Compartir a través de

Implementación de recursos de Microsoft Graph sin una suscripción de Azure

  • Artículo

Las implementaciones se pueden limitar para que los recursos definidos en una plantilla de Bicep se implementen en un ámbito específico de Azure, como un grupo de administración, una suscripción o un grupo de recursos. Todos estos ámbitos requieren una suscripción de Azure.

Hay varios escenarios en los que debe usar plantillas de Bicep para implementar recursos de Microsoft Graph, pero:

  1. Su empresa o inquilino no usa servicios de Azure
  2. Tiene un inquilino de Azure AD B2C que no puede admitir suscripciones de Azure.
  3. Tiene un inquilino externo de Id. externa de Microsoft Entra que no puede admitir suscripciones de Azure.

Con una implementación con ámbito de inquilino, es posible implementar recursos de Microsoft Graph sin una suscripción de Azure.

En este artículo se muestra cómo definir el ámbito de las implementaciones en un ámbito de inquilino y sin usar una suscripción de Azure. Solo se aplica si el archivo de plantilla de Bicep solo contiene recursos de Microsoft Graph. Si el archivo de plantilla contiene recursos de Azure además de los recursos de Microsoft Graph, necesita una suscripción de Azure válida.

Importante

Microsoft Graph Bicep está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

  • El inquilino no tiene suscripciones de Azure.
  • Para implementar un archivo de Bicep, la entidad de seguridad que realiza la implementación necesita los permisos con privilegios mínimos para implementar los recursos declarados en el archivo de Bicep.
  • Instale las herramientas de Bicep para crear e implementar. En este artículo de procedimientos se usa VS Code con la extensión de Bicep para la creación y la CLI de Azure para la implementación. También se proporcionan ejemplos para Azure PowerShell.
  • Puede implementar los archivos de Bicep de forma interactiva o a través de la implementación de solo aplicación (solo aplicación).

Implementación de recursos de Microsoft Graph

Los pasos siguientes muestran cómo implementar recursos de Microsoft Graph en el ámbito del inquilino sin necesidad de una suscripción de Azure.

  1. Asigne los permisos de implementación necesarios a la entidad de seguridad que realiza la implementación. Solo un administrador global de Microsoft Entra puede realizar esta asignación:

    • Eleva el acceso a la cuenta para que el administrador global pueda asignar roles de Azure.

    • Asigne el rol Propietario o Colaborador al <principalId> de la entidad de servicio o usuario, <principalType>, que debe implementar las plantillas. El / ámbito hace referencia a un ámbito de todo el inquilino.

      az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`

  2. En el archivo main.bicep , agregue targetScope = 'tenant' para establecer un ámbito de implementación de nivel de inquilino. El archivo de Bicep debe declarar solo los recursos de Microsoft Graph.

  3. Realice una implementación de inquilino mediante la entidad de seguridad que tenga privilegios de implementación, mediante az deployment tenant create o New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Para obtener más información sobre las implementaciones de inquilinos, consulte Implementación en un inquilino.