Condividi tramite


Distribuire le risorse di Microsoft Graph senza una sottoscrizione di Azure

È possibile definire l'ambito delle distribuzioni in modo che le risorse definite in un modello Bicep vengano distribuite in un ambito di Azure specifico, ad esempio un gruppo di gestione, una sottoscrizione o un gruppo di risorse. Tutti questi ambiti richiedono una sottoscrizione di Azure.

Esistono diversi scenari in cui è necessario usare i modelli Bicep per distribuire le risorse di Microsoft Graph, ma:

  1. La società o il tenant non usa i servizi di Azure
  2. Si dispone di un tenant di Azure AD B2C che non può supportare le sottoscrizioni di Azure
  3. Si dispone di un tenant esterno Microsoft Entra per ID esterno che non può supportare le sottoscrizioni di Azure

Usando una distribuzione con ambito tenant, è possibile distribuire le risorse di Microsoft Graph senza una sottoscrizione di Azure.

Questo articolo illustra come definire l'ambito delle distribuzioni in un ambito tenant e senza usare una sottoscrizione di Azure. Si applica solo se il file modello Bicep contiene solo risorse di Microsoft Graph. Se il file modello contiene risorse di Azure oltre alle risorse di Microsoft Graph, è necessaria una sottoscrizione di Azure valida.

Importante

Microsoft Graph Bicep è attualmente in anteprima. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Prerequisiti

  • Il tenant non ha sottoscrizioni di Azure.
  • Per distribuire un file Bicep, l'entità che esegue la distribuzione richiede le autorizzazioni con privilegi minimi per distribuire le risorse dichiarate nel file Bicep.
  • Installare gli strumenti Bicep per la creazione e la distribuzione. Questo articolo illustra come usare VS Code con l'estensione Bicep per la creazione e l'interfaccia della riga di comando di Azure per la distribuzione. Sono disponibili anche esempi per Azure PowerShell.
  • È possibile distribuire i file Bicep in modo interattivo o tramite la distribuzione zero-touch (solo app).

Distribuire le risorse di Microsoft Graph

I passaggi seguenti illustrano come distribuire le risorse di Microsoft Graph nell'ambito del tenant senza richiedere una sottoscrizione di Azure.

  1. Assegnare le autorizzazioni di distribuzione necessarie all'entità che esegue la distribuzione.

    1. Assegna all'account il ruolo di Amministratore accesso utenti se non ti è stato assegnato il ruolo.
    2. Assegna le autorizzazioni di distribuzione al <principalId> dell'utente o dell'entità servizio <principalType>, che deve distribuire i modelli. L'ambito / fa riferimento a un ambito a livello di tenant. Le opzioni seguenti indicano i modi per assegnare le autorizzazioni di distribuzione al principale, elencate in ordine dal meno al più privilegiato.
      • Assegna il ruolo personalizzato con l'autorizzazione Microsoft.Resources/deployments/*.
      • Assegnare un ruolo predefinito di Azure per DevOps che dispone dell'autorizzazione Microsoft.Resources/deployments/*.
      • Assegnare il ruolo Proprietario o Collaboratore.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    
    1. Rimuovere l'assegnazione di accesso con privilegi elevati.
  2. Nel file main.bicep aggiungere targetScope = 'tenant' per impostare un ambito di distribuzione a livello di tenant. Il file Bicep deve dichiarare solo le risorse di Microsoft Graph.

  3. Eseguire una distribuzione del tenant usando l'entità di sicurezza con privilegi di distribuzione, usando az deployment tenant create o New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep
    

Per altre informazioni sulle distribuzioni di tenant, vedere Distribuire in un tenant.