Implantar recursos do Microsoft Graph sem uma assinatura do Azure

As implantações podem ter escopo para que os recursos definidos em um modelo Bicep sejam implantados em um escopo específico do Azure, como um grupo de gerenciamento, assinatura ou grupo de recursos. Todos esses escopos exigem uma assinatura do Azure.

Há vários cenários em que você precisa usar modelos Bicep para implantar recursos do Microsoft Graph, mas:

1. Sua empresa ou locatário não usa os serviços do Azure
2. Você tem um locatário do Azure AD B2C que não pode dar suporte a assinaturas do Azure
3. Você tem um locatário externo da ID externa do Microsoft Entra que não pode dar suporte a assinaturas do Azure

Usando uma implantação no escopo do locatário, é possível implantar recursos do Microsoft Graph sem uma assinatura do Azure.

Este artigo demonstra como definir o escopo de suas implantações para um escopo de locatário e sem usar uma assinatura do Azure. Ele só se aplica se o arquivo de modelo Bicep contiver apenas recursos do Microsoft Graph. Se o arquivo de modelo contiver recursos do Azure além dos recursos do Microsoft Graph, você precisará de uma assinatura válida do Azure.

Importante

O Microsoft Graph Bicep está atualmente em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

• Seu locatário não tem assinaturas do Azure.
• Para implantar um arquivo Bicep, a entidade de segurança que executa a implantação precisa das permissões menos privilegiadas para implantar os recursos declarados no arquivo Bicep.
• Instale as ferramentas do Bicep para criação e implantação. Este artigo de instruções usa o VS Code com a extensão Bicep para criação e a CLI do Azure para implantação. Exemplos também são fornecidos para o Azure PowerShell.
• Você pode implantar os arquivos Bicep interativamente ou por meio da implantação sem toque (somente aplicativo).

Implantar recursos do Microsoft Graph

As etapas a seguir mostram como implantar recursos do Microsoft Graph no escopo do locatário sem exigir uma assinatura do Azure.

1. Atribua as permissões de implantação necessárias à entidade de segurança que executa a implantação. Somente um Administrador Global do Microsoft Entra pode executar esta atribuição:

   • Eleve o acesso à conta para que o Administrador Global possa atribuir funções do Azure.

   • Atribua a função Proprietário ou Colaborador ao <principalId> do usuário ou entidade de serviço, <principalType>, que precisa implantar os modelos. O / escopo refere-se a um escopo em todo o locatário.

     CLI do Azure

     az role assignment create --assignee-object-id "<principalId>" --assignee-principal-type "<principalType>" --scope "/" --role "Owner"`
     

     PowerShell do Azure

     New-AzRoleAssignment -ObjectId "<principalId>" -ObjectType "<principalType>" -Scope "/" -RoleDefinitionName "Owner"
     

2. No arquivo main.bicep, adicione targetScope = 'tenant' para definir um escopo de implantação no nível do locatário. Seu arquivo Bicep deve declarar apenas recursos do Microsoft Graph.

3. Execute uma implantação de locatário usando a entidade de segurança que tem privilégios de implantação, usando az deployment tenant create ou New-AzTenantDeployment:

   CLI do Azure

   az deployment tenant create --location WestUS --template-file main.bicep
   

   PowerShell do Azure

   New-AzTenantDeployment -location "WestUS" -TemplateFile ".\main.bicep"
   

   O local é necessário e informa ao Azure Resource Manager onde armazenar os dados de implantação.

Para obter mais informações sobre implantações de locatário, consulte Implantar em um locatário.