Programové vytváření předplatných MCA napříč přidruženými tenanty Microsoft Entra

Tento článek vám pomůže programově vytvořit předplatné Smlouva se zákazníkem Microsoftu (MCA) napříč přidruženými tenanty fakturace. V některých situacích může být potřeba vytvořit předplatná MCA napříč tenanty Microsoft Entra, ale svázat je s jedním fakturačním účtem. Mezi příklady takových situací patří:

• Poskytovatelé SaaS, kteří chtějí oddělit hostované zákaznické služby od interních IT služeb
• Holdingové nebo rizikové kapitálové společnosti s mnoha portfoliovými společnostmi
• Interní prostředí, která mají přísné zákonné požadavky na dodržování předpisů, jako je odvětví platebních karet (PCI)

Proces vytvoření předplatného MCA v přidružených tenantech fakturace vyžaduje, aby se provedly akce ve zdrojovém a cílovém tenantovi Microsoft Entra. Tento článek používá následující terminologii:

• Zdrojový tenant Microsoft Entra (source.onmicrosoft.com). Představuje zdrojového tenanta, ve kterém existuje fakturační účet MCA.
• Cílový cloud – tenant Microsoft Entra (destination.onmicrosoft.com). Představuje cílového tenanta, ve kterém se vytvářejí nová předplatná MCA.

Plány podpory nemůžete vytvářet programově. Nový plán podpory si můžete koupit nebo upgradovat na webu Azure Portal. Přejděte do nápovědy a podpory. V horní části stránky vyberte Zvolit správný plán podpory.

Poznámka:

Existují dvě metody, jak programově vytvářet předplatná MCA napříč tenanty Microsoft Entra. Metoda popsaná v tomto článku je zjednodušená verze, která minimalizuje režijní náklady na správu a zjednodušuje proces vytváření předplatného tím, že převádí oprávnění k vytváření předplatných MCA zcela do cílového tenanta. Druhá metoda zahrnuje dvoufázový proces , který poskytuje zásady správného řízení zdrojového tenanta pro předplatná vytvořená v cílových tenantech. Tato metoda může být upřednostňovaná, pokud potřebujete přísnější kontrolu nad vytvářením předplatných v cílových tenantech.

Požadavky

K povolení programového vytváření předplatných MCA napříč přidruženými tenanty fakturace se vyžaduje následující prostředí:

• Zdrojový tenant Microsoft Entra s aktivním fakturačním účtem Smlouva se zákazníkem Microsoftu. Pokud nemáte aktivní MCA, můžete ho vytvořit. Další informace najdete v tématu Azure – Registrace
• Cílový tenant Microsoft Entra oddělený od tenanta, do kterého patří vaše MCA. Pokud chcete vytvořit nového tenanta Microsoft Entra, podívejte se na nastavení tenanta Microsoft Entra.
• Přidejte cílového tenanta Microsoft Entra jako přidruženého fakturačního tenanta přidruženého k fakturačním tenantům ve zdrojovém tenantovi Microsoft Entra a přiřaďte fakturační role uživateli z cílového tenanta Microsoft Entra.

Nastavení aplikace

Pomocí informací v následujících částech nastavte a nakonfigurujte potřebnou aplikaci v cílovém tenantovi.

Registrace aplikace v cílovém tenantovi

Pokud chcete programově vytvořit předplatné MCA, musí být aplikace Microsoft Entra zaregistrovaná a udělená příslušná oprávnění řízení přístupu na základě role v Azure (RBAC). V tomto kroku se ujistěte, že jste přihlášení k cílovému tenantovi (destination.onmicrosoft.com) pomocí účtu, který má oprávnění k registraci aplikací Microsoft Entra. Ujistěte se také, že se v rámci požadavků přiřadila fakturační role ve zdrojovém tenantovi (source.onmicrosoft.com).

Podle kroků v rychlém startu zaregistrujte aplikaci na platformě Microsoft Identity Platform.

Pro účely tohoto procesu stačí postupovat jenom v částech Registrace aplikace a Přidat přihlašovací údaje .

Uložte následující informace a otestujte a nakonfigurujte prostředí:

• ID adresáře (klienta)
• ID aplikace (klienta)
• ID objektu
• Hodnota tajného kódu aplikace, která byla vygenerována. Hodnota je viditelná pouze v okamžiku vytvoření.

Vytvoření přiřazení fakturační role pro aplikaci v cílovém tenantovi

Pokud chcete určit odpovídající rozsah a fakturační roli pro aplikaci, projděte si informace v tématu Vysvětlení Smlouva se zákazníkem Microsoftu rolí pro správu v Azure.

Uživatel s přístupem vlastníka může aplikaci přiřadit roli přihlášením k webu Azure Portal v přidruženém tenantovi. Přístup vlastníka zahrnuje:

• Vlastník fakturačního účtu
• Vlastník fakturačního profilu
• Vlastník oddílu faktur

Jakmile určíte rozsah a roli, pomocí informací v tématu Správa fakturačních rolí na webu Azure Portal vytvořte přiřazení role pro aplikaci. Vyhledejte aplikaci pomocí názvu, který jste použili při registraci aplikace v předchozí části.

Programové vytvoření předplatného

S aplikacemi a oprávněními, které jsou už nastavené, použijte následující informace k programovému vytvoření předplatných.

Vytvoření odběru

K vytvoření předplatného v cílovém tenantovi použijte následující informace.

Získání přístupového tokenu cílové aplikace

{{placeholders}} Nahraďte skutečným ID tenanta, ID aplikace (klienta) a hodnotami tajných kódů aplikace, které jste uložili při vytváření cílové aplikace tenanta dříve.

Vyvolejte požadavek a uložte access_token hodnotu z odpovědi pro použití v dalším kroku.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Získání ID fakturačního účtu, profilu a oddílu faktury

Pomocí informací v části Najít fakturační účty, ke kterým máte přístup, a najděte oddíly fakturačních profilů a faktur k vytvoření oddílů předplatných , abyste získali ID fakturačního účtu, profilu a oddílu faktury.

Poznámka:

Doporučujeme použít metodu REST s přístupovým tokenem získaným dříve k ověření úspěšného vytvoření přiřazení role fakturace aplikace v části Nastavení aplikace.

Vytvoření aliasu předplatného

Pomocí ID fakturačního účtu, profilu a oddílu faktury máte všechny informace potřebné k vytvoření předplatného:

• {{guid}}: Může to být platný identifikátor GUID.
• {{access_token}}: Přístupový token cílové aplikace tenanta získaný dříve.
• {{billing_account}}: ID fakturačního účtu získaného dříve.
• {{billing_profile}}: ID fakturačního profilu získaného dříve.
• {{invoice_section}}: ID oddílu faktury získaného dříve.
• {{destination_tenant_id}}: ID cílového tenanta, jak je uvedeno, když jste dříve vytvořili cílovou aplikaci tenanta.
• {{destination_service_principal_object_id}}: ID instančního objektu cílového tenanta, který jste získali z části Získání přístupového tokenu cílové aplikace dříve.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Další kroky

• Teď, když jste vytvořili předplatné, můžete tuto možnost udělit ostatním uživatelům a instančním objektům. Další informace najdete v tématu Udělení přístupu pro vytváření předplatných Azure Enterprise (Preview).
• Další informace o správě velkého počtu předplatných pomocí skupin pro správu najdete v tématu věnovaném uspořádání prostředků pomocí skupin pro správu v Azure.
• Pokud chcete změnit skupinu pro správu předplatného, přečtěte si téma Přesun předplatných.