Créer des abonnements MCA par programmation dans des locataires Microsoft Entra associés

Cet article vous aide à créer par programmation un abonnement Contrat client Microsoft (MCA) dans des locataires de facturation associés. Dans certains cas, vous devrez peut-être créer des abonnements MCA dans des locataires Microsoft Entra, mais les lier à un compte de facturation unique. Voici quelques exemples de ces situations :

• Fournisseurs SaaS souhaitant séparer les services clients hébergés des services informatiques internes
• Holding ou sociétés de capital-risque avec de nombreuses sociétés de portefeuille
• Environnements internes qui ont des exigences strictes en matière de conformité réglementaire, comme l’industrie des cartes de paiement

Le processus de création d’un abonnement MCA dans des locataires de facturation associés nécessite d’effectuer des actions dans les locataires Microsoft Entra sources et de destination. Cet article utilise les termes suivants :

• Locataire Microsoft Entra source (source.onmicrosoft.com). Représente le locataire source où réside le compte de facturation MCA.
• Locataire Microsoft Entra de destination dans le cloud (destination.onmicrosoft.com). Représente le locataire de destination où sont créés les nouveaux abonnements MCA.

Vous ne pouvez pas créer de plans de support par programme. Vous pouvez acheter un nouveau plan de support ou en mettre un à niveau dans le portail Azure. Accédez à Aide et support. En haut de la page, sélectionnez Choisir le plan de support approprié.

Remarque

Il existe deux méthodes pour permettre la création par programmation d’abonnements MCA dans des locataires Microsoft Entra. La méthode décrite dans cet article est une version simplifiée qui réduit la surcharge de gestion et simplifie le processus de création d’abonnement en transférant les autorisations de création des abonnements MCA entièrement au locataire de destination. L’autre méthode implique un processus en deux phases qui fournit au locataire source la gouvernance sur les abonnements créés dans les locataires de destination. Cette méthode peut être préférée si vous avez besoin d’un contrôle plus strict sur la création d’abonnements dans les locataires de destination.

Prérequis

L’environnement suivant est requis pour permettre la création par programmation d’abonnements MCA dans des locataires de facturation associés :

• Locataire Microsoft Entra source avec un compte de facturation Contrat client Microsoft (MCA) actif. Si vous n’en avez pas, vous pouvez en créer un. Pour plus d’informations, consultez Azure - S’inscrire.
• Un locataire Microsoft Entra de destination autre que le locataire de votre MCA. Pour créer un locataire Microsoft Entra, consultez Configuration du locataire Microsoft Entra.
• Ajoutez le locataire Microsoft Entra de destination en tant que locataire de facturation associé locataires de facturation associés au sein du locataire Microsoft Entra source, et attribuez des rôles de facturation à un utilisateur du locataire Microsoft Entra de destination.

Configuration des applications

Utilisez les informations des sections suivantes pour installer et configurer l’application nécessaire dans le locataire de destination.

Inscrire une application dans le locataire de destination

Pour créer un abonnement MCA par programmation, une application Microsoft Entra doit être inscrite et disposer de l’autorisation RBAC (contrôle d’accès en fonction du rôle) Azure appropriée. Pour cette étape, assurez-vous que vous êtes connecté au locataire de destination (destination.onmicrosoft.com) avec un compte disposant des autorisations nécessaires pour inscrire des applications Microsoft Entra. Vérifiez également qu’un rôle de facturation dans le locataire source (source.onmicrosoft.com) lui a été octroyé dans le cadre des prérequis.

Pour ce faire, suivez les étapes décrites dans Démarrage rapide : Inscrire une application à l’aide de la plateforme d’identités Microsoft.

Pour les besoins de ce processus, vous devez uniquement suivre les sections Inscrire une application et Ajouter des informations d’identification.

Enregistrez les informations suivantes pour tester et configurer votre environnement :

• ID de l’annuaire (locataire)
• ID d’application (client)
• ID objet
• Valeur de secret d’application générée. La valeur n’est visible qu’au moment de la création.

Créer une attribution de rôle de facturation pour l’application dans le locataire de destination

Pour déterminer l’étendue et le rôle de facturation appropriés pour l’application, consultez les informations fournies dans Présentation des rôles d’administrateur Azure dans le cadre des Contrats client Microsoft.

Un utilisateur disposant d’un accès propriétaire peut attribuer un rôle à l’application en se connectant au portail Azure dans le locataire associé. L’accès propriétaire inclut :

• Propriétaire du compte de facturation
• Propriétaire du profil de facturation
• Propriétaire de section de facture

Après avoir déterminé l’étendue et le rôle, utilisez les informations fournies dans Gérer les rôles de facturation sur le portail Azure pour créer l’attribution de rôle pour l’application. Recherchez l’application en utilisant le nom que vous avez utilisé lorsque vous l’avez inscrite dans la section précédente.

Créer un abonnement par programme

Avec les applications et autorisations configurées, utilisez les informations suivantes pour créer des abonnements par programme.

Créer l’abonnement

Utilisez les informations suivantes pour créer un abonnement dans le locataire de destination.

Obtenir un jeton d’accès d’application de destination

Remplacez {{placeholders}} par l’ID de locataire réel, l’ID d’application (client), et les valeurs de secret d’application que vous avez enregistrées lors de la création de l’application de locataire de destination.

Appelez la requête et enregistrez la valeur access_token de la réponse, que vous utiliserez à l’étape suivante.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Obtenir les ID de compte de facturation, de profil de facturation et section de facture

Utilisez les informations fournies dans les sections Rechercher les comptes de facturation auxquels vous avez accès et Rechercher les profils de facturation et les sections de facture pour créer des abonnements pour obtenir les ID des sections compte de facturation, profil et facture.

Remarque

Nous vous recommandons d’utiliser la méthode REST avec le jeton d’accès obtenu précédemment pour vérifier que l’attribution de rôle de facturation d’application a été créée avec succès dans la section Configuration de l’application.

Créer un alias d’abonnement

Avec les ID de section de compte de facturation, de profil et de facture, vous disposez de toutes les informations nécessaires pour créer l’abonnement :

• {{guid}} : peut être un GUID valide.
• {{access_token}} : jeton d’accès de l’application de locataire de destination obtenu précédemment.
• {{billing_account}} : ID du compte de facturation obtenu précédemment.
• {{billing_profile}} : ID du profil de facturation obtenu précédemment.
• {{invoice_section}} : ID de la section de facture obtenue précédemment.
• {{destination_tenant_id}} : ID du locataire de destination noté lorsque vous avez précédemment créé l’application de locataire de destination.
• {{destination_service_principal_object_id}} : ID du principal de service du locataire de destination que vous avez obtenu précédemment dans la section Obtenir un jeton d’accès d’application de destination.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Étapes suivantes

• Maintenant que vous avez créé un abonnement, vous pouvez accorder cette capacité à d’autres utilisateurs et principaux de service. Pour plus d’informations, consultez Accorder l’accès pour créer des abonnements Azure Enterprise (préversion).
• Pour plus d’informations sur la gestion d’un grand nombre d’abonnements à l’aide de groupes d’administration, consultez Organiser vos ressources avec des groupes d’administration Azure.
• Pour changer le groupe d’administration d’un abonnement, consultez Déplacer des abonnements.