Развертывание ресурсов Microsoft Graph без подписки Azure

Развертывания можно ограничить, чтобы ресурсы, определенные в шаблоне Bicep, развертывались в определенной области Azure, например в группе управления, подписке или группе ресурсов. Для всех этих областей требуется подписка Azure.

Существует несколько сценариев, в которых необходимо использовать шаблоны Bicep для развертывания ресурсов Microsoft Graph, но:

1. Ваша компания или клиент не используют службы Azure
2. У вас есть клиент Azure AD B2C, который не может поддерживать подписки Azure
3. У вас есть Внешняя идентификация Microsoft Entra внешний клиент, который не может поддерживать подписки Azure

С помощью развертывания с областью действия клиента можно развернуть ресурсы Microsoft Graph без подписки Azure.

В этой статье показано, как ограничить развертывание областью клиента и без использования подписки Azure. Применяется только в том случае, если файл шаблона Bicep содержит только ресурсы Microsoft Graph. Если файл шаблона содержит ресурсы Azure в дополнение к ресурсам Microsoft Graph, вам потребуется действительная подписка Azure.

Внимание

Microsoft Graph Bicep в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Необходимые компоненты

• У вашего клиента нет подписок Azure.
• Чтобы развернуть файл Bicep, субъекту, выполняющим развертывание, требуются разрешения с минимальными привилегиями для развертывания ресурсов, объявленных в файле Bicep.
• Установите средства Bicep для разработки и развертывания. В этой статье используется VS Code с расширением Bicep для разработки и Azure CLI для развертывания. Примеры также предоставляются для Azure PowerShell.
• Файлы Bicep можно развертывать в интерактивном режиме или с помощью развертывания только для приложений.

Развертывание ресурсов Microsoft Graph

Ниже показано, как развернуть ресурсы Microsoft Graph в области клиента без необходимости подписки Azure.

1. Назначьте необходимые разрешения развертывания субъекту, выполняя развертывание. Это задание может выполнять только глобальный администратор Microsoft Entra:

   • Повышение доступа к учетной записи, чтобы глобальный администратор смог назначить роли Azure.

   • Назначьте роль <principalId> владельца или участника пользователю или субъекту-службе, <principalType>которая должна развернуть шаблоны. Область / относится к области на уровне клиента.

     Azure CLI

     az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
     

     Azure PowerShell

     New-AzRoleAssignment -ObjectId "<principalId>" -ObjectType "<principalType>" -Scope "/" -RoleDefinitionName "Owner"
     

2. В файле main.bicep добавьте targetScope = 'tenant' область развертывания на уровне клиента. Файл Bicep должен объявлять только ресурсы Microsoft Graph.

3. Выполните развертывание клиента с помощью субъекта безопасности, имеющего привилегии развертывания, с помощью az deployment tenant create или New-AzTenantDeployment:

   Azure CLI

   az deployment tenant create --location WestUS --template-file main.bicep
   

   Azure PowerShell

   New-AzTenantDeployment -location "WestUS" -TemplateFile ".\main.bicep"
   

   Расположение является обязательным и сообщает Azure Resource Manager, где хранить данные развертывания.

Дополнительные сведения о развертываниях клиентов см. в разделе "Развертывание в клиенте".