Condividi tramite

Creare sottoscrizioni mca a livello di codice nei tenant Microsoft Entra associati

  • Articolo

Questo articolo consente di creare a livello di codice una sottoscrizione di Contratto del cliente Microsoft (MCA) tra i tenant di fatturazione associati. In alcune situazioni, potrebbe essere necessario creare sottoscrizioni mca nei tenant di Microsoft Entra, ma collegarle a un singolo account di fatturazione. Esempi di tali situazioni includono:

  • Provider SaaS che vogliono separare i servizi dei clienti ospitati dai servizi IT interni
  • Holding o venture capital company con molte società di portafoglio
  • Ambienti interni con requisiti di conformità normativi rigorosi, ad esempio Payment Card Industry (PCI)

Il processo di creazione di una sottoscrizione mca nei tenant di fatturazione associati richiede l'esecuzione di azioni nei tenant di Microsoft Entra di origine e di destinazione. In questo articolo viene usata la terminologia seguente:

  • Tenant di Microsoft Entra di origine (source.onmicrosoft.com). Rappresenta il tenant di origine in cui è presente l'account di fatturazione MCA.
  • Tenant di Microsoft Entra (destination.onmicrosoft.com) del cloud di destinazione. Rappresenta il tenant di destinazione in cui vengono create le nuove sottoscrizioni MCA.

Non è possibile creare piani di supporto a livello di codice. È possibile invece acquistare un nuovo piano di supporto o aggiornarne uno già esistente nel portale di Azure. Passare a Guida e supporto. Nella parte superiore della pagina selezionare Scegliere il piano di supporto appropriato.

Nota

Esistono due metodi per abilitare la creazione a livello di codice di sottoscrizioni mca nei tenant di Microsoft Entra. Il metodo descritto in questo articolo è una versione semplificata che riduce al minimo il sovraccarico di gestione e semplifica il processo di creazione della sottoscrizione trasferendo le autorizzazioni per creare sottoscrizioni del Contratto del cliente microsoft interamente nel tenant di destinazione. L'altro metodo prevede un processo in due fasi che fornisce la governance del tenant di origine sulle sottoscrizioni create nei tenant di destinazione. Questo metodo potrebbe essere preferibile se è necessario un maggiore controllo sulla creazione di sottoscrizioni nei tenant di destinazione.

Prerequisiti

L'ambiente seguente è necessario per abilitare la creazione a livello di codice di sottoscrizioni mca nei tenant di fatturazione associati:

Configurazione dell'applicazione

Usare le informazioni nelle sezioni seguenti per configurare e configurare l'applicazione necessaria nel tenant di destinazione.

Registrare un'applicazione nel tenant di destinazione

Per creare una sottoscrizione mca a livello di codice, è necessario registrare un'applicazione Microsoft Entra e concedere l'autorizzazione appropriata per il controllo degli accessi in base al ruolo di Azure. Per questo passaggio, assicurarsi di aver eseguito l'accesso al tenant di destinazione (destination.onmicrosoft.com) con un account con le autorizzazioni per registrare le applicazioni Microsoft Entra. Assicurarsi anche che sia stato assegnato un ruolo di fatturazione nel tenant di origine (source.onmicrosoft.com) come parte dei prerequisiti.

A tale scopo, seguire la procedura illustrata in Avvio rapido: Registrare un'applicazione con Microsoft Identity Platform.

Ai fini di questo processo, è sufficiente seguire le istruzioni nelle sezioni Registrare un'applicazione e Aggiungere credenziali.

Salvare le informazioni seguenti per testare e configurare l'ambiente:

  • ID della directory (tenant)
  • ID applicazione (client)
  • ID dell'oggetto.
  • Valore del segreto dell'app generato. Il valore è visibile solo al momento della creazione.

Creare un'assegnazione di ruolo di fatturazione per l'applicazione nel tenant di destinazione

Per determinare l'ambito e il ruolo di fatturazione appropriati per l'applicazione, esaminare le informazioni in Informazioni Contratto del cliente Microsoft ruoli amministrativi in Azure.

Un utente con accesso proprietario può assegnare un ruolo all'applicazione accedendo al portale di Azure nel tenant associato. L'accesso al proprietario include:

  • Proprietario dell'account di fatturazione
  • Proprietario del profilo di fatturazione
  • Proprietario della sezione della fattura

Dopo aver determinato l'ambito e il ruolo, usare le informazioni in Gestire i ruoli di fatturazione nel portale di Azure per creare l'assegnazione di ruolo per l'applicazione. Cercare l'applicazione con il nome utilizzato durante la registrazione dell'applicazione nella sezione precedente.

Creare una sottoscrizione a livello di codice

Con le applicazioni e le autorizzazioni già configurate, usare le informazioni seguenti per creare sottoscrizioni a livello di codice.

Creare la sottoscrizione

Usare le informazioni seguenti per creare una sottoscrizione nel tenant di destinazione.

Ottenere un token di accesso all'applicazione di destinazione

{{placeholders}} Sostituire con l'ID tenant effettivo, l'ID applicazione (client) e i valori dei segreti dell'app salvati durante la creazione dell'applicazione tenant di destinazione in precedenza.

Richiamare la richiesta e salvare il valore access_token della risposta da usare nel passaggio successivo.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Ottenere gli ID dell'account di fatturazione, del profilo di fatturazione e della sezione della fattura

Usare le informazioni disponibili nelle sezioni Trova account di fatturazione a cui si ha accesso e Trovare profili di fatturazione e sezioni della fattura per creare sottoscrizioni per ottenere gli ID dell'account di fatturazione, del profilo di fatturazione e della sezione della fattura.

Nota

È consigliabile usare il metodo REST con il token di accesso ottenuto in precedenza per verificare che l'assegnazione del ruolo di fatturazione dell'applicazione sia stata creata correttamente nella sezione Configurazione dell'applicazione.

Creare un alias di sottoscrizione

Con gli ID dell'account di fatturazione, del profilo di fatturazione e della sezione della fattura sono disponibili tutte le informazioni necessarie per creare la sottoscrizione:

  • {{guid}}: può essere un GUID valido.
  • {{access_token}}: token di accesso dell'applicazione tenant di destinazione ottenuto in precedenza.
  • {{billing_account}}: ID dell'account di fatturazione ottenuto in precedenza.
  • {{billing_profile}}: ID del profilo di fatturazione ottenuto in precedenza.
  • {{invoice_section}}: ID della sezione della fattura ottenuto in precedenza.
  • {{destination_tenant_id}}: ID del tenant di destinazione come indicato al momento della creazione dell'applicazione tenant di destinazione.
  • {{destination_service_principal_object_id}}: ID dell'entità servizio tenant di destinazione ottenuta dalla sezione Ottenere un token di accesso all'applicazione di destinazione in precedenza.
PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Passaggi successivi