运行DevOps服务器部署模板时，Azure LinkedAuthorization在Active Directory帐户/密钥保险库身份验证上失败

我正在尝试将Azure DevOps服务器的on-prem实例部署到Azure政府订阅中的VM，从本质上看，它似乎不支持标准DevOps

此模板直接在Microsoft的支持资料中引用：

所有引用的资源都是为了使此服务器运行而从头创建的

这需要一个AAD帐户，其相关密码存储在密钥库中。但是，当所有其他组件都通过时，我每次尝试运行模板都会在“写入虚拟机”步骤中返回以下错误：

客户端有权对作用域“MY_SUBSCRIPTION\MY_RESOURCEGROUP\VM”执行操作“Microsoft.Compute/images/read”，但是当前租户“MY_KEYVAULT”无权访问模板中包含部署文件的链接订阅“ID”

---

在我看来，密码似乎无法从密钥库中检索-这是密码的格式问题吗？某个地方的访问控制问题？我试过两种方法的多种组合。希望这只是一个小问题。

我是该报告中代码的原始作者。我继续，并将一个拉入请求合并到回购协议中，该回购协议应能解决您的问题。我做了以下工作：

更新了自述文件以包含有关创建映像的信息 使用关键Vault和图像引用的参数更新了azuredeploy.json 更新了ps1文件，消除了KV的硬链接，这是我一个特别糟糕的疏忽，我道歉。 更新并测试了Azure DevOps Server 2020最新版本的所有内容 这将解决您的问题和其他一些相关问题。我从头开始重新测试了整个部署，它按照设计工作。以下是几个其他简要说明：

USRI及其所有存储库（包括此处使用的存储库）都不是Microsoft官方存储库。他们代表了一个开源Azure社区，专门面向受监管实体客户。贡献的成员大多是微软的员工，回购协议本身只是代表了有趣的、有时可能会引起兴趣的利基模板

这个特殊的repo展示了一种方式，在没有可用或不允许internet连接的情况下，可以使用Azure模板部署服务。我之所以使用Azure DevOps服务器，是因为它很有趣，而且受监管的行业客户也在使用它

---

最好的

我是该回购协议中代码的原始作者。我继续，并将一个拉入请求合并到回购协议中，该回购协议应能解决您的问题。我做了以下工作：

更新了自述文件以包含有关创建映像的信息 使用关键Vault和图像引用的参数更新了azuredeploy.json 更新了ps1文件，消除了KV的硬链接，这是我一个特别糟糕的疏忽，我道歉。 更新并测试了Azure DevOps Server 2020最新版本的所有内容 这将解决您的问题和其他一些相关问题。我从头开始重新测试了整个部署，它按照设计工作。以下是几个其他简要说明：

USRI及其所有存储库（包括此处使用的存储库）都不是Microsoft官方存储库。他们代表了一个开源Azure社区，专门面向受监管实体客户。贡献的成员大多是微软的员工，回购协议本身只是代表了有趣的、有时可能会引起兴趣的利基模板

这个特殊的repo展示了一种方式，在没有可用或不允许internet连接的情况下，可以使用Azure模板部署服务。我之所以使用Azure DevOps服务器，是因为它很有趣，而且受监管的行业客户也在使用它

---

最好的

您是否能够在本地使用相同的Azure订阅实现部署？@PatrickLu MSFT不幸的是，不，查看第294行，似乎需要密钥保险库身份验证来访问VM的映像。093847b0订阅是errorHi Tyler中引用的，感谢您提供的信息。根据你的信息。我建议您向Azure支持团队提交一份申请单。尤其是Azure政府并不是一个普遍存在的情况。@PatrickLu MSFT这就是我们最终要做的，一名技术人员正在处理此案。正如你所说，Azure Gov，尤其是这个模板的操作似乎有点利基。如果你最终得到了一个解决方案。您可以在此处共享解决方案并对其进行标记。这也将有助于社区中的其他人，以防他们遇到相同的场景。您能够在本地使用相同的Azure订阅实现部署吗？@PatrickLu MSFT不幸的是，没有，请查看第294行，似乎需要密钥保险库身份验证来访问VM的映像。错误H中引用了093847b0订阅

---

我是泰勒，谢谢你的好意。根据你的信息。我建议您向Azure支持团队提交一份申请单。尤其是Azure政府并不是一个普遍存在的情况。@PatrickLu MSFT这就是我们最终要做的，一名技术人员正在处理此案。正如你所说，Azure Gov，尤其是这个模板的操作似乎有点利基。如果你最终得到了一个解决方案。您可以在此处共享解决方案并对其进行标记。这也将有助于社区中的其他人，以防他们遇到同样的情况。