Delen via

Microsoft Graph-resources implementeren zonder een Azure-abonnement

  • Artikel

Implementaties kunnen worden beperkt , zodat de resources die in een Bicep-sjabloon zijn gedefinieerd, worden geïmplementeerd in een specifiek Azure-bereik, zoals een beheergroep, abonnement of resourcegroep. Voor deze bereiken is allemaal een Azure-abonnement vereist.

Er zijn verschillende scenario's waarin u Bicep-sjablonen moet gebruiken om Microsoft Graph-resources te implementeren, maar:

  1. Uw bedrijf of tenant gebruikt geen Azure-services
  2. U hebt een Azure AD B2C-tenant die geen ondersteuning biedt voor Azure-abonnementen
  3. U hebt een Microsoft Entra Externe ID externe tenant die geen ondersteuning biedt voor Azure-abonnementen

Met behulp van een implementatie binnen tenantbereik is het mogelijk om Microsoft Graph-resources te implementeren zonder een Azure-abonnement.

In dit artikel wordt beschreven hoe u uw implementaties kunt toepassen op een tenantbereik en zonder een Azure-abonnement te gebruiken. Dit is alleen van toepassing als uw Bicep-sjabloonbestand alleen Microsoft Graph-resources bevat. Als uw sjabloonbestand Azure-resources bevat naast Microsoft Graph-resources, hebt u een geldig Azure-abonnement nodig.

Belangrijk

Microsoft Graph Bicep is momenteel in PREVIEW. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten

  • Uw tenant heeft geen Azure-abonnementen.
  • Voor het implementeren van een Bicep-bestand heeft de principal die de implementatie uitvoert de minst bevoegde machtigingen nodig om de resources te implementeren die zijn gedeclareerd in het Bicep-bestand.
  • Bicep-hulpprogramma's installeren voor creatie en implementatie. In dit artikel wordt VS Code gebruikt met de Bicep-extensie voor creatie en Azure CLI voor implementatie. Er zijn ook voorbeelden beschikbaar voor Azure PowerShell.
  • U kunt de Bicep-bestanden interactief of via zero-touch (alleen-app)-implementatie implementeren.

Microsoft Graph-resources implementeren

De volgende stappen laten zien hoe u Microsoft Graph-resources implementeert op het tenantbereik zonder dat hiervoor een Azure-abonnement is vereist.

  1. Wijs de vereiste implementatiemachtigingen toe aan de principal die de implementatie uitvoert.

    1. Verhoog accounttoegang tot de rol Beheerder voor Gebruikerstoegang, als u de rolniet hebt toegewezen.
    2. Wijs implementatiemachtigingen toe aan de <principalId> van de gebruiker of service-principal, <principalType>, die de sjablonen moeten implementeren. Het / bereik verwijst naar een tenantbreed bereik. De volgende opties geven manieren aan om de implementatiemachtigingen toe te wijzen aan de principal, vermeld in de volgorde van minst naar hoogste bevoegdheden.
      • Wijs een aangepaste rol toe met de machtiging Microsoft.Resources/deployments/*.
      • Wijs een ingebouwde Azure-rol toe voor DevOps- met de machtiging Microsoft.Resources/deployments/*.
      • Wijs de rol Eigenaar of Bijdrager toe.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Verwijder de toewijzing met verhoogde toegang.

  2. Voeg in uw targetScope = 'tenant' toe om een implementatiebereik op tenantniveau in te stellen. Uw Bicep-bestand moet alleen Microsoft Graph-resources declareren.

  3. Voer een tenantimplementatie uit met behulp van de beveiligingsprincipaal met implementatiebevoegdheden, met behulp van az deployment tenant create of New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Zie Implementeren in een tenant voor meer informatie over tenantimplementaties.