Freigeben über

Programmgesteuertes Erstellen von MCA-Abonnements für verschiedene zugeordnete Microsoft Entra-Mandanten

  • Artikel

In diesem Artikel erfahren Sie, wie Sie programmgesteuert ein MCA-Abonnement (Microsoft Customer Agreement, Microsoft-Kundenvereinbarung) für verschiedene zugeordnete Abrechnungsmandanten erstellen. Es kann vorkommen, dass Sie MCA-Abonnements für verschiedene Microsoft Entra-Mandanten erstellen müssen, die jedoch an ein einzelnes Abrechnungskonto gebunden sind. Beispiele für solche Situationen sind:

  • SaaS-Anbieter, die gehostete Kundendienste von internen IT-Diensten trennen möchten
  • Holding- oder Risikokapital-Unternehmen mit vielen Portfoliogesellschaften
  • Interne Umgebungen mit strengen gesetzlichen Complianceanforderungen, z. B. Zahlungskartenanbieter (Payment Card Industry, PCI)

Zum Erstellen eines MCA-Abonnements in zugeordneten Abrechnungsmandanten müssen Aktionen in den Quell- und Zielmandanten von Microsoft Entra ausgeführt werden. In diesem Artikel wird die folgende Terminologie verwendet:

  • Quellmandant von Microsoft Entra (source.onmicrosoft.com). Quellmandant, in dem sich das MCA-Abrechnungskonto befindet.
  • Zielcloudmandant von Microsoft Entra (destination.onmicrosoft.com). Zielmandant, in dem die neuen MCA-Abonnements erstellt werden.

Supportpläne können nicht programmgesteuert erstellt werden. Sie können einen neuen Supportplan kaufen oder ein Upgrade im Azure-Portal durchführen. Navigieren Sie zu Hilfe und Support. Wählen Sie oben auf der Seite Auswahl des richtigen Supportplans aus.

Hinweis

Es gibt zwei Methoden, um das programmgesteuerte Erstellen von MCA-Abonnements für verschiedene Microsoft Entra-Mandanten zu aktivieren. In diesem Artikel wird eine vereinfachte Version beschrieben, die den Verwaltungsaufwand minimiert und den Erstellungsprozess des Abonnements optimiert, indem Berechtigungen zum Erstellen von MCA-Abonnements vollständig an den Zielmandanten übertragen werden. Die andere Methode umfasst einen zweistufigen Prozess, der die Governance des Quellmandanten über die Abonnements bereitstellt, die in Zielmandanten erstellt werden. Diese Methode sollte bevorzugt werden, wenn Sie eine genauere Kontrolle über das Erstellen von Abonnements in Zielmandanten benötigen.

Voraussetzungen

Die folgende Umgebung ist erforderlich, um die programmgesteuerte Erstellung von MCA-Abonnements für die zugeordneten Abrechnungsmandanten zu aktivieren:

  • Einen Microsoft Entra-Quellmandanten mit einem aktiven Microsoft-Kundenvereinbarung-Abrechnungskonto. Falls Sie noch kein aktives MCA-Konto besitzen, können Sie es hier erstellen. Weitere Informationen finden Sie unter Azure – Jetzt registrieren.
  • Einen Microsoft Entra-Zielmandanten, der nicht mit dem Mandanten identisch ist, zu dem Ihre Microsoft-Kundenvereinbarung gehört. Informationen zum Erstellen eines Microsoft Entra-Mandanten finden Sie unter Einrichten eines Microsoft Entra-Mandanten.
  • Fügen Sie den Microsoft Entra-Zielmandanten als zugeordneten Abrechnungsmandanten innerhalb des Microsoft Entra-Quellmandanten hinzu, und weisen Sie einem Benutzer vom Microsoft Entra-Zielmandanten Abrechnungsrollen zu.

Anwendungseinrichtung

Führen Sie die in den folgenden Abschnitten beschriebenen Schritte aus, um die erforderliche Anwendung im Zielmandanten einzurichten und zu konfigurieren.

Registrieren einer Anwendung im Zielmandanten

Für die programmgesteuerte Erstellung eines MCA-Abonnements müssen Sie eine Microsoft Entra-Anwendung registrieren und ihr die entsprechende Azure RBAC-Berechtigung (Role-Based Access Control, rollenbasierte Zugriffssteuerung) erteilen. Stellen Sie für diesen Schritt sicher, dass Sie beim Zielmandanten (destination.onmicrosoft.com) mit einem Konto angemeldet sind, das über Berechtigungen zum Registrieren von Microsoft Entra-Anwendungen verfügt. Stellen Sie im Rahmen der Voraussetzungen außerdem sicher, dass ihm im Quellmandanten (source.onmicrosoft.com) eine Abrechnungsrolle zugewiesen wurde.

Führen Sie die Schritte aus, die unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform beschrieben sind.

Für diesen Artikel müssen Sie nur die in den Abschnitten Registrieren einer Anwendung und Hinzufügen von Anmeldeinformationen beschriebenen Schritte ausführen.

Speichern Sie die folgenden Informationen, um Ihre Umgebung zu testen und zu konfigurieren:

  • Verzeichnis-ID (Mandant)
  • Anwendungs-ID (Client)
  • Objekt-ID
  • Generierter Wert für das App-Geheimnis. Dieser Wert ist nur zum Zeitpunkt der Erstellung sichtbar.

Erstellen der Zuweisung einer Abrechnungsrolle für die Anwendung im Zielmandanten

Ermitteln Sie mithilfe der Informationen unter Grundlegendes zu Verwaltungsrollen für Microsoft-Kundenvereinbarungen in Azure den passenden Bereich und die gewünschte Abrechnungsrolle für die Anwendung.

Ein Benutzer mit Besitzerzugriff kann der Anwendung eine Rolle zuweisen, indem er sich im zugeordneten Mandanten beim Azure-Portal anmeldet. Der Besitzerzugriff umfasst:

  • Besitzer des Abrechnungskontos
  • Besitzer des Abrechnungsprofils
  • Rechnungsabschnitt (Besitzer)

Nachdem Sie den Bereich und die Rolle ausgewählt haben, erstellen Sie mithilfe der Informationen unter Verwalten von Abrechnungsrollen im Azure-Portal die Rollenzuweisung für die Anwendung. Suchen Sie mithilfe des Namens, den Sie bei der Registrierung der Anwendung im vorherigen Abschnitt verwendet haben, nach der Anwendung.

Programmgesteuertes Erstellen eines Abonnements

Nachdem Sie die erforderlichen Anwendungen und Berechtigungen eingerichtet haben, erstellen Sie mithilfe der folgenden Informationen programmgesteuert Abonnements.

Erstellen des Abonnements

Erstellen Sie mithilfe der folgenden Informationen ein Abonnement im Zielmandanten.

Abrufen eines Zugriffstokens für die Zielanwendung

Ersetzen Sie die Platzhalter ({{placeholders}}) durch die tatsächlichen Werte für Mandanten-ID, Anwendungs-ID (Client-ID) und App-Geheimnis, die Sie zuvor beim Erstellen der Anwendung für den Zielmandanten gespeichert haben.

Rufen Sie die Anforderung auf, und speichern Sie den access_token-Wert aus der Antwort zur Verwendung im nächsten Schritt.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Abrufen der IDs für das Abrechnungskonto, das Abrechnungsprofil und den Rechnungsabschnitt

Nutzen Sie die Informationen unter Suchen nach Abrechnungskonten, auf die Sie Zugriff haben und Suchen nach Abrechnungsprofilen und Rechnungsabschnitten zum Erstellen von Abonnements, um die IDs des Abrechnungskontos, des Abrechnungsprofils und des Rechnungsabschnitts abzurufen.

Hinweis

Es wird empfohlen, mithilfe der REST-Methode und dem zuvor abgerufenen Zugriffstoken zu überprüfen, ob die Zuweisung der Abrechnungsrolle für die Anwendung im Abschnitt Einrichten der Anwendungen erfolgreich erstellt wurde.

Erstellen eines Abonnementalias

Mit den IDs für das Abrechnungskonto, das Abrechnungsprofil und den Rechnungsabschnitt verfügen Sie nun über alle Informationen, die Sie zum Erstellen des Abonnements benötigen:

  • {{guid}}: Eine gültige GUID.
  • {{access_token}}: Das zuvor abgerufene Zugriffstoken der Anwendung im Zielmandanten.
  • {{billing_account}}: Die zuvor abgerufene ID des Abrechnungskontos.
  • {{billing_profile}}: Die zuvor abgerufene ID des Abrechnungsprofils.
  • {{invoice_section}}: Die zuvor abgerufene ID des Rechnungsabschnitts.
  • {{destination_tenant_id}}: Die ID des Zielmandanten, die Sie zuvor beim Erstellen der Anwendung im Zielmandanten gespeichert haben.
  • {{destination_service_principal_object_id}}: Die ID des Dienstprinzipals des Zielmandanten, die Sie zuvor im Abschnitt Abrufen eines Zugriffstokens für die Zielanwendung abgerufen haben.
PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Nächste Schritte