Bagikan melalui

Menyebarkan sumber daya Microsoft Graph tanpa langganan Azure

  • Artikel

Penyebaran dapat dilingkup sehingga sumber daya yang ditentukan dalam templat Bicep disebarkan ke cakupan Azure tertentu seperti grup manajemen, langganan, atau grup sumber daya. Semua cakupan ini memerlukan langganan Azure.

Ada beberapa skenario di mana Anda perlu menggunakan templat Bicep untuk menyebarkan sumber daya Microsoft Graph, tetapi:

  1. Perusahaan atau penyewa Anda tidak menggunakan layanan Azure
  2. Anda memiliki penyewa Azure AD B2C yang tidak dapat mendukung langganan Azure
  3. Anda memiliki penyewa eksternal ID Eksternal Microsoft Entra yang tidak dapat mendukung langganan Azure

Dengan menggunakan penyebaran dengan cakupan penyewa, anda dapat menyebarkan sumber daya Microsoft Graph tanpa langganan Azure.

Artikel ini menunjukkan cara mencakup penyebaran Anda ke cakupan penyewa dan tanpa menggunakan langganan Azure. Ini hanya berlaku jika file templat Bicep Anda hanya berisi sumber daya Microsoft Graph. Jika file templat Anda berisi sumber daya Azure selain sumber daya Microsoft Graph, Anda memerlukan langganan Azure yang valid.

Penting

Microsoft Graph Bicep saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Prasyarat

  • Penyewa Anda tidak memiliki langganan Azure.
  • Untuk menyebarkan file Bicep, prinsipal yang melakukan penyebaran membutuhkan izin yang paling tidak istimewa untuk menyebarkan sumber daya yang dideklarasikan dalam file Bicep.
  • Instal alat Bicep untuk penulisan dan penyebaran. Artikel panduan ini menggunakan Visual Studio Code dengan ekstensi Bicep untuk penulisan dan Azure CLI untuk penyebaran. Sampel juga disediakan untuk Azure PowerShell.
  • Anda dapat menyebarkan file Bicep secara interaktif atau melalui penyebaran zero-touch (khusus aplikasi).

Menyebarkan sumber daya Microsoft Graph

Langkah-langkah berikut menunjukkan cara menyebarkan sumber daya Microsoft Graph di cakupan penyewa tanpa memerlukan langganan Azure.

  1. Tetapkan izin penyebaran yang diperlukan ke prinsipal yang melakukan penyebaran.

    1. Tingkatkan akses akun ke peran Administrator Akses Pengguna, jika peranbelum ditetapkan kepada Anda.
    2. Tetapkan izin penyebaran ke <principalId> pengguna atau prinsipal layanan <principalType>yang perlu melakukan penyebaran templat. / Cakupan mengacu pada cakupan seluruh penyewa. Opsi berikut menunjukkan cara untuk menetapkan izin penyebaran ke prinsipal, yang tercantum dalam urutan hak istimewa paling sedikit hingga tertinggi.
      • Tetapkan peran kustom dengan izin .
      • Tetapkan peran bawaan Azure untuk DevOps yang memiliki izin Microsoft.Resources/deployments/*.
      • Tetapkan peran Pemilik atau Kontributor.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Hapus penugasan akses yang ditingkatkan.

  2. Dalam file main.bicep Anda, tambahkan targetScope = 'tenant' untuk mengatur cakupan penyebaran tingkat penyewa. File Bicep Anda hanya boleh mendeklarasikan sumber daya Microsoft Graph.

  3. Lakukan penyebaran penyewa menggunakan prinsip keamanan yang memiliki hak istimewa penyebaran, menggunakan az deployment tenant create atau New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Untuk informasi selengkapnya tentang penyebaran penyewa, lihat Menyebarkan ke penyewa.