ブループリント オペレーター用の環境を構成する

重要

2026 年 7 月 11 日に、Blueprints (プレビュー) は非推奨になります。 既存のブループリントの定義と割り当てを Template Specsデプロイ スタックに移行します。 ブループリント アーティファクトは、デプロイ スタックの定義に使用される ARM JSON テンプレートまたは Bicep ファイルに変換されます。 アーティファクトを ARM リソースとして作成する方法については、次を参照してください。

ブループリント定義とブループリント割り当ての管理は、異なるチームに割り当てることができます。 設計者やガバナンス チームがブループリント定義のライフサイクル管理を担当し、運用チームがこれらの集中管理されたブループリント定義の割り当ての管理を担当することがよくあります。

ブループリント オペレーター組み込みロールは、この種のシナリオ専用に設計されています。 このロールにより、運用タイプのチームは組織のブループリント定義の割り当てを管理できますが、定義を変更することはできません。 これを行うには、Azure 環境でいくつかの構成が必要です。この記事では必要な手順について説明します。

ブループリント オペレーターにアクセス許可を付与する

最初の手順では、ブループリントの割り当てを行う予定のアカウントまたはセキュリティ グループ (推奨) にブループリント オペレーター ロールを付与します。 この操作は、運用チームがブループリント割り当てのアクセス権を必要とするすべての管理グループとサブスクリプションを含む、管理グループ階層の最上位レベルで実行する必要があります。 これらのアクセス許可を付与する場合は、最小限の特権の原則に従うことをお勧めします。

  1. (推奨) セキュリティ グループを作成してメンバーを追加します

  2. アカウントまたはセキュリティ グループにブループリント オペレーターAzure ロールを割り当てます

ユーザー割り当てマネージド ID

ブループリント定義では、システム割り当てまたはユーザー割り当てのマネージド ID を使用できます。 ただし、ブループリント オペレーター ロールを使用する場合は、ユーザー割り当てのマネージド ID を使用するようにブループリント定義を構成する必要があります。 さらに、ブループリント オペレーター ロールを付与するアカウントまたはセキュリティ グループには、ユーザー割り当てのマネージド ID にマネージド ID オペレーター ロールが付与されている必要があります。 このアクセス許可がないと、アクセス許可がないためにブループリントの割り当てが失敗します。

  1. 割り当てられたブループリントで使用するユーザー割り当てのマネージド ID を作成します

  2. 目的のスコープのブループリント定義で必要なロールまたはアクセス許可を、ユーザー割り当てのマネージド ID に付与します。

  3. アカウントまたはセキュリティ グループにマネージド ID オペレーターAzure ロールを割り当てます。 ロールの割り当ての範囲を、新しいユーザー割り当てのマネージド ID に設定します。

  4. ブループリント オペレーターとして、新しいユーザー割り当て管理対象 ID を使用するブループリントを割り当てます

次のステップ