Distributioner av hanteringsgrupp med Bicep-filer

Den här artikeln beskriver hur du anger omfång med Bicep när du distribuerar till en hanteringsgrupp.

När din organisation mognar kan du distribuera en Bicep-fil för att skapa resurser på hanteringsgruppsnivå. Du kan till exempel behöva definiera och tilldela principer eller rollbaserad åtkomstkontroll i Azure (Azure RBAC) för en hanteringsgrupp. Med mallar på hanteringsgruppsnivå kan du deklarativt tillämpa principer och tilldela roller på hanteringsgruppsnivå.

Träningsresurser

Om du hellre vill lära dig mer om distributionsomfång via stegvis vägledning kan du läsa Distribuera resurser till prenumerationer, hanteringsgrupper och klientorganisationer med hjälp av Bicep.

Resurser som stöds

Alla resurstyper kan inte distribueras till hanteringsgruppsnivå. I det här avsnittet visas vilka resurstyper som stöds.

För Azure Blueprints använder du:

• Artefakter
• Ritningar
• blueprintAssignments
• Versioner

För Azure Policy använder du:

• policyAssignments
• policyDefinitions
• policySetDefinitions
• åtgärder

För åtkomstkontroll använder du:

• privateLinkAssociations
• roleAssignments
• roleAssignmentScheduleRequests
• roleDefinitions
• roleEligibilityScheduleRequests
• roleManagementPolicyAssignments

För kapslade mallar som distribueras till prenumerationer eller resursgrupper använder du:

• Distributioner

För att hantera dina resurser använder du:

• diagnosticSettings
• Taggar

Hanteringsgrupper är resurser på klientorganisationsnivå. Du kan dock skapa hanteringsgrupper i en hanteringsgruppsdistribution genom att ange omfånget för den nya hanteringsgruppen till klientorganisationen. Se Hanteringsgrupp.

Ange omfång

Om du vill ange omfånget till hanteringsgrupp använder du:

targetScope = 'managementGroup'

Distributionskommandon

Om du vill distribuera till en hanteringsgrupp använder du distributionskommandona för hanteringsgruppen.

Azure CLI

För Azure CLI använder du az deployment mg create:

az deployment mg create \
  --name demoMGDeployment \
  --location WestUS \
  --management-group-id myMG \
  --template-uri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"

PowerShell

För Azure PowerShell använder du New-AzManagementGroupDeployment.

New-AzManagementGroupDeployment `
  -Name demoMGDeployment `
  -Location "West US" `
  -ManagementGroupId "myMG" `
  -TemplateUri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"

Mer detaljerad information om distributionskommandon och alternativ för distribution av ARM-mallar finns i:

• Distribuera resurser med ARM-mallar och Azure CLI
• Distribuera resurser med ARM-mallar och Azure PowerShell
• Distribuera ARM-mallar från Cloud Shell

Distributionsplats och namn

För distributioner på hanteringsgruppsnivå måste du ange en plats för distributionen. Platsen för distributionen är separat från platsen för de resurser som du distribuerar. Distributionsplatsen anger var distributionsdata ska lagras. Prenumerations - och klientdistributioner kräver också en plats. För resursgruppsdistributioner används platsen för resursgruppen för att lagra distributionsdata.

Du kan ange ett namn för distributionen eller använda standarddistributionsnamnet. Standardnamnet är namnet på mallfilen. Om du till exempel distribuerar en mall med namnet main.bicep skapas ett standarddistributionsnamn för main.

För varje distributionsnamn är platsen oföränderlig. Du kan inte skapa en distribution på en plats när det finns en befintlig distribution med samma namn på en annan plats. Om du till exempel skapar en distribution av hanteringsgrupp med namnet deployment1 i centralus kan du inte senare skapa en annan distribution med namnet deployment1 utan en plats i westus. Om du får felkoden InvalidDeploymentLocationanvänder du antingen ett annat namn eller samma plats som den tidigare distributionen för det namnet.

Distributionsomfång

När du distribuerar till en hanteringsgrupp kan du distribuera resurser till:

• målhanteringsgruppen från åtgärden
• en annan hanteringsgrupp i klientorganisationen
• prenumerationer i hanteringsgruppen
• resursgrupper i hanteringsgruppen
• klientorganisationen för resursgruppen

En tilläggsresurs kan begränsas till ett annat mål än distributionsmålet.

Användaren som distribuerar mallen måste ha åtkomst till det angivna omfånget.

Omfång för hanteringsgrupp

Om du vill distribuera resurser till målhanteringsgruppen lägger du till resurserna med nyckelordet resource .

targetScope = 'managementGroup'

// policy definition created in the management group
resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2021-06-01' = {
  ...
}

Om du vill rikta in dig på en annan hanteringsgrupp lägger du till en modul. Använd funktionen managementGroup för att ange scope egenskapen. Ange namnet på hanteringsgruppen.

targetScope = 'managementGroup'

param otherManagementGroupName string

// module deployed at management group level but in a different management group
module exampleModule 'module.bicep' = {
  name: 'deployToDifferentMG'
  scope: managementGroup(otherManagementGroupName)
}

Omfång för prenumeration

Du kan också rikta prenumerationer i en hanteringsgrupp. Användaren som distribuerar mallen måste ha åtkomst till det angivna omfånget.

Om du vill rikta in dig på en prenumeration i hanteringsgruppen lägger du till en modul. Använd prenumerationsfunktionen för att ange scope egenskapen. Ange prenumerations-ID:t.

targetScope = 'managementGroup'

param subscriptionID string

// module deployed to subscription in the management group
module exampleModule 'module.bicep' = {
  name: 'deployToSub'
  scope: subscription(subscriptionID)
}

Omfång för resursgrupp

Du kan också rikta in dig på resursgrupper i hanteringsgruppen. Användaren som distribuerar mallen måste ha åtkomst till det angivna omfånget.

Om du vill rikta in dig på en resursgrupp i hanteringsgruppen lägger du till en modul. Använd funktionen resourceGroup för att ange scope egenskapen. Ange prenumerations-ID och resursgruppsnamn.

targetScope = 'managementGroup'

param subscriptionID string
param resourceGroupName string

// module deployed to resource group in the management group
module exampleModule 'module.bicep' = {
  name: 'deployToRG'
  scope: resourceGroup(subscriptionID, resourceGroupName)
}

Omfång för klientorganisation

Om du vill skapa resurser i klientorganisationen lägger du till en modul. Använd klientfunktionen för att ange dess scope egenskap. Användaren som distribuerar mallen måste ha den åtkomst som krävs för att distribuera i klientorganisationen.

targetScope = 'managementGroup'

// module deployed at tenant level
module exampleModule 'module.bicep' = {
  name: 'deployToTenant'
  scope: tenant()
}

Eller så kan du ange omfånget till för vissa resurstyper, till / exempel hanteringsgrupper. I nästa avsnitt beskrivs hur du skapar en ny hanteringsgrupp.

Hanteringsgrupp

Om du vill skapa en hanteringsgrupp i en hanteringsgruppsdistribution måste du ange omfånget till klientorganisationen.

I följande exempel skapas en ny hanteringsgrupp i rothanteringsgruppen.

targetScope = 'managementGroup'

param mgName string = 'mg-${uniqueString(newGuid())}'

resource newMG 'Microsoft.Management/managementGroups@2021-04-01' = {
  scope: tenant()
  name: mgName
  properties: {}
}

output newManagementGroup string = mgName

I nästa exempel skapas en ny hanteringsgrupp i den hanteringsgrupp som är mål för distributionen. Den använder hanteringsgruppsfunktionen.

targetScope = 'managementGroup'

param mgName string = 'mg-${uniqueString(newGuid())}'

resource newMG 'Microsoft.Management/managementGroups@2021-04-01' = {
  scope: tenant()
  name: mgName
  properties: {
    details: {
      parent: {
        id: managementGroup().id
      }
    }
  }
}

output newManagementGroup string = mgName

Prenumerationer

Information om hur du använder en ARM-mall för att skapa en ny Azure-prenumeration i en hanteringsgrupp finns i:

• Skapa Azure Enterprise-avtal-prenumerationer programmatiskt
• Skapa Azure-prenumerationer programmatiskt för en Microsoft-kundavtal
• Skapa Azure-prenumerationer programmatiskt för en Microsoft-partneravtal

Information om hur du distribuerar en mall som flyttar en befintlig Azure-prenumeration till en ny hanteringsgrupp finns i Flytta prenumerationer i ARM-mall

Azure Policy

Anpassade principdefinitioner som distribueras till hanteringsgruppen är tillägg för hanteringsgruppen. Om du vill hämta ID:t för en anpassad principdefinition använder du funktionen extensionResourceId(). Inbyggda principdefinitioner är resurser på klientorganisationsnivå. Om du vill hämta ID:t för en inbyggd principdefinition använder du funktionen tenantResourceId().

I följande exempel visas hur du definierar en princip på hanteringsgruppsnivå och tilldelar den.

targetScope = 'managementGroup'

@description('An array of the allowed locations, all other locations will be denied by the created policy.')
param allowedLocations array = [
  'australiaeast'
  'australiasoutheast'
  'australiacentral'
]

resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2021-06-01' = {
  name: 'locationRestriction'
  properties: {
    policyType: 'Custom'
    mode: 'All'
    parameters: {}
    policyRule: {
      if: {
        not: {
          field: 'location'
          in: allowedLocations
        }
      }
      then: {
        effect: 'deny'
      }
    }
  }
}

resource policyAssignment 'Microsoft.Authorization/policyAssignments@2022-06-01' = {
  name: 'locationAssignment'
  properties: {
    policyDefinitionId: policyDefinition.id
  }
}

Nästa steg

Mer information om andra omfång finns i:

• Distributioner av resursgrupper
• Prenumerationsdistributioner
• Klientdistributioner