Sonderfälle für Azure Resource Manager-Dienstverbindungen

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Obwohl die empfohlene Option für Azure Resource Manager-Dienstverbindungen die Verwendung eines Workload-Identitätsverbunds mit einer App-Registrierung oder verwalteten Identität ist, gibt es Situationen, in denen Sie stattdessen eine Agent-seitig zugewiesene verwaltete Identität oder ein Veröffentlichungsprofil verwenden müssen. In diesem Artikel erfahren Sie, wie Sie eine Azure Resource Manager-Dienstverbindung erstellen, die eine Verbindung mit einem selbstgehosteten Agent auf einer Azure-VM herstellt, und wie Sie ein Veröffentlichungsprofil verwenden, um eine Dienstverbindung mit einer Azure App Service-App zu erstellen.

Sie können Azure Resource Manager auch verwenden, um eine Verbindung mit Azure Government Cloud und Azure Stack herzustellen.

Erstellen einer Azure Resource Manager-Dienstverbindung zu einer VM, die eine verwaltete Identität verwendet

Hinweis

Um eine verwaltete Identität zur Authentifizierung zu verwenden, müssen Sie einen selbst gehosteten Agenten auf einer virtuellen Azure-Maschine (VM) verwenden.

Sie können selbst gehostete Agenten auf Azure-VMs so konfigurieren, dass sie eine von Azure verwaltete Identität in Microsoft Entra ID verwenden. In diesem Szenario verwenden Sie die Agent-seitig zugewiesene verwaltete Identität, um den Agents Zugriff auf jede Azure-Ressource zu gewähren, die Microsoft Entra ID unterstützt, z. B. eine Instanz von Azure Key Vault.

1. Gehen Sie im Azure DevOps-Projekt auf Projekteinstellungen>Dienstverbindungen.

   Weitere Informationen finden Sie unter Projekteinstellungen öffnen.

2. Wählen Sie Neue Dienstverbindung, wählen Sie dann Azure Resource Manager.

   

3. Wählen Sie Verwaltete Identität (vom Agent zugewiesen) als Identitätstyp aus.

4. Wählen Sie unter Umgebung den Namen der Umgebung aus (Azure Cloud, Azure Stack oder Government Cloud-Optionen).

5. Wählen Sie die Bereichsebene aus. Wählen Sie Abonnement, Verwaltungsgruppe oder Machine Learning-Arbeitsbereich aus. Bei Verwaltungsgruppen handelt es sich um Container, mit denen Sie Zugriff, Richtlinien und Konformität abonnementübergreifend verwalten können. Ein Machine Learning-Arbeitsbereich ist ein Ort zum Erstellen von Machine Learning-Artefakten.

   • Geben Sie für den Abonnementbereich die folgenden Parameter ein:

     Parameter	Beschreibung
     Abonnement-ID	Erforderlich. Geben Sie die ID des Azure-Abonnements ein.
     Abonnementname	Erforderlich. Geben Sie den Azure-Abonnementnamen ein.

   • Geben Sie für den Bereich Verwaltungsgruppe die folgenden Parameter ein:

     Parameter	Beschreibung
     Verwaltungsgruppen-ID	Erforderlich. Geben Sie die ID der Azure-Verwaltungsgruppe ein.
     Verwaltungsgruppenname	Erforderlich. Geben Sie den Azure-Verwaltungsgruppennamen ein.

   • Geben Sie für den Bereich Machine Learning-Arbeitsbereich die folgenden Parameter ein:

     Parameter	Beschreibung
     Abonnement-ID	Erforderlich. Geben Sie die ID des Azure-Abonnements ein.
     Abonnementname	Erforderlich. Geben Sie den Azure-Abonnementnamen ein.
     Ressourcengruppe	Erforderlich. Wählen Sie die Ressourcengruppe aus, die den Arbeitsbereich enthält.
     ML-Arbeitsbereichsname	Erforderlich. Geben Sie den Namen des vorhandenen Azure Machine Learning-Arbeitsbereichs ein.
     Standort des ML-Arbeitsbereichs	Erforderlich. Geben Sie den Standort des vorhandenen Azure Machine Learning-Arbeitsbereichs ein.

6. Geben SIe die Mandanten-ID ein.

7. Geben Sie den Namen der Dienstverbindung ein.

8. Geben Sie optional eine Beschreibung für die Dienstverbindung ein.

9. Wählen Sie Zugriffsberechtigung für alle Pipelines erteilen aus, damit alle Pipelines diese Dienstverbindung verwenden können. Wenn Sie diese Option nicht auswählen, müssen Sie manuell Zugriff auf jede Pipeline gewähren, die diese Dienstverbindung verwendet.

10. Wählen Sie Speichern.

11. Nach dem Erstellen der neuen Dienstverbindung:

    • Wenn Sie die Dienstverbindung in der Benutzeroberfläche verwenden, wählen Sie den Verbindungsnamen, den Sie in der Einstellung Azure-Abonnement Ihrer Pipeline zugewiesen haben.
    • Wenn Sie die Serviceverbindung in einer YAML-Datei verwenden, kopieren Sie den Verbindungsnamen als Wert für azureSubscription in Ihren Code.

12. Stellen Sie sicher, dass die VM (Agent) über die erforderlichen Berechtigungen verfügt.

    Wenn Ihr Code beispielsweise den Azure Resource Manager aufrufen muss, weisen Sie der VM die entsprechende Rolle zu, indem Sie die rollenbasierte Zugriffskontrolle (RBAC) in Microsoft Entra ID verwenden.

    Weitere Informationen finden Sie unter Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden? und Verwenden Sie rollenbasierte Zugriffskontrolle, um den Zugriff auf Ihre Azure-Abonnementressourcen zu verwalten.

Weitere Informationen über den Prozess finden Sie unter Fehlerbehebung bei Azure Resource Manager-Dienstverbindungen.

Erstellen einer Azure Resource Manager-Dienstverbindung mit einem Veröffentlichungsprofil

Sie können eine Dienstverbindung mithilfe eines Veröffentlichungsprofils erstellen. Sie können ein Veröffentlichungsprofil verwenden, um eine Dienstverbindung mit einem Azure-App Service zu erstellen.

1. Gehen Sie im Azure DevOps-Projekt auf Projekteinstellungen>Dienstverbindungen.

   Weitere Informationen finden Sie unter Projekteinstellungen öffnen.

2. Wählen Sie Neue Dienstverbindung, dann Azure Resource Manager und anschließend Weiter aus.

   

3. Wählen Sie Veröffentlichungsprofil als Identitätstyp aus.

4. Legen Sie die folgenden Parameter fest:

   Parameter	BESCHREIBUNG
   Abonnement	Erforderlich. Wählen Sie ein Azure-Abonnement aus. Wenn keine Azure-Abonnements oder -Instanzen angezeigt werden, siehe Fehlerbehebung für Azure Resource Manager-Dienstverbindungen.
   WebApp	Erforderlich. Geben Sie den Namen der Azure App Service-Web-App ein.
   Name der Dienstverbindung	Erforderlich. Der Name, mit dem Sie in den Aufgabeneigenschaften auf diese Dienstverbindung verweisen. Nicht der Name Ihres Azure-Abonnements.
   Beschreibung	Optional. Die Beschreibung der Dienstverbindung.

5. Wählen Sie Zugriffsberechtigung für alle Pipelines erteilen aus, damit alle Pipelines diese Dienstverbindung verwenden können. Wenn Sie diese Option nicht auswählen, müssen Sie manuell Zugriff auf jede Pipeline gewähren, die diese Dienstverbindung verwendet.

6. Wählen Sie Speichern.

Nach dem Erstellen der neuen Dienstverbindung:

• Wenn Sie die Dienstverbindung in der Benutzeroberfläche verwenden, wählen Sie den Verbindungsnamen, den Sie in der Einstellung Azure-Abonnement Ihrer Pipeline zugewiesen haben.
• Wenn Sie die Serviceverbindung in einer YAML-Datei verwenden, kopieren Sie den Verbindungsnamen und fügen ihn als Wert für azureSubscription in Ihren Code ein.

Herstellen einer Verbindung mit einer Azure Government-Cloud

Informationen zur Verbindung mit einer Azure Government Cloud finden Sie unter Connect von Azure Pipelines (Azure Government Cloud).

Herstellen einer Verbindung mit Azure Stack

Informationen zur Verbindung mit Azure Stack finden Sie in diesen Artikeln:

• Herstellen einer Verbindung mit Azure Stack
• Verbinden Sie Azure Stack mit Azure über ein VPN
• Verbinden Sie Azure Stack mit Azure mit Hilfe von Azure ExpressRoute

Weitere Informationen finden Sie unter Fehlerbehebung für Azure Resource Manager-Dienstverbindungen.

Hilfe und Support

• Erkunden Sie Tipps zur Fehlerbehebung.
• Holen Sie sich Rat auf Stack Overflow.
• Stellen Sie Ihre Fragen, suchen Sie nach Antworten, oder schlagen Sie eine Funktion in der Azure DevOps Developer Community vor.
• Erhalten Sie Unterstützung für Azure DevOps.