Nasazení tenantů pomocí šablon ARM
S tím, jak vaše organizace zralá, možná budete muset definovat a přiřazovat zásady nebo řízení přístupu na základě role v Azure (Azure RBAC) v rámci vašeho tenanta Microsoft Entra. Pomocí šablon na úrovni tenanta můžete deklarativní použít zásady a přiřadit role na globální úrovni.
Tip
Doporučujeme Bicep, protože nabízí stejné možnosti jako šablony ARM a syntaxe se snadněji používá. Další informace najdete v tématu Nasazení tenantů.
Podporované prostředky
Ne všechny typy prostředků je možné nasadit na úrovni tenanta. Tato část obsahuje seznam podporovaných typů prostředků.
Pro řízení přístupu na základě role v Azure (Azure RBAC) použijte:
Pro vnořené šablony, které se nasazují do skupin pro správu, předplatných nebo skupin prostředků, použijte:
Při vytváření skupin pro správu použijte:
Při vytváření předplatných použijte:
Ke správě nákladů použijte:
Ke konfiguraci portálu použijte:
Předdefinované definice zásad jsou prostředky na úrovni tenanta, ale v tenantovi nemůžete nasadit vlastní definice zásad. Příklad přiřazení předdefinované definice zásad k prostředku najdete v příkladu tenantResourceId.
Schéma
Schéma, které používáte pro nasazení tenanta, se liší od schématu pro nasazení skupin prostředků.
Pro šablony použijte:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
...
}
Schéma souboru parametrů je stejné pro všechny obory nasazení. Pro soubory parametrů použijte:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
...
}
Požadovaný přístup
Objekt zabezpečení, který šablonu nasazuje, musí mít oprávnění k vytváření prostředků v oboru tenanta. Objekt zabezpečení musí mít oprávnění ke spuštění akcí nasazení (Microsoft.Resources/deployments/*) a k vytvoření prostředků definovaných v šabloně. Pokud například chcete vytvořit skupinu pro správu, musí mít objekt zabezpečení oprávnění Přispěvatel v oboru tenanta. Pokud chcete vytvořit přiřazení rolí, musí mít objekt zabezpečení oprávnění vlastníka.
Globální Správa istrator pro ID Microsoft Entra nemá automaticky oprávnění k přiřazování rolí. Pokud chcete povolit nasazení šablon v oboru tenanta, musí globální Správa istrator provést následující kroky:
Zvyšte úroveň přístupu k účtu, aby globální Správa istrator mohl přiřazovat role. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.
Přiřaďte k objektu zabezpečení vlastníka nebo přispěvatele, který potřebuje nasadit šablony.
New-AzRoleAssignment -SignInName "[userId]" -Scope "/" -RoleDefinitionName "Owner"az role assignment create --assignee "[userId]" --scope "/" --role "Owner"
Objekt zabezpečení teď má požadovaná oprávnění k nasazení šablony.
Příkazy nasazení
Příkazy pro nasazení tenanta se liší od příkazů pro nasazení skupin prostředků.
Pro Azure CLI použijte příkaz az deployment tenant create:
az deployment tenant create \
--name demoTenantDeployment \
--location WestUS \
--template-uri "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/tenant-deployments/new-mg/azuredeploy.json"
Podrobnější informace opříkazch
- Nasazení prostředků pomocí šablon ARM a webu Azure Portal
- Nasazení prostředků pomocí šablon ARM a Azure CLI
- Nasazení prostředků pomocí šablon ARM a Azure PowerShellu
- Nasazení prostředků pomocí šablon ARM a rozhraní REST API Azure Resource Manageru
- Použití tlačítka nasazení k nasazení šablon z úložiště GitHub
- Nasazení šablon ARM z Cloud Shellu
Umístění a název nasazení
Pro nasazení na úrovni tenanta musíte zadat umístění pro nasazení. Umístění nasazení je oddělené od umístění prostředků, které nasadíte. Umístění nasazení určuje, kam se mají ukládat data nasazení. Nasazení předplatných a skupin pro správu také vyžadují umístění. Pro nasazení skupin prostředků se umístění skupiny prostředků používá k ukládání dat nasazení.
Můžete zadat název nasazení nebo použít výchozí název nasazení. Výchozí název je název souboru šablony. Například nasazení šablony s názvem azuredeploy.json vytvoří výchozí název nasazení azuredeploy.
Pro každý název nasazení je umístění neměnné. Nasazení nemůžete vytvořit v jednom umístění, pokud existuje existující nasazení se stejným názvem v jiném umístění. Pokud například vytvoříte nasazení tenanta s názvem deployment1 v centralus, nemůžete později vytvořit jiné nasazení s názvem deployment1, ale umístěním westus. Pokud se zobrazí kód InvalidDeploymentLocationchyby, použijte pro tento název jiný název nebo stejné umístění jako předchozí nasazení.
Obory nasazení
Při nasazování do tenanta můžete prostředky nasadit do:
- tenant
- skupiny pro správu v rámci tenanta
- předplatnými
- skupiny prostředků
Prostředek rozšíření může být vymezen na cíl, který se liší od cíle nasazení.
Uživatel, který šablonu nasazuje, musí mít přístup k zadanému oboru.
Tato část ukazuje, jak zadat různé obory. Tyto různé obory můžete kombinovat v jedné šabloně.
Rozsah na tenanta
Prostředky definované v oddílu prostředků šablony se použijí pro tenanta.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
tenant-resources
],
"outputs": {}
}
Rozsah na skupinu pro správu
Pokud chcete cílit na skupinu pro správu v rámci tenanta, přidejte vnořené nasazení a zadejte scope vlastnost.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string"
}
},
"variables": {
"mgId": "[concat('Microsoft.Management/managementGroups/', parameters('mgName'))]"
},
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2022-09-01",
"name": "nestedMG",
"scope": "[variables('mgId')]",
"location": "eastus",
"properties": {
"mode": "Incremental",
"template": {
management-group-resources
}
}
}
],
"outputs": {}
}
Rozsah předplatného
Můžete také cílit na předplatná v rámci tenanta. Uživatel, který šablonu nasazuje, musí mít přístup k zadanému oboru.
Pokud chcete cílit na předplatné v rámci tenanta, použijte vnořené nasazení a subscriptionId vlastnost.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedSub",
"location": "westus2",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
subscription-resources
}
]
}
}
}
]
}
Rozsah na skupinu prostředků
Můžete také cílit na skupiny prostředků v rámci tenanta. Uživatel, který šablonu nasazuje, musí mít přístup k zadanému oboru.
Pokud chcete cílit na skupinu prostředků v rámci tenanta, použijte vnořené nasazení. Nastavte vlastnosti subscriptionId a resourceGroup vlastnosti. Nenastavujte umístění pro vnořené nasazení, protože je nasazené v umístění skupiny prostředků.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedRGDeploy",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroup": "demoResourceGroup",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
resource-group-resources
}
]
}
}
}
]
}
Vytvoření skupiny pro správu
Následující šablona vytvoří skupinu pro správu.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string",
"defaultValue": "[concat('mg-', uniqueString(newGuid()))]"
}
},
"resources": [
{
"type": "Microsoft.Management/managementGroups",
"apiVersion": "2020-02-01",
"name": "[parameters('mgName')]",
"properties": {
}
}
]
}
Pokud váš účet nemá oprávnění k nasazení do tenanta, můžete skupiny pro správu vytvořit nasazením do jiného oboru. Další informace naleznete v tématu Skupina pro správu.
Přiřazení role
Následující šablona přiřadí roli v oboru tenanta.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/tenantDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "17107802581699825924"
}
},
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "principalId if the user that will be given contributor access to the tenant"
}
},
"roleDefinitionId": {
"type": "string",
"defaultValue": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"metadata": {
"description": "roleDefinition for the assignment - default is owner"
}
}
},
"variables": {
"roleAssignmentName": "[guid('/', parameters('principalId'), parameters('roleDefinitionId'))]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2020-03-01-preview",
"name": "[variables('roleAssignmentName')]",
"properties": {
"roleDefinitionId": "[tenantResourceId('Microsoft.Authorization/roleDefinitions', parameters('roleDefinitionId'))]",
"principalId": "[parameters('principalId')]"
}
}
]
}
Další kroky
- Další informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí šablon Azure Resource Manageru.
- Můžete také nasadit šablony na úrovni předplatného nebo na úrovni skupiny pro správu.