Wdrażanie zasobów programu Microsoft Graph bez subskrypcji platformy Azure
Wdrożenia mogą być ograniczone tak, aby zasoby zdefiniowane w szablonie Bicep zostały wdrożone w określonym zakresie platformy Azure, takim jak grupa zarządzania, subskrypcja lub grupa zasobów. Wszystkie te zakresy wymagają subskrypcji platformy Azure.
Istnieje kilka scenariuszy, w których należy użyć szablonów Bicep do wdrożenia zasobów programu Microsoft Graph, ale:
- Twoja firma lub dzierżawa nie korzysta z usług platformy Azure
- Masz dzierżawę usługi Azure AD B2C, która nie może obsługiwać subskrypcji platformy Azure
- Masz dzierżawę zewnętrzną Tożsamość zewnętrzna Microsoft Entra, która nie może obsługiwać subskrypcji platformy Azure
Przy użyciu wdrożenia w zakresie dzierżawy można wdrożyć zasoby programu Microsoft Graph bez subskrypcji platformy Azure.
W tym artykule pokazano, jak ograniczyć zakres wdrożeń do zakresu dzierżawy i bez korzystania z subskrypcji platformy Azure. Ma zastosowanie tylko wtedy, gdy plik szablonu Bicep zawiera tylko zasoby programu Microsoft Graph. Jeśli plik szablonu zawiera zasoby platformy Azure oprócz zasobów programu Microsoft Graph, potrzebujesz prawidłowej subskrypcji platformy Azure.
Ważne
Program Microsoft Graph Bicep jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.
Wymagania wstępne
- Dzierżawa nie ma subskrypcji platformy Azure.
- Aby wdrożyć plik Bicep, podmiot zabezpieczeń wykonujący wdrożenie wymaga najmniej uprzywilejowanych uprawnień do wdrożenia zasobów zadeklarowanych w pliku Bicep.
- Zainstaluj narzędzia Bicep do tworzenia i wdrażania. W tym artykule z instrukcjami jest używany program VS Code z rozszerzeniem Bicep do tworzenia i interfejsu wiersza polecenia platformy Azure na potrzeby wdrażania. Przykłady są również udostępniane dla programu Azure PowerShell.
- Pliki Bicep można wdrożyć interaktywnie lub za pomocą wdrożenia typu zero-touch (tylko aplikacja).
Wdrażanie zasobów programu Microsoft Graph
W poniższych krokach pokazano, jak wdrożyć zasoby programu Microsoft Graph w zakresie dzierżawy bez konieczności posiadania subskrypcji platformy Azure.
Przypisz wymagane uprawnienia wdrożenia do podmiotu zabezpieczeń wykonującego wdrożenie. To przypisanie może wykonać tylko administrator globalny firmy Microsoft Entra:
Podnieś poziom dostępu do konta, aby administrator globalny mógł przypisywać role platformy Azure.
Przypisz rolę Właściciel lub Współautor do
<principalId>nazwy użytkownika lub jednostki usługi ,<principalType>która musi wdrożyć szablony. Zakres/odnosi się do zakresu obejmującego całą dzierżawę.az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
W pliku main.bicep dodaj
targetScope = 'tenant'element , aby ustawić zakres wdrożenia na poziomie dzierżawy. Plik Bicep musi zadeklarować tylko zasoby programu Microsoft Graph.Wykonaj wdrożenie dzierżawy przy użyciu podmiotu zabezpieczeń z uprawnieniami wdrożenia, używając polecenia az deployment tenant create lub New-AzTenantDeployment:
az deployment tenant create --location WestUS --template-file main.bicep
Aby uzyskać więcej informacji na temat wdrożeń dzierżaw, zobacz Wdrażanie w dzierżawie.