設定藍圖操作員環境

重要

在 2026 年 7 月 11 日，藍圖 (預覽) 將會淘汰。 將現有的藍圖定義和指派移轉至範本規格和部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要了解如何將成品撰寫為 ARM 資源，請參閱：

• 原則
• RBAC
• 部署

您可以指派由不同的小組來管理藍圖定義和藍圖指派。 通常是架構設計人員或治理小組負責藍圖定義的生命週期管理，而作業小組負責管理這些集中控制藍圖定義的指派。

藍圖操作員內建角色專門設計來用於這種情況。 此角色可讓作業類型小組管理組織藍圖定義的指派，但無法修改。 這麼做需要在 Azure 環境中做一些設定，本文說明必要的步驟。

將權限授與藍圖操作員

第一個步驟是將藍圖操作員角色授與將獲指派藍圖的帳戶或安全性群組 (建議)。 此動作應該在管理群組階層的最高層級完成，其中包含作業小組應該具有藍圖指派存取權的所有管理群組和訂用帳戶。 在授與這些權限時，建議遵循最低權限原則。

1. (建議) 建立安全性群組並新增成員

2. 指派 Azure 角色藍圖操作員給帳戶或安全性群組

使用者指派的受控識別

藍圖定義可以使用系統指派或使用者指派的受控識別。 不過，使用藍圖操作員角色時，藍圖定義必須設定為利用使用者指派的受控識別。 此外，獲授與藍圖操作員角色的帳戶或安全性群組，在使用者指派的受控識別上必須獲授與受控識別操作員角色。 如果沒有此權限，藍圖指派會因為權限不足而失敗。

1. 建立使用者指派的受控識別，以供指派的藍圖使用。

2. 將預定範圍的藍圖定義所需的任何角色或權限，授與使用者指派的受控識別。

3. 指派 Azure 角色受控識別操作員給帳戶或安全性群組。 將角色指派範圍設定為新的使用者指派受控識別。

4. 以藍圖操作員身分指派藍圖，該藍圖使用新的使用者指派受控識別。

下一步

• 了解藍圖生命週期。
• 了解如何使用靜態與動態參數。
• 了解如何自訂藍圖排序順序。
• 了解如何使用藍圖資源鎖定。
• 使用一般疑難排解來解決藍圖指派期間發生的問題。