在沒有 Azure 訂用帳戶的情況下部署 Microsoft Graph 資源

您可以設定部署範圍 ，讓 Bicep 範本中定義的資源部署到特定的 Azure 範圍，例如管理群組、訂用帳戶或資源群組。 這些範圍全都需要 Azure 訂用帳戶。

有幾個案例需要使用 Bicep 範本來部署 Microsoft Graph 資源，但：

1. 您的公司或租使用者未使用 Azure 服務
2. 您有無法支援 Azure 訂用帳戶的 Azure AD B2C 租使用者
3. 您有 Microsoft Entra 外部 ID 外部租用戶，無法支援 Azure 訂用帳戶

使用租用戶範圍的部署，即可在沒有 Azure 訂用帳戶的情況下部署 Microsoft Graph 資源。

本文示範如何將部署範圍限定為租用戶範圍，而不要使用 Azure 訂用帳戶。 只有當 Bicep 範本檔案只包含 Microsoft Graph 資源時，才適用。 如果您的範本檔案除了Microsoft Graph 資源之外，還包含 Azure 資源，您需要有效的 Azure 訂用帳戶。

重要

Microsoft Graph Bicep 目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

必要條件

• 您的租用戶沒有 Azure 訂用帳戶。
• 若要部署 Bicep 檔案，執行部署的主體需要最低許可權，才能部署 Bicep 檔案中宣告的資源。
• 安裝 Bicep 工具以進行撰寫和部署。 本操作說明文章使用 VS Code 搭配 Bicep 擴充功能進行撰寫，以及用於部署的 Azure CLI。 Azure PowerShell 也會提供範例。
• 您可以互動方式部署 Bicep 檔案，或透過零觸控式（僅限應用程式）部署。

部署 Microsoft Graph 資源

下列步驟示範如何在租用戶範圍部署 Microsoft Graph 資源，而不需要 Azure 訂用帳戶。

1. 將必要的部署許可權指派給執行部署的主體。 只有Microsoft Entra 全域管理員可以執行此指派：

   • 提高帳戶存取權，讓全域管理員可以指派 Azure 角色。

   • 將擁有者或參與者角色指派給 <principalId> 需要部署範本之使用者或服務主體 <principalType>的 。 範圍 / 是指整個租用戶的範圍。

     Azure CLI

     az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
     

     Azure PowerShell

     New-AzRoleAssignment -ObjectId "<principalId>" -ObjectType "<principalType>" -Scope "/" -RoleDefinitionName "Owner"
     

2. 在您的 main.bicep 檔案中，新增 targetScope = 'tenant' 以設定租用戶層級部署範圍。 您的 Bicep 檔案只能宣告Microsoft Graph 資源。

3. 使用具有部署許可權的安全性主體，使用 az deployment tenant create 或 New-AzTenantDeployment 執行租使用者部署：

   Azure CLI

   az deployment tenant create --location WestUS --template-file main.bicep
   

   Azure PowerShell

   New-AzTenantDeployment -location "WestUS" -TemplateFile ".\main.bicep"
   

   位置為必要位置，並告知 Azure Resource Manager 儲存部署數據的位置。

如需租使用者部署的詳細資訊，請參閱 部署至租使用者。