次の方法で共有

Azure サブスクリプションなしで Microsoft Graph リソースをデプロイする

  • [アーティクル]

デプロイのスコープは Bicep テンプレートで定義されているリソースが、管理グループ、サブスクリプション、リソース グループなどの特定の Azure スコープにデプロイされるようにすることができます。 これらのスコープはすべて、Azure サブスクリプションを必要とします。

Bicep テンプレートを使用して Microsoft Graph リソースをデプロイする必要があるシナリオがいくつかありますが、次のような場合があります。

  1. 会社またはテナントが Azure サービスを使用していない
  2. Azure サブスクリプションをサポートできない Azure AD B2C テナント がある
  3. Azure サブスクリプションをサポートできないMicrosoft Entra 外部 ID外部テナントがある

テナント スコープのデプロイを使用すると、Azure サブスクリプションなしで Microsoft Graph リソースをデプロイできます。

この記事では、Azure サブスクリプションを使用せずに、デプロイのスコープをテナント スコープに設定する方法について説明します。 これは、Bicep テンプレート ファイルに Microsoft Graph リソースのみが含まれている場合にのみ適用されます。 テンプレート ファイルに Microsoft Graph リソースに加えて Azure リソースが含まれている場合は、有効な Azure サブスクリプションが必要です。

重要

Microsoft Graph Bicep は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

  • テナントに Azure サブスクリプションがありません。
  • Bicep ファイルをデプロイするには、デプロイを実行するプリンシパルに、Bicep ファイルで宣言されたリソースをデプロイするための最小特権のアクセス許可が必要です。
  • 作成と展開のために Bicep ツールをインストールします。 このハウツー記事では、作成用の Bicep 拡張機能とデプロイ用の Azure CLI で VS Code を使用します。 Azure PowerShell のサンプルも提供されています。
  • Bicep ファイルは、対話形式で、またはゼロタッチ (アプリ専用) 展開を使用して展開できます。

Microsoft Graph リソースをデプロイする

次の手順では、Azure サブスクリプションを必要とせずに、テナント スコープで Microsoft Graph リソースをデプロイする方法を示します。

  1. 必要な展開アクセス許可を、デプロイを実行するプリンシパルに割り当てます。

    1. ロールが割り当てられない場合は、ユーザー アクセス管理者ロールへのアカウント アクセス権を昇格します。
    2. テンプレートをデプロイする必要があるユーザーまたはサービス プリンシパル (<principalType>) の <principalId> にデプロイアクセス許可を割り当てます。 / スコープは、テナント全体のスコープを参照します。 次のオプションは、デプロイのアクセス許可をプリンシパルに割り当てる方法を示しています。これは、最小から最高の特権の順に一覧表示されます。
      • Microsoft.Resources/deployments/* アクセス許可を持つ カスタム ロール を割り当てます。
      • アクセス許可を持つ DevOps に対して、組み込みの Azure ロールを割り当てます。
      • 所有者ロールまたは共同作成者ロールを割り当てます。
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. 管理者特権でのアクセスの割り当てを削除します。

  2. main.bicep ファイルにtargetScope = 'tenant'を追加して、テナント レベルのデプロイ スコープを設定します。 Bicep ファイルでは、Microsoft Graph リソース宣言する必要があります。

  3. デプロイ特権を持つセキュリティ プリンシパルを使用して、az デプロイ テナントの作成または New-AzTenantDeployment を使用して、テナントのデプロイを実行します

    az deployment tenant create --location WestUS --template-file main.bicep

テナントのデプロイの詳細については、「 テナントへのデプロイ」を参照してください。