ブループリント デプロイのステージ

重要

2026 年 7 月 11 日に、Blueprints (プレビュー) は非推奨になります。 既存のブループリントの定義と割り当てを Template Specsデプロイ スタックに移行します。 ブループリント アーティファクトは、デプロイ スタックの定義に使用される ARM JSON テンプレートまたは Bicep ファイルに変換されます。 アーティファクトを ARM リソースとして作成する方法については、次を参照してください。

ブループリントがデプロイされるとき、Azure Blueprints サービスによって一連のアクションが行われ、ブループリントに定義されているリソースがデプロイされます。 この記事では、各手順の詳細を説明します。

ブループリント デプロイは、ブループリントをサブスクリプションに割り当てるか、既存の割り当てを更新することでトリガーされます。 デプロイ中、Azure Blueprints では次の大まかな手順が行われます。

  • Azure Blueprints に所有者権限が与えられる
  • ブループリント割り当てオブジェクトが作成される
  • 省略可能 - Azure Blueprints によって、システム割り当てマネージド ID が作成される
  • マネージド ID によってブループリント アーティファクトがデプロイされる
  • Azure Blueprints サービスとシステム割り当てマネージド ID の権限が取り消される

Azure Blueprints に所有者権限が与えられる

システム割り当てマネージド ID マネージド ID が使用されるとき、Azure Blueprints サービス プリンシパルには、割り当てられた 1 つまたは複数のサブスクリプションに対する所有者権限が付与されます。 付与されたロールにより、Azure Blueprints ではシステム割り当てマネージド ID を作成し、その後、取り消すことができます。 ユーザー割り当てマネージド ID を使用している場合、Azure Blueprints サービス プリンシパルはサブスクリプションに対する所有者権限を取得せず、またその必要もありません。

割り当てがポータル経由で行われる場合、権限は自動的に付与されます。 ただし、割り当てが REST API 経由で行われる場合、権限付与は個別の API 呼び出しによって行う必要があります。 Azure Blueprints AppId は f71766dc-90d9-4b7d-bd9d-4499c4331c3f ですが、サービス プリンシパルはテナントによって異なります。 Azure Active Directory Graph API と REST エンドポイント servicePrincipals を使用し、サービス プリンシパルを取得します。 次に、Azure Blueprints に "所有者" ロールをポータルAzure CLIAzure PowerShellREST API、または Azure Resource Manager テンプレート経由で付与します。

Azure Blueprints サービスによって、直接リソースがデプロイされることはありません。

ブループリント割り当てオブジェクトが作成される

ユーザー、グループ、サービス プリンシパルによってブループリントがサブスクリプションに割り当てられます。 割り当てオブジェクトは、ブループリントが割り当てられたサブスクリプション レベルで存在します。 デプロイによるリソースの作成は、エンティティのデプロイというコンテキストでは行われません。

ブループリント割り当てを作成するとき、マネージド ID の種類が選択されます。 初期値はシステム割り当てのマネージド ID です。 ユーザー割り当てのマネージド ID を選択できます。 ユーザー割り当てマネージド ID を使用するとき、ブループリント割り当ての作成前にアクセス許可を定義し、付与する必要があります。 所有者およびブループリント オペレーター組み込みロールはどちらも、ユーザー割り当てマネージド ID を使用する、割り当てを作成するために必要な blueprintAssignment/write アクセス許可を持っています。

省略可能 - Azure Blueprints によって、システム割り当てマネージド ID が作成される

システム割り当てマネージド ID が割り当て中に選択されると、Azure Blueprints によって ID が作成され、マネージド ID に所有者ロールが付与されます。 既存の割り当てがアップグレードされた場合、Azure Blueprints では、以前に作成されたマネージド ID が使用されます。

ブループリント割り当てに関連付けられているマネージド ID は、ブループリントに定義されているリソースのデプロイまたは再デプロイに使用されます。 この設計により、割り当てが誤って互いに干渉することを回避できます。 この設計ではまた、リソース ロック機能がサポートされ、デプロイされた各リソースのセキュリティをブループリントから制御できます。

マネージド ID によってブループリント アーティファクトがデプロイされる

マネージド ID によってその後、定義されているシーケンス順序で、ブループリント内でアーティファクトの Resource Manager デプロイがトリガーされます。 他のアーティファクトに依存するアーティファクトが正しい順序でデプロイされるように順序を調整できます。

デプロイでアクセスできない原因は、多くの場合、マネージド ID に与えられたアクセス レベルにあります。 Azure Blueprints サービスによって、システム割り当てマネージド ID のセキュリティ ライフサイクルが管理されます。 しかしながら、ユーザー割り当てマネージド ID の権限とライフサイクルを管理するのはユーザーの役目となります。

ブループリント サービスとシステム割り当てのマネージド ID の権限が取り消される

デプロイが完了すると、Azure Blueprints によって、サブスクリプションからシステム割り当てマネージド ID の権限が取り消されます。 その後、Azure Blueprints サービスによって、その権限がサブスクリプションから取り消されます。 権限を取り消すことで、Azure Blueprints がサブスクリプションの永久所有者になることを防ぎます。

次のステップ