BicepでMicrosoft Entra ID上のリソースも作成可能に!
BicepでMicrosoft Entra ID上のリソースも作成可能に! この記事の内容 BicepのテンプレートでMicrosoft Entra ID(旧Azure AD)リソースが正式サポート(GA)されました 「Microsoft Graph Bicep Extension」という仕組みにより、グループやアプリケーション登録などをBicepで宣言的に管理できます 従来は必要だったPowerShellスクリプトとの組み合わせが不要になり、構成管理を一元化できます GitHub Actionsを使ったAzureデプロイなど、実際のユースケースで威力を発揮します 今後はMicrosoft 365・Intune・Exchange Onlineなど、さらに多くのリソースへの対応拡張が期待されています Bicepとは?改めておさらい BicepはMicrosoftが提供するInfrastructure as Code(IaC)ツールです。Azureリソースの構成を宣言的に記述し、テンプレートとして管理・デプロイできる仕組みを提供しています。 これまでBicepは主にAzureリソースマネージャー(ARM)リソースを対象としていましたが、今回のアップデートからMicrosoft Graph API経由でMicrosoft Entra ID(旧Azure AD)リソースも扱えるようになりました。 これまでの課題 AzureリソースとMicrosoft Entra IDリソースはデプロイ方法が異なっており、組み合わせた構成を管理するのに手間がかかっていました。 例えば、WebアプリケーションをAzureにデプロイしてEntra ID認証を利用しようとすると、「アプリケーション登録」や「グループ」も合わせて作成する必要があります。しかしBicepだけではこれらを作成できないため、PowerShellスクリプト等で個別に作成し、そのIDをBicepテンプレートに渡すという二段構えの対応が必要でした。 新機能「Microsoft Graph Bicep Extension」の概要 今回のアップデートで追加された機能は Microsoft Graph Bicep Extension と呼ばれています。Bicepテンプレート内にEntra IDリソースを記述することで、従来のAzureリソースと同様の方法でデプロイできます。 対応しているリソースの例は以下の通りです。 Microsoft.Graph/groups(グループ) Microsoft.Graph/applications(アプリケーション登録) デプロイプロセスは従来のBicepと同じく、Azure CLIやPowerShellを使います。デプロイメントエンジンがテンプレートを処理する際、リソースごとにAzureリソースかMicrosoft Graph経由のEntra IDリソースかを自動的に振り分けて作成してくれます。 これにより、以下のような構成がBicepテンプレート1つで完結するようになりました。 Microsoft Entraのグループ作成 アプリケーション登録 グループへのメンバー追加 具体的な利用シナリオ:GitHub ActionsでのWebアプリ展開 新機能が特に威力を発揮するユースケースとして、GitHub Actionsを利用してAzure App ServiceにWebアプリを展開するケースを見てみましょう。 これまでの手順 従来は、GitHub ActionsからAzureリソースにアクセスするために以下の作業を手動で行う必要がありました。 Entra IDアプリケーション(サービスプリンシパル)を手動で作成 クライアントシークレットを発行 シークレットやアプリケーションIDをGitHubのSecretsに登録 Bicep新機能を使った手順 Microsoft Graph Bicep Extensionを活用すると、以下の構成をBicepテンプレート内で一括定義できます。 ...