在没有 Azure 订阅的情况下部署 Microsoft Graph 资源

可以限定 部署范围，以便将 Bicep 模板中定义的资源部署到特定的 Azure 范围，例如管理组、订阅或资源组。 这些范围都需要 Azure 订阅。

在某些情况下，需要使用 Bicep 模板来部署 Microsoft Graph 资源，但：

1. 你的公司或租户不使用 Azure 服务
2. 你有一个 Azure AD B2C 租户，该租户 不支持 Azure 订阅
3. 你有一个Microsoft Entra 外部 ID外部租户，该租户不支持 Azure 订阅

使用租户范围的部署，可以在不使用 Azure 订阅的情况下部署 Microsoft Graph 资源。

本文演示如何将部署范围限定为租户范围，而不使用 Azure 订阅。 仅当 Bicep 模板文件仅包含 Microsoft Graph 资源时才适用。 如果模板文件包含除 Microsoft Graph 资源外还包含 Azure 资源，则需要有效的 Azure 订阅。

重要

Microsoft Graph Bicep 目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

先决条件

• 租户没有 Azure 订阅。
• 若要部署 Bicep 文件，执行部署的主体需要最低特权权限来部署 Bicep 文件中声明的资源。
• 安装用于创作和部署的 Bicep 工具。 本操作指南文章将 VS Code 与用于创作的 Bicep 扩展配合使用，以及用于部署的 Azure CLI。 还针对 Azure PowerShell 提供了示例。
• 可以通过交互方式或通过零接触（仅限应用）部署来部署 Bicep 文件。

部署 Microsoft Graph 资源

以下步骤演示如何在租户范围内部署 Microsoft Graph 资源，而无需 Azure 订阅。

1. 将必要的部署权限分配给执行部署的主体。

   1. 如果您没有被分配到角色，则将账号访问权限提升到用户访问管理员角色 。
   2. 向需要部署模板的用户或服务主体 (<principalType>) 的 <principalId> 分配部署权限。 范围 / 是指租户范围的作用域。 以下选项指示向主体分配部署权限的方法，这些权限按最低到最高特权的顺序列出。
      • 分配具有 Microsoft.Resources/deployments/* 权限的自定义角色。
      • 分配具有 Microsoft.Resources/deployments/* 权限的用于 DevOps 的内置 Azure 角色。
      • 分配所有者或参与者角色。
   Azure CLI

   az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
   

   Azure PowerShell

   New-AzRoleAssignment -ObjectId "<principalId>" -ObjectType "<principalType>" -Scope "/" -RoleDefinitionName "Owner"
   

   3. 删除高级访问权限分配。

2. 在 main.bicep 文件中，添加targetScope = 'tenant'以设置租户级部署范围。 Bicep 文件必须仅声明Microsoft Graph 资源。

3. 使用具有部署特权的安全主体执行租户部署，使用 az deployment tenant create 或 New-AzTenantDeployment：

   Azure CLI

   az deployment tenant create --location WestUS --template-file main.bicep
   

   Azure PowerShell

   New-AzTenantDeployment -location "WestUS" -TemplateFile ".\main.bicep"
   

   该位置是必需的，并告知 Azure 资源管理器存储部署数据的位置。

有关租户部署的详细信息，请参阅 “部署到租户”。