Поделиться через

Развертывание ресурсов Microsoft Graph без подписки Azure

  • Статья

Развертывания можно ограничить, чтобы ресурсы, определенные в шаблоне Bicep, развертывались в определенной области Azure, например в группе управления, подписке или группе ресурсов. Для всех этих областей требуется подписка Azure.

Существует несколько сценариев, в которых необходимо использовать шаблоны Bicep для развертывания ресурсов Microsoft Graph, но:

  1. Ваша компания или клиент не используют службы Azure
  2. У вас есть клиент Azure AD B2C, который не может поддерживать подписки Azure
  3. У вас есть Внешняя идентификация Microsoft Entra внешний клиент, который не может поддерживать подписки Azure

С помощью развертывания с областью действия клиента можно развернуть ресурсы Microsoft Graph без подписки Azure.

В этой статье показано, как ограничить развертывание областью клиента и без использования подписки Azure. Применяется только в том случае, если файл шаблона Bicep содержит только ресурсы Microsoft Graph. Если файл шаблона содержит ресурсы Azure в дополнение к ресурсам Microsoft Graph, вам потребуется действительная подписка Azure.

Внимание

Microsoft Graph Bicep в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Необходимые компоненты

  • У вашего клиента нет подписок Azure.
  • Чтобы развернуть файл Bicep, субъекту, выполняющим развертывание, требуются разрешения с минимальными привилегиями для развертывания ресурсов, объявленных в файле Bicep.
  • Установите средства Bicep для разработки и развертывания. В этой статье используется VS Code с расширением Bicep для разработки и Azure CLI для развертывания. Примеры также предоставляются для Azure PowerShell.
  • Файлы Bicep можно развертывать в интерактивном режиме или с помощью развертывания только для приложений.

Развертывание ресурсов Microsoft Graph

В следующих шагах показано, как развернуть ресурсы Microsoft Graph в области клиента, не требуя подписки Azure.

  1. Назначьте необходимые разрешения развертывания субъекту, выполняя развертывание.

    1. Повысить доступ учетной записи до роли администратора доступа пользователей, если вам не назначена роль.
    2. Назначьте разрешения на развертывание для <principalId> пользователя или учётной записи службы <principalType>, которая нуждается в развертывании шаблонов. Область / относится к области на уровне клиента. Следующие параметры указывают способы назначения разрешений развертывания субъекту, перечисленным в порядке наименьшего уровня привилегий.
      • Назначьте настраиваемую роль с разрешением Microsoft.Resources/deployments/*.
      • Назначьте встроенную роль в Azure для DevOps, которая обладает разрешением Microsoft.Resources/deployments/*.
      • Назначьте роль владельца или участника.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Удалите назначение доступа с повышенными привилегиями.

  2. В файле main.bicep добавьте targetScope = 'tenant' область развертывания на уровне клиента. Файл Bicep должен объявлять только ресурсы Microsoft Graph.

  3. Выполните развертывание клиента с помощью субъекта безопасности, имеющего привилегии развертывания, с помощью az deployment tenant create или New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Дополнительные сведения о развертываниях клиентов см. в разделе "Развертывание в клиенте".