Dela via

Distribuera Microsoft Graph-resurser utan en Azure-prenumeration

  • Artikel

Distributioner kan begränsas så att de resurser som definieras i en Bicep-mall distribueras till ett specifikt Azure-omfång, till exempel en hanteringsgrupp, prenumeration eller resursgrupp. Alla dessa omfång kräver en Azure-prenumeration.

Det finns flera scenarier där du behöver använda Bicep-mallar för att distribuera Microsoft Graph-resurser, men:

  1. Ditt företag eller din klientorganisation använder inte Azure-tjänster
  2. Du har en Azure AD B2C-klientorganisation som inte har stöd för Azure-prenumerationer
  3. Du har en extern ID för Microsoft Entra som inte har stöd för Azure-prenumerationer

Med hjälp av en distribution med klientomfattning kan du distribuera Microsoft Graph-resurser utan en Azure-prenumeration.

Den här artikeln visar hur du omfångsbegränsar dina distributioner till ett klientomfång och utan att använda en Azure-prenumeration. Det gäller bara om din Bicep-mallfil endast innehåller Microsoft Graph-resurser. Om mallfilen innehåller Azure-resurser utöver Microsoft Graph-resurser behöver du en giltig Azure-prenumeration.

Viktigt!

Microsoft Graph Bicep är för närvarande i förhandsversion. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Förutsättningar

  • Din klientorganisation har inga Azure-prenumerationer.
  • För att distribuera en Bicep-fil behöver huvudnamnet som utför distributionen de minst privilegierade behörigheterna för att distribuera de resurser som deklarerats i Bicep-filen.
  • Installera Bicep-verktyg för redigering och distribution. Den här artikeln använder VS Code med Bicep-tillägget för redigering och Azure CLI för distribution. Exempel finns också för Azure PowerShell.
  • Du kan distribuera Bicep-filerna interaktivt eller via zero-touch-distribution (endast app).

Distribuera Microsoft Graph-resurser

Följande steg visar hur du distribuerar Microsoft Graph-resurser i klientomfånget utan att kräva en Azure-prenumeration.

  1. Tilldela nödvändiga distributionsbehörigheter till det huvudnamn som utför distributionen.

    1. Utöka kontoåtkomsten till rollen Administratör för användaråtkomst om du inte har tilldelats rollen.
    2. Tilldela behörigheter för distribution till <principalId> för användaren eller tjänstens huvudprincip, <principalType>, som behöver distribuera mallarna. Omfånget / refererar till ett klientomfattande omfång. Följande alternativ visar olika sätt att fördela distributionsbehörigheter till huvudenheten, listade i ordning från minst till mest privilegierad.
      • Tilldela en anpassad roll med behörigheten Microsoft.Resources/deployments/*.
      • Tilldela en inbyggd Azure-roll för DevOps som har behörigheten Microsoft.Resources/deployments/*.
      • Tilldela rollen Ägare eller Deltagare.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Ta bort den utökade åtkomsttilldelningen.

  2. I filen main.bicep lägger du till targetScope = 'tenant' för att ange ett distributionsomfång på klientnivå. Din Bicep-fil får endast deklarera Microsoft Graph-resurser.

  3. Utför en klientdistribution med hjälp av säkerhetsobjektet som har distributionsprivilegier med hjälp av az deployment tenant create eller New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Mer information om klientdistributioner finns i Distribuera till en klientorganisation.