Phasen einer Blaupausenbereitstellung

Wichtig

Am 11. Juli 2026 läuft Blueprints (Vorschau) aus. Migrieren Sie Ihre vorhandenen Blaupausendefinitionen und -zuweisungen zu Vorlagenspezifikationen und Bereitstellungsstapeln. Blaupausenartefakte müssen in ARM-JSON-Vorlagen oder Bicep-Dateien konvertiert werden, die zum Definieren von Bereitstellungsstapeln verwendet werden. Informationen zum Erstellen eines Artefakts als ARM-Ressource finden Sie unter:

• Richtlinie
• RBAC
• Bereitstellungen

Wenn eine Blaupause bereitgestellt wird, werden mehrere Aktionen vom Azure Blueprints-Dienst durchgeführt, um die in der Blaupause definierten Ressourcen bereitzustellen. In diesem Artikel werden die einzelnen Schritte erläutert.

Die Blaupausenbereitstellung wird durch Zuweisen einer Blaupause zu einem Abonnement oder durch Aktualisieren einer vorhandenen Zuweisung ausgelöst. Während der Bereitstellung führt Azure Blueprints die folgenden allgemeinen Schritte aus:

• Azure Blueprints werden Besitzerrechte gewährt.
• Erstellen des Blaupausenzuweisungsobjekts
• Optional: Azure Blueprints erstellt eine systemseitig zugewiesene verwaltete Identität
• Die verwaltete Identität stellt Blaupausenartefakte bereit
• Die Rechte des Azure Blueprints-Diensts und der systemseitig zugewiesenen verwalteten Identität werden widerrufen.

Azure Blueprints werden Besitzerrechte gewährt.

Dem Azure Blueprints-Dienstprinzipal werden Besitzerrechte für die zugewiesenen Abonnements oder für Abonnements gewährt, wenn eine systemseitig zugewiesene verwaltete Identität verwendet wird. Mit der gewährten Rolle kann Azure Blueprints die systemseitig zugewiesene verwaltete Identität erstellen und später widerrufen. Wenn eine vom Benutzer zugewiesene verwaltete Identität verwendet wird, erhält der Azure Blueprints-Dienstprinzipal keine Besitzerrechte für das Abonnement, und er benötigt diese auch nicht.

Die Rechte werden automatisch gewährt, wenn die Zuweisung über das Portal erfolgt. Wenn die Zuweisung jedoch über die REST-API erfolgt, müssen die Rechte mithilfe eines separaten API-Aufrufs gewährt werden. Die Azure Blueprints-App-ID lautet f71766dc-90d9-4b7d-bd9d-4499c4331c3f, die Dienstprinzipale variieren jedoch je nach Mandant. Verwenden Sie die Azure Active Directory Graph-API und den REST-Endpunkt servicePrincipals, um den Dienstprinzipal abzurufen. Gewähren Sie dann Azure Blueprints die Rolle Besitzer über das Portal, die Azure CLI, Azure PowerShell, die REST-API oder eine Azure Resource Manager-Vorlage.

Der Azure Blueprints-Dienst stellt die Ressourcen nicht direkt bereit.

Erstellen des Blaupausenzuweisungsobjekts

Ein Benutzer, eine Gruppe oder ein Dienstprinzipal weist eine Blaupause zu einem Abonnement zu. Das Zuweisungsobjekt befindet sich auf der Abonnementebene, der die Blaupause zugewiesen wurde. Ressourcen, die von der Bereitstellung erstellt werden, stehen nicht im Zusammenhang mit der bereitstellenden Entität.

Bei der Erstellung der Blaupausenzuweisung wird der Typ der verwalteten Identität ausgewählt. Die systemseitig zugewiesene verwaltete Identität entspricht dem Standardtyp. Eine benutzerseitig zugewiesene verwaltete Identität kann ebenfalls ausgewählt werden. Bei der Verwendung einer benutzerseitig zugewiesenen verwalteten Identität muss diese definiert werden und die Berechtigungen erhalten, bevor die Blaupausenzuweisung erstellt wird. Die integrierten Rollen Besitzer und Blueprint-Operator verfügen über die erforderliche blueprintAssignment/write-Berechtigung zum Erstellen einer Zuweisung, die eine vom Benutzer zugewiesene verwaltete Identität verwendet.

Optional: Azure Blueprints erstellt eine systemseitig zugewiesene verwaltete Identität

Wenn die systemseitig zugewiesene verwaltete Identität während der Zuweisung ausgewählt wird, erstellt Azure Blueprints die verwaltete Identität und weist ihr die Rolle Besitzer zu. Wenn eine vorhandene Zuweisung aktualisiert wird, verwendet Azure Blueprints die zuvor erstellte verwaltete Identität.

Die verwaltete Identität, die im Zusammenhang mit der Blaupausenzuweisung steht, wird zum Bereitstellen oder erneuten Bereitstellen der in der Blaupause definierten Ressourcen verwendet. Auf diese Weise wird vermieden, dass Zuweisungen sich nicht unbeabsichtigt gegenseitig beeinträchtigen. Somit wird außerdem das Feature Ressourcensperren unterstützt, indem die Sicherheit für alle von der Blaupause bereitgestellten Ressourcen gesteuert wird.

Die verwaltete Identität stellt Blaupausenartefakte bereit

Die verwaltete Identität löst dann die Resource Manager-Bereitstellungen der Artefakte in der Blaupause gemäß der definierten Reihenfolge aus. Die Reihenfolge kann angepasst werden, um sicherzustellen, dass Artefakte, die von anderen Artefakten abhängig sind, in der richtigen Reihenfolge bereitgestellt werden.

Oft ist der Zugriff, der der verwalteten Identität gewährt wird, die Ursache für Zugriffsfehler bei Bereitstellungen. Der Azure Blueprints-Dienst verwaltet den Sicherheitslebenszyklus der systemseitig zugewiesenen verwalteten Identität. Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität ist jedoch der Benutzer für die Verwaltung der Rechte und des Lebenszyklus verantwortlich.

Die Rechte des Azure Blueprints-Diensts und der systemseitig zugewiesenen verwalteten Identität werden widerrufen

Sobald die Bereitstellungen abgeschlossen sind, widerruft Azure Blueprints die Rechte der systemseitig zugewiesenen verwalteten Identität aus dem Abonnement. Dann widerruft der Azure Blueprints-Dienst die eigenen Rechte aus dem Abonnement. Durch die Entfernung der Rechte wird verhindert, dass Azure Blueprints der dauerhafte Besitzer eines Abonnements wird.

Nächste Schritte

• Machen Sie sich mit der Verwendung statischer und dynamischer Parameter vertraut.
• Erfahren Sie, wie Sie die Abfolge von Blaupausen anpassen können.
• Erfahren Sie, wie Sie Ressourcen in Blaupausen sperren können.
• Lernen Sie, wie Sie vorhandene Zuweisungen aktualisieren.
• Beheben Sie Probleme bei der Blaupausenzuweisung mithilfe des allgemeinen Leitfadens zur Problembehandlung.