Tenantimplementaties met Bicep-bestand
Naarmate uw organisatie zich verder ontwikkelen, moet u mogelijk beleidsregels of op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) definiëren en toewijzen in uw Azure AD-tenant. Met sjablonen op tenantniveau kunt u beleidsregels declaratief toepassen en rollen toewijzen op globaal niveau.
Microsoft Learn
Zie Deploy resources to subscriptions, management groups, and tenants by using Bicep on Microsoft Learn (Resources implementeren naar abonnementen, beheergroepen en tenants met bicep op Microsoft Learn) voor meer informatie over implementatiebereiken en praktijkhandleiding.
Ondersteunde resources
Niet alle resourcetypen kunnen worden geïmplementeerd op tenantniveau. In deze sectie wordt vermeld welke resourcetypen worden ondersteund.
Gebruik voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) het volgende:
Voor geneste sjablonen die worden geïmplementeerd in beheergroepen, abonnementen of resourcegroepen, gebruikt u:
Voor het maken van beheergroepen gebruikt u:
Voor het maken van abonnementen gebruikt u:
Voor het beheren van kosten gebruikt u:
Voor het configureren van de portal gebruikt u:
Ingebouwde beleidsdefinities zijn resources op tenantniveau, maar u kunt geen aangepaste beleidsdefinities implementeren in de tenant. Zie tenantResourceId-voorbeeldvoor een voorbeeld van het toewijzen van een ingebouwde beleidsdefinitie aan een resource.
Bereik instellen
Als u het bereik wilt instellen op tenant, gebruikt u:
targetScope = 'tenant'
Vereiste toegang
De principal die de sjabloon implementeert, moet machtigingen hebben om resources te maken in het tenantbereik. De principal moet machtigingen hebben om de implementatieacties ( ) uit te voeren en om de Microsoft.Resources/deployments/* resources te maken die in de sjabloon zijn gedefinieerd. Als u bijvoorbeeld een beheergroep wilt maken, moet de principal de machtiging Inzender hebben voor het tenantbereik. Als u roltoewijzingen wilt maken, moet de principal de machtiging Eigenaar hebben.
De globale beheerder voor de Azure Active Directory is niet automatisch machtigingen om rollen toe te wijzen. Als u sjabloonimplementaties in het tenantbereik wilt inschakelen, moet de globale beheerder de volgende stappen uitvoeren:
Verhoog accounttoegang zodat de globale beheerder rollen kan toewijzen. Zie voor meer informatie Toegang verhogen om alle Azure-abonnementen en beheergroepen te beheren.
Wijs Eigenaar of Inzender toe aan de principal die de sjablonen moet implementeren.
New-AzRoleAssignment -SignInName "[userId]" -Scope "/" -RoleDefinitionName "Owner"az role assignment create --assignee "[userId]" --scope "/" --role "Owner"
De principal beschikt nu over de vereiste machtigingen om de sjabloon te implementeren.
Implementatieopdrachten
De opdrachten voor tenantimplementaties zijn anders dan de opdrachten voor resourcegroepimplementaties.
Gebruik voor Azure CLI az deployment tenant create:
az deployment tenant create \
--name demoTenantDeployment \
--location WestUS \
--template-file main.bicep
Zie voor meer informatie over implementatieopdrachten en -opties voor het implementeren van ARM-sjablonen:
- Resources implementeren met ARM-sjablonen en Azure CLI
- Resources implementeren met ARM-sjablonen en Azure PowerShell
- ARM-sjablonen implementeren vanuit Cloud Shell
Implementatielocatie en -naam
Voor implementaties op tenantniveau moet u een locatie voor de implementatie verstrekken. De locatie van de implementatie is gescheiden van de locatie van de resources die u implementeert. De implementatielocatie geeft aan waar implementatiegegevens moeten worden opgeslagen. Voor implementaties van abonnementen en beheergroepen is ook een locatie vereist. Voor resourcegroepimplementaties wordt de locatie van de resourcegroep gebruikt om de implementatiegegevens op te slaan.
U kunt een naam voor de implementatie of de standaard implementatienaam gebruiken. De standaardnaam is de naam van het sjabloonbestand. Als u bijvoorbeeld een bestand met de naam main.bicep implementeert, wordt de standaard implementatienaam main gemaakt.
Voor elke implementatienaam is de locatie onveranderbaar. U kunt geen implementatie op één locatie maken wanneer er een bestaande implementatie met dezelfde naam op een andere locatie is. Als u bijvoorbeeld een tenantimplementatie met de naam deployment1 in centralus maakt, kunt u later geen andere implementatie maken met de naam deployment1, maar met de locatie westus. Als u de foutcode krijgt, gebruikt u een andere naam of dezelfde locatie InvalidDeploymentLocation als de vorige implementatie voor die naam.
Implementatiebereiken
Wanneer u implementeert in een tenant, kunt u resources implementeren voor:
- de tenant
- beheergroepen binnen de tenant
- Abonnementen
- Resourcegroepen
Een extensieresource kan worden gericht op een doel dat verschilt van het implementatiedoel.
De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
In deze sectie ziet u hoe u verschillende scopes opgeeft. U kunt deze verschillende scopes combineren in één sjabloon.
Bereik naar tenant
Resources die zijn gedefinieerd in het Bicep-bestand, worden toegepast op de tenant.
targetScope = 'tenant'
// create resource at tenant
resource mgName_resource 'Microsoft.Management/managementGroups@2020-02-01' = {
...
}
Bereik tot beheergroep
Als u zich wilt richten op een beheergroep binnen de tenant, voegt u een module toe. Gebruik de functie managementGroup om de eigenschap ervan in te scope stellen. Geef de naam van de beheergroep op.
targetScope = 'tenant'
param managementGroupName string
// create resources at management group level
module 'module.bicep' = {
name: 'deployToMG'
scope: managementGroup(managementGroupName)
}
Bereik tot abonnement
Als u zich wilt richten op een abonnement binnen de tenant, voegt u een module toe. Gebruik de abonnementsfunctie om de eigenschap ervan in scope te stellen. Geef de abonnements-id op.
targetScope = 'tenant'
param subscriptionID string
// create resources at subscription level
module 'module.bicep' = {
name: 'deployToSub'
scope: subscription(subscriptionID)
}
Bereik naar resourcegroep
Als u zich wilt richten op een resourcegroep binnen de tenant, voegt u een module toe. Gebruik de functie resourceGroup om de eigenschap ervan in te scope stellen. Geef de abonnements-id en de naam van de resourcegroep op.
targetScope = 'tenant'
param resourceGroupName string
param subscriptionID string
// create resources at resource group level
module 'module.bicep' = {
name: 'deployToRG'
scope: resourceGroup(subscriptionID, resourceGroupName)
}
Beheergroep maken
Met de volgende sjabloon maakt u een beheergroep.
targetScope = 'tenant'
param mgName string = 'mg-${uniqueString(newGuid())}'
resource mgName_resource 'Microsoft.Management/managementGroups@2020-02-01' = {
name: mgName
properties: {}
}
Als uw account geen machtiging heeft om te implementeren in de tenant, kunt u nog steeds beheergroepen maken door te implementeren in een ander bereik. Zie Beheergroep voor meer informatie.
Rol toewijzen
Met de volgende sjabloon wordt een rol toegewezen in het tenantbereik.
targetScope = 'tenant'
@description('principalId if the user that will be given contributor access to the resourceGroup')
param principalId string
@description('roleDefinition for the assignment - default is owner')
param roleDefinitionId string = '8e3af657-a8ff-443c-a75c-2fe8c4bcb635'
var roleAssignmentName = guid(principalId, roleDefinitionId)
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-03-01-preview' = {
name: roleAssignmentName
properties: {
roleDefinitionId: tenantResourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
principalId: principalId
}
}
Volgende stappen
Zie voor meer informatie over andere scopes: