Partilhar via

Implantar recursos do Microsoft Graph sem uma assinatura do Azure

  • Artigo

As implantações podem ter escopo para que os recursos definidos em um modelo Bicep sejam implantados em um escopo específico do Azure, como um grupo de gerenciamento, assinatura ou grupo de recursos. Todos esses escopos exigem uma assinatura do Azure.

Há vários cenários em que você precisa usar modelos Bicep para implantar recursos do Microsoft Graph, mas:

  1. A sua empresa ou inquilino não utiliza os serviços do Azure
  2. Você tem um locatário do Azure AD B2C que não pode dar suporte a assinaturas do Azure
  3. Você tem um locatário externo de ID Externa do Microsoft Entra que não pode dar suporte a assinaturas do Azure

Usando uma implantação com escopo de locatário, é possível implantar recursos do Microsoft Graph sem uma assinatura do Azure.

Este artigo demonstra como definir o escopo de suas implantações para um escopo de locatário e sem usar uma assinatura do Azure. Ele só se aplica se o arquivo de modelo Bicep contiver apenas recursos do Microsoft Graph. Se o seu arquivo de modelo contiver recursos do Azure, além dos recursos do Microsoft Graph, você precisará de uma assinatura válida do Azure.

Importante

O Microsoft Graph Bicep está atualmente em pré-visualização. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Pré-requisitos

  • O seu inquilino não tem subscrições do Azure.
  • Para implantar um arquivo Bicep, a entidade que executa a implantação precisa das permissões menos privilegiadas para implantar os recursos declarados no arquivo Bicep.
  • Instale as ferramentas do Bicep para criação e implantação. Este artigo de instruções usa o VS Code com a extensão Bicep para criação e a CLI do Azure para implantação. Exemplos também são fornecidos para o Azure PowerShell.
  • Você pode implantar os arquivos Bicep interativamente ou por meio da implantação zero-touch (somente aplicativo).

Implantar recursos do Microsoft Graph

As etapas a seguir mostram como implantar recursos do Microsoft Graph no escopo do locatário sem exigir uma assinatura do Azure.

  1. Atribua as permissões de implantação necessárias à entidade de segurança que executa a implantação. Somente um Administrador Global do Microsoft Entra pode executar esta atribuição:

    • Eleve o acesso à conta para que o Administrador Global possa atribuir funções do Azure.

    • Atribua a função de Proprietário ou Colaborador ao <principalId> usuário ou entidade de serviço, <principalType>, que precisa implantar os modelos. O / escopo refere-se a um escopo de todo o locatário.

      az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`

  2. No arquivo main.bicep , adicione targetScope = 'tenant' para definir um escopo de implantação no nível do locatário. Seu arquivo Bicep deve declarar apenas recursos do Microsoft Graph.

  3. Execute uma implantação de locatário usando a entidade de segurança que tem privilégios de implantação, usando az deployment tenant create ou New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Para obter mais informações sobre implantações de locatário, consulte Implantar em um locatário.