다음을 통해 공유

Azure 구독 없이 Microsoft Graph 리소스 배포

  • 아티클

Bicep 템플릿에 정의된 리소스가 관리 그룹, 구독 또는 리소스 그룹과 같은 특정 Azure 범위에 배포되도록 배포 범위를 지정할 수 있습니다 . 이러한 범위에는 모두 Azure 구독이 필요합니다.

Bicep 템플릿을 사용하여 Microsoft Graph 리소스를 배포해야 하지만 다음과 같은 몇 가지 시나리오가 있습니다.

  1. 회사 또는 테넌트가 Azure 서비스를 사용하지 않음
  2. Azure 구독을 지원할 수 없는 Azure AD B2C 테넌트가 있습니다.
  3. Azure 구독을 지원할 수 없는 Microsoft Entra 외부 ID 외부 테넌트가 있습니다.

테넌트 범위 배포를 사용하면 Azure 구독 없이 Microsoft Graph 리소스를 배포할 수 있습니다.

이 문서에서는 Azure 구독을 사용하지 않고도 배포 범위를 테넌트 범위로 지정하는 방법을 보여 줍니다. Bicep 템플릿 파일에 Microsoft Graph 리소스만 포함된 경우에만 적용됩니다. 템플릿 파일에 Microsoft Graph 리소스 외에 Azure 리소스가 포함된 경우 유효한 Azure 구독이 필요합니다.

Important

Microsoft Graph Bicep은 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

  • 테넌트에 Azure 구독이 없습니다.
  • Bicep 파일을 배포하려면 배포를 수행하는 보안 주체가 Bicep 파일에 선언된 리소스를 배포하기 위한 최소 권한 권한이 필요합니다.
  • 작성 및 배포를 위한 Bicep 도구를 설치합니다. 이 방법 문서에서는 작성을 위해 Bicep 확장과 함께 VS Code를 사용하고 배포를 위해 Azure CLI를 사용합니다. Azure PowerShell에 대한 샘플도 제공됩니다.
  • 대화형으로 또는 제로 터치(앱 전용) 배포를 통해 Bicep 파일을 배포할 수 있습니다.

Microsoft Graph 리소스 배포

다음 단계에서는 Azure 구독을 요구하지 않고 테넌트 범위에서 Microsoft Graph 리소스를 배포하는 방법을 보여 줍니다.

  1. 배포를 수행하는 보안 주체에게 필수 배포 권한을 할당합니다. Microsoft Entra 전역 관리자만 이 할당을 수행할 수 있습니다.

    • 전역 관리자가 Azure 역할을 할당할 수 있도록 계정 액세스 권한을 상승합니다.

    • 템플릿을 배포해야 하는 <principalId> 사용자 또는 서비스 주체 <principalType>에 소유자 또는 기여자 역할을 할당합니다. 범위는 / 테넌트 전체 범위를 참조합니다.

      az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`

  2. main.bicep 파일에서 테넌트 수준 배포 범위를 설정하기 위해 추가 targetScope = 'tenant' 합니다. Bicep 파일은 Microsoft Graph 리소스만 선언해야 합니다.

  3. az deployment tenant create 또는 New-AzTenantDeployment를 사용하여 배포 권한이 있는 보안 주체를 사용하여 테넌트 배포를 수행합니다.

    az deployment tenant create --location WestUS --template-file main.bicep

테넌트 배포에 대한 자세한 내용은 테넌트에 배포를 참조하세요.