Leer en inglés

Compartir a través de

Implementación de recursos de Microsoft Graph sin una suscripción de Azure

  • Artículo

Las implementaciones se pueden limitar para que los recursos definidos en una plantilla de Bicep se implementen en un ámbito específico de Azure, como un grupo de administración, una suscripción o un grupo de recursos. Todos estos ámbitos requieren una suscripción de Azure.

Hay varios escenarios en los que debe usar plantillas de Bicep para implementar recursos de Microsoft Graph, pero:

  1. Su empresa o inquilino no usa servicios de Azure
  2. Tiene un inquilino de Azure AD B2C que no admite suscripciones de Azure.
  3. Tiene un cliente externo de Microsoft Entra External ID que no admite suscripciones de Azure.

Con una implementación con ámbito de inquilino, es posible implementar recursos de Microsoft Graph sin una suscripción de Azure.

En este artículo se muestra cómo definir el ámbito de las implementaciones en un ámbito de inquilino y sin usar una suscripción de Azure. Solo se aplica si el archivo de plantilla de Bicep solo contiene recursos de Microsoft Graph. Si el archivo de plantilla contiene recursos de Azure además de los recursos de Microsoft Graph, necesita una suscripción de Azure válida.

Importante

Microsoft Graph Bicep está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

  • El inquilino no tiene suscripciones de Azure.
  • Para implementar un archivo de Bicep, la persona o servicio que realiza la implementación necesita los permisos de menor privilegio para implementar los recursos declarados en el archivo de Bicep.
  • Instale las herramientas de Bicep para crear e implementar. En este artículo de procedimientos se usa VS Code con la extensión de Bicep para la creación y la CLI de Azure para la implementación. También se proporcionan ejemplos para Azure PowerShell.
  • Puede implementar los archivos de Bicep de forma interactiva o a través de una implementación sin intervención (solo con aplicación).

Implementación de recursos de Microsoft Graph

Los pasos siguientes muestran cómo implementar recursos de Microsoft Graph en el ámbito del inquilino sin necesidad de una suscripción de Azure.

  1. Asigne los permisos de implementación necesarios a la entidad de seguridad que realiza la implementación.

    1. Elevar el acceso de la cuenta al rol de Administrador de acceso de usuario si no tiene asignado el rol.
    2. Asigne los permisos de implementación al <principalId> del usuario o a la entidad de servicio <principalType>, que necesita implementar las plantillas. El ámbito de / se refiere a un ámbito a nivel de inquilino. Las siguientes opciones indican formas de asignar los permisos de implementación al principal, de menor a mayor nivel de privilegio.
      • Asigne un rol personalizado con el permiso Microsoft.Resources/deployments/*.
      • Asigne un rol integrado de Azure para DevOps que incluye el permiso Microsoft.Resources/deployments/*.
      • Asigne el rol de Propietario o Colaborador.
    az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
    1. Quite la asignación de acceso con privilegios elevados.

  2. En el archivo main.bicep, agregue targetScope = 'tenant' para establecer un ámbito de implementación de nivel de inquilino. El archivo de Bicep debe declarar solo los recursos de Microsoft Graph.

  3. Realice una implementación de tenant mediante el principal de seguridad que disponga de privilegios de implementación, mediante az deployment tenant create o New-AzTenantDeployment:

    az deployment tenant create --location WestUS --template-file main.bicep

Para obtener más información sobre las implementaciones de inquilinos, consulte Implementación a un inquilino.