Freigeben über

Bereitstellen von Microsoft Graph-Ressourcen ohne Azure-Abonnement

  • Artikel

Bereitstellungen können so festgelegt werden, dass die in einer Bicep-Vorlage definierten Ressourcen in einem bestimmten Azure-Bereich wie einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe bereitgestellt werden. Für diese Bereiche ist ein Azure-Abonnement erforderlich.

Es gibt mehrere Szenarien, in denen Sie Bicep-Vorlagen verwenden müssen, um Microsoft Graph-Ressourcen bereitzustellen, aber:

  1. Ihr Unternehmen oder Mandant verwendet keine Azure-Dienste
  2. Sie verfügen über einen Azure AD B2C-Mandanten , der Azure-Abonnements nicht unterstützen kann
  3. Sie verfügen über einen externen Microsoft Entra-ID-Mandanten , der Azure-Abonnements nicht unterstützen kann

Mithilfe einer mandantenbezogenen Bereitstellung ist es möglich, Microsoft Graph-Ressourcen ohne Azure-Abonnement bereitzustellen.

In diesem Artikel wird veranschaulicht, wie Sie Ihre Bereitstellungen auf einen Mandantenbereich und ohne Verwendung eines Azure-Abonnements beschränken. Sie gilt nur, wenn Ihre Bicep-Vorlagendatei nur Microsoft Graph-Ressourcen enthält. Wenn Ihre Vorlagendatei zusätzlich zu Microsoft Graph-Ressourcen Azure-Ressourcen enthält, benötigen Sie ein gültiges Azure-Abonnement.

Wichtig

Microsoft Graph Bicep befindet sich derzeit in DER VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

  • Ihr Mandant verfügt über keine Azure-Abonnements.
  • Zum Bereitstellen einer Bicep-Datei benötigt der Prinzipal, der die Bereitstellung ausführt, die geringsten Berechtigungen, um die in der Bicep-Datei deklarierten Ressourcen bereitzustellen.
  • Installieren Sie Bicep-Tools für die Erstellung und Bereitstellung. In diesem Artikel wird VS Code mit der Bicep-Erweiterung für die Erstellung und Azure CLI für die Bereitstellung verwendet. Beispiele werden auch für Azure PowerShell bereitgestellt.
  • Sie können die Bicep-Dateien interaktiv oder über die Zero-Touch-Bereitstellung (nur App) bereitstellen.

Bereitstellen von Microsoft Graph-Ressourcen

Die folgenden Schritte zeigen, wie Sie Microsoft Graph-Ressourcen im Mandantenbereich bereitstellen, ohne dass ein Azure-Abonnement erforderlich ist.

  1. Weisen Sie dem Prinzipal, der die Bereitstellung ausführt, die erforderlichen Bereitstellungsberechtigungen zu.

    1. Erhöhen Sie die Kontozugriffsrechte auf die Rolle „Benutzerzugriffsadministrator“, falls Ihnen die Rolle nicht zugewiesen wurde.
    2. Weisen Sie dem <principalId> des Benutzers oder Dienstprinzipals von <principalType> die Bereitstellungsberechtigungen zu, die erforderlich sind, damit er die Vorlagen bereitstellen kann. Der / Bereich bezieht sich auf einen mandantenweiten Bereich. Die folgenden Optionen geben Möglichkeiten für die Zuweisung der Bereitstellungsberechtigungen an den Prinzipal an, die in der Reihenfolge der geringsten bis zur höchsten Berechtigung angegeben sind. 
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Entfernen Sie die Zuweisung der erhöhten Zugriffsrechte.

  2. Fügen Sie in der targetScope = 'tenant'" hinzu, um einen Bereitstellungsbereich auf Mandantenebene festzulegen. Ihre Bicep-Datei darf nur Microsoft Graph-Ressourcen deklarieren.

  3. Führen Sie eine Mandantenbereitstellung mithilfe des Sicherheitsprinzipals mit Bereitstellungsberechtigungen aus, indem Sie az-Bereitstellungsmandanten erstellen oder New-AzTenantDeployment verwenden:

    az deployment tenant create --location WestUS --template-file main.bicep

Weitere Informationen zu Mandantenbereitstellungen finden Sie unter Deploy to a tenant.