Udostępnij za pośrednictwem

Wdrażanie zasobów programu Microsoft Graph bez subskrypcji platformy Azure

  • Artykuł

Wdrożenia mogą być ograniczone tak, aby zasoby zdefiniowane w szablonie Bicep zostały wdrożone w określonym zakresie platformy Azure, takim jak grupa zarządzania, subskrypcja lub grupa zasobów. Wszystkie te zakresy wymagają subskrypcji platformy Azure.

Istnieje kilka scenariuszy, w których należy użyć szablonów Bicep do wdrożenia zasobów programu Microsoft Graph, ale:

  1. Twoja firma lub dzierżawa nie korzysta z usług platformy Azure
  2. Masz dzierżawę usługi Azure AD B2C, która nie może obsługiwać subskrypcji platformy Azure
  3. Masz dzierżawę zewnętrzną Tożsamość zewnętrzna Microsoft Entra, która nie może obsługiwać subskrypcji platformy Azure

Przy użyciu wdrożenia w zakresie dzierżawy można wdrożyć zasoby programu Microsoft Graph bez subskrypcji platformy Azure.

W tym artykule pokazano, jak ograniczyć zakres wdrożeń do zakresu dzierżawy i bez korzystania z subskrypcji platformy Azure. Ma zastosowanie tylko wtedy, gdy plik szablonu Bicep zawiera tylko zasoby programu Microsoft Graph. Jeśli plik szablonu zawiera zasoby platformy Azure oprócz zasobów programu Microsoft Graph, potrzebujesz prawidłowej subskrypcji platformy Azure.

Ważne

Program Microsoft Graph Bicep jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Wymagania wstępne

  • Dzierżawa nie ma subskrypcji platformy Azure.
  • Aby wdrożyć plik Bicep, podmiot zabezpieczeń wykonujący wdrożenie wymaga najmniej uprzywilejowanych uprawnień do wdrożenia zasobów zadeklarowanych w pliku Bicep.
  • Zainstaluj narzędzia Bicep do tworzenia i wdrażania. W tym artykule z instrukcjami jest używany program VS Code z rozszerzeniem Bicep do tworzenia i interfejsu wiersza polecenia platformy Azure na potrzeby wdrażania. Przykłady są również udostępniane dla programu Azure PowerShell.
  • Pliki Bicep można wdrożyć interaktywnie lub za pomocą wdrożenia typu zero-touch (tylko aplikacja).

Wdrażanie zasobów programu Microsoft Graph

W poniższych krokach pokazano, jak wdrożyć zasoby programu Microsoft Graph w zakresie dzierżawy bez konieczności posiadania subskrypcji platformy Azure.

  1. Przypisz wymagane uprawnienia wdrożenia do podmiotu zabezpieczeń wykonującego wdrożenie.

    1. podnieś poziom dostępu konta do roli Administrator dostępu użytkowników, jeśli nie masz przypisanej roli.
    2. Przypisz uprawnienia wdrożenia do <principalId> użytkownika lub jednostki usługi, <principalType>, który musi wdrożyć szablony. Zakres / odnosi się do zakresu obejmującego całą dzierżawę. Poniższe opcje wskazują sposoby przypisywania uprawnień wdrożenia do podmiotu, wymienionego w kolejności od najmniej do najbardziej uprzywilejowanego.
      • Przypisz niestandardową rolę z uprawnieniem Microsoft.Resources/deployments/*.
      • Przypisz wbudowaną rolę platformy Azure dla usługi DevOps, która ma uprawnienie Microsoft.Resources/deployments/*.
      • Przypisz rolę Właściciela albo Współautora.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Usuń przypisanie podwyższonego dostępu.

  2. W pliku main.bicep dodaj targetScope = 'tenant' element , aby ustawić zakres wdrożenia na poziomie dzierżawy. Plik Bicep musi zadeklarować tylko zasoby programu Microsoft Graph.

  3. Wykonaj wdrożenie dzierżawy przy użyciu podmiotu zabezpieczeń z uprawnieniami wdrożenia, używając polecenia az deployment tenant create lub New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Aby uzyskać więcej informacji na temat wdrożeń dzierżaw, zobacz Wdrażanie w dzierżawie.