Programmatisch MCA-abonnementen maken voor gekoppelde Microsoft Entra-tenants

Dit artikel helpt u programmatisch een mcA-abonnement (Microsoft-klantovereenkomst) te maken voor gekoppelde factureringstenants. In sommige situaties moet u mogelijk MCA-abonnementen maken in Microsoft Entra-tenants, maar deze koppelen aan één factureringsrekening. Voorbeelden van dergelijke situaties zijn:

• SaaS-providers die gehoste klantenservices willen scheiden van interne IT-services
• Holding or venture capital companies with many portfolio companies
• Interne omgevingen met strikte nalevingsvereisten voor regelgeving, zoals Pci (Payment Card Industry)

Voor het maken van een MCA-abonnement in gekoppelde factureringstenants moeten acties worden uitgevoerd in de Microsoft Entra-tenants van de bron en het doel. In dit artikel wordt de volgende terminologie gebruikt:

• Bron-Microsoft Entra-tenant (source.onmicrosoft.com). Het vertegenwoordigt de brontenant waar het MCA-factureringsaccount bestaat.
• DoelCloud Microsoft Entra-tenant (destination.onmicrosoft.com). Het vertegenwoordigt de doeltenant waar de nieuwe MCA-abonnementen worden gemaakt.

U kunt geen ondersteuningsplannen programmatisch maken. U kunt een nieuw ondersteuningsplan kopen of een upgrade uitvoeren in Azure Portal. Navigeer naar Help en ondersteuning. Selecteer boven aan de pagina de optie Het juiste ondersteuningsplan kiezen.

Notitie

Er zijn twee methoden voor het programmatisch maken van MCA-abonnementen in Microsoft Entra-tenants. De methode die in dit artikel wordt beschreven, is een vereenvoudigde versie waarmee de beheeroverhead wordt geminimaliseerd en het proces voor het maken van abonnementen wordt gestroomlijnd door machtigingen over te dragen om MCA-abonnementen volledig naar de doeltenant te maken. De andere methode omvat een proces in twee fasen dat de brontenantbeheer biedt voor de abonnementen die zijn gemaakt in doeltenants. Deze methode kan de voorkeur hebben als u meer controle nodig hebt over het maken van abonnementen in doeltenants.

Vereisten

De volgende omgeving is vereist om programmatisch MCA-abonnementen te maken voor gekoppelde factureringstenants:

• Een Microsoft Entra-brontenant met een actieve Microsoft-klantovereenkomst factureringsrekening. Als u geen actieve MCA hebt, kunt u er een maken. Zie Azure - Registreren voor meer informatie
• Een Microsoft Entra-doeltenant is gescheiden van de tenant waartoe uw MCA behoort. Als u een nieuwe Microsoft Entra-tenant wilt maken, raadpleegt u de installatie van de Microsoft Entra-tenant.
• Voeg de Doel-Microsoft Entra-tenant toe als gekoppelde factureringstenant die is gekoppeld aan factureringstenants binnen de Microsoft Entra-brontenant en wijs factureringsrollen toe aan een gebruiker vanuit de Microsoft Entra-doeltenant.

Installatie van toepassing

Gebruik de informatie in de volgende secties om de benodigde toepassing in de doeltenant in te stellen en te configureren.

Een toepassing registreren in de doeltenant

Als u programmatisch een MCA-abonnement wilt maken, moet een Microsoft Entra-toepassing worden geregistreerd en de juiste RBAC-machtiging (Op rollen gebaseerd toegangsbeheer) van Azure krijgen. Zorg ervoor dat u voor deze stap bent aangemeld bij de doeltenant (destination.onmicrosoft.com) met een account met machtigingen voor het registreren van Microsoft Entra-toepassingen. Zorg er ook voor dat aan de brontenant (source.onmicrosoft.com) een factureringsrol is toegewezen als onderdeel van de vereisten.

Volg de stappen in quickstart: Een toepassing registreren bij het Microsoft Identity Platform.

Voor dit proces hoeft u alleen de secties Een toepassing registreren te volgen en referenties toe te voegen.

Sla de volgende informatie op om uw omgeving te testen en te configureren:

• Id van directory (tenant)
• Client-id van toepassing
• Object-id
• App-geheime waarde die is gegenereerd. De waarde is alleen zichtbaar op het moment van maken.

Een factureringsroltoewijzing maken voor de toepassing in de doeltenant

Als u de juiste bereik- en factureringsrol voor de toepassing wilt bepalen, raadpleegt u de informatie op Inzicht in Microsoft-klantovereenkomst beheerdersrollen in Azure.

Een gebruiker met eigenaarstoegang kan een rol toewijzen aan de toepassing door u aan te melden bij Azure Portal in de bijbehorende tenant. Eigenaarstoegang omvat:

• Eigenaar van factureringsrekening
• Eigenaar van factureringsprofiel
• Eigenaar van factuursectie

Nadat u het bereik en de rol hebt bepaald, gebruikt u de informatie bij Factureringsrollen beheren in Azure Portal om de roltoewijzing voor de toepassing te maken. Zoek naar de toepassing met behulp van de naam die u hebt gebruikt bij het registreren van de toepassing in de vorige sectie.

Programmatisch een abonnement maken

Wanneer de toepassingen en machtigingen al zijn ingesteld, gebruikt u de volgende informatie om programmatisch abonnementen te maken.

Het abonnement maken

Gebruik de volgende informatie om een abonnement te maken in de doeltenant.

Een toegangstoken voor een doeltoepassing ophalen

Vervang de {{placeholders}} waarde door de werkelijke tenant-id, de toepassings-id (client) en de waarden voor het app-geheim die u hebt opgeslagen toen u de doeltenanttoepassing eerder hebt gemaakt.

Roep de aanvraag aan en sla de access_token waarde op uit het antwoord voor gebruik in de volgende stap.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

De factureringsrekening, het profiel en de factuursectie-id's ophalen

Gebruik de informatie in Factureringsaccounts zoeken waartoe u toegang hebt en factureringsprofielen en factuursecties zoeken om abonnementensecties te maken om de factureringsrekening, het profiel en de factuursectie-id's op te halen.

Notitie

U wordt aangeraden de REST-methode te gebruiken met het toegangstoken dat u eerder hebt verkregen om te controleren of de roltoewijzing van de toepassingsfacturering is gemaakt in de sectie Toepassingsinstallatie .

Een abonnementsalias maken

Met de factureringsaccount-, profiel- en factuursectie-id's hebt u alle informatie die nodig is om het abonnement te maken:

• {{guid}}: kan een geldige GUID zijn.
• {{access_token}}: Toegangstoken van de doeltenanttoepassing die u eerder hebt verkregen.
• {{billing_account}}: id van de factureringsrekening die u eerder hebt verkregen.
• {{billing_profile}}: id van het factureringsprofiel dat u eerder hebt verkregen.
• {{invoice_section}}: id van de factuursectie die u eerder hebt verkregen.
• {{destination_tenant_id}}: id van de doeltenant zoals vermeld toen u de doeltenanttoepassing eerder hebt gemaakt.
• {{destination_service_principal_object_id}}: id van de service-principal van de doeltenant die u eerder hebt verkregen uit de sectie Toegangstoken voor een doeltoepassing ophalen.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Volgende stappen

• Nu u een abonnement hebt gemaakt, kunt u die mogelijkheid verlenen aan andere gebruikers en service-principals. Zie Toegang verlenen voor het maken van Azure Enterprise-abonnementen (preview) voor meer informatie.
• Zie Resources organiseren met Azure-beheergroepen voor meer informatie over het beheren van grote aantallen abonnementen met behulp van beheergroepen.
• Zie Abonnementen verplaatsen als u de beheergroep voor een abonnement wilt wijzigen.