans la région primaire pour les
scénarios nécessitant une haute disponibilité. Le stockage redondant interzone est également recom-
mandé pour restreindre la réplication des données au sein d’un pays/région afin de répondre aux
exigences de gouvernance des données.
Redondance dans une région secondaire

Pour les applications nécessitant une haute disponibilité, vous pouvez choisir de copier en plus les
données de votre compte de stockage vers une région secondaire située à des centaines de kilomètres
de la région primaire. Si les données de votre compte de stockage sont copiées dans une région secon-
daire, vos données sont alors durables, même en cas de défaillance catastrophique empêchant la
récupération des données de la région primaire.
Lorsque vous créez un compte de stockage, vous sélectionnez la région primaire pour le compte. La
région secondaire jumelée se base sur les paires régionales Azure et n’est pas modifiable.
Stockage Azure propose deux options pour la réplication de vos données dans la région primaire : le
stockage géoredondant (GRS) et le stockage déoredondant interzone (GZRS). Le stockage géoredondant
est similaire à l’exécution du stockage redondant local dans deux régions, et le stockage géoredondant
interzone est similaire à l’exécution du stockage redondant interzone dans la région primaire et du
stockage redondant local dans la région secondaire.
Par défaut, les données de la région secondaire ne sont disponibles pour l’accès en lecture ou en écriture
qu’en cas de basculement vers la région secondaire. Si la région primaire devient indisponible, vous
pouvez choisir de basculer vers la région secondaire. Une fois le basculement terminé, la région secon-
daire devient la région primaire et vous pouvez de nouveau lire et écrire des données.
Important : Étant donné que les données sont répliquées de façon asynchrone dans la région secondaire,
une défaillance qui affecte la région primaire peut entraîner une perte de données si la région primaire ne
peut pas être récupérée. L’intervalle entre les écritures les plus récentes dans la région primaire et la dernière
écriture dans la région secondaire est appelé objectif de point de récupération (RPO). Le RPO indique le
moment où les données peuvent être récupérées. Stockage Azure comporte généralement un RPO inférieur
à 15 minutes, même s’il n’existe actuellement aucun contrat de niveau de service sur la durée de réplication
des données sur la région secondaire.
Stockage géoredondant
La réplication par stockage géoredondant copie vos données de façon synchrone trois fois au sein d’un
même emplacement physique dans la région primaire en utilisant une réplication par stockage redondant
local. Elle copie ensuite vos données de manière asynchrone vers un emplacement physique unique dans
la région secondaire (la paire régionale) en utilisant le stockage redondant local. Le stockage géoredon-
dant offre une durabilité des objets de données de Stockage Azure d’au moins 16 « neuf »
(99,99999999999999 %) sur une année donnée.
72
Stockage géoredondant interzone

Le stockage géoredondant interzone combine la haute disponibilité fournie par la redondance entre
zones de disponibilité avec la protection contre les pannes régionales assurée par la géoréplication. Les
données d’un compte de stockage géoredondant interzone sont répliquées dans trois zones de disponi-
bilité Azure au sein de la région primaire (similaire au stockage redondant interzone), ainsi que vers une
région géographique secondaire, en utilisant le stockage redondant local, pour offrir une protection
contre des catastrophes régionales. Microsoft recommande d’utiliser une réplication GZRS pour les
applications ayant des besoins élevés en termes de cohérence, de durabilité, de disponibilité, de perfor-
mances et de résilience pour la récupération d’urgence.
73
Le stockage géoredondant interzone est conçu pour fournir une durabilité des objets d’au moins 16 «
neuf » (99,99999999999999 %) sur une année donnée.
Accès en lecture aux données dans la région secondaire

Le stockage géoredondant (GRS ou GZRS) réplique vos données vers un autre emplacement physique
dans la région secondaire pour offrir une protection contre les pannes régionales. Toutefois, ces données
peuvent être lues uniquement si le client ou Microsoft lance un basculement de la région primaire vers la
région secondaire. Toutefois, si vous activez l’accès en lecture à la région secondaire, vos données sont
toujours disponibles, même lorsque la région primaire fonctionne de manière optimale. Pour l’accès en
lecture à la région secondaire, activez le stockage géoredondant à accès en lecture (RA-GRS) ou le
stockage géoredondant interzone à accès en lecture (RA-GZRS).
Important : N’oubliez pas que les données de votre région secondaire peuvent ne pas être à jour en raison
du RPO.
Décrire les services de stockage Azure

La plateforme Stockage Azure comprend les services de données suivants :
●● Objets blob Azure : Un magasin d’objets hautement évolutif pour les données textuelles et binaires.
Il prend également en charge l’analytique Big Data via Data Lake Storage Gen2.
●● Azure Files : Il s’agit de partages de fichiers managés pour les déploiements sur le cloud ou locaux.
●● Files d’attente Azure : Un magasin de messagerie pour une messagerie fiable entre les composants
de l’application.
●● Disques Azure Il s’agit de volumes de stockage de niveau bloc pour les machines virtuelles Azure.
Avantages de Stockage Azure

Les services de stockage Azure offrent les avantages suivants aux développeurs d’applications et aux
professionnels de l’informatique :
●● Durable et hautement disponible La redondance garantit la sécurité de vos données en cas de
défaillances matérielles transitoires. Vous pouvez également choisir de répliquer les données sur
plusieurs centres de données ou régions géographiques pour une protection supplémentaire contre
les catastrophes locales ou naturelles. Les données répliquées de cette manière restent hautement
disponibles en cas de panne inattendue.
●● Sécurisé Toutes les données écrites dans un compte de stockage Azure sont chiffrées par le service.
Stockage Azure vous permet de contrôler de manière très précise les utilisateurs qui ont accès à vos
données.
●● Évolutif Stockage Azure est conçu pour être hautement évolutif afin de répondre aux besoins de
stockage de données et de performances des applications actuelles.
●● Managé Azure gère la maintenance du matériel, les mises à jour et les problèmes critiques pour vous.
●● Accessible Les données dans Stockage Azure sont accessibles n’importe où dans le monde via HTTP
ou HTTPS. Microsoft fournit des bibliothèques clientes pour Stockage Azure dans une variété de
langages, dont .NET, Java, Node.js, Python, PHP, Ruby, Go et autres encore, ainsi qu’une API REST
avancée. Stockage Azure prend en charge l’écriture de scripts dans Azure PowerShell ou l’interface de
ligne de commande Azure. De plus, le portail Azure et l’Explorateur Stockage Azure offrent des
solutions visuelles simples pour utiliser vos données.
74
Stockage Blob
Stockage Blob Azure est la solution de stockage d’objets pour le cloud. Cela permet de stocker de
grandes quantités de données, telles que des données textuelles ou binaires. Stockage Blob Azure est
non structuré, ce qui signifie qu’il n’existe aucune restriction sur les types des données qu’il peut contenir.
Stockage Blob peut gérer des milliers de chargements simultanés, des quantités énormes de données
vidéo, des fichiers journaux à croissance constante, et est accessible depuis n’importe quel emplacement
disposant d’une connexion Internet.
Les objets blob ne se limitent pas aux formats de fichiers usuels. Un objet blob peut contenir plusieurs
gigaoctets de données binaires diffusées en continu depuis un instrument scientifique, un message
chiffré pour une autre application ou des données dans un format personnalisé pour une application que
vous développez. L’un des avantages du stockage Blob par rapport au stockage sur disque est qu’il
n’oblige pas les développeurs à penser aux disques ou à les gérer. Les données sont chargées sous forme
de blobs, et Azure se charge des besoins de stockage physique.
Le stockage Blob convient dans les situations suivantes :
●● Mise à disposition d’images ou de documents directement dans un navigateur
●● Stockage de fichiers pour un accès distribué
●● Diffusion en continu de vidéo et d’audio
●● Stockage de données pour la sauvegarde et la restauration, la récupération d’urgence et l’archivage
●● Stockage des données pour l’analyse par un service local ou hébergé par Azure
Accès au stockage Blob

Les objets du stockage Blob sont accessibles n’importe où dans le monde via HTTP ou HTTPS. Les
utilisateurs ou applications clientes peuvent accéder aux objets blob via des URL, l’API REST Stockage
Azure, Azure PowerShell, Azure CLI ou une bibliothèque de client Stockage Azure. Les bibliothèques de
client de stockage sont disponibles dans plusieurs langages, tels que .NET, Java, Node.js, Python, PHP et
Ruby.
Fonctionnement des niveaux de stockage Blob

Les données stockées dans le cloud peuvent croître à un rythme exponentiel. Pour gérer les coûts liés à
vos besoins de stockage en pleine expansion, il est utile d’organiser vos données selon des attributs tels
que la fréquence d’accès et la période de rétention prévue. Les données stockées dans le cloud peuvent
être différentes selon le mode de génération, de traitement et d’accès tout au long de leur durée de vie.
Certaines données sont activement sollicitées et modifiées tout au long de leur durée de vie. Certaines
sont fréquemment sollicitées au début de leur durée de vie, puis les accès se raréfient considérablement
à mesure qu’elles deviennent plus anciennes. D’autres sont inactives dans le cloud dès le départ et sont
peu, voire pas sollicitées après avoir été stockées. Pour répondre à ces différents besoins d’accès, Azure
fournit plusieurs niveaux d’accès, que vous pouvez utiliser pour équilibrer vos coûts de stockage en
fonction de vos besoins d’accès.
Stockage Azure offre différents niveaux d’accès pour votre stockage Blob, ce qui vous permet de stocker
les données d’objet de la manière la plus économique. Les niveaux d’accès disponibles incluent les
suivants :
●● Niveau d’accès chaud : Optimisé pour le stockage de données fréquemment consultées (par exem-
ple, les images de votre site web).
75
●● Niveau d’accès froid : Optimisé pour le stockage de données rarement sollicitées et stockées
pendant au moins 30 jours (par exemple, les factures pour vos clients).
●● Niveau d’accès archive : Approprié pour le stockage de données rarement sollicitées et stockées
pendant au moins 180 jours, sous des conditions de latence flexibles (par exemple, les sauvegardes à
long terme).
Les considérations suivantes s’appliquent aux différents niveaux de stockage :
●● Seuls les niveaux d’accès chaud et froid peuvent être définis au niveau du compte. Le niveau d’accès
archive n’est pas disponible au niveau du compte.
●● Les niveaux chaud, froid et archive peuvent être définis au niveau de l’objet blob durant ou après le
chargement.
●● Les données du niveau d’accès froid peuvent tolérer une disponibilité légèrement inférieure, mais
nécessitent toujours des caractéristiques de durabilité élevée, de latence de récupération et de débit
similaires à celles des données chaudes. Concernant les données froides, un contrat de niveau de
service (SLA) de disponibilité légèrement inférieure et des coûts d’accès supérieurs comparés aux
données chaudes sont des compromis acceptables pour des coûts de stockage plus faibles.
●● Le stockage Archive stocke des données hors connexion et offre les coûts de stockage les plus bas,
mais également les coûts de réhydratation et d’accès aux données les plus élevés.
Azure Files
Azure Files offre des partages de fichiers pleinement managés dans le cloud qui sont accessibles via le
protocole SMB (Server Message Block) standard ou le protocole NFS (Network File System) standard. Les
partages de fichiers Azure Files peuvent être montés simultanément par des déploiements dans le cloud
ou en local. Les partages de fichiers SMB Azure sont accessibles à partir des clients Windows, Linux et
macOS. Les partages de fichiers NFS Azure sont accessibles à partir des clients Linux ou macOS. En outre,
les partages de fichiers Azure peuvent être mis en cache sur les serveurs Windows avec Azure File Sync
pour un accès rapide à proximité de l’endroit où les données sont utilisées.
Principaux avantages d’Azure Files :

●● Accès partagé : Les partages de fichiers Azure prennent en charge les protocoles standard SMB et
NFS. Cela signifie que vous pouvez facilement remplacer vos partages de fichiers locaux par des
partages de fichiers Azure, sans vous soucier de la compatibilité des applications.
●● Complètement managé : Les partages de fichiers Azure peuvent être créés sans avoir à gérer le
matériel ou un système d’exploitation. Cela signifie que vous n’êtes pas obligé de gérer les mises à
jour correctives du système d’exploitation du serveur avec des mises à niveau de sécurité critiques ou
de remplacer les disques durs défaillants.
●● Écriture de scripts et outils : Les cmdlets PowerShell et Azure CLI peuvent créer, monter et gérer les
partages de fichiers Azure dans le cadre de l’administration des applications Azure. Vous pouvez créer
et gérer les partages de fichiers Azure à l’aide du portail Azure et de l’Explorateur de stockage Azure.
●● Résilience : Azure Files a été entièrement conçu de manière à être toujours disponible. L’utilisation
d’Azure Files au lieu des partages de fichiers locaux signifie que vous n’avez plus à vous soucier des
pannes de courant ou des problèmes de réseau.
●● Programmabilité familière : Les applications exécutées dans Azure peuvent accéder aux données
dans le partage via les API d’E/S du système de fichier. Les développeurs peuvent ainsi tirer profit de
leurs code et compétences actuels pour migrer les applications existantes. En plus des API d’E/S du
76
système, vous pouvez utiliser les bibliothèques de client de stockage Azure ou l’API REST de stockage
Azure.
Stockage File d’attente

Stockage File d’attente Azure est un service permettant de stocker un grand nombre de messages. Une
fois stockés, vous accédez aux messages depuis n’importe où dans le monde par le biais d’appels authen-
tifiés à l’aide du protocole HTTP ou HTTPS. Une file d’attente peut contenir autant de messages que votre
compte de stockage peut en contenir (potentiellement des millions). La taille maximale d’un message de
file d’attente est de 64 Ko. Les files d’attente sont couramment utilisées pour créer un backlog de travail à
traiter de façon asynchrone.
Le stockage en file d’attente peut être combiné avec des fonctions de calcul telles que Azure Functions
pour effectuer une action lorsqu’un message est reçu. Par exemple, vous souhaitez exécuter une action
après qu’un client a chargé un formulaire sur votre site Web. Vous pouvez faire en sorte que le bouton
d’envoi du site Web déclenche un message vers le stockage en file d’attente. Ensuite, vous pourriez
utiliser Azure Functions pour déclencher une action une fois le message reçu.
Stockage sur disque

Le stockage sur disque ou disques managés Azure sont des volumes de stockage de niveau bloc qui sont
gérés par Azure et utilisés avec des machines virtuelles Azure. Conceptuellement parlant, ils sont iden-
tiques à un disque physique, mais ils sont virtualisés et offrent une résilience et une disponibilité
supérieures à celles d’un disque physique. Avec les disques managés, il vous suffit d’approvisionner le
disque et Azure s’occupe du reste.
Exercice - Créer un compte de stockage

Le labo se trouve ici : https://docs.microsoft.com/learn/modules/describe-azure-storage-servic-
es/5-exercise-create-storage-blob
Tâche 1 : Créer un compte de stockage

Dans cet exercice, vous allez créer un compte de stockage.
1. Connectez-vous au portail Azure depuis l’adresse https://portal.azure.com.
2. Sélectionnez Créer une ressource.
3. Sous Catégories, sélectionnez Stockage.
4. Sous Compte de stockage, sélectionnez Créer.
5. Dans l’onglet Général du panneau Créer un compte de stockage, saisissez les informations suivantes.
Laissez les valeurs par défaut pour tous les autres éléments.
Paramètre Valeur
Abonnement Abonnement Concierge
Groupe de ressources Sélectionnez le groupe de ressources commençant
par learn.
Nom du compte de stockage Créez un nom de compte de stockage unique.
Emplacement Par défaut
77
Niveau de performances Standard

Redondance Stockage localement redondant (LRS)
6. Sélectionnez Examiner et créer pour réviser les paramètres de votre compte de stockage et autoriser
Azure à valider la configuration.
7. Une fois la validation effectuée, sélectionnez Créer. Attendez de recevoir la notification indiquant que
le compte a bien été créé.
8. Sélectionnez Accéder à la ressource.
Tâche 2 : Utiliser le stockage blob

Dans cette section, nous allons créer un conteneur d’objets blob et charger une image.
1. Sous Stockage de données, sélectionnez Conteneurs.
2. Sélectionnez + Conteneur et complétez les informations.
Paramètre Valeur
Nom Entrez un nom pour le conteneur.
Niveau d’accès Public Privé (aucun accès anonyme)
3. Sélectionnez Créer.
Remarque : L’étape 4 nécessite une image. Si vous voulez charger une image que vous avez déjà sur
votre ordinateur, passez à l’étape 4. Sinon, ouvrez une nouvelle fenêtre de navigateur et ouvrez Bing
pour rechercher une image de fleur. Enregistrez l’image sur votre ordinateur.
4. De retour sur le portail Azure, sélectionnez le conteneur que vous avez créé, puis sélectionnez Charg-
er.
5. Accédez au fichier à charger. Sélectionnez-le, puis cliquez sur Charger.
78
Remarque : Vous pouvez charger autant de blobs que vous le souhaitez de cette façon. De nouveaux
blobs seront répertoriés dans le conteneur.
6. Sélectionnez le blob (fichier) que vous venez de charger. En principe, vous vous trouvez sur l’onglet
des propriétés.
7. Copiez l’URL du champ URL et collez-la dans un nouvel onglet.
Vous devriez recevoir un message d’erreur semblable à celui qui suit :
<Error>
<Code>ResourceNotFound</Code>
<Message>The specified resource does not exist. RequestId:4a4bd3d9-101e-
005a-1a3e-84bd42000000 Time:2022-06-20T00:41:31.2482656Z</Message>
</Error>
Tâche 3 : Modifier le niveau d’accès de votre blob

1. Revenez sur le portail Azure.
2. Sélectionnez Modifier le niveau d’accès.
3. Définissez le niveau d’accès Public sur Objet blob (accès en lecture anonyme pour les objets blob
uniquement).
4. Sélectionnez OK.
5. Actualisez l’onglet où vous avez essayé d’accéder au fichier précédemment.
Félicitations - vous avez terminé cet exercice ! Vous avez créé un compte de stockage, ajouté un conte-
neur au compte de stockage, puis chargé des blobs (fichiers) dans votre conteneur. Vous avez ensuite
modifié le niveau d’accès pour pouvoir accéder à votre fichier depuis Internet.
79
Identifier les options de migration des données

vers Azure
Maintenant que vous connaissez les différentes options de stockage Azure, il est important de savoir
comment transférer vos données et informations dans Azure. Azure prend en charge la migration en
temps réel de l’infrastructure, des applications et des données à l’aide d’Azure Migrate ainsi que la
migration asynchrone des données à l’aide d’Azure Data Box.
Azure Migrate
Azure Migrate est un service qui vous aide à migrer d’un environnement sur site vers le cloud. Azure
Migrate fonctionne comme un hub qui vous aide à gérer l’évaluation et la migration de votre centre de
données sur site vers Azure. Il procure les éléments suivants :
●● Plateforme de migration unifiée : Un portail unique pour démarrer, exécuter et effectuer le suivi de
votre migration vers Azure.
●● Panoplie d’outils : Une panoplie d’outils d’évaluation et de migration. Les outils Azure Migrate
incluent Azure Migrate : Découverte et évaluation et Azure Migrate : Migration de serveur. Azure
Migrate s’intègre aussi à d’autres services et outils Azure, et à des offres d’éditeur de logiciels in-
dépendant.
●● Évaluation et migration À partir du hub Azure Migrate, vous pouvez évaluer et migrer des applica-
tions web locales vers Azure.
Outils intégrés
En plus de travailler avec les outils des éditeurs de logiciels indépendants, le hub Azure Migrate com-
prend également les outils suivants pour faciliter la migration :
●● Azure Migrate : Découverte et évaluation Découvrez et évaluez les machines virtuelles VMware,
Hyper-V et les serveurs physiques locaux pour les préparer à une migration vers Azure.
●● Azure Migrate : Migration de serveur Migrez des machines virtuelles VMware, Hyper-V, des
serveurs physiques, d’autres machines virtualisées ainsi que des machines virtuelles de cloud public
vers Azure.
●● Assistant Migration de données L’Assistant Migration de données est un outil autonome permettant
d’évaluer les serveurs SQL. L’Assistant Migration de données aide à identifier les problèmes potentiels
bloquant la migration. Il identifie les fonctionnalités non prises en charge, les nouvelles fonctionnalités
dont vous pouvez bénéficier après la migration, et le chemin approprié pour la migration de base de
données.
●● Azure Database Migration Service Migrez des bases de données locales vers des machines virtuelles
Azure exécutant SQL Server, Azure SQL Database ou SQL Managed Instances.
●● Assistant Migration d’applications web Utilisez l’Assistant Migration Azure App Service pour évaluer
les sites web locaux en vue de leur migration vers Azure App Service. Utilisez l’Assistant Migration
pour migrer des applications web .NET et PHP vers Azure.
●● Azure Data Box Pour déplacer de grandes quantités de données hors connexion vers Azure, utilisez
la gamme de produits Azure Data Box.
80
Azure Data Box

Azure Data Box est un service de migration physique qui permet de transférer de grandes quantités de
données de manière rapide, peu onéreuse et fiable. Le transfert de données sécurisé est accéléré avec
l’expédition d’un appareil de stockage Data Box propriétaire, dont la capacité de stockage maximale
utilisable est de 80 téraoctets. Le Data Box est transporté vers et depuis votre centre de données par un
transporteur régional. Un boîtier robuste protège et sécurise le Data Box contre tout dommage pendant
le transport.
Vous pouvez commander l’appareil Data Box par le biais du portail Azure pour importer ou exporter des
données à partir d’Azure. Une fois l’appareil reçu, vous pouvez rapidement le configurer à l’aide de
l’interface utilisateur web locale et le connecter à votre réseau. Une fois que vous avez terminé de
transférer les données (vers ou depuis Azure), il vous suffit de retourner le Data Box. Si vous transférez
des données vers Azure, les données sont automatiquement chargées dès que Microsoft reçoit le Data
Box en retour. L’ensemble du processus est suivi de bout en bout par le service Data Box dans le portail
Azure.
Cas d’usage
Data Box est parfaitement adapté au transfert de tailles de données supérieures à 40 To dans les scénari-
os où la connectivité réseau est limitée ou nulle. Il peut s’agir d’un déplacement de données à usage
unique, périodique, ou d’un transfert de données en bloc initial suivi de transferts périodiques.
Voici les différents scénarios où le service Data Box peut être utilisé pour importer des données dans
Azure.
●● Migration unique : lorsque de grandes quantités de données locales sont transférées vers Azure.
●● Déplacement d’une bibliothèque multimédia à partir de bandes hors connexion dans Azure pour créer
une bibliothèque multimédia en ligne.
●● Migrez votre batterie de machines virtuelles, serveur SQL et applications vers Azure.
●● Déplacez des données historiques vers Azure pour une analyse et des rapports approfondis à l’aide de
HDInsight.
●● Transfert en bloc initial : lorsqu’un transfert en bloc initial est effectué à l’aide de Data Box (seed) suivi
de transferts incrémentiels sur le réseau.
●● Chargements périodiques : lorsqu’une grande quantité de données est générée régulièrement et doit
être déplacée vers Azure.
Voici les différents scénarios où le service Data Box peut être utilisé pour exporter des données à partir
d’Azure.
●● Récupération d’urgence : quand une copie des données d’Azure est restaurée sur un réseau local. Cela
s’effectue généralement dans le cas d’un scénario de récupération d’urgence où une grande quantité
de données Azure sont exportées vers un Data Box. Microsoft envoie ensuite ce Data Box, et les
données sont restaurées sur votre site dans un délai très court.
●● Exigences de sécurité : lorsque vous devez être en mesure d’exporter des données à partir d’Azure en
raison d’exigences gouvernementales ou de sécurité.
●● Remigrer vers le site local ou vers un autre fournisseur de services cloud : quand vous souhaitez
redéplacer toutes les données vers le site local ou vers un autre fournisseur de services cloud, ex-
portez les données par le biais de Data Box pour migrer les charges de travail.
81
Une fois que vos données sont chargées dans Azure, les disques sur l’appareil sont nettoyés, conformé-
ment aux normes NIST 800-88r1. Pour une commande d’exportation, les disques sont effacés une fois
que l’appareil a atteint le centre de données Azure.
Identifier les options de déplacement des fich-

iers Azure
En plus de la migration à grande échelle à l’aide de services comme Azure Migrate et Azure Data Box,
Azure dispose également d’outils conçus pour vous aider à déplacer ou à interagir avec des fichiers
individuels ou de petits groupes de fichiers. Parmi ces outils, on retrouve AzCopy, l’Explorateur de
stockage Azure et Azure File Sync.
AzCopy
AzCopy est un utilitaire de ligne de commande que vous pouvez utiliser pour copier des blobs ou des
fichiers vers ou depuis un compte de stockage. Avec AzCopy, vous pouvez charger et télécharger des
fichiers, en copier entre des comptes de stockage, et même en synchroniser. AzCopy peut même être
configuré pour travailler avec d’autres fournisseurs de cloud pour aider à déplacer les fichiers entre les
clouds.
Important : La synchronisation de blobs ou de fichiers avec AzCopy est une synchronisation unidirection-
nelle. Lorsque vous synchronisez, vous désignez la source et la destination, et AzCopy copiera les fichiers ou
les blobs dans cette direction. Il n’y a pas de synchronisation bidirectionnelle basée sur des horodateurs ou
autres métadonnées.
Explorateur Stockage Azure

L’Explorateur Stockage Azure est une application autonome qui offre une interface graphique pour gérer
les fichiers et les blobs dans votre compte de stockage Azure. Il fonctionne sur les systèmes d’exploitation
Windows, macOS et Linux et utilise AzCopy en back-end pour effectuer toutes les tâches de gestion des
fichiers et des blobs. Avec l’Explorateur Storage, vous pouvez charger vers et depuis Azure, ou déplacer
entre les comptes de stockage.
Azure File Sync

Azure File Sync est un outil qui permet de centraliser les partages de fichiers de votre organisation dans
Azure Files, tout en conservant la flexibilité, le niveau de performance et la compatibilité d’un serveur de
fichiers local. C’est presque comme si vous transformiez votre serveur de fichiers Windows en un réseau
de diffusion de contenu miniature. Une fois que vous aurez installé Azure File Sync sur votre serveur
Windows local, celui-ci restera automatiquement synchronisé de manière bidirectionnelle avec vos
fichiers dans Azure.
Avec Azure File Sync, vous pouvez :
●● Utiliser tout protocole disponible dans Windows Server pour accéder à vos données localement,
notamment SMB, NFS et FTPS
●● Avoir autant de caches que nécessaire dans le monde entier
●● Remplacer un serveur local défaillant en installant Azure File Sync sur un nouveau serveur dans le
même centre de données
82
●● Configurer la hiérarchisation cloud pour que les fichiers les plus fréquemment consultés soient
répliqués localement, tandis que les fichiers rarement consultés sont conservés dans le cloud jusqu’à
ce qu’ils soient demandés

Multiple choice
Quel outil maintient automatiquement à jour les fichiers entre un serveur Windows local et un environne-
ment cloud Azure ?
Azure File Sync
Explorateur de stockage Azure
AzCopy
Multiple choice
Quelle option de redondance de stockage offre le plus haut degré de durabilité, avec 16 « neuf » de durabil-
ité ?
Stockage géoredondant interzone
Multiple choice
Quel service de stockage Azure prend en charge l’analyse des Big Data, ainsi que la gestion des types de
données textuelles et binaires ?
Objets blob Azure
Azure Files
Disques Azure
Résumé
Dans ce module, vous avez découvert les services de stockage Azure. Vous avez découvert les comptes
de stockage Azure et comment ils se rapportent aux différents services de stockage. Vous avez appris à
stocker par blobs et avez découvert les options de redondance ainsi que les moyens de migrer et de
déplacer vos données vers et dans Azure.
●● Comparer les services de stockage Azure
●● Décrire les niveaux de stockage
●● Décrire les options de redondance
83
●● Décrire les options des comptes de stockage et les types de stockage

●● Identifier les options pour déplacer des fichiers, notamment AzCopy, l’Explorateur de stockage Azure
et Azure File Sync
●● Décrire les options de migration, notamment Azure Migrate et Azure Data Box
●● Stocker des données dans Azure7 est un cours Microsoft Learn qui couvre plus d’informations sur le
stockage des données dans Azure.
●● Microsoft Certified : Azure Data Fundamentals8 est une certification complète, avec une formation
associée qui permet d’approfondir les notions fondamentales des données sur Azure.
7 https://docs.microsoft.com/learn/paths/store-data-in-azure/
8 https://docs.microsoft.com/learn/certifications/azure-data-fundamentals/
84
Décrire l’accès et la sécurité des identités Az-

ure
Introduction
Dans ce module, vous allez découvrir les services et outils d’identité, d’accès et de sécurité Azure. Vous
découvrirez les services d’annuaire dans Azure, les méthodes d’authentification et le contrôle d’accès.
Vous aborderez également des sujets tels que la Confiance Zéro et la défense en profondeur, ainsi que la
manière dont ils permettent de sécuriser votre cloud. Vous terminerez par une introduction à Microsoft
Defender pour le cloud.
●● Décrire les services d’annuaire dans Azure, notamment Azure Active Directory (AD) et Azure AD DS
●● Décrire les méthodes d’authentification dans Azure, notamment l’authentification unique, l’authentifi-
cation multifacteur et l’authentification sans mot de passe
●● Décrire les identités externes et l’accès invité dans Azure
●● Décrire l’accès conditionnel Azure AD
●● Décrire le contrôle d’accès en fonction du rôle (RBAC, Role Based Access Control)
●● Décrire le concept de Confiance Zéro
●● Décrire l’objectif du modèle de défense en profondeur
●● Décrire l’objectif de Microsoft Defender pour le cloud
Décrire les services d’annuaire Azure

Azure Active Directory (Azure AD) fournit des services d’identité qui permettent à vos utilisateurs de se
connecter et d’accéder aux applications cloud de Microsoft et à celles que vous développez. Azure AD
peut également vous aider à maintenir votre déploiement Active Directory local.
Pour les environnements locaux, Active Directory sur Windows Server propose un service de gestion des
identités et des accès qui est géré par votre propre organisation. Azure AD est le service cloud de
Microsoft qui gère les identités et les accès. Avec Azure AD, vous contrôlez les comptes d’identité, mais
Microsoft assure la disponibilité du service à l’échelon mondial. Si vous avez déjà utilisé Active Directory,
vous ne serez pas désorienté par Azure AD.
Quand vous sécurisez les identités en local avec Active Directory, Microsoft ne supervise pas les tentatives
de connexion. Lorsque vous connectez Active Directory à Azure AD, Microsoft peut détecter les tentatives
de connexion suspectes et ainsi renforcer votre protection sans coûts supplémentaires. Par exemple,
Azure AD peut détecter les tentatives de connexion en provenance de localisations inattendues ou
d’appareils inconnus.
Qui utilise Azure AD ?

Azure AD s’adresse aux publics suivants :
●● Administrateurs informatiques Les administrateurs peuvent utiliser Azure AD pour contrôler l’accès
aux applications et aux ressources en fonction de leurs exigences opérationnelles.
85
●● Développeurs d’applications Les développeurs peuvent utiliser Azure AD pour ajouter des fonction-
nalités aux applications qu’ils créent selon une approche basée sur les standards. Ils peuvent ainsi
ajouter la fonctionnalité SSO à une application ou permettre à une application d’utiliser les informa-
tions d’identification existantes d’un utilisateur.
●● Utilisateurs Les utilisateurs peuvent gérer leurs identités et prendre des mesures de maintenance
comme la réinitialisation du mot de passe en libre-service.
●● Abonnés aux services en ligne Les abonnés Microsoft 365, Microsoft Office 365, Azure et Microsoft
Dynamics CRM Online utilisent déjà Azure AD.
Que fait Azure AD ?

Azure AD fournit les services suivants :
●● Authentification Ce processus inclut la vérification de l’identité avant d’accéder aux applications et
aux ressources, ainsi que des fonctionnalités comme la réinitialisation de mot de passe en libre-ser-
vice, l’authentification multifacteur, une liste de mots de passe interdits personnalisée et des services
de verrouillage intelligent.
●● Authentification unique L’authentification unique vous permet de ne retenir qu’un seul nom
d’utilisateur et un seul mot de passe pour accéder à plusieurs applications. Une même identité est liée
à un utilisateur, ce qui simplifie le modèle de sécurité. Quand un utilisateur change de rôle ou quitte
l’organisation, les modifications d’accès sont liées à cette identité, ce qui réduit considérablement le
travail nécessaire pour changer ou désactiver les comptes.
●● Gestion d’application Vous pouvez gérer vos applications cloud et locales à l’aide d’Azure AD.
Certaines fonctionnalités comme le proxy d’application, les applications SaaS, le portail Mes applica-
tions et l’authentification unique offrent une meilleure expérience utilisateur.
●● Gestion des appareils En plus des comptes individuels des personnes, Azure AD prend en charge
l’inscription des appareils. L’inscription permet de gérer les appareils avec des outils comme Microsoft
Intune. Il est également possible d’appliquer des stratégies d’accès conditionnel basées sur les
appareils pour limiter les tentatives d’accès aux seuls appareils connus, quel que soit le compte
d’utilisateur qui en fait la demande.
Comment connecter mon annuaire local à Azure AD ?

Si vous disposiez d’un environnement sur site exécutant Active Directory et d’un déploiement cloud
utilisant Azure AD, vous devriez gérer deux ensembles d’identités. Cependant, vous pouvez connecter
Active Directory à Azure AD, ce qui permet une expérience d’identité cohérente entre le cloud et l’envi-
ronnement local.
Une méthode pour connecter Azure AD à votre AD local consiste à utiliser Azure AD Connect. Azure AD
Connect synchronise les identités utilisateur entre l’installation locale Active Directory et Azure AD. Azure
AD Connect synchronise les modifications entre les deux systèmes d’identité, ce qui vous permet d’uti-
liser certaines fonctionnalités comme l’authentification unique, l’authentification multifacteur, et la
réinitialisation de mot de passe en libre-service dans les deux systèmes.
Présentation d’Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine managés, comme
la jonction de domaine, la stratégie de groupe, le protocole LDAP et l’authentification Kerberos/NTLM.
Tout comme Azure AD vous permet d’utiliser des services d’annuaire sans avoir à maintenir l’infrastruc-
86
ture qui les prend en charge, avec Azure AD DS, vous bénéficiez des services de domaine sans avoir à
déployer, à gérer et à corriger les contrôleurs de domaine (DC) dans le cloud.
Un domaine managé Azure AD DS vous permet d’exécuter des applications héritées dans le cloud qui ne
peuvent pas utiliser les méthodes d’authentification modernes ou pour lesquelles vous ne voulez pas que
les recherches de répertoire retournent systématiquement à un environnement AD DS local. Vous pouvez
effectuer un lift-and-shift de ces applications héritées de votre environnement local à un domaine
managé sans devoir gérer l’environnement AD DS dans le cloud.
Azure AD DS s’intègre à votre locataire Azure AD existant. Cette intégration permet aux utilisateurs de se
connecter aux services et aux applications connectés au domaine managé à l’aide de leurs informations
d’identification existantes. Vous pouvez également utiliser des comptes d’utilisateurs et des groupes
existants pour sécuriser l’accès aux ressources. Ces fonctionnalités fournissent une migration lift-and-shift
plus simple des ressources locales vers Azure.
Fonctionnement d’Azure AD DS
Quand vous créez un domaine managé Azure AD DS, vous définissez un espace de noms unique. Cet
espace de noms est le nom de domaine. Deux contrôleurs de domaine Windows Server sont ensuite
déployés dans votre région Azure sélectionnée. Ce déploiement de contrôleurs de domaine est appelé
jeu de réplicas.
Vous n’avez pas besoin de gérer, de configurer ou de mettre à jour ces contrôleurs de domaine. La
plateforme Azure gère les contrôleurs de domaine comme faisant partie du domaine managé, y compris
les sauvegardes.
Les informations sont-elles synchronisées ?

Un domaine managé est configuré pour effectuer une synchronisation unidirectionnelle d’Azure AD vers
Azure AD DS. Vous pouvez créer des ressources directement dans le domaine managé, mais elles ne sont
pas resynchronisées sur Azure AD. Dans un environnement hybride avec un environnement AD DS local,
Azure AD Connect synchronise les informations d’identité avec Azure AD, qui sont ensuite synchronisées
avec le domaine managé.
Dans Azure, les applications, les services et les machines virtuelles qui se connectent au domaine managé
peuvent ensuite utiliser des fonctionnalités AD DS courantes telles que la jonction de domaine, la
stratégie de groupe, LDAP et l’authentification Kerberos/NTLM.
Décrire les méthodes d’authentification Azure

L’authentification est le processus d’établissement de l’identité d’une personne, d’un service ou d’un
dispositif. Elle exige que la personne, le service ou le dispositif fournisse un certain type de justificatif
87
pour prouver son identité. L’authentification est comme la présentation d’une pièce d’identité lorsque
vous voyagez. Elle ne confirme pas que vous avez un billet, elle prouve simplement que vous êtes bien la
personne que vous prétendez être. Azure prend en charge plusieurs méthodes d’authentification,
notamment les mots de passe standard, l’authentification unique (SSO), l’authentification multifacteur
(MFA) et l’authentification sans mot de passe.
Pendant longtemps, la sécurité et la commodité ont semblé aller à l’encontre l’une de l’autre. Heureuse-
ment, de nouvelles solutions d’authentification offrent à la fois sécurité et commodité.
Le diagramme suivant illustre le niveau de sécurité par rapport à la commodité. Vous remarquerez que
l’authentification sans mot de passe est très sûre et très pratique, tandis que les mots de passe seuls sont
peu sûrs, mais très pratiques.
Qu’est-ce que l’authentification unique ?

L’authentification unique permet à un utilisateur de se connecter une fois et d’utiliser ces informations
d’identification pour accéder à plusieurs ressources et applications auprès de différents fournisseurs. Pour
que l’authentification unique fonctionne, les différentes applications et les différents fournisseurs doivent
faire confiance à l’authentificateur initial.
Plus il y a d’identités, plus il y a de mots de passe à mémoriser et à changer. Les stratégies de mot de
passe peuvent varier parmi les applications. À mesure que les exigences de complexité s’affermissent, les
utilisateurs ont de plus en plus de difficultés à mémoriser les mots de passe. Plus le nombre de mots de
passe que l’utilisateur doit gérer est important, plus le risque d’un incident de sécurité lié aux informa-
tions d’identification est grand.
Songez au processus qu’implique la gestion de toutes ces identités. Une pression supplémentaire est
placée sur les services d’assistance lorsqu’ils traitent des verrouillages de compte et des demandes de
réinitialisation de mot de passe. Si un utilisateur quitte une organisation, il peut être difficile de retrouver
toutes ces identités et de s’assurer qu’elles sont désactivées. Si une identité est oubliée, elle peut autoris-
er un accès alors qu’elle aurait dû être éliminée.
Avec l’authentification unique, vous n’avez besoin de mémoriser qu’un seul ID et un seul mot de passe.
L’accès aux applications est accordé à une identité unique liée à un utilisateur, ce qui simplifie le modèle
de sécurité. Quand un utilisateur change de rôle ou quitte l’organisation, l’accès est lié à une identité
unique. Cette modification réduit considérablement le travail nécessaire pour changer ou désactiver les
88
comptes. L’authentification unique permet aux utilisateurs de gérer plus facilement leurs identités et au
service informatique de gérer les utilisateurs.
Important : L’authentification unique n’est aussi sécurisée que l’authentificateur initial, car les connexions
ultérieures reposent toutes sur la sécurité de l’authentificateur initial.
Qu’est-ce que l’authentification multifacteur ?

L’authentification multifacteur consiste à demander à l’utilisateur une forme (ou un facteur) supplémen-
taire d’identification pendant la procédure de connexion. Cette authentification permet de se protéger
contre la compromission d’un mot de passe dans les situations où le mot de passe a été compromis, mais
pas le second facteur.
Réfléchissez à la façon dont vous vous connectez aux sites web, à la messagerie ou aux services de jeux
en ligne. Outre votre nom d’utilisateur et votre mot de passe, vous est-il déjà arrivé d’avoir à entrer un
code qui vous a été envoyé sur votre téléphone ? Si c’est le cas, vous avez utilisé l’authentification
multifacteur pour vous connecter.
L’authentification multifacteur renforce la sécurité de vos identités en exigeant au moins deux éléments
pour une authentification complète. Ces éléments se répartissent en trois catégories :
●● Quelque chose que l’utilisateur connaît : il peut s’agit d’une question difficile.
●● Quelque chose qui est en possession de l’utilisateur : il peut s’agir d’un code envoyé sur le téléphone
mobile de l’utilisateur.
●● Quelque chose qui identifie l’utilisateur : il s’agit généralement d’un type de propriété biométrique,
telle qu’une empreinte digitale ou un scan de votre visage.
L’authentification multifacteur renforce la sécurité des identités en limitant l’impact de l’exposition des
informations d’identification (par exemple, noms d’utilisateurs et mots passe subtilisés). Si l’authentifica-
tion multifacteur est activée, un attaquant qui connaît le mot de passe d’un utilisateur doit aussi disposer
de son téléphone ou de son empreinte digitale pour s’authentifier complètement.
Comparons l’authentification multifacteur et l’authentification à facteur unique. Avec l’authentification à
facteur unique, un attaquant n’a besoin que d’un nom d’utilisateur et d’un mot de passe pour s’authenti-
fier. L’authentification multifacteur devrait être activée chaque fois que cela est possible, car elle apporte
d’énormes avantages en termes de sécurité.
Qu’est-ce qu’Azure AD Multi-Factor Authentication ?

Azure AD Multi-Factor Authentication est un service Microsoft qui offre des fonctionnalités d’authentifi-
cation multifacteur. Azure AD Multi-Factor Authentication permet aux utilisateurs de choisir une autre
forme d’authentification pendant la connexion, par exemple un appel téléphonique ou une notification
d’application mobile.
Qu’est-ce que l’authentification sans mot de passe ?

Les fonctionnalités telles que l’authentification multifacteur sont un excellent moyen de sécuriser votre
organisation, mais les utilisateurs sont souvent frustrés par la couche de sécurité supplémentaire qui
s’ajoute à la nécessité de se souvenir de leurs mots de passe. Les gens sont plus enclins à se conformer
aux règles lorsqu’il est facile et pratique de les appliquer. Les méthodes d’authentification sans mot de
passe sont plus pratiques, car le mot de passe est supprimé et remplacé par quelque chose que vous
avez, en plus de quelque chose que vous êtes ou que vous savez.
89
L’authentification sans mot de passe doit être configurée sur un appareil avant de pouvoir fonctionner.
Par exemple, votre ordinateur est un objet que vous possédez. Une fois qu’il a été enregistré ou inscrit,
Azure sait maintenant qu’il vous est associé. Maintenant que l’ordinateur est connu, si vous fournissez un
élément que vous connaissez ou que vous êtes (comme un code PIN ou une empreinte digitale), vous
pouvez être authentifié sans utiliser de mot de passe.
Chaque organisation a des besoins différents en matière d’authentification. Microsoft global Azure et
Azure Government proposent les trois options d’authentification sans mot de passe suivantes qui
s’intègrent à Azure Active Directory (Azure AD) :
●● Windows Hello Entreprise
●● Application Microsoft Authenticator
●● Clés de sécurité FIDO2
Windows Hello Entreprise

Windows Hello Entreprise est idéal pour les professionnels de l’information qui disposent de leur propre
PC Windows. Les informations d’identification biométriques et de code secret sont directement liées au
PC de l’utilisateur et, dès lors, personne d’autre ne peut y accéder. Avec l’intégration de l’infrastructure à
clé publique (PKI) et la prise en charge intégrée de l’authentification unique (SSO), Windows Hello
Entreprise propose une méthode d’accès pratique aux ressources d’entreprise localement et dans le
cloud.
Application Microsoft Authenticator

Vous pouvez également autoriser le téléphone de votre employé à devenir une méthode d’authentifica-
tion sans mot de passe. Vous utilisez peut-être déjà l’application Microsoft Authenticator comme une
option pratique d’authentification multifacteur en plus d’un mot de passe. Vous pouvez également
utiliser l’application Authenticator comme option sans mot de passe.
L’application Authenticator transforme n’importe quel téléphone iOS ou Android en informations d’iden-
tification fortes et sans mot de passe. Les utilisateurs peuvent se connecter à n’importe quelle plateforme
ou navigateur en recevant une notification sur leur téléphone, en faisant correspondre un numéro affiché
à l’écran à celui de leur téléphone, puis en utilisant leur biométrie (tactile ou visage) ou code PIN pour
confirmer. Pour plus d’informations sur l’installation, consultez Télécharger et installer l’application
Microsoft Authenticator.
Clés de sécurité FIDO2

FIDO (Fast Identity Online) Alliance permet de promouvoir les normes d’authentification ouverte et de
réduire l’utilisation des mots de passe en tant qu’authentification. FIDO2 est la dernière norme qui
incorpore la norme d’authentification Web (WebAuthn).
Les clés de sécurité FIDO2 sont une méthode d’authentification sans mot de passe basée sur une norme.
Elles ne peuvent pas être usurpées et peuvent s’afficher dans n’importe quel facteur de forme. FIDO est
une norme ouverte d’authentification sans mot de passe. FIDO permet aux utilisateurs et aux organisa-
tions d’exploiter la norme pour se connecter à leurs ressources sans nom d’utilisateur ni mot de passe, à
l’aide d’une clé de sécurité externe ou d’une clé de plateforme intégrée à un appareil.
Les utilisateurs peuvent enregistrer, puis sélectionner une clé de sécurité FIDO2 dans l’interface de
connexion en tant que principal moyen d’authentification. Ces clés de sécurité FIDO2 sont généralement
des périphériques USB, mais elles peuvent également utiliser les technologies Bluetooth ou NFC. Avec un
90
périphérique matériel gérant l’authentification, la sécurité d’un compte augmente, car il n’existe aucun
mot de passe qui pourrait être exposé ou deviné.
Décrire les identités externes Azure

Une identité externe est une personne, un appareil, un service, etc. qui se trouve en dehors de votre
organisation. Les identités externes Azure AD font référence à toutes les façons dont vous pouvez
interagir en toute sécurité avec des utilisateurs extérieurs à votre organisation. Si vous souhaitez collabor-
er avec des partenaires, des distributeurs, des fournisseurs ou des vendeurs, vous pouvez partager vos
ressources et définir comment vos utilisateurs internes peuvent accéder aux organisations externes. Si
vous êtes un développeur qui crée des applications destinées aux consommateurs, vous pouvez gérer les
expériences d’identité de vos clients.
Les identités externes peuvent ressembler à l’authentification unique. Avec les identités externes, les
utilisateurs externes peuvent « apporter leurs propres identités ». Qu’ils disposent d’une identité numéri-
que délivrée par une entreprise ou un gouvernement, ou d’une identité sociale non gérée comme Google
ou Facebook, ils peuvent utiliser leurs propres informations d’identification pour se connecter. Le fournis-
seur d’identité de l’utilisateur externe gère son identité, et vous gérez l’accès à vos applications avec
Azure AD ou Azure AD B2C pour assurer la protection de vos ressources.
91
Les capacités suivantes constituent les identités externes :

●● Collaboration business-to-business (B2B) : collaborez avec des utilisateurs externes en les laissant
utiliser leur identité préférée pour se connecter à vos applications Microsoft ou à d’autres applications
d’entreprise (applications SaaS, applications développées sur mesure, etc.). Les utilisateurs de la
collaboration B2B sont représentés dans votre annuaire, généralement en tant qu’utilisateurs invités.
●● Connexion directe B2B : établissez une confiance mutuelle et bidirectionnelle avec une autre
organisation Azure AD pour une collaboration transparente. La connexion directe B2B prend actuelle-
ment en charge les canaux partagés Teams, ce qui permet aux utilisateurs externes d’accéder à vos
ressources à partir de leur instance personnelle de Teams. Les utilisateurs de la connexion directe B2B
ne sont pas représentés dans votre répertoire, mais ils sont visibles depuis le canal partagé Teams et
peuvent être contrôlés dans les rapports du centre d’administration Teams.
●● Azure AD business to customer (B2C) : publiez des applications SaaS modernes ou des applications
développées sur mesure (à l’exception des applications Microsoft) à destination des consommateurs
et des clients, tout en utilisant Azure AD B2C pour la gestion des identités et des accès.
Selon la manière dont vous souhaitez interagir avec les organisations externes et les types de ressources
que vous devez partager, vous pouvez utiliser une combinaison de ces capacités.
Avec Azure Active Directory (Azure AD), vous pouvez facilement mettre en place une collaboration
au-delà des limites de l’organisation à l’aide de la fonctionnalité B2B d’Azure AD. Les utilisateurs invités
depuis d’autres locataires peuvent être invités par les administrateurs ou par d’autres utilisateurs. Cela
s’applique également aux identités de réseaux sociaux tels que des comptes Microsoft.
Vous pouvez également facilement vous assurer que les utilisateurs invités disposent de droits d’accès
appropriés. Vous pouvez demander directement aux invités ou bien à un décisionnaire de prendre part à
une révision d’accès et de renouveler la certification (ou d’effectuer une attestation) pour l’accès invité.
Les réviseurs peuvent donner leur avis sur les besoins de chaque utilisateur en matière d’accès continu,
en fonction des suggestions d’Azure AD. Lorsqu’une révision d’accès est terminée, vous pouvez effectuer
des modifications et supprimer l’accès des invités qui n’en ont plus besoin.
Décrire l’accès conditionnel Azure

L’accès conditionnel est un outil dont se sert Azure Active Directory pour autoriser (ou refuser) l’accès aux
ressources en fonction de signaux d’identité. Par signaux, il faut entendre l’identité de l’utilisateur, sa
localisation et l’appareil à partir duquel il demande l’accès.
Pour les administrateurs informatiques, l’accès conditionnel offre les avantages suivants :
●● Il permet aux utilisateurs d’être productifs en tout lieu et à tout moment.
●● Il protège les ressources de l’organisation.
L’accès conditionnel offre aussi une expérience d’authentification multifacteur plus granulaire pour les
utilisateurs. En effet, ils n’ont pas forcément besoin de fournir un deuxième facteur d’authentification si
leur localisation est connue. En revanche, si leurs signaux de connexion sont inhabituels ou que leur
localisation est inattendue, un deuxième facteur d’authentification peut leur être demandé.
Pendant la connexion, l’accès conditionnel recueille les signaux de l’utilisateur, prend une décision en
fonction de ces signaux, puis met en œuvre cette décision en autorisant ou refusant la demande d’accès
ou en demandant une réponse d’authentification multifacteur.
Le schéma suivant illustre ce concept :
92
Ici, le signal peut être la localisation de l’utilisateur, l’appareil ou l’application à laquelle l’utilisateur tente
d’accéder.
Sur la base de ces signaux, la décision peut être d’accorder un accès total si l’utilisateur se connecte à
partir de sa localisation habituelle. Si l’utilisateur se connecte à partir d’une localisation inhabituelle ou
signalée comme étant hautement risquée, l’accès peut être bloqué entièrement ou éventuellement
accordé après que l’utilisateur a fourni une deuxième forme d’authentification.
La mise en œuvre est l’action qui exécute la décision. Par exemple, autoriser l’accès ou demander à
l’utilisateur de fournir une deuxième forme d’authentification.
Quand utiliser l’accès conditionnel ?

L’accès conditionnel est utile dans les cas suivants :
●● Exiger une authentification multifacteur pour accéder à une application en fonction du rôle, de sa
localisation ou du réseau du demandeur. Par exemple, vous pouvez exiger une authentification
multifactorielle pour les administrateurs, mais pas pour les utilisateurs ordinaires ou pour les per-
sonnes qui se connectent depuis l’extérieur de votre réseau d’entreprise.
●● Vous devez autoriser l’accès aux services uniquement à partir d’applications clientes approuvées. Par
exemple, vous pouvez limiter les applications de messagerie qui peuvent se connecter à votre service
de messagerie.
●● Vous devez exiger des utilisateurs qu’ils accèdent à votre application à partir d’appareils gérés
uniquement. Un appareil géré est un appareil qui respecte vos critères de conformité et de sécurité.
●● Vous devez bloquer l’accès aux sources non approuvées, par exemple aux localisations inconnues ou
inattendues.
Décrire le contrôle d’accès en fonction du rôle

Azure
Si vous avez plusieurs équipes d’informaticiens et d’ingénieurs, comment pouvez-vous contrôler l’accès
qu’elles ont aux ressources de votre environnement cloud ? Le principe des privilèges minimum veut que
vous n’accordiez que l’accès correspondant au niveau nécessaire pour accomplir une tâche. Si vous
n’avez besoin que d’un accès en lecture à un blob de stockage, vous ne devez obtenir qu’un accès en
lecture à ce blob de stockage. L’accès en écriture à ce blob ne doit pas être accordé, pas plus que l’accès
en lecture aux autres blobs de stockage. Il s’agit d’une bonne pratique de sécurité à suivre.
Cependant, la gestion de ce niveau de permissions pour une équipe entière deviendrait fastidieuse. Au
lieu de définir les besoins d’accès particuliers de chaque personne, puis de les mettre à jour quand des
ressources sont créées ou ont rejoint l’équipe, Azure vous permet de contrôler l’accès par le biais du
contrôle d’accès en fonction du rôle Azure (Azure RBAC).
Azure propose des rôles intégrés qui décrivent les règles d’accès courantes des ressources cloud. Vous
pouvez également définir vos propres rôles. Chaque rôle a un ensemble d’autorisations d’accès associé
93
qui lui sont propres. Quand vous attribuez un ou plusieurs rôles à des personnes ou des groupes, ils
reçoivent toutes les autorisations d’accès associées.
Ainsi, si vous embauchez un nouvel ingénieur et l’ajoutez au groupe Azure RBAC pour les ingénieurs, il
obtient automatiquement les mêmes accès que les autres ingénieurs du même groupe Azure RBAC. De
même, si vous ajoutez des ressources supplémentaires et que vous leur attribuez Azure RBAC, tous les
membres de ce groupe Azure RBAC disposeront désormais de ces autorisations sur les nouvelles res-
sources ainsi que sur les ressources existantes.
Comment le contrôle d’accès en fonction du rôle est-il ap-

pliqué aux ressources ?
Le contrôle d’accès en fonction du rôle s’applique à une étendue, à savoir une ressource ou un ensemble
de ressources à laquelle ou auquel cet accès s’applique.
Le diagramme suivant montre la relation entre les rôles et l’étendue. Un administrateur de groupe
d’administration, d’abonnement ou de ressources peut se voir attribuer le rôle de propriétaire, ce qui lui
confère un contrôle et une autorité accrus. Un observateur, qui n’est pas censé effectuer de mises à jour,
peut se voir attribuer le rôle de lecteur pour la même portée, ce qui lui permet d’examiner ou d’observer
le groupe d’administration, l’abonnement ou le groupe de ressources.
Les étendues incluent :

●● Un groupe d’administration (collection de plusieurs abonnements)
●● Un abonnement unique
●● Un groupe de ressources
●● Une ressource unique
Les observateurs, les utilisateurs gérant des ressources, les administrateurs et les processus automatisés
illustrent les genres d’utilisateurs ou de comptes généralement attribués à chacun des différents rôles.
Azure RBAC est hiérarchique, c’est-à-dire que quand vous accordez l’accès à une étendue parente, ces
autorisations sont héritées par toutes les étendues enfants. Par exemple :
●● Quand vous attribuez le rôle de propriétaire à un utilisateur au niveau de l’étendue du groupe
d’administration, cet utilisateur peut gérer tout le contenu de tous les abonnements au sein du
groupe d’administration.
●● Quand vous attribuez le rôle Lecteur à un groupe au niveau de l’étendue de l’abonnement, les
membres de ce groupe peuvent voir tous les groupes de ressources et toutes les ressources au sein
de l’abonnement.
94
Comment Azure RBAC est-il appliqué ?

Azure RBAC s’applique à toute action lancée sur une ressource Azure qui passe par Azure Resource
Manager. Resource Manager est un service de gestion qui propose un moyen d’organiser et de sécuriser
vos ressources cloud.
Pour accéder à Resource Manager, vous utilisez généralement le portail Azure, Azure Cloud Shell, Azure
PowerShell et Azure CLI. Azure RBAC n’applique pas d’autorisations d’accès au niveau de l’application ou
des données. La sécurité de l’application doit être gérée par votre application.
Azure RBAC est un modèle d’autorisation. Lorsqu’un rôle vous est attribué, Azure RBAC vous permet
d’effectuer des actions dans le cadre de ce rôle. Si une attribution de rôle vous accorde des autorisations
de lecture sur un groupe de ressources et qu’une autre attribution de rôle vous accorde des autorisations
d’écriture sur le même groupe de ressources, vous disposez d’autorisations de lecture et d’écriture sur ce
groupe de ressources.
Décrire le modèle Confiance Zéro

La Confiance Zéro est un modèle de sécurité qui suppose le pire scénario possible et protège les res-
sources en fonction de cette attente. Le modèle Confiance Zéro suppose un état de violation et vérifie
chaque demande comme si elle provenait d’un réseau non contrôlé.
Aujourd’hui, les organisations ont besoin d’un nouveau modèle de sécurité qui s’adapte plus efficace-
ment à la complexité de l’environnement moderne, qui accepte les employés nomades et qui protège les
utilisateurs, les appareils, les applications et les données, où qu’ils soient.
Pour faire face à ce nouveau monde de l’informatique, Microsoft recommande vivement le modèle de
sécurité Confiance Zéro, qui repose sur les principes directeurs suivants :
●● Vérifier explicitement : authentifier et autoriser toujours en se basant sur tous les points de données
disponibles
●● Utiliser l’accès selon le principe des privilèges minimum : limiter l’accès des utilisateurs avec un
accès juste-à-temps et juste-assez (JIT/JEA), des politiques adaptatives basées sur les risques et la
protection des données
●● Supposer une brèche : réduire au minimum le rayon d’explosion et segmenter l’accès Vérifier le
cryptage de bout en bout Utiliser Analytics pour obtenir une visibilité, détecter les menaces et
améliorer les défenses
Adaptation à la Confiance Zéro

Avant, les réseaux d’entreprise étaient limités, protégés et généralement considérés comme sûrs. Seuls
les ordinateurs gérés pouvaient rejoindre le réseau, l’accès VPN était étroitement contrôlé et les appareils
personnels étaient fréquemment limités ou bloqués.
Le modèle Confiance Zéro renverse ce scénario. Au lieu de supposer qu’un appareil est sûr parce qu’il se
trouve dans le réseau de l’entreprise, il exige que chacun s’authentifie. Il accorde ensuite l’accès en
fonction de l’authentification plutôt que de l’emplacement.
95
Décrire la défense en profondeur

L’objectif de la défense en profondeur est de protéger les informations et d’empêcher qu’elles soient
volées par des personnes non autorisées à y accéder.
Une stratégie de défense en profondeur utilise une série de mécanismes pour ralentir la progression
d’une attaque visant à acquérir un accès non autorisé aux données.
Couches de la défense en profondeur

Vous pouvez visualiser la défense en profondeur comme un ensemble de couches, avec les données à
sécuriser au centre et toutes les autres couches fonctionnant pour protéger cette couche de données
centrale.
Chaque couche fournit une protection de sorte que, si une couche fait l’objet d’une violation, la couche
suivante est déjà en place pour éviter que l’exposition ne s’aggrave. Cette approche supprime toute
dépendance à une couche unique de protection. Elle ralentit une attaque et fournit des alertes, sur
lesquelles les équipes de sécurité peuvent agir, automatiquement ou manuellement.
96
Voici une brève présentation du rôle de chaque couche :

●● La couche « sécurité physique » constitue la première ligne de défense pour protéger le matériel
informatique dans le centre de données.
●● La couche « identité et accès » contrôle l’accès à l’infrastructure et au contrôle des modifications.
●● La couche « périmètre » utilise une protection contre le déni de service distribué (DDoS) pour filtrer
les attaques à grande échelle avant qu’elles provoquent un déni de service pour les utilisateurs.
●● La couche « réseau » limite les communications entre les ressources via la segmentation et les
contrôles d’accès.
●● La couche « calcul » sécurise l’accès aux machines virtuelles.
●● La couche « application » garantit que les applications sont sécurisées et exemptes de vulnérabilités
de sécurité.
●● La couche « données » contrôle l’accès aux données commerciales et client que vous devez protéger.
Ces couches fournissent une ligne directrice qui vous aidera à prendre des décisions en matière de
configuration de la sécurité dans toutes les couches de vos applications.
Azure fournit des outils et des fonctionnalités de sécurité à chaque niveau du concept de défense en
profondeur. Examinons de plus près chaque couche :
Sécurité physique
La sécurisation physique de l’accès aux bâtiments et le contrôle de l’accès au matériel informatique dans
le centre de données constituent la première ligne de défense.
La sécurité physique apporte une protection physique contre l’accès aux ressources. Elle garantit que les
autres couches ne puissent pas être contournées et que la perte ou le vol sont gérés correctement.
Microsoft utilise divers mécanismes de sécurité physiques dans ses centres de données cloud.
Identité et accès
La couche « identité et accès » a pour but de garantir que les identités soient sécurisées, que l’accès
accordé corresponde au strict nécessaire et que les modifications et les événements de connexion soient
consignés.
Dans cette couche, il est important de faire ce qui suit :
●● Contrôler l’accès à l’infrastructure et les modifications
●● Utiliser l’authentification unique (SSO) et l’authentification multifacteur
●● Auditer les événements et les modifications
Périmètre
La couche de périmètre réseau vise à protéger les ressources des organisations contre les attaques sur le
réseau. Pour que votre réseau reste sécurisé, vous devez identifier ces attaques, réduire leur impact à
néant et créer des alertes quand elles se produisent.
●● Utiliser une protection DDoS pour filtrer les attaques à grande échelle avant qu’elles n’affectent la
disponibilité d’un système pour les utilisateurs finaux
97
●● Utiliser des pare-feu de périmètre pour identifier les attaques malveillantes contre votre réseau et
vous en alerter
Réseau
Au niveau de cette couche, le but principal est de limiter la connectivité réseau de toutes vos ressources
pour autoriser uniquement ce qui est nécessaire. En limitant cette communication, vous réduisez le risque
qu’une attaque se propage à d’autres systèmes de votre réseau.
●● Limiter la communication entre ressources
●● Refuser par défaut
●● Limiter l’accès Internet entrant et limiter l’accès sortant en fonction des besoins
●● Implémenter une connectivité sécurisée dans les réseaux locaux
Calcul
Les logiciels malveillants, les systèmes non corrigés et les systèmes mal sécurisés exposent votre environ-
nement aux attaques. Cette couche a pour fonction principale de sécuriser vos ressources de calcul et de
vous permettre de mettre en place les contrôles appropriés pour limiter au maximum les problèmes de
sécurité.
●● Sécuriser l’accès aux machines virtuelles
●● Implémenter une protection de point de terminaison sur les appareils et faire en sorte que les sys-
tèmes soient constamment corrigés et actualisés
Application
L’intégration de la sécurité dans le cycle de vie du développement d’application permet de réduire le
nombre de vulnérabilités introduites dans le code. Chaque équipe de développement doit s’assurer que
ses applications sont sécurisées par défaut.
●● Garantir que les applications sont sécurisées et sans vulnérabilités
●● Stocker les secrets des applications sensibles sur un support de stockage sécurisé
●● Intégrer la sécurité dans la conception tout au long du développement de l’application
Données
Il incombe aux personnes qui stockent les données et en contrôlent l’accès de vérifier qu’elles sont bien
sécurisées. Des réglementations dictent souvent la mise en place de contrôles et de processus pour
garantir la confidentialité, l’intégrité et la disponibilité des données.
Dans presque tous les cas, les attaquants sont intéressés par les données :
●● Stockées dans une base de données
●● Stockées sur disque dans des machines virtuelles
●● Stockées dans des applications SaaS (Software as a Service), telles qu’Office 365
98
●● Gérées via le stockage cloud
Décrire Microsoft Defender pour le cloud

Defender pour le cloud est un outil de surveillance de la posture de sécurité cloud et de protection contre
les menaces. Il surveille vos environnements cloud, sur site, hybrides et multiclouds pour fournir des
conseils et des notifications visant à renforcer votre posture de sécurité.
Defender pour le cloud fournit les outils nécessaires pour renforcer vos ressources, assurer le suivi de
votre posture de sécurité, vous protéger contre les cyberattaques et rationaliser la gestion de la sécurité.
Le déploiement de Defender pour le cloud est facile, il est déjà nativement intégré à Azure.
Il offre une protection partout où vous êtes déployé.

Defender pour le cloud étant un service natif d’Azure, de nombreux services Azure sont surveillés et
protégés sans nécessiter de déploiement. Néanmoins, si vous disposez également d’un centre de don-
nées local ou si vous opérez également dans un autre environnement cloud, la surveillance des services
Azure peut ne pas vous donner une image complète de votre situation en matière de sécurité.
Si nécessaire, Defender pour le cloud peut déployer automatiquement un agent Log Analytics pour
recueillir des données liées à la sécurité. Pour les machines Azure, le déploiement est géré directement.
Pour les environnements hybrides et multicloud, les plans Microsoft Defender sont étendus aux machines
non-Azure avec l’aide d’Azure Arc. Les fonctionnalités de gestion de la posture de sécurité du cloud
(CSPM) sont étendues aux machines multicloud sans qu’aucun agent ne soit nécessaire.
Protections natives d’Azure

Defender pour le cloud vous aide à détecter les menaces grâce à :
●● Services PaaS Azure : détectent les menaces ciblant les services Azure, notamment Azure App Service,
Azure SQL, Azure Storage Account et d’autres services de données. Vous pouvez également effectuer
une détection des anomalies sur vos journaux d’activité Azure à l’aide de l’intégration native avec
Microsoft Defender for Cloud Apps (anciennement connu sous le nom de Microsoft Cloud App
Security).
●● Services de données Azure : Defender pour le cloud comprend des fonctionnalités qui vous aident à
classer automatiquement vos données dans Azure SQL Vous pouvez également obtenir des évalua-
tions pour les vulnérabilités potentielles sur les services Stockage et Azure SQL, ainsi que des recom-
mandations pour les atténuer.
●● Réseaux : Defender pour le cloud vous aide à limiter l’exposition aux attaques par force brute. En
réduisant l’accès aux ports de la machine virtuelle, à l’aide de l’accès à la machine virtuelle juste-à-
temps, vous pouvez renforcer votre réseau en empêchant les accès inutiles. Vous pouvez définir des
stratégies d’accès sécurisées sur les ports sélectionnés, juste pour les utilisateurs autorisés, les adress-
es IP ou les plages d’adresses IP sources autorisées et pour une durée limitée.
Défendre vos ressources hybrides

En plus de protéger votre environnement Azure, vous pouvez ajouter des fonctionnalités de Defender
pour le cloud à votre environnement de cloud hybride pour protéger vos serveurs non-Azure. Pour vous
concentrer sur ce qui compte le plus, vous pouvez personnaliser le renseignement sur les menaces et
hiérarchiser les alertes en fonction de votre environnement spécifique.
99
Pour étendre la protection aux machines locales, déployez Azure Arc et activez les fonctions de sécurité
améliorées de Defender pour le cloud.
Défendre les ressources fonctionnant sur d’autres clouds

Defender pour le cloud peut également protéger les ressources dans d’autres clouds (tels que AWS et
GCP).
Par exemple, si vous avez connecté un compte Amazon Web Services (AWS) à un abonnement Azure,
vous pouvez activer l’une de ces protections :
●● Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources AWS. Ce plan sans
agent évalue vos ressources AWS selon les recommandations de sécurité spécifiques à AWS et inclut
les résultats dans le niveau de sécurité. Les ressources seront également évaluées en fonction de leur
conformité aux normes intégrées spécifiques à AWS (AWS CIS, AWS PCI DSS et AWS Foundational
Security Best Practices). La page d’inventaire des ressources de Defender pour le cloud est une
fonctionnalité multicloud qui vous aide à gérer vos ressources AWS aux côtés de vos ressources Azure.
●● Microsoft Defender pour Kubernetes étend sa détection des menaces liées aux conteneurs et ses
défenses avancées à vos clusters Linux Amazon EKS.
●● Microsoft Defender pour serveurs ajoute la détection des menaces et des défenses avancées pour vos
EC2 Windows et Linux.
Évaluer, sécuriser et défendre

Defender pour le cloud répond à trois besoins essentiels en matière de gestion de la sécurité de vos
ressources et des charges de travail dans le cloud et locales :
●● Évaluer en permanence - Connaître son niveau de sécurité Identifier et rectifier les vulnérabilités
●● Sécuriser : renforcer les ressources et les services avec Azure Security Benchmark.
●● Défendre : détecter et résoudre les menaces visant les ressources, les charges de travail et les services
Évaluer en permanence
Defender pour le cloud vous aide à évaluer continuellement votre environnement. Defender pour le cloud
comprend des solutions d’évaluation des vulnérabilités pour vos machines virtuelles, vos registres de
conteneurs et vos serveurs SQL.
Microsoft Defender pour serveurs comprend une intégration automatique et native avec Microsoft
Defender pour point de terminaison. Lorsque cette intégration est activée, vous avez accès aux résultats
de la gestion des menaces et des vulnérabilités de Microsoft.
100
Grâce à ces outils d’évaluation, vous disposerez d’analyses régulières et détaillées des vulnérabilités qui
couvriront vos ordinateurs, vos données et votre infrastructure. Vous pouvez examiner les résultats de ces
analyses et y répondre à partir de Defender pour le cloud.
Sécuriser
Des méthodes d’authentification au contrôle d’accès en passant par le concept de Confiance Zéro, la
sécurité dans le cloud est une base essentielle qui doit être bien faite. Pour être en sécurité dans le cloud,
vous devez vous assurer que vos charges de travail sont sécurisées. Pour sécuriser vos charges de travail,
vous devez mettre en place des politiques de sécurité adaptées à votre environnement et à votre situa-
tion. Étant donné que toutes les stratégies de Defender pour le cloud reposent sur des contrôles Azure
Policy, vous obtenez l’éventail complet et la flexibilité totale offerts par une solution de stratégie de
niveau international. Dans Defender pour le cloud, vous pouvez définir vos stratégies de façon à ce
qu’elles s’exécutent sur des groupes d’administration, dans l’ensemble des abonnements et même pour
un locataire.
L’un des avantages du passage au cloud est la possibilité d’évoluer et de s’adapter à vos besoins, en
ajoutant de nouveaux services et ressources si nécessaire. Defender pour le cloud surveille en perma-
nence les nouvelles ressources qui sont déployées sur vos charges de travail. Defender pour le cloud
évalue si les nouvelles ressources sont configurées conformément aux meilleures pratiques de sécurité. Si
ce n’est pas le cas, elles sont marquées et vous obtenez une liste classée par ordre de priorité de recom-
mandations sur ce que vous devez corriger pour pouvoir protéger vos machines. Les recommandations
vous aident à réduire la surface d’attaque de chacune de vos ressources.
La liste de recommandations est activée et prise en charge par Azure Security Benchmark. Le Benchmark
de sécurité Azure est l’ensemble des directives propres à Azure et créées par Microsoft contenant les
meilleures pratiques de sécurité et de conformité basées sur les infrastructures de conformité courantes.
De cette façon, Defender pour le cloud vous permet non seulement de définir des stratégies de sécurité,
mais aussi d’appliquer des normes de configuration sécurisées sur vos ressources.
Pour vous aider à comprendre l’importance de chaque recommandation pour votre posture de sécurité
globale, Defender pour le cloud regroupe les recommandations en matière de contrôles de sécurité et
ajoute une valeur de niveau de sécurité à chaque contrôle. Le degré de sécurité vous donne un indicateur
rapide de la santé de votre posture de sécurité, tandis que les contrôles vous donnent une liste de points
à prendre en compte pour améliorer votre niveau de sécurité et votre posture de sécurité globale.
101
Défendre
Les deux premiers domaines étaient axés sur l’évaluation, la surveillance et la maintenance de votre
environnement. Defender pour le cloud vous aide également à défendre votre environnement en fournis-
sant des alertes de sécurité et des fonctions avancées de protection contre les menaces.
Alertes de sécurité
Defender pour le cloud génère une alerte dès qu’il détecte une menace dans l’un des domaines de votre
environnement. Alertes de sécurité :
●● Décrire les détails des ressources affectées
●● Recommander des étapes de correction
●● Proposer, dans certains cas, une option pour déclencher une application logique en réponse
Il est possible d’exporter les alertes, qu’elles soient générées ou reçues par Defender pour le cloud par un
produit de sécurité intégrée. La protection contre les menaces Defender pour le cloud inclut l’analyse de
la chaîne de frappe de fusion, qui corrèle automatiquement les alertes dans votre environnement en
fonction de l’analyse de la chaîne cybercriminelle, pour vous aider à mieux comprendre l’intégralité de
l’histoire d’une campagne d’attaque, là où elle a commencé et le type d’impact sur vos ressources.
Détection avancée des menaces

Defender pour le cloud offre des fonctions avancées de protection contre les menaces pour un grand
nombre de vos ressources déployées, notamment les machines virtuelles, les bases de données SQL, les
conteneurs, les applications Web et votre réseau. Parmi les protections figurent la sécurisation des ports
de gestion des machines virtuelles avec un accès juste-à-temps et des contrôles d’application adaptatifs
permettant de créer des listes d’autorisation concernant les applications qui doivent ou non s’exécuter
sur vos machines.
102

Multiple choice
Quel outil Azure Active Directory peut faire varier les informations d’identification nécessaires pour se
connecter en fonction de signaux, tels que l’emplacement de l’utilisateur ?
Accès conditionnel
Accès invité
Sans mot de passe
Multiple choice
Quel modèle de sécurité suppose le pire scénario de sécurité et protège les ressources en conséquence ?
Confiance Zéro
Défense en profondeur
Contrôle d’accès en fonction du rôle
Multiple choice
Un utilisateur se voit attribuer simultanément plusieurs rôles qui utilisent le contrôle d’accès en fonction du
rôle. Quelles sont ses autorisations réelles ? Les autorisations en fonction du rôle sont : Rôle 1 – lire || Rôle 2
– écrire || Rôle 3 – lire et écrire
Lecture seule
Écriture seule
Lecture et écriture
Résumé
Dans ce module, vous avez découvert les services et outils d’identité, d’accès et de sécurité Azure. Vous
avez abordé les méthodes d’authentification, notamment celles qui sont les plus sécurisées. Vous avez
appris à restreindre l’accès en fonction d’un rôle afin de créer un environnement plus sécurisé. Enfin, vous
avez découvert les modèles Défense en profondeur et Confiance Zéro.
●● Décrire les services d’annuaire dans Azure, notamment Azure Active Directory (AD) et Azure AD DS
●● Décrire les méthodes d’authentification dans Azure, notamment l’authentification unique, l’authentifi-
cation multifacteur et l’authentification sans mot de passe
●● Décrire les identités externes et l’accès invité dans Azure
●● Décrire l’accès conditionnel Azure AD
●● Décrire le contrôle d’accès en fonction du rôle (RBAC, Role Based Access Control)
103
●● Décrire le concept de Confiance Zéro

●● Décrire l’objectif du modèle de défense en profondeur
●● Décrire l’objectif de Microsoft Defender pour le cloud
●● Microsoft Certified : Security, Compliance, and Identity Fundamentals9 est une certification
complète, avec une formation associée, destinée à vous aider à mieux comprendre et à gérer la
sécurité, la conformité et l’identité.
9 https://docs.microsoft.com/learn/certifications/security-compliance-and-identity-fundamentals/
104
Answers
Multiple choice
Dans combien de groupes de ressources une ressource peut-elle se trouver en même temps ?
■■ Un
Deux
Trois
Explanation
Une ressource ne peut être que dans un seul groupe à la fois.
Multiple choice
Qu’arrive-t-il aux ressources d’un groupe de ressources lorsqu’une action ou un paramètre au niveau du
groupe de ressources est appliqué ?
Les ressources actuelles héritent du paramètre, mais pas les ressources futures.
Les ressources futures héritent du paramètre, mais pas les ressources actuelles.
■■ Le paramètre est appliqué aux ressources actuelles et futures.
Explanation
Les ressources n’héritent pas des autorisations du groupe de ressources.
Multiple choice
Quelle fonctionnalité Azure permet de répliquer des ressources dans des régions distantes d’au moins
500 kilomètres les unes des autres ?
■■ Paires régionales
Explanation
La plupart des régions Azure sont associées à une autre région au sein de la même zone géographique (par
exemple, États-Unis, Europe ou Asie) à au moins 500 kilomètres de distance.
Multiple choice
Quelle fonctionnalité de machine virtuelle Azure échelonne les mises à jour sur les machines virtuelles en
fonction de leur domaine de mise à jour et de leur domaine d’erreur ?
■■ Groupe à haute disponibilité
Groupes identiques
Groupes de mise à jour
Explanation
Les groupes à haute disponibilité échelonnent les mises à jour des machines virtuelles en fonction de leurs
domaines de mise à jour et d’erreur.
105
Multiple choice
Quel service Azure permet aux utilisateurs d’utiliser une version cloud de Windows depuis n’importe quel
endroit et de se connecter à partir de la plupart des navigateurs modernes ?
■■ Azure Virtual Desktop
Machines virtuelles Azure
Explanation
Azure Virtual Desktop donne accès à une version cloud de Windows et fonctionne avec la plupart des
navigateurs modernes.
Multiple choice
Quel outil maintient automatiquement à jour les fichiers entre un serveur Windows local et un environne-
ment cloud Azure ?
■■ Azure File Sync
Explorateur de stockage Azure
AzCopy
Explanation
Azure File Sync assure une synchronisation bidirectionnelle des fichiers entre vos serveurs Windows locaux
et dans le cloud.
Multiple choice
Quelle option de redondance de stockage offre le plus haut degré de durabilité, avec 16 « neuf » de
durabilité ?
■■ Stockage géoredondant interzone
Explanation
Le stockage géoredondant (GRS) et le stockage géoredondant interzone (GZRS) offrent 16 « neuf » de
durabilité.
Multiple choice
Quel service de stockage Azure prend en charge l’analyse des Big Data, ainsi que la gestion des types de
données textuelles et binaires ?
■■ Objets blob Azure
Azure Files
Disques Azure
Explanation
Objets blob Azure est un magasin d’objets hautement évolutif pour les données textuelles ou binaires.
Objets blob Azure prend également en charge l’analyse des Big Data via Data Lake Storage Gen2.
106
Multiple choice
Quel outil Azure Active Directory peut faire varier les informations d’identification nécessaires pour se
connecter en fonction de signaux, tels que l’emplacement de l’utilisateur ?
■■ Accès conditionnel
Accès invité
Sans mot de passe
Explanation
L’accès conditionnel est un outil dont se sert Azure Active Directory pour autoriser (ou refuser) l’accès aux
ressources en fonction de signaux d’identité. Si vos signaux de connexion sont inhabituels ou que votre
localisation est inattendue, l’accès conditionnel peut vous demander un deuxième facteur d’authentification.
Multiple choice
Quel modèle de sécurité suppose le pire scénario de sécurité et protège les ressources en conséquence ?
■■ Confiance Zéro
Défense en profondeur
Contrôle d’accès en fonction du rôle
Explanation
La Confiance Zéro est un modèle de sécurité qui suppose le pire scénario possible et protège les ressources
en fonction de cette attente.
Multiple choice
Un utilisateur se voit attribuer simultanément plusieurs rôles qui utilisent le contrôle d’accès en fonction
du rôle. Quelles sont ses autorisations réelles ? Les autorisations en fonction du rôle sont : Rôle 1 – lire ||
Rôle 2 – écrire || Rôle 3 – lire et écrire
Lecture seule
Écriture seule
■■ Lecture et écriture
Explanation
Le contrôle d’accès en fonction du rôle, qui utilise un modèle d’autorisation, accorde toutes les autorisations
attribuées dans tous les rôles assignés.
Module 3 Décrire la gestion et la gouvernance
d’Azure
Décrire la gestion des coûts dans Azure

Introduction
Dans ce module, vous découvrirez les facteurs qui influent sur les coûts dans Azure et les outils qui vous
aideront à prévoir les coûts potentiels et à surveiller et contrôler les coûts.
●● Décrire les facteurs qui peuvent affecter les coûts dans Azure
●● Comparer la calculatrice de prix et la calculatrice de coût total de possession (TCO)
●● Décrire l’outil Azure Cost Management
●● Décrire l’objectif des balises
Décrire les facteurs qui peuvent affecter les

coûts dans Azure
La vidéo suivante présente une introduction des éléments qui peuvent influencer vos coûts dans Azure.
https://www.microsoft.com/videoplayer/embed/RWGNx4
108
Azure transforme les coûts de développement, qui ne sont plus des dépenses d’investissement (CapEx)
liées à la création et à l’entretien de l’infrastructure des installations, mais des dépenses d’exploitation
(OpEx) liées à la location de l’infrastructure en fonction des besoins, qu’il s’agisse de calcul, de stockage,
de mise en réseau, etc.
Les coûts d’exploitation peuvent être influencés par de nombreux facteurs. Voici quelques-uns de ces
facteurs :
●● Type de ressource
●● Consommation
●● Maintenance
●● Considérations géographiques
●● Type d’abonnement
●● Place de marché Azure
Type de ressource
Un certain nombre de facteurs influencent le coût des ressources Azure. Le type de ressource, les para-
mètres de la ressource et la région Azure auront tous un impact sur le coût d’une ressource. Lorsque vous
provisionnez une ressource Azure, Azure crée des instances limitées pour cette ressource. Les compteurs
suivent l’utilisation des ressources et génèrent un rapport d’utilisation qui sert de base au calcul de votre
facture.
Exemples
Avec un compte de stockage, vous indiquez un type tel qu’un blob, un niveau de performance, un niveau
d’accès, des paramètres de redondance et une région. La création du même compte de stockage dans
différentes régions peut entraîner des coûts différents et la modification de l’un des paramètres peut
également modifier le prix.
Dans le cas d’une machine virtuelle, vous devrez peut-être tenir compte des licences pour le système
d’exploitation ou d’autres logiciels, du processeur et du nombre de cœurs pour la machine virtuelle et de
l’interface réseau. Tout comme pour le stockage, le provisionnement de la même machine virtuelle dans
différentes régions peut se traduire par des coûts différents.
109
Consommation
Le paiement à l’utilisation a été un thème récurrent et il s’agit du modèle de paiement du cloud. Vous ne
payez que les ressources que vous utilisez au cours d’un cycle de facturation. Si vous utilisez plus de
calcul pendant le cycle, vous payez plus. Si vous en utilisez moins dans le cycle en cours, vous payez
moins. Ce mécanisme de tarification est simple et permet une grande flexibilité.
Cependant, Azure offre également la possibilité de s’engager à l’avance à utiliser une quantité déter-
minée de ressources cloud et ainsi de bénéficier de réductions sur ces ressources « réservées ». De
nombreux services, notamment les bases de données, le calcul et le stockage offrent la possibilité de
s’engager à utiliser un certain niveau de ressources et ainsi de bénéficier d’une réduction qui peut aller
dans certains cas jusqu’à 72 %.
Lorsque vous réservez de la capacité, vous vous engagez à utiliser et à payer une certaine quantité de
ressources Azure sur une période donnée (en général un ou trois ans). Grâce au paiement à l’utilisation, si
vous constatez une hausse soudaine de la demande qui dépasse ce que vous avez réservé, vous payez
simplement les ressources supplémentaires. Ce modèle vous permet de réaliser des économies impor-
tantes sur des charges de travail stables et régulières, tout en ayant la possibilité d’augmenter rapide-
ment votre empreinte cloud en fonction des besoins.
110
Maintenance
La souplesse du cloud permet d’ajuster rapidement les ressources en fonction de la demande. L’utilisa-
tion de groupes de ressources peut vous aider à organiser toutes vos ressources. Afin de contrôler les
coûts, il est important de gérer votre environnement cloud. Par exemple, chaque fois que vous provision-
nez une machine virtuelle, des ressources supplémentaires telles que le stockage et la mise en réseau
sont aussi provisionnées. Si vous retirez la machine virtuelle, ces ressources supplémentaires peuvent ne
pas être retirées en même temps, intentionnellement ou non. En gardant un œil sur vos ressources et en
vous assurant de ne pas conserver les ressources qui ne sont plus nécessaires, vous contrôlez ainsi les
coûts du cloud.
Considérations géographiques
Lorsque vous provisionnez la plupart des ressources dans Azure, vous devez définir la région où la
ressource est déployée. L’infrastructure Azure est distribuée dans le monde entier, ce qui vous permet de
déployer vos services de manière centralisée ou au plus près de vos clients ou bien encore une solution
entre les deux. Un déploiement mondial implique que les prix varient selon les régions géographiques. Le
coût de l’électricité, du personnel, des taxes et des frais varie en fonction de l’emplacement. En raison de
ces variations, les coûts de déploiement des ressources Azure peuvent varier selon la région.
Le trafic réseau est également affecté en fonction de la zone géographique. Par exemple, cela coûte
moins cher de déplacer des informations à l’intérieur de l’Europe plutôt que de déplacer des informations
de l’Europe vers l’Asie ou l’Amérique du Sud.
Trafic réseau
Les zones de facturation sont un facteur qui détermine le coût de certains services Azure.
La bande passante fait référence aux flux de données entrants et sortants des centres de données Azure.
Certains transferts de données entrants (données transmises à des centres de données Azure) sont
gratuits. Pour les transferts de données sortants (données quittant les centres de données Azure), le prix
est basé sur les zones.
Une zone est un regroupement géographique de régions Azure à des fins de facturation. Pour plus
d’informations sur la tarification de l’entrée, de la sortie et du transfert de données, consultez la page de
tarification de la bande passante1.
Type d’abonnement
Certains types d’abonnement Azure incluent également des quotas d’utilisation qui impactent les coûts.
Par exemple, un abonnement à la version d’évaluation gratuite d’Azure permet d’accéder à un certain
nombre de produits Azure gratuitement pendant 12 mois. Il comprend également un crédit à dépenser
au cours des 30 premiers jours suivants l’inscription. Vous avez accès à plus de 25 produits toujours
gratuits (en fonction de la disponibilité des ressources et des régions).
Place de marché Azure

La Place de marché Azure vous permet d’acheter des solutions et des services basés sur Azure auprès de
fournisseurs tiers. Il peut s’agir d’un serveur avec un logiciel préinstallé et configuré, de dispositifs de
pare-feu réseau gérés ou de connecteurs à des services de sauvegarde tiers. Lorsque vous achetez des
1 https://azure.microsoft.com/pricing/details/bandwidth/
111
produits sur la Place de marché Azure, vous pouvez être amené à payer non seulement pour les services
Azure que vous utilisez, mais aussi pour les services ou les compétences du fournisseur tiers. Les struc-
tures de facturation sont définies par le fournisseur.
Toutes les solutions disponibles sur la Place de marché Azure sont certifiées et conformes aux politiques
et aux normes d’Azure. Les politiques de certification peuvent varier selon le type de service ou de
solution et du service Azure concerné. La page Politiques de certification de la place de marché2
contient des informations supplémentaires sur les certifications de la Place de marché Azure.
Comparer la calculatrice de prix et la calculatrice

de coût total de possession (TCO)
La calculatrice de prix et la calculatrice de coût total de possession (TCO) sont deux calculatrices qui vous
aident à comprendre les dépenses potentielles d’Azure. Les deux calculatrices sont accessibles par
Internet et vous permettent de créer une configuration. Cependant, les deux calculatrices ont des objec-
tifs très différents.
Calculatrice de prix
La calculatrice de prix est conçue pour vous donner une estimation du coût de provisionnement des
ressources dans Azure. Vous pouvez obtenir une estimation pour des ressources individuelles, créer une
solution ou utiliser un scénario d’exemple pour obtenir une estimation des dépenses Azure. La calcula-
trice de prix se concentre sur le coût des ressources provisionnées dans Azure.
Remarque : La calculatrice de prix est fournie à titre indicatif uniquement. Les prix ne sont qu’une estima-
tion. Rien n’est provisionné lorsque vous ajoutez des ressources dans la calculatrice de prix. Vous ne serez
pas facturé pour les services que vous sélectionnez.
Avec la calculatrice de prix, vous pouvez estimer le coût de toutes les ressources provisionnées, y compris
les coûts de calcul, de stockage et de réseau associés. Vous pouvez même prendre en compte les dif-
férentes options de stockage, comme le type de stockage, le niveau d’accès et la redondance.
2 https://docs.microsoft.com/legal/marketplace/certification-policies
112
Calculatrice du coût TCO

La calculatrice du coût TCO est conçue pour vous aider à comparer les coûts d’exploitation d’une infra-
structure sur site à ceux d’une infrastructure du cloud Azure. Avec la calculatrice du coût TCO, vous
saisissez la configuration actuelle de votre infrastructure, y compris les serveurs, les bases de données, le
stockage et le trafic réseau sortant. Ensuite, la calculatrice du coût TCO compare les coûts prévus de votre
environnement actuel avec un environnement Azure qui prend en charge les mêmes conditions d’infra-
structure.
Avec la calculatrice du coût TCO, vous saisissez votre configuration, vous ajoutez des estimations telles
que les coûts en électricité et de personnel informatique, et vous obtenez une estimation de la différence
de coûts pour faire fonctionner le même environnement dans votre centre de données actuel ou dans
Azure.
Exercice — Estimer le coût d’une charge de tra-

vail à l’aide de la calculatrice de prix
Dans cet exercice, vous allez utiliser la calculatrice de prix pour estimer le coût d’exécution d’une applica-
tion web de base sur Azure.
Commencez par définir les services Azure dont vous avez besoin.
Remarque : La calculatrice de prix est fournie à titre indicatif uniquement. Les prix donnés sont des
estimations, et aucun service que vous sélectionnez ne vous sera facturé.
Définir vos exigences

Avant d’exécuter la calculatrice de prix, vous devez déterminer les services Azure dont vous avez besoin.
Pour une application web de base hébergée dans votre centre de données, vous pouvez exécuter une
configuration similaire à celle qui suit.
Une application web ASP.NET qui s’exécute sous Windows. L’application web fournit des informations sur
les stocks et les prix des produits. Deux machines virtuelles sont connectées au moyen d’un équilibreur
113
de charge central. L’application web se connecte à une base de données SQL Server qui contient des
informations sur les stocks et les prix.
Pour migrer vers Azure vous pouvez :
●● Utiliser des instances de machines virtuelles Azure, similaires aux machines virtuelles utilisées dans
votre centre de données
●● Utiliser Azure Application Gateway pour l’équilibrage de charge
●● Utiliser Azure SQL Database pour conserver les informations sur les stocks et les prix
Voici un diagramme qui illustre la configuration de base :
En pratique, vous devez définir vos exigences de manière plus détaillée. Mais voici quelques faits et
prérequis pour vous aider à démarrer :
●● L’application est utilisée en interne. Elle n’est pas accessible aux clients.
●● Cette application ne nécessite pas une très grande puissance de calcul.
●● Les machines virtuelles et la base de données fonctionnent en permanence (730 heures par mois).
●● Le réseau traite environ 1 To de données par mois.
●● La base de données n’a pas besoin d’être configurée pour des charges de travail hautes performances
et ne nécessite pas plus de 32 Go de stockage.
Explorer la calculatrice de prix

Commençons par une présentation rapide de la calculatrice de prix.
1. Accédez à la calculatrice de prix3.
2. Remarquez les tableaux suivants :
●● Produits C’est sous cet onglet que vous choisissez les services Azure à inclure dans votre estima-
tion. Vous passerez probablement la majeure partie de votre temps ici.
●● Exemples de scénarios Sous cet onglet figurent plusieurs architectures de référence ou solutions
cloud courantes que vous pouvez utiliser comme point de départ.
●● Estimations enregistrées Cet onglet comprend les estimations enregistrées précédemment.
3 https://azure.microsoft.com/pricing/calculator/?azure-portal=true
114
●● Forum aux questions Vous trouverez ici les réponses aux questions fréquemment posées sur la
calculatrice de prix.
Estimer votre solution

Vous ajoutez ici à la calculatrice chaque service Azure dont vous avez besoin. Ensuite, vous configurez
chaque service en fonction de vos besoins.
Conseil : Vérifiez que la calculatrice ne stocke plus aucun élément dans l’estimation. Pour réinitialiser
l’estimation, sélectionnez l’icône de la Corbeille à côté de chaque élément.
Ajouter des services à l’estimation

1. Sous l’onglet Produits, sélectionnez le service dans chacune de ces catégories :
Catégorie Service
Calcul Machines virtuelles
Bases de données Azure SQL Database
Mise en réseau Application Gateway
2. Faites défiler jusqu’au bas de la page. Chaque service est listé avec sa configuration par défaut.
Configurer les services en fonction de vos besoins

1. Sous Machines virtuelles, définissez les valeurs suivantes :
Paramètre Valeur
Région USA Ouest
Système d’exploitation Windows
Type (SE uniquement)
Niveau Standard
Instance D2 v3
Machines virtuelles 2 x 730 heures
Conservez les valeurs actuelles pour les paramètres restants.
2. Sous Azure SQL Database, définissez les valeurs suivantes :
Paramètre Valeur
Région USA Ouest
Type Base de données unique
Niveau de stockage de sauvegarde RA-GRS
Modèle d’achat vCore
Niveau de service Usage général
Niveau de calcul Provisionné
Génération Gen 5
Instance 8 vCore
3. Sous Application Gateway, définissez les valeurs suivantes :
115
Paramètre Valeur
Région USA Ouest
Niveau Pare-feu d’application web
Taille Moyen
Heures de passerelle 2 x 730 heures
Données traitées 1 To
Transfert de données sortant 5 Go
Passer en revue, partager et enregistrer votre estimation

Au bas de la page, vous pouvez voir le coût total estimé de l’exécution de la solution. Vous pouvez
modifier le type de devise si vous le souhaitez.
À ce stade, plusieurs options s’offrent à vous :
●● Sélectionnez Exporter pour enregistrer votre estimation dans un document Excel.
●● Sélectionnez Enregistrer ou Enregistrer sous pour enregistrer votre estimation sous l’onglet Estima-
tions enregistrées en vue d’une utilisation ultérieure.
●● Sélectionnez Partager pour générer une URL et partager l’estimation avec votre équipe.
Vous disposez à présent d’une estimation de coût que vous pouvez partager avec votre équipe. Vous
pouvez effectuer des ajustements au fur et à mesure que vos exigences changent.
Essayez quelques-unes des options que vous avez utilisées ici ou créez un plan d’achat pour une charge
de travail que vous souhaitez exécuter sur Azure.
Exercice — Utiliser la calculatrice du coût TCO

pour comparer les coûts de charge de travail
Dans cet exercice, vous allez utiliser la calculatrice du coût total de possession (TCO) pour comparer le
coût d’exécution d’un exemple de charge de travail dans votre centre de données et sur Azure.
Supposons que vous envisagiez de transférer une partie de vos charges de travail sur site vers le cloud.
Mais vous devez en savoir plus sur le passage d’une structure de coût relativement fixe à une structure de
coût mensuel continu.
Vous devrez déterminer si le déplacement de votre centre de données dans le cloud permettra de réaliser
des économies au cours des trois prochaines années. Vous devrez prendre en compte tous les coûts
potentiellement cachés qui découlent de l’exécution de charges de travail au niveau local et dans le
cloud.
Au lieu de collecter manuellement tous les éléments susceptibles d’être inclus, vous décidez d’utiliser la
calculatrice du coût TCO comme point de départ. Vous ajustez les hypothèses de coût fournies pour
qu’elles reflètent votre environnement sur site.
Remarque : Rappelez-vous que vous n’avez pas besoin d’un abonnement Azure pour utiliser la calcula-
trice du coût TCO.
Partons des hypothèses suivantes :
●● Vous exécutez deux ensembles, ou groupes, de 50 machines virtuelles chacun.
●● Le premier groupe de machines virtuelles exécute Windows Server avec une virtualisation Hyper-V.
116
●● Le deuxième groupe de machines virtuelles exécute Linux avec une virtualisation VMware.
●● Un réseau de zone de stockage (SAN) est également disponible, d’une capacité de stockage sur
disque de 60 To.
●● Vous consommez environ 15 To de bande passante réseau sortante chaque mois.
●● Plusieurs bases de données sont également impliquées, mais vous omettez ces détails pour l’instant.
Rappelez-vous que la calculatrice du coût TCO implique trois étapes :
Définir vos charges de travail

Entrez les spécifications de votre infrastructure locale dans la calculatrice du coût TCO.
1. Accédez à la calculatrice du coût TCO4.
2. Sous Définir vos charges de travail, sélectionnez Ajouter une charge de travail de serveur afin de
créer une ligne pour votre groupe de machines virtuelles Windows Server.
3. Sous Serveurs, définissez la valeur de chacun de ces paramètres :
Paramètre Valeur
Nom Serveurs : Machines virtuelles Windows
Charge de travail Windows/Linux Server
Environnement Machines virtuelles
Système d’exploitation Windows
Licence du système d’exploitation Centre de données
Machines virtuelles 50
Virtualisation Hyper-V
Cœur(s) 8
RAM (Go) 16
Optimiser par Processeur
Windows Server 2008/2008 R2 Désactivé
4. Sélectionnez Ajouter une charge de travail de serveur afin de créer une deuxième ligne pour votre
groupe de machines virtuelles Linux. Spécifiez ensuite ces paramètres :
Paramètre Valeur
Nom Serveurs : Machines virtuelles Linux
Charge de travail Windows/Linux Server
Environnement Machines virtuelles
Système d’exploitation Linux
Machines virtuelles 50
4 https://azure.microsoft.com/pricing/tco/calculator?azure-portal=true
117
Virtualisation VMware
Cœur(s) 8
RAM (Go) 16
Optimiser par Processeur
5. Sous Stockage, sélectionnez Ajouter du stockage. Spécifiez ensuite ces paramètres :
Paramètre Valeur
Nom Stockage serveur
Type de stockage Disque local/SAN
Type de disque HDD
Capacité 60 To
Sauvegarde 120 To
Archive 0 To
6. Sous Mise en réseau, affectez à Bande passante sortante la valeur 15 To.
7. Sélectionnez Suivant.
Ajuster les hypothèses

Ici, vous spécifiez votre devise. Pour aller plus vite, conservez les valeurs par défaut des champs restants.
En pratique, ajustez les hypothèses et effectuez les modifications nécessaires pour que les coûts reflètent
ceux de votre environnement local actuel.
1. En haut de la page, sélectionnez votre devise. Cet exemple utilise Dollar américain ($).
2. Sélectionnez Suivant.
Afficher le rapport
Prenez un moment pour examiner le rapport généré.
N’oubliez pas que votre tâche est d’étudier les économies de coûts pour votre centre de données
européen au cours des trois prochaines années.
Pour effectuer ces ajustements :
1. Sous Plage de temps, choisissez 3 ans.
2. Sous Région, choisissez Europe du Nord.
Faites défiler la page vers le bas jusqu’au résumé. Ici, vous pouvez comparer le coût d’exécution de vos
charges de travail dans le centre de données et sur Azure.
Sélectionnez Télécharger pour télécharger ou imprimer une copie du rapport au format PDF.
Beau travail. Vous disposez maintenant d’informations que vous pouvez partager avec votre directeur
financier. Si vous avez besoin d’effectuer des ajustements, vous pouvez relancer la calculatrice du coût
TCO et générer un nouveau rapport.
Décrire l’outil Azure Cost Management

Microsoft Azure est un fournisseur de services cloud mondial, ce qui signifie que vous pouvez provision-
ner des ressources partout dans le monde. Vous pouvez provisionner des ressources rapidement pour
répondre à une demande soudaine, pour tester une nouvelle fonctionnalité ou par accident. Si vous
118
provisionnez de nouvelles ressources par accident, vous risquez de ne vous en rendre compte qu’au
moment de la facturation. La gestion des coûts est un service Azure qui permet d’éviter ces situations.
Qu’est-ce que la gestion des coûts ?

La gestion des coûts permet de vérifier rapidement les coûts des ressources Azure, de créer des alertes
en fonction des dépenses en ressources et de créer des budgets qui peuvent être utilisés pour automatis-
er la gestion des ressources.
L’analyse des coûts est un sous-ensemble de la gestion des coûts qui vous permet de visualiser rapide-
ment vos coûts Azure. Grâce à l’analyse des coûts, vous pouvez rapidement visualiser le coût total de
différentes manières, notamment par cycle de facturation, région, ressource, etc.
Utilisez l’analyse du coût pour explorer et analyser les coûts de votre organisation. Vous pouvez voir les
coûts agrégés par l’organisation afin de comprendre où les coûts ont augmenté et d’identifier les
tendances de dépenses. Vous pouvez aussi voir les coûts cumulés au fil du temps pour évaluer des
tendances mensuelles, trimestrielles ou même annuelles par rapport à un budget.
Alertes de coût
Les alertes de coûts permettent de vérifier rapidement et en un endroit tous les différents types d’alertes
qui peuvent apparaître dans le service de gestion des coûts. Voici les trois types d’alertes qui peuvent
apparaître :
●● Les alertes budgétaires
●● Les alertes de crédit
119
●● Les alertes de quota de dépenses du service
Alertes budgétaires
Les alertes budgétaires vous avertissent quand les dépenses, selon l’utilisation ou le coût, atteignent ou
dépassent la quantité définie dans la condition d’alerte du budget. Les budgets Cost Management sont
créés en utilisant le portail Azure ou de l’API Azure Consumption.
Dans le portail Azure, les budgets sont définis par coût. Les budgets sont définis par coût ou par consom-
mation lors de l’utilisation de l’API Azure Consumption. Les alertes budgétaires s’appliquent aux budgets
basés sur le coût et aux budgets basés sur la consommation. Les alertes budgétaires sont générées
automatiquement dès que les conditions d’alerte budgétaire sont remplies. Vous pouvez voir toutes les
alertes de coût dans le portail Azure. Chaque alerte générée est affichée dans les alertes de coût. De plus,
un e-mail d’alerte est envoyé aux personnes figurant dans la liste des destinataires des alertes
budgétaires.
Alertes de crédit
Les alertes de crédit vous avertissent quand vos engagements financiers de crédit Azure sont consom-
més. Les engagements financiers concernent les organisations qui ont des contrats Entreprise (EA). Les
alertes de crédit sont générées automatiquement quand vous atteignez 90 % et 100 % de votre solde de
crédit Azure. Chaque alerte générée est affichée dans les alertes de coût et est notifiée par e-mail aux
propriétaires des comptes.
Alertes de quota de dépenses du service

Les alertes de quota de dépenses du service vous avertissent quand les dépenses du service atteignent le
seuil fixé pour le quota. Les quotas de dépenses sont configurés dans le portail EA. Quand un seuil est
atteint, un e-mail est envoyé aux propriétaires du service et l’alerte de quota apparaît dans les alertes de
coût. Par exemple, 50 pour cent ou 75 pour cent du quota.
Budgets
Un budget vous permet de fixer une limite de dépenses pour Azure. Vous pouvez définir des budgets
basés sur un abonnement, un groupe de ressources, un type de service ou d’autres critères. Lorsque vous
définissez un budget, vous définissez également une alerte budgétaire. Lorsque le budget atteint le
niveau de l’alerte budgétaire, cela déclenche une alerte budgétaire qui apparaît dans la zone des alertes
de coût. Si elles sont configurées, les alertes budgétaires envoient également une notification par e-mail
lorsqu’un seuil d’alerte a été déclenché.
Une utilisation plus avancée des budgets permet aux conditions budgétaires de déclencher une action
qui suspend ou modifie les ressources automatiquement une fois que la condition de déclenchement
s’est produite.
Décrire l’objectif des balises

À mesure que votre utilisation du cloud augmente, il est de plus en plus important de rester organisé.
Une bonne stratégie d’organisation vous aide à comprendre votre utilisation du cloud et peut vous aider
à gérer les coûts.
Une façon d’organiser des ressources associées consiste à les placer dans leurs propres abonnements.
Vous pouvez également utiliser des groupes de ressources pour gérer des ressources associées. Les
120
balises de ressource constituent une autre façon d’organiser les ressources. Les balises fournissent des
informations supplémentaires, ou métadonnées, sur vos ressources. Ces métadonnées s’avèrent utiles
dans les domaines suivants :
●● Gestion des ressources Les balises vous permettent de localiser des ressources associées à des
charges de travail, des environnements, des unités commerciales et des propriétaires spécifiques en
vue d’agir dessus.
●● Gestion et optimisation des coûts Les balises vous permettent de regrouper des ressources afin
d’établir des rapports sur les coûts, d’allouer des centres de coûts internes, de suivre des budgets et
de prévoir le coût estimé.
●● Gestion des opérations Les balises vous permettent de regrouper les ressources en fonction de
l’importance de leur disponibilité pour votre entreprise. Ce regroupement vous aide à formuler des
contrats de niveau de service (SLA). Un contrat SLA est une garantie de durée de bon fonctionnement
ou de performances entre vos utilisateurs et vous.
●● Sécurité Les balises vous permettent de classer les données en fonction de leur niveau de sécurité,
par exemple public ou confidentiel.
●● Gouvernance et conformité réglementaire Les balises vous permettent d’identifier les ressources
conformes aux exigences de gouvernance ou de conformité réglementaire, comme la norme ISO
27001. Elles peuvent également s’intégrer dans vos efforts en matière d’application de normes. Par
exemple, vous pouvez exiger que toutes les ressources soient balisées avec un nom de propriétaire ou
de service.
●● Optimisation et automatisation des charges de travail Les balises peuvent vous aider à visualiser
toutes les ressources qui participent à des déploiements complexes. Par exemple, vous pouvez baliser
une ressource avec le nom associé de sa charge de travail ou de son application, puis utiliser un
logiciel comme Azure DevOps pour effectuer des tâches automatisées sur ces ressources.
Comment faire pour gérer des balises de ressource ?

Vous pouvez ajouter, modifier ou supprimer des balises de ressource à l’aide de Windows PowerShell,
d’Azure CLI, de modèles Azure Resource Manager, de l’API REST ou du portail Azure.
Vous pouvez utiliser Azure Policy pour appliquer des règles et des conventions d’étiquetage. Par exemple,
vous pouvez exiger que certaines balises soient ajoutées aux nouvelles ressources au fur et à mesure de
leur provisionnement. Vous pouvez également définir des règles qui réappliquent les balises qui ont été
supprimées. Les balises ne sont pas héritées, ce qui signifie que vous pouvez appliquer des balises à un
niveau sans que celles-ci apparaissent automatiquement dans un autre niveau. Cela vous permet de créer
des schémas de balisage personnalisés qui changent en fonction du niveau (ressource, groupe de
ressources, abonnement, etc.).
Exemple de structure de balisage

Une balise de ressource comprend un nom et une valeur. Vous pouvez attribuer une ou plusieurs balises
à chaque ressource Azure.
Nom Valeur
AppName Nom de l’application dont la ressource fait partie.
CostCenter Code du centre de coûts interne.
Propriétaire Nom du propriétaire responsable de la ressource.
121
Environnement Nom de l’environnement, comme « Prod », « Dev

» ou « Test ».
Impact Importance de la ressource pour les opérations
métier, par exemple « Stratégique », « Fort impact
» ou « Faible impact ».
N’oubliez pas que vous n’avez pas besoin de décréter qu’une balise spécifique doit être présente sur
toutes vos ressources. Par exemple, vous pouvez décider que seules les ressources stratégiques ont la
balise Impact. Toutes les ressources non balisées ne sont alors pas considérées comme stratégiques.

Multiple choice
Quelle fonctionnalité d’Azure peut vous aider à vous organiser et à suivre l’utilisation basée sur les méta-
données associées aux ressources ?
Balises
Traceur
Valeurs
Multiple choice
Quelle est la meilleure méthode pour estimer le coût de la migration vers le cloud tout en supportant des
coûts minimes ?
Migrer un petit échantillon vers le cloud et suivre les coûts sur la durée.
Utiliser la calculatrice de coût total de possession pour estimer les coûts attendus.
Migrer vers le cloud, mais suivre de près l’utilisation à l’aide de balises pour comprendre rapidement
les coûts.
Résumé
Dans ce module, vous avez appris à connaître les facteurs qui influent sur les coûts dans Azure et les
outils qui vous aideront à prévoir les coûts potentiels et à surveiller et contrôler les coûts.
●● Décrire les facteurs qui peuvent affecter les coûts dans Azure
●● Comparer la calculatrice de prix et la calculatrice de coût total de possession (TCO)
●● Décrire l’outil Azure Cost Management
●● Décrire l’objectif des balises
122
●● Contrôler les dépenses d’Azure et gérer les factures avec Microsoft Cost Management + Factur-
ation5 est un parcours d’apprentissage conçu pour vous donner une connaissance approfondie des
outils et des stratégies de gestion des coûts dans Azure.
5 https://docs.microsoft.com/learn/paths/control-spending-manage-bills/
123
Décrire les fonctionnalités et les outils d’Azure

pour la gouvernance et la conformité
Introduction
Dans ce module, vous découvrirez des fonctionnalités et des outils que vous pouvez utiliser pour faciliter
la gouvernance dans votre environnement Azure. Vous découvrirez également des outils qui vous
permettront de maintenir les ressources en conformité avec les prérequis de l’entreprise ou les exigences
réglementaires.
●● Décrire le rôle d’Azure Blueprints
●● Décrire le rôle d’Azure Policy
●● Décrire le rôle du verrouillage des ressources
●● Décrire le rôle du Portail d’approbation de services
Décrire le rôle d’Azure Blueprints

Que se passe-t-il quand votre cloud passe à plusieurs abonnements ou environnements ? Comment
pouvez-vous faire évoluer la configuration des fonctionnalités ? Comment pouvez-vous appliquer les par-
amètres et les stratégies dans les nouveaux abonnements ?
Azure Blueprints vous permet de normaliser les déploiements d’abonnements ou d’environnements
cloud. Au lieu de configurer des fonctionnalités comme Azure Policy pour chaque nouvel abonnement,
Azure Blueprints vous permet de définir des paramètres et des stratégies reproductibles qui sont ap-
pliquées lors de la création de nouveaux abonnements. Vous avez besoin d’un nouvel environnement de
test ou de développement ? Azure Blueprints vous permet de déployer un nouvel environnement de test
ou de développement avec des paramètres de sécurité et de conformité déjà configurés. De cette
manière, les équipes de développement peuvent rapidement créer et déployer de nouveaux environne-
ments en sachant qu’ils respectent les prérequis de l’organisation
Que sont les artefacts ?

Chaque composant de la définition du blueprint est appelé artefact.
Il est possible que les artefacts n’aient pas de paramètres supplémentaires (configurations). C’est le cas,
par exemple, de la stratégie Déployer la détection des menaces sur les serveurs SQL qui ne nécessite
aucune configuration supplémentaire.
Les artefacts peuvent également contenir un ou plusieurs paramètres que vous pouvez configurer. La
capture d’écran suivante montre la stratégie Emplacements autorisés. Cette stratégie inclut un paramètre
qui spécifie les emplacements autorisés.
124
Vous pouvez spécifier la valeur d’un paramètre lorsque vous créez la définition du blueprint ou quand
vous attribuez cette dernière à une étendue. Ainsi, vous pouvez gérer un seul blueprint standard, tout en
ayant la flexibilité de spécifier les paramètres de configuration appropriés au niveau de chaque étendue
où la définition est attribuée.
Azure Blueprints déploie un nouvel environnement basé sur l’ensemble des prérequis, des paramètres et
des configurations des artefacts associés. Les artefacts peuvent inclure des éléments tels que des :
●● Affectations de rôles
●● Affectations de stratégies
●● Modèles Azure Resource Manager
●● Groupes de ressources
Comment Azure Blueprints aide-t-il à surveiller les

déploiements ?
Azure Blueprints est modulable, ce qui vous permet de créer une configuration initiale, puis d’effectuer
des mises à jour ultérieures et d’attribuer une nouvelle version à la mise à jour. Grâce au contrôle de
version, vous pouvez effectuer de petites mises à jour et savoir quels déploiements ont utilisé quel
ensemble de configuration.
Avec Azure Blueprints, la relation entre la définition du blueprint (ce qui doit être déployé) et l’attribution
du blueprint (ce qui a été déployé) est préservée. En d’autres termes, Azure crée un enregistrement qui
associe une ressource au blueprint qui la définit. Cette connexion vous permet de suivre et d’auditer vos
déploiements.
Décrire le rôle d’Azure Policy

Comment vous assurez-vous que vos ressources restent conformes ? Pouvez-vous être alerté si la
configuration d’une ressource a changé ?
125
Azure Policy est un service Azure qui vous permet de créer, d’attribuer et de gérer des stratégies qui
contrôlent ou auditent vos ressources. Ces stratégies appliquent des règles différentes sur vos configura-
tions de ressources afin que celles-ci restent conformes aux normes de l’entreprise.
Comment le service Azure Policy définit-il des stratégies ?

Azure Policy vous permet de définir à la fois des stratégies distinctes et des groupes de stratégies
associées, appelées initiatives. Azure Policy évalue vos ressources et met en évidence celles qui ne sont
pas conformes aux stratégies que vous avez créées. Azure Policy vous permet également d’empêcher la
création de ressources non conformes.
Les stratégies Azure peuvent être définies à chaque niveau, ce qui vous permet de définir des stratégies
sur une ressource spécifique, un groupe de ressources, un abonnement, etc. De plus, les stratégies Azure
sont héritées. Si vous définissez une stratégie à un niveau élevé, elle sera automatiquement appliquée à
tous les groupes qui relèvent du parent. Par exemple, si vous définissez une stratégie Azure sur un
groupe de ressources, toutes les ressources créées dans ce groupe recevront automatiquement la même
stratégie.
Azure Policy est fourni avec des définitions de stratégies et d’initiatives intégrées pour le stockage, la
mise en réseau, le calcul, le centre de sécurité et la surveillance. Par exemple, si vous avez défini une
stratégie qui n’autorise qu’une certaine taille à utiliser pour les machines virtuelles dans votre environne-
ment, cette stratégie est invoquée lorsque vous créez une nouvelle machine virtuelle et chaque fois que
vous redimensionnez des machines virtuelles existantes. Azure Policy évalue et surveille également toutes
les machines virtuelles actuelles de votre environnement, y compris celles qui ont été créées avant la
création de la stratégie.
Dans certains cas, Azure Policy permet de corriger automatiquement les ressources et configurations non
conformes pour garantir l’intégrité de l’état des ressources. Par exemple, si toutes les ressources d’un
certain groupe de ressources doivent être balisées avec la balise AppName et la valeur « SpecialOrders »,
Azure Policy appliquera automatiquement cette balise si elle est manquante. Cependant, vous conservez
le contrôle total de votre environnement. Si vous avez une ressource spécifique que vous ne souhaitez
pas qu’Azure Policy corrige automatiquement, vous pouvez marquer cette ressource en tant qu’excep-
tion. Ainsi, la stratégie ne corrigera pas automatiquement cette ressource.
Azure Policy s’intègre aussi à Azure DevOps en appliquant toutes les stratégies relatives aux pipelines
d’intégration et de livraison continues qui se rapportent aux phases de prédéploiement et de post-
déploiement de vos applications.
Que sont les initiatives Azure Policy ?

Une initiative Azure Policy est un moyen de regrouper des stratégies associées. La définition d’initiative
contient toutes les définitions de stratégie qui permettent de suivre l’état de conformité d’un objectif plus
large.
Par exemple, Azure Policy comprend une initiative nommée Activer la supervision dans Azure Security
Center. Son objectif est de superviser toutes les recommandations de sécurité disponibles pour tous les
types de ressources Azure dans Azure Security Center.
Dans cette initiative sont incluses les définitions de stratégie suivantes :
●● Surveillance de la base de données SQL non chiffrée dans Security Center Cette stratégie surveille
les bases de données et les serveurs SQL non chiffrés.
126
●● Surveillance des vulnérabilités du système d’exploitation dans Security Center Cette stratégie
surveille les serveurs qui ne satisfont pas la ligne de base configurée en matière de vulnérabilité du
système d’exploitation.
●● Surveillance de la protection des points de terminaison manquante dans Security Center Cette
stratégie surveille les serveurs sur lesquels aucun agent de protection des points de terminaison n’est
installé.
En fait, l’initiative Activer la supervision dans Azure Security Center contient plus de 100 définitions de
stratégie distinctes.
Décrire le rôle du verrouillage des ressources

Le verrouillage des ressources empêche la suppression ou la modification accidentelle des ressources.
Même avec des stratégies de contrôle d’accès en fonction du rôle Azure (Azure RBAC) en place, il existe
toujours un risque que les personnes dotées du niveau d’accès approprié puissent supprimer des res-
sources cloud critiques. Selon le type de verrou, le verrouillage des ressources empêche la suppression ou
la mise à jour des ressources. Le verrouillage des ressources peut être appliqué à des ressources individu-
elles, à des groupes de ressources ou même à tout un abonnement. Le verrouillage des ressources est
hérité, ce qui signifie que si vous placez un verrou sur un groupe de ressources, il sera actif sur tout le
groupe de ressources.
Type de verrouillage des ressources

Il existe deux types de verrouillage des ressources : l’un empêche les utilisateurs de supprimer une
ressource et l’autre empêche les utilisateurs de la modifier ou de la supprimer.
●● Supprimer signifie que les utilisateurs autorisés peuvent lire et modifier une ressource, mais pas la
supprimer.
●● En lecture seule signifie que les utilisateurs autorisés peuvent lire une ressource, mais pas la supprimer
ni la mettre à jour. Appliquer ce verrouillage revient à limiter à tous les utilisateurs autorisés les
autorisations accordées par le rôle Lecteur.
Comment faire pour gérer le verrouillage des ressources ?

Vous pouvez gérer le verrouillage des ressources à partir du portail Azure, de PowerShell, d’Azure CLI ou
d’un modèle Azure Resource Manager.
Pour voir, ajouter ou supprimer le verrouillage dans le portail Azure, accédez à la section Paramètres du
volet Paramètres de toute ressource dans le portail Azure.
127
Comment faire pour supprimer ou modifier une ressource

verrouillée ?
Bien que le verrouillage permette d’éviter des modifications accidentelles, vous pouvez quand même
apporter des modifications en suivant un processus en deux étapes.
Pour modifier une ressource verrouillée, vous devez d’abord retirer le verrouillage. Après avoir retiré le
verrouillage, vous pouvez appliquer toutes les actions que vous êtes autorisé à effectuer. Le verrouillage
des ressources s’applique indépendamment des autorisations RBAC définies. Même si vous êtes le
propriétaire de la ressource, vous devez retirer le verrouillage pour pouvoir effectuer l’activité bloquée.
Exercice : configurer un verrouillage des res-

sources
Dans cet exercice, vous allez créer une ressource et configurer un verrouillage des ressources. Les
comptes de stockage sont l’un des types de verrouillage des ressources le plus facile à mettre en place
pour voir rapidement l’effet. Vous utilisez donc un compte de stockage pour cet exercice.
Cet exercice est un exercice Travailler dans votre propre abonnement. Cela signifie que pour réaliser cet
exercice, vous devez disposer de votre propre abonnement Azure. Ne vous inquiétez pas, l’exercice peut
être réalisé gratuitement grâce aux 12 mois de services gratuits lors de la création d’un compte Azure.
Pour obtenir de l’aide sur la création d’un compte Azure, consultez le module d’apprentissage Créer un
compte Azure6.
Une fois que vous avez créé votre compte gratuit, suivez les étapes ci-dessous. Si vous n’avez pas de
compte Azure, vous pouvez consulter les étapes afin de voir le processus pour ajouter un verrouillage des
ressources simple sur une ressource.
6 https://docs.microsoft.com/learn/modules/create-an-azure-account/
128
Tâche 1 : Créer une ressource

Pour pouvoir appliquer un verrouillage des ressources, vous devez disposer d’une ressource créée dans
Azure. La première tâche consiste à créer une ressource que vous pourrez ensuite verrouiller dans les
tâches suivantes.
1. Connectez-vous au portail Azure depuis l’adresse https://portal.azure.com.
2. Sélectionnez Créer une ressource.
3. Sous Catégories, sélectionnez Stockage.
4. Sous Compte de stockage, sélectionnez Créer.
5. Dans l’onglet Général du panneau Créer un compte de stockage, saisissez les informations suivantes.
Laissez les valeurs par défaut pour tous les autres éléments.
Paramètre Valeur
Groupe de ressources Créer nouveau
Nom du compte de stockage saisissez un nom de compte de stockage unique
Emplacement par défaut
Niveau de performances Standard
Redondance Stockage localement redondant (LRS)
6. Sélectionnez Examiner et créer pour réviser les paramètres de votre compte de stockage et autoriser
Azure à valider la configuration.
7. Une fois la validation effectuée, sélectionnez Créer. Attendez de recevoir la notification indiquant que
le compte a bien été créé.
8. Sélectionnez Accéder à la ressource.
Tâche 2 : Appliquer un verrouillage des ressources en lec-

ture seule
Dans cette tâche, vous appliquez un verrouillage des ressources en lecture seule. Selon vous, quel impact
cela aura-t-il sur le compte de stockage ?
1. Faites défiler l’écran vers le bas jusqu’à ce que vous trouviez la section Paramètres sur le panneau
gauche de l’écran.
2. Sélectionnez Verrouiller.
3. Sélectionnez + Ajouter.
129
4. Saisissez un nom de verrouillage.

5. Vérifiez que le type de verrouillage est défini sur Lecture seule.
6. Cliquez sur OK.
Tâche 3 : Ajouter un conteneur au compte de stockage

Dans cette tâche, vous ajoutez un conteneur au compte de stockage. Ce conteneur est l’endroit où vous
pouvez stocker vos blobs.
1. Faites défiler l’écran vers le haut jusqu’à ce que vous trouviez la section Stockage des données sur le
panneau gauche de l’écran.
2. Sélectionnez Conteneurs.
3. Sélectionnez + Conteneur.
130
4. Entrez un nom de conteneur et sélectionnez Créer.

5. Vous devriez obtenir le message d’erreur suivant : Échec de la création du conteneur de stockage.
Remarque : Le message d’erreur vous indique que vous n’avez pas pu créer un conteneur de stockage,
car un verrouillage est en place. Le verrouillage en lecture seule empêche toute opération de création ou
de mise à jour du compte de stockage, ce qui vous empêche donc d’en créer un.
Tâche 4 : Modifier le verrouillage des ressources et créer

un conteneur de stockage
3. Sélectionnez le verrouillage des ressources en lecture seule que vous avez créé.
4. Modifiez le type de verrouillage sur Supprimer et cliquez sur OK.
131
5. Faites défiler l’écran vers le haut jusqu’à ce que vous trouviez la section Stockage des données sur le
6. Sélectionnez Conteneurs.
7. Sélectionnez + Conteneur.
8. Entrez un nom de conteneur et sélectionnez Créer.
9. Votre conteneur de stockage devrait apparaître dans votre liste de conteneurs.
Vous comprenez maintenant pourquoi le verrouillage en lecture seule vous a empêché d’ajouter un
conteneur à votre compte de stockage. Une fois le type de verrouillage modifié (vous auriez même pu le
supprimer), vous avez pu ajouter un conteneur.
Tâche 5 : Supprimer le compte de stockage

Vous allez devoir effectuer cette dernière tâche à deux reprises. Rappelez-vous, il y a un verrouillage de
suppression sur le compte de stockage. Vous ne pourrez donc pas encore le supprimer.
1. Faites défiler l’écran vers le haut jusqu’à ce que vous trouviez la section Présentation en haut du
2. Sélectionnez Présentation.
132
3. Sélectionnez Supprimer.
Vous devriez recevoir une notification vous informant que vous ne pouvez pas supprimer la ressource, car
elle a un verrouillage de suppression. Pour supprimer le compte de stockage, vous devez retirer le
verrouillage de suppression.
Tâche 6 : Supprimer le verrouillage de suppression et sup-

primer le compte de stockage
Lors de cette dernière tâche, vous retirez le verrouillage des ressources et supprimez le compte de
stockage de votre compte Azure. Cette étape est importante. Assurez-vous bien que vous n’avez pas de
ressources inactives sur votre compte.
1. Sélectionnez le nom de votre compte de stockage dans le fil d’Ariane en haut de l’écran.
5. Sélectionnez Accueil dans le fil d’Ariane en haut de l’écran.
6. Sélectionnez Comptes de stockage.
7. Sélectionnez le compte de stockage que vous avez utilisé pour cet exercice.
133
9. Pour éviter toute suppression accidentelle, Azure vous invite à saisir le nom du compte de stockage
que vous souhaitez supprimer. Saisissez le nom du compte de stockage, puis sélectionnez Supprimer.
10. Vous devez recevoir un message indiquant que le compte de stockage a été supprimé. Si vous allez
dans Accueil > Comptes de stockage, vous devriez voir que le compte de stockage que vous avez créé
pour cet exercice a disparu.
Félicitations ! Vous avez terminé la configuration, la mise à jour et la suppression d’un verrouillage des
ressources sur une ressource Azure.
Important : Assurez-vous d’avoir terminé la tâche 6, la suppression du compte de stockage. Vous êtes le
seul responsable des ressources de votre compte Azure. Assurez-vous de bien nettoyer votre compte après
avoir terminé cet exercice.
134
Décrire le rôle du Portail d’approbation de ser-

vices
Le Portail d’approbation de services Microsoft est un portail qui donne accès à une variété de contenus,
d’outils et d’autres ressources sur les pratiques de sécurité, de confidentialité et de conformité de
Microsoft.
Le Portail d’approbation de services contient les détails concernant l’implémentation par Microsoft des
contrôles et des processus qui protègent nos services cloud et les données client qu’ils contiennent. Pour
accéder à certaines ressources sur le Portail d’approbation de services, vous devez vous connecter en tant
qu’utilisateur authentifié avec votre compte de services Microsoft Cloud (compte d’entreprise Azure
Active Directory). Vous devrez lire et accepter le contrat de non-divulgation de Microsoft pour les
documents de conformité.
Accéder au Portail d’approbation de services

Vous pouvez accéder au Portail d’approbation de services à l’adresse https://servicetrust.microsoft.
com/.
Les fonctionnalités et le contenu du Portail d’approbation de services sont accessibles à partir du menu
principal. Les catégories du menu principal sont les suivantes :
●● Portail d’approbation de services : fournit un hyperlien d’accès rapide pour retourner à la page
d’accueil du Portail d’approbation de services.
●● Documents de référence : fournit une multitude d’informations sur la mise en œuvre et la concep-
tion de la sécurité. L’objectif de ces informations est de vous permettre de répondre plus facilement
aux objectifs de conformité réglementaire en comprenant comment les services de Microsoft Cloud
assurent la sécurité de vos données. Les documents de références comportent des sous-rubriques,
notamment : les rapports d’audit, la protection des données et Azure Stack.
●● Secteurs et régions : fournit des informations de conformité spécifiques au secteur et à la région sur
les services de Microsoft Cloud.
●● Centre de gestion de la confidentialité : les liens vers le Centre de gestion de la confidentialité. Le
Centre de gestion de la confidentialité Microsoft fournit des informations supplémentaires sur la
sécurité, la conformité et la confidentialité dans Microsoft Cloud. Cela comprend : des informations
sur les capacités des services Microsoft Cloud, qui permettent de répondre à des exigences spéci-
fiques du règlement général sur la protection des données, de la documentation utile pour votre
135
responsabilité RGPD et pour votre compréhension des mesures techniques et organisationnelles

prises par Microsoft pour prendre en charge le RGPD.
●● Ressources : permet d’accéder à plus de ressources telles que le centre de sécurité et de conformité,
des informations sur les centres de données internationaux de Microsoft, et les questions fréquem-
ment posées.
●● Ma bibliothèque : vous permet de sauvegarder (ou d’épingler) des documents afin d’y accéder
rapidement depuis votre page Ma bibliothèque. Vous pouvez également demander à recevoir des
notifications lorsque les documents dans votre page Ma bibliothèque sont mis à jour.
Remarque : Les rapports et les documents du Portail d’approbation de services peuvent être téléchargés
pendant au moins 12 mois après leur publication ou jusqu’à ce qu’une nouvelle version du document soit
disponible.

Multiple choice
De combien de paramètres doit disposer un artefact Azure Blueprints pour être valide ?
0
1
2
Multiple choice
Comment pouvez-vous empêcher la création de ressources non conformes, sans avoir à évaluer manuelle-
ment chaque ressource lorsqu’elle est créée ?
Azure Policy
Azure Blueprints
Azure Resource Monitor
Résumé
Dans ce module, vous avez découvert certaines des fonctionnalités et des outils que vous pouvez utiliser
pour faciliter la gouvernance de votre environnement Azure. Vous avez également découvert des outils
qui vous permettront de maintenir les ressources en conformité avec les prérequis de l’entreprise ou les
exigences réglementaires.
●● Décrire le rôle d’Azure Blueprints
●● Décrire le rôle d’Azure Policy
●● Décrire le rôle du verrouillage des ressources
●● Décrire le rôle du Portail d’approbation de services
136
●● Présentation d’Azure Blueprints7 est un module Microsoft Learn qui aborde plus en détail Azure
Blueprints.
●● Présentation d’Azure Policy8 est un module Microsoft Learn qui aborde plus en détail Azure Policy.
7 https://docs.microsoft.com/learn/modules/intro-to-azure-blueprints/
8 https://docs.microsoft.com/learn/modules/intro-to-azure-policy/
137
Décrire les fonctionnalités et les outils de ges-

tion et de déploiement des ressources Azure
Introduction
Dans ce module, vous serez initié aux fonctionnalités et aux outils de gestion et de déploiement des
ressources Azure. Vous découvrirez le portail Azure (une interface graphique pour gérer les ressources
Azure), la ligne de commande et les outils de script qui permettent de déployer ou de configurer les
ressources. Vous aborderez également les services Azure qui vous aident à gérer votre environnement sur
site et cloud depuis Azure.
●● Décrire le portail Azure
●● Décrire Azure Cloud Shell, y compris Azure CLI et Azure PowerShell
●● Décrire le rôle d’Azure Arc
●● Décrire les modèles Azure Resource Manager (ARM) et Azure ARM
Décrire les outils pour interagir avec Azure

Pour tirer le meilleur parti d’Azure, vous avez besoin d’interagir avec les environnements d’Azure, les
groupes d’administration, les abonnements, les groupes de ressources, les ressources, etc. Azure fournit
de nombreux outils pour gérer votre environnement, notamment :
●● Portail Azure
●● Azure PowerShell
●● Interface de ligne de commande Azure (CLI)
Qu’est-ce que le portail Azure ?

Le portail Azure est une console web unifiée qui offre une alternative aux outils en ligne de commande.
Avec le portail Azure, vous pouvez gérer votre abonnement Azure à l’aide d’une interface utilisateur
graphique. Vous pouvez :
●● Créer, gérer et superviser tout ce que vous voulez, de simples applications web à des déploiements
cloud complexes
●● Créer des tableaux de bord personnalisés pour une vue organisée des ressources
●● Configurer les options d’accessibilité pour une expérience optimale
La vidéo suivante présente le portail Azure.
138
https://www.microsoft.com/videoplayer/embed/RE4ICN6
Le portail Azure est conçu pour assurer résilience et disponibilité continue. Il maintient une présence dans
chaque centre de données Azure. Cette configuration rend le portail Azure résilient aux défaillances des
centres de données individuels et évite les ralentissements de réseau du fait de la proximité avec les
utilisateurs. Le portail Azure est mis à jour en permanence et les activités de maintenance ne nécessitent
aucun temps d’arrêt.
Azure Cloud Shell

Azure Cloud Shell est un outil interpréteur de commandes basé sur un navigateur qui vous permet de
créer, de configurer et de gérer les ressources Azure à l’aide d’un interpréteur. Azure Cloud Shell prend
en charge Azure PowerShell et l’interface de ligne de commande Azure (CLI), qui est un interpréteur de
commandes Bash.
Vous pouvez accéder à Azure Cloud Shell à partir du portail Azure en sélectionnant l’icône Cloud Shell :
Azure Cloud Shell dispose de plusieurs fonctionnalités qui en font une offre unique pour vous aider à
gérer Azure. Voici certaines de ces fonctionnalités :
●● Il s’agit d’une expérience d’interpréteur de commandes basée sur un navigateur, qui ne nécessite
aucune installation ou configuration locale.
●● Il est authentifié par vos informations d’identification Azure, de sorte que lorsque vous vous con-
nectez, il sait qui vous êtes et de quelles autorisations vous disposez.
●● Vous choisissez l’interpréteur de commandes auquel vous êtes le plus habitué. Azure Cloud Shell
prend en charge Azure PowerShell et Azure CLI (qui utilise Bash).
139
Qu’est-ce qu’Azure PowerShell ?

Azure PowerShell est un interpréteur de commandes permettant aux développeurs, DevOps et profes-
sionnels de l’informatique d’exécuter des commandes appelées cmdlets (prononcer « commandelettes »).
Ces commandes appellent l’API REST Azure pour effectuer les tâches de gestion dans Azure. Les cmdlets
peuvent être exécutées indépendamment pour traiter des modifications ponctuelles, ou elles peuvent
être associées pour aider à orchestrer des actions complexes, par exemple :
●● Configuration, désactivation et maintenance de routine d’une ressource ou de plusieurs ressources
connectées
●● Déploiement d’une infrastructure entière, pouvant contenir des dizaines ou des centaines de ressourc-
es, à partir d’un code impératif
La capture des commandes d’un script rend le processus reproductible et automatisé.
En plus d’être disponible via Azure Cloud Shell, vous pouvez installer et configurer Azure PowerShell sur
les plateformes Windows, Linux et Mac.
Qu’est-ce qu’Azure CLI ?

Azure CLI est équivalent en termes fonctionnels à Azure PowerShell. La principale différence est la syntaxe
des commandes. Azure PowerShell utilise les commandes PowerShell et Azure CLI utilise les commandes
Bash.
Azure CLI offre les mêmes avantages que le traitement de tâches discrètes ou l’orchestration d’opérations
complexes en utilisant du code. Il peut également être installé sur les plateformes Windows, Linux et Mac,
ainsi que par le biais d’Azure Cloud Shell.
En raison des similitudes en termes de capacités et d’accès entre Azure PowerShell et Azure CLI basé sur
Bash, il s’agit principalement de choisir le langage auquel vous êtes le plus habitué.
Décrire le rôle d’Azure Arc

La gestion d’environnements hybrides et multicloud peut rapidement devenir compliquée. Azure fournit
une multitude d’outils pour provisionner, configurer et surveiller les ressources Azure. Mais qu’en est-il
des ressources sur site dans une configuration hybride ou des ressources cloud dans une configuration
multicloud ?
En utilisant Azure Resource Manager (ARM), Arc vous permet d’étendre votre conformité et votre surveil-
lance à vos configurations hybrides et multicloud. Azure Arc simplifie la gouvernance et la gestion en
proposant une plateforme de gestion multicloud et locale cohérente.
Azure Arc fournit un moyen centralisé et unifié de :
●● Gérer l’ensemble de votre environnement en projetant vos ressources non-Azure existantes dans ARM
●● Gérer les machines virtuelles multicloud et hybrides, les clusters Kubernetes et les bases de données
comme s’ils s’exécutaient dans Azure
●● Utiliser les capacités de gestion et les services Azure habituels, quel que soit l’endroit où ils se trou-
vent
●● Continuer à utiliser des opérateurs informatiques (ITOps) traditionnels, tout en introduisant des
pratiques DevOps pour prendre en charge de nouveaux modèles et cloud natifs dans votre environ-
nement
140
●● Configurer des emplacements personnalisés en tant que couche d’abstraction au-dessus des clusters
Kubernetes et des extensions de cluster compatibles avec Azure Arc.
Qu’est-ce qu’Azure Arc fait en dehors d’Azure ?

Actuellement, Azure Arc vous permet de gérer les types de ressources suivants hébergés en dehors
d’Azure :
●● Serveurs
●● Clusters Kubernetes
●● Services de données Azure
●● SQL Server
●● Machines virtuelles (préversion)
Décrire les modèles Azure Resource Manager et

Azure ARM
Azure Resource Manager (ARM) est le service de déploiement et de gestion d’Azure. Il fournit une couche
de gestion qui permet de créer, de mettre à jour et de supprimer des ressources dans votre compte
Azure. Chaque fois que vous effectuez une action avec vos ressources Azure, ARM est impliqué.
Quand un utilisateur envoie une requête à partir d’un outil, d’une API ou d’un kit SDK, ARM reçoit la
requête. ARM authentifie et autorise la requête. Ensuite, ARM envoie la requête au service Azure, qui
effectue l’action demandée. Vous obtenez des résultats et des capacités cohérents dans tous les dif-
férents outils, car toutes les requêtes sont traitées par la même API.
Avantages d’Azure Resource Manager

Grâce à Azure Manager, vous pouvez :
●● Gérer votre infrastructure à l’aide de modèles déclaratifs plutôt que de scripts. Un modèle Resource
Manager est un fichier JSON qui définit ce que vous voulez déployer sur Azure.
●● Déployer, gérer et superviser toutes les ressources de votre solution sous forme de groupe, plutôt
qu’individuellement
●● Redéployer votre solution tout au long du cycle de vie de développement en ayant l’assurance que
vos ressources seront déployées dans un état cohérent
●● Définir les dépendances entre les ressources pour qu’elles soient déployées dans le bon ordre
●● Appliquer le contrôle d’accès à tous les services, car le contrôle d’accès en fonction du rôle (RBAC) est
intégré à la plateforme de gestion
●● Appliquer des étiquettes aux ressources pour organiser de manière logique toutes les ressources de
votre abonnement
●● Clarifier la facturation de votre organisation en affichant les coûts d’un groupe de ressources qui
partagent une même balise
La vidéo suivante donne un aperçu de la manière dont vous pouvez utiliser différents outils Azure avec
ARM pour gérer votre environnement :
141
https://www.microsoft.com/videoplayer/embed/RWyvOc
Modèles ARM
L’Infrastructure as code (IaC) est un concept qui consiste à gérer votre infrastructure comme des lignes de
code. L’utilisation d’Azure Cloud Shell, d’Azure PowerShell ou d’Azure CLI sont quelques exemples
d’utilisation du code pour déployer une infrastructure cloud. Les modèles ARM sont un autre exemple
d’Infrastructure as code.
Les modèles vous permettent de décrire les ressources que vous souhaitez utiliser dans un format JSON
déclaratif. Avec un modèle ARM, le code de déploiement est vérifié avant toute exécution du code. Cela
garantit que les ressources seront correctement créées et connectées. Le modèle orchestre ensuite la
création de ces ressources en parallèle. Autrement dit, si vous avez besoin de 50 instances de la même
ressource, les 50 instances sont créées en même temps.
En définitive, les développeurs et les professionnels du DevOps ou de l’informatique doivent seulement
définir la configuration et l’état souhaités de chaque ressource du modèle ARM, lequel se charge du
reste. Les modèles peuvent même exécuter des scripts PowerShell et Bash avant ou après l’installation de
la ressource.
Avantages de l’utilisation des modèles ARM

Les modèles ARM offrent de nombreux avantages lors de la planification du déploiement des ressources
Azure. Voici quelques-uns des avantages :
●● Syntaxe déclarative : Les modèles Resource Manager vous permettent de créer et de déployer une
infrastructure Azure entière de façon déclarative. La syntaxe déclarative signifie que vous déclarez ce
que vous souhaitez déployer, mais que vous n’avez pas besoin d’écrire les commandes de program-
mation et la séquence pour déployer les ressources.
●● Résultats reproductibles : Déployez votre infrastructure à plusieurs reprises tout au long du cycle de
vie de développement. Vous avez ainsi l’assurance que vos ressources sont déployées de façon
cohérente. Vous pouvez utiliser le même modèle ARM pour déployer plusieurs environnements dev/
test, en sachant que tous les environnements sont identiques.
●● Orchestration : Vous n’avez pas à vous soucier de la complexité des opérations de commande. Azure
Resource Manager orchestre le déploiement de ressources interdépendantes afin qu’elles soient
créées dans l’ordre approprié. Lorsque cela est possible, Azure Resource Manager déploie des
ressources en parallèle afin que vos déploiements se terminent plus rapidement que les déploiements
en série. Vous déployez le modèle par le biais d’une seule commande, plutôt que par le biais de
plusieurs commandes impératives.
●● Fichiers modulaires : Vous pouvez diviser vos modèles en composants plus petits et réutilisables et
les lier au moment du déploiement. Vous pouvez également imbriquer un modèle dans un autre
modèle. Par exemple, vous pouvez créer un modèle pour une pile de machines virtuelles, puis imbri-
quer ce modèle dans des modèles qui déploient des environnements complets. Cette pile de ma-
chines virtuelles sera systématiquement déployée dans chacun des modèles d’environnement.
142
●● Extensibilité : Avec les scripts de déploiement, vous pouvez ajouter des scripts PowerShell ou Bash à
vos modèles. Les scripts de déploiement étendent votre capacité à configurer des ressources pendant
le déploiement. Un script peut être inclus dans le modèle, ou stocké dans une source externe et
référencé dans le modèle. Les scripts de déploiement vous permettent d’effectuer la configuration de
votre environnement de bout en bout dans un modèle ARM unique.

Multiple choice
Quel service aide à gérer vos environnements Azure sur site et multicloud ?
Azure Arc
Azure Policy
Azure Cloud Manager
Multiple choice
Quels sont les deux composants que vous pourriez utiliser pour implémenter un déploiement « Infrastruc-
ture as a Code » ?
Azure Blueprints et modèles ARM
Azure Policy et Azure Arc
Azure Monitor et Azure Arc
Résumé
Dans ce module, vous avez été initié aux fonctionnalités et aux outils de gestion et de déploiement des
ressources Azure. Vous avez découvert le portail Azure (une interface graphique pour gérer les ressources
Azure), la ligne de commande et les outils de script qui permettent de déployer ou de configurer les
ressources. Vous avez abordé les services Azure qui vous aideront à gérer votre environnement sur site et
cloud depuis Azure.
●● Décrire le portail Azure
●● Décrire Azure Cloud Shell, y compris Azure CLI et Azure PowerShell
●● Décrire le rôle d’Azure Arc
●● Décrire les modèles Azure Resource Manager (ARM) et Azure ARM
143
●● Implémenter la sécurité de la gestion des ressources9 dans Azure est un parcours d’apprentissage
Microsoft Learn qui fournit de plus amples informations sur la gestion des ressources Azure.
9 https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/
144
Décrire les outils de surveillance dans Azure

Introduction
Dans ce module, vous serez initié aux outils qui vous aident à surveiller votre environnement et vos
applications, aussi bien dans Azure que dans des environnements sur site ou multicloud.
●● Décrire le rôle d’Azure Advisor
●● Décrire Azure Service Health
●● Décrire Azure Monitor, notamment, Azure Log Analytics, Azure Monitor Alerts, et Application Insights
Décrire le rôle d’Azure Advisor

Azure Advisor évalue vos ressources Azure et émet des recommandations pour vous aider à améliorer la
fiabilité, la sécurité et le niveau de performance, à atteindre l’excellence opérationnelle et à réduire les
coûts. Azure Advisor a été conçu pour vous faire gagner du temps dans l’optimisation du cloud. Le
service de recommandation suggère des actions que vous pouvez entreprendre immédiatement, reporter
ou ignorer.
Les recommandations sont disponibles sur le Portail Azure et par le biais de l’API. Vous pouvez configurer
des notifications pour être averti en cas de nouvelles recommandations.
Lorsque vous êtes dans le portail Azure, le tableau de bord Advisor affiche des recommandations person-
nalisées pour tous vos abonnements. Vous pouvez utiliser des filtres pour sélectionner des recommanda-
tions pour des abonnements, des groupes de ressources ou des services spécifiques. Les recommanda-
tions sont divisées en cinq catégories :
●● La fiabilité permet d’assurer et d’améliorer la continuité de vos applications stratégiques.
●● La sécurité permet de détecter les menaces et les vulnérabilités susceptibles d’entraîner des violations
de la sécurité.
●● La performance permet d’améliorer la rapidité d’exécution de vos applications.
●● L’excellence opérationnelle permet de vous aider à parvenir à une efficacité des processus et des
workflows, à la facilité de gestion des ressources et aux meilleures pratiques de déploiement.
●● Le coût permet d’optimiser et de réduire vos dépenses Azure globales.
L’illustration suivante montre le tableau de bord Azure Advisor.
145
Décrire Azure Service Health

Microsoft Azure fournit une solution cloud globale pour vous aider à gérer vos besoins en infrastructure,
à atteindre vos clients, à innover et à vous adapter rapidement. Connaître l’état de toute l’infrastructure
Azure et vos ressources individuelles peut sembler décourageant. Azure Service Health vous aide à suivre
les ressources Azure, qu’il s’agisse de ressources spécifiquement déployées ou de l’état général d’Azure.
Pour ce faire, Azure Service Health associe trois services Azure différents :
●● État Azure est une représentation générale de l’état d’Azure. L’article État Azure vous informe des
pannes de service d’Azure indiquées dans la page État Azure. Cette page vous présente une vue
globale de l’intégrité des services Azure dans l’ensemble des régions Azure. C’est une bonne référence
pour les événements qui ont un grand impact.
●● Intégrité du service présente une vue plus étroite des services et régions Azure. Elle se concentre sur
les services et régions Azure que vous utilisez. C’est le meilleur endroit où rechercher des informations
relatives aux pannes, aux activités de maintenance planifiée et aux autres avis concernant l’intégrité,
car l’expérience Service Health authentifiée a connaissance des services et des ressources que vous
utilisez actuellement. Vous pouvez également configurer des alertes Service Health pour vous inform-
er des problèmes affectant les services, des opérations de maintenance planifiées et des autres
changements pouvant affecter vos services et régions Azure.
●● Intégrité des ressources est une vue personnalisée de vos ressources Azure existantes. Elle fournit
des informations sur l’intégrité de vos ressources cloud individuelles, comme une instance de machine
virtuelle spécifique. Avec Azure Monitor, vous pouvez également configurer des alertes pour être
averti des changements de disponibilité affectant vos ressources cloud.
En utilisant l’état Azure, l’intégrité du service et l’intégrité des ressources, Azure Service Health vous
donne une vue complète de votre environnement Azure, de l’état global des services et régions Azure
jusqu’aux ressources spécifiques. De plus, les alertes historiques sont stockées et accessibles pour une
146
consultation future. Ce que vous pensiez être une simple anomalie qui s’est transformée en une tendance
peut facilement être examiné et étudié grâce aux alertes historiques.
Enfin, dans le cas où une charge de travail que vous exécutez est affectée par un événement, Azure
Service Health fournit des liens pour obtenir de l’assistance.
Décrire Azure Monitor

Azure Monitor est une plateforme permettant de collecter des données sur vos ressources, d’analyser ces
données, de visualiser les informations et même d’agir sur les résultats. Azure Monitor peut surveiller les
ressources Azure, vos ressources sur site, et même les ressources multicloud comme les machines
virtuelles hébergées chez un autre fournisseur de cloud.
Le diagramme suivant illustre l’exhaustivité d’Azure Monitor :
À gauche figure la liste des sources de données de journalisation et de métriques qui peuvent être
collectées au niveau de chacune des couches de votre architecture d’applications, de l’application
jusqu’au système d’exploitation et au réseau.
Au centre, les données de journalisation et de métriques sont stockées dans des référentiels centraux.
À droite, les données sont utilisées de différentes façons. Il est possible de voir le niveau de performance
historique et en temps réel de chaque couche de l’architecture ou bien des informations agrégées et
détaillées. Les données sont affichées à différents niveaux, pour différents publics. Vous pouvez afficher
des rapports généraux dans le tableau de bord Azure Monitor ou créer des vues personnalisées à l’aide
de requêtes Power BI et Kusto.
Par ailleurs, les données peuvent servir à réagir à des événements critiques en temps réel, à travers les
alertes adressées aux équipes par SMS, e-mail, etc. Il est également possible de définir des seuils pour
déclencher la fonctionnalité de mise à l’échelle automatique de façon à répondre à la demande.
147
Azure Log Analytics

Azure Log Analytics est l’outil du portail Azure qui vous permet d’écrire et d’exécuter des requêtes de
journal sur les données collectées par Azure Monitor. Log Analytics est un outil puissant qui prend en
charge des requêtes simples et complexes, ainsi que l’analyse des données. Vous pouvez écrire une
requête simple qui retourne un jeu d’enregistrements, puis utiliser les fonctionnalités de Log Analytics
pour trier, filtrer et analyser les enregistrements. Vous pouvez également écrire une requête plus avancée
pour effectuer une analyse statistique et visualiser les résultats dans un graphique afin d’identifier une
tendance particulière. Que vous utilisiez les résultats de vos requêtes de manière interactive ou avec
d’autres fonctionnalités d’Azure Monitor, comme les alertes de requête de journal ou les classeurs, Log
Analytics est l’outil que vous allez utiliser pour écrire et tester ces requêtes.
Azure Monitor Alerts

Azure Monitor Alerts est un moyen automatisé de rester informé lorsqu’Azure Monitor détecte qu’un
seuil est franchi. Vous définissez les conditions d’alertes et les actions de notifications, puis Azure Monitor
Alerts vous envoie une notification lorsqu’une alerte est déclenchée. Selon votre configuration, Azure
Monitor Alerts peut également essayer d’effectuer une action de correction.
Les alertes peuvent être configurées pour surveiller les journaux et se déclencher lors de certains événe-
ments de journal. Elles peuvent aussi être configurées pour surveiller les métriques et se déclencher
lorsque certaines métriques sont franchies. Par exemple, vous pouvez configurer une alerte basée sur des
métriques pour vous informer lorsque l’utilisation des processeurs d’une machine virtuelle dépasse 80 %.
Les règles d’alerte basées sur des métriques génèrent des alertes quasiment en temps réel, en fonction
de valeurs numériques. Les règles basées sur des journaux d’activité permettent une logique complexe
entre les données, depuis plusieurs sources.
Azure Monitor Alerts utilise les groupes d’action pour configurer les personnes à avertir et l’action à
effectuer. Un groupe d’actions est simplement une collection de préférences de notification et d’action
que vous associez à une ou plusieurs alertes. Les groupes d’action sont utilisés par Azure Monitor, Service
Health et Azure Advisor. Tous utilisent des groupes d’action pour vous informer lorsqu’une alerte a été
déclenchée.
148
Application Insights
Application Insights est une fonctionnalité d’Azure Monitor qui surveille vos applications web. Application
Insights est capable de surveiller des applications qui sont en cours d’exécution dans Azure, sur site ou
dans un environnement cloud différent.
Il existe deux façons de configurer Application Insights pour surveiller votre application. Vous pouvez
installer un kit de développement logiciel (SDK) dans votre application ou vous pouvez utiliser un agent
Application Insights. L’agent d’Application Insights est pris en charge en C#.NET, VB.NET, Java, JavaScript,
Node.js, et Python.
Une fois qu’Application Insights est opérationnel, vous pouvez l’utiliser pour surveiller un large éventail
d’informations, telles que :
●● Les taux de demande, temps de réponse et taux d’échec
●● Les taux de dépendance, temps de réponse et taux d’échec pour déterminer si des services externes
ralentissent les performances
●● Les consultations de pages et performances de chargement indiquées par le navigateur des utilisa-
teurs
●● Les appels AJAX à partir de pages web notamment les taux, le temps de réponse et les taux d’échec
●● Le nombre de sessions et d’utilisateurs
●● Les compteurs de performances de vos ordinateurs serveurs Windows ou Linux, par exemple le
processeur, la mémoire et l’utilisation du réseau
Non seulement Application Insights vous aide à surveiller les performances de votre application, mais
vous pouvez également le configurer pour qu’il envoie des requêtes synthétiques à votre application de
manière périodique, ce qui vous permet de vérifier l’état et de surveiller votre application, même pendant
les périodes de faible activité.
L’image suivante montre une configuration potentielle d’Application Insights qui surveille une application
web et qui fournit des informations à d’autres services pour analyse :

Multiple choice
Laquelle n’est pas une des catégories de recommandations d’Azure Advisor ?
Fiabilité
Capacité
Coût
149
Multiple choice
Vous recevez une notification par e-mail vous indiquant que les machines virtuelles dans une région Azure
où vous les avez déployées subissent une panne. Quel composant d’Azure Service Health vous permettra de
savoir si votre application est affectée ?
État Azure
Intégrité du service
Intégrité des ressources
Résumé
Dans ce module, vous avez été initié aux outils qui vous aident à surveiller votre environnement et vos
applications, aussi bien dans Azure que dans des environnements sur site ou multicloud.
●● Décrire le rôle d’Azure Advisor
●● Décrire Azure Service Health
●● Décrire Azure Monitor, notamment, Azure Log Analytics, Azure Monitor Alerts, et Application Insights
Les ressources suivantes fournissent plus d’informations sur les sujets de ce module ou sur des sujets
supplémentaires liés à ce module.
●● Prise en main d’Azure Advisor10 est un module Microsoft Learn qui vous aide à faire vos premiers
pas avec Azure Advisor.
●● Présentation d’Azure Service Health11 est un module Microsoft Learn qui fournit des informations
supplémentaires sur Azure Service Health.
●● Surveiller l’usage, la performance et la disponibilité des ressources avec Azure Monitor12 est un
parcours d’apprentissage Microsoft Learn qui permet d’approfondir Azure Monitor. Il fournit des
conseils utiles pour configurer le service Azure Monitor et en tirer le meilleur parti.
10 https://docs.microsoft.com/learn/modules/get-started-azure-advisor/
11 https://docs.microsoft.com/learn/modules/intro-to-azure-service-health/
12 https://docs.microsoft.com/learn/paths/monitor-usage-performance-availability-resources-azure-monitor/
150
Answers
Multiple choice
Quelle fonctionnalité d’Azure peut vous aider à vous organiser et à suivre l’utilisation basée sur les
métadonnées associées aux ressources ?
■■ Balises
Traceur
Valeurs
Explanation
Les balises vous permettent d’associer des métadonnées à une ressource pour faciliter le suivi de la gestion
des ressources, des coûts et de l’optimisation, de la sécurité, etc.
Multiple choice
Quelle est la meilleure méthode pour estimer le coût de la migration vers le cloud tout en supportant des
coûts minimes ?
Migrer un petit échantillon vers le cloud et suivre les coûts sur la durée.
■■ Utiliser la calculatrice de coût total de possession pour estimer les coûts attendus.
Migrer vers le cloud, mais suivre de près l’utilisation à l’aide de balises pour comprendre rapidement
les coûts.
Explanation
La calculatrice de coût total de possession vous permet d’entrer votre infrastructure et vos exigences
actuelles et vous fournit une estimation pour le fonctionnement dans le cloud.
Multiple choice
De combien de paramètres doit disposer un artefact Azure Blueprints pour être valide ?
■■ 0
1
2
Explanation
Il est possible que les artefacts n’aient pas de paramètres supplémentaires. C’est le cas, par exemple, de la
stratégie Déployer la détection des menaces sur les serveurs SQL qui ne nécessite aucune configuration
supplémentaire.
Multiple choice
Comment pouvez-vous empêcher la création de ressources non conformes, sans avoir à évaluer manuel-
lement chaque ressource lorsqu’elle est créée ?
■■ Azure Policy
Azure Blueprints
Azure Resource Monitor
Explanation
Azure Policy vous permet de créer des stratégies et des initiatives (groupes de stratégies) qui empêchent la
création de ressources non conformes.
151
Multiple choice
Quel service aide à gérer vos environnements Azure sur site et multicloud ?
■■ Azure Arc
Azure Policy
Azure Cloud Manager
Explanation
Azure Arc, en collaboration avec Azure Resource Manager, vous permet d’étendre votre conformité et votre
surveillance à vos configurations hybrides et multicloud.
Multiple choice
Quels sont les deux composants que vous pourriez utiliser pour implémenter un déploiement « Infra-
structure as a Code » ?
■■ Azure Blueprints et modèles ARM
Azure Policy et Azure Arc
Azure Monitor et Azure Arc
Explanation
Azure Blueprints applique les stratégies de manière automatisée et les modèles ARM vous permettent de
déployer votre ressource en tant que code. L’utilisation conjointe de ces deux outils permet de s’assurer que
vous déployez des ressources cohérentes et conformes.
Multiple choice
Laquelle n’est pas une des catégories de recommandations d’Azure Advisor ?
Fiabilité
■■ Capacité
Coût
Explanation
Les cinq catégories de recommandations pour Azure Advisor sont : la fiabilité, la sécurité, la performance,
l’excellence opérationnelle et le coût.
Multiple choice
Vous recevez une notification par e-mail vous indiquant que les machines virtuelles dans une région
Azure où vous les avez déployées subissent une panne. Quel composant d’Azure Service Health vous
permettra de savoir si votre application est affectée ?
État Azure
Intégrité du service
■■ Intégrité des ressources
Explanation
L’intégrité des ressources est une vue personnalisée de vos ressources Azure existantes. Elle fournit des
informations sur l’état de santé de vos ressources cloud individuelles.

AZ 900T00A FR TrainerHandbook FSI

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AZ 900T00A FR TrainerHandbook FSI

Uploaded by

Copyright:

Available Formats

RÉSERVÉ À UNE UTILISATION FORMATEUR.

UTILISATION ÉTUDIANT INTERDITE

TERMES DU CONTRAT DE LICENCE MICROSOFT

3. Terme de Pré-distribution. Si vous êtes un Membre du Programme Microsoft Imagine Academy,

■■ Module 0 Présentation du cours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  1

●● Fonctionnalités d’identité, de gouvernance, de confidentialité et de conformité, et comment Azure

●● Leçon 2 : Avantages du cloud

●● Leçon 4 : Questions de révision du module 1

●● Leçon 6 - Résumé du module 2

●● Leçon 2 : Gouvernance et conformité

●● Leçon 6 : Résumé du module 3

Examen de certification AZ-900

Thèmes abordés par la formation AZ-900 Pondération

Décrire la gestion et gouvernance Azure 30 à 35 %

✔️ Cet examen ne comprend pas de test pratique.

Accès aux labos

Décrire le cloud computing

Qu’est-ce que le cours Azure - Notions fondamentales ?

Pourquoi dois-je suivre le cours Azure - Notions fonda-

Domaine du cours AZ-900 Pondération

Présentation du cloud computing

Qu’est-ce que le cloud computing ?

Décrire le modèle de responsabilité partagée

Vous serez toujours responsable :

Définir les modèles de cloud

Cloud public Cloud privé Cloud hybride

Azure VMware Solution

Décrire le modèle basé sur la consommation

Comparer les modèles de tarification de cloud

Contrôle des connaissances

Décrire les avantages de l’utilisation des ser-

Décrire les avantages de la haute disponibilité et

Mise à l’échelle verticale

Mise à l’échelle horizontale

Décrire les avantages de la fiabilité et de la pré-

Décrire les avantages de la sécurité et de la gou-

Décrire les avantages de la gestion dans le cloud

Gestion dans le cloud

Contrôle des connaissances

Décrire les types de services cloud

Décrire Infrastructure as a Service (PaaS)

Modèle de responsabilité partagée

Décrire Platform as a Service (PaaS)

Modèle de responsabilité partagée

Décrire Software as a Service (SaaS)

Modèle de responsabilité partagée

Contrôle des connaissances

Décrire les composants architecturaux princi-

Qu’est-ce que Microsoft Azure ?

Que propose Azure ?

À quoi me sert Azure ?

Bien démarrer avec les comptes Azure

Créer un compte Azure

En quoi consiste le compte gratuit Azure ?

En quoi consiste le compte Azure gratuit pour les étudiants ?

En quoi consiste le bac à sable Microsoft Learn ?

Exercice - Découvrir le bac à sable Learn

Activer le bac à sable Learn

Tâche 1 : Utiliser l’interface de ligne de commande Power-

Tâche 2 : Utiliser l’interface de ligne de commande BASH

Utilisez la commande date pour obtenir la date et l’heure actuelles.

Tâche 3 : Utiliser le mode interactif Azure CLI

Tâche 4 : Utiliser le portail Azure

Décrire l’infrastructure physique Azure

■■ Module 0 Présentation du cours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1