Programmatisch MCA-abonnementen maken in Microsoft Entra-tenants

Dit artikel helpt u programmatisch een mcA-abonnement (Microsoft-klantovereenkomst) te maken voor Microsoft Entra-tenants. In sommige situaties moet u mogelijk MCA-abonnementen maken in Microsoft Entra-tenants, maar deze koppelen aan één factureringsrekening. Voorbeelden van dergelijke situaties zijn SaaS-providers die gehoste klantenservices willen scheiden van interne IT-services of interne omgevingen met strikte nalevingsvereisten voor regelgeving, zoals Payment Card Industry (PCI).

Het proces voor het maken van een MCA-abonnement tussen tenants is in feite een proces in twee fasen. Hiervoor moeten acties worden uitgevoerd in de Microsoft Entra-tenants van de bron en het doel. In dit artikel wordt de volgende terminologie gebruikt:

• Bron-Microsoft Entra-id (source.onmicrosoft.com). Het vertegenwoordigt de brontenant waar het MCA-factureringsaccount bestaat.
• DoelCloud Microsoft Entra-id (destination.onmicrosoft.com). Het vertegenwoordigt de doeltenant waar de nieuwe MCA-abonnementen worden gemaakt.

U kunt geen ondersteuningsplannen programmatisch maken. U kunt een nieuw ondersteuningsplan kopen of een upgrade uitvoeren in Azure Portal. Navigeer naar Help en ondersteuning. Selecteer boven aan de pagina de optie Het juiste ondersteuningsplan kiezen.

Notitie

Er zijn twee methoden voor het programmatisch maken van MCA-abonnementen in Microsoft Entra-tenants. De methode die in dit artikel wordt beschreven, omvat een proces in twee fasen dat de brontenantbeheer biedt voor de abonnementen die zijn gemaakt in doeltenants. Deze methode kan de voorkeur hebben als u meer controle nodig hebt over het maken van abonnementen in doeltenants. De andere methode voor het gebruik van gekoppelde tenants is een vereenvoudigde versie waarmee de beheeroverhead wordt geminimaliseerd en het proces voor het maken van abonnementen wordt gestroomlijnd door machtigingen over te dragen om MCA-abonnementen volledig naar de doeltenant te maken.

Vereisten

U moet de volgende tenants al hebben gemaakt:

• Een Microsoft Entra-brontenant met een actieve Microsoft-klantovereenkomst factureringsrekening. Als u geen actieve MCA hebt, kunt u er een maken. Zie Azure - Registreren voor meer informatie
• Een Microsoft Entra-doeltenant is gescheiden van de tenant waartoe uw MCA behoort. Als u een nieuwe Microsoft Entra-tenant wilt maken, raadpleegt u de installatie van de Microsoft Entra-tenant.

Toepassingsset-up

Gebruik de informatie in de volgende secties om de benodigde toepassingen in de bron- en doeltenants in te stellen en te configureren.

Een toepassing registreren in de brontenant

Als u programmatisch een MCA-abonnement wilt maken, moet een Microsoft Entra-toepassing worden geregistreerd en de juiste RBAC-machtiging (Op rollen gebaseerd toegangsbeheer) van Azure krijgen. Zorg ervoor dat u voor deze stap bent aangemeld bij de brontenant (source.onmicrosoft.com) met een account met machtigingen voor het registreren van Microsoft Entra-toepassingen.

Volg de stappen in quickstart: Een toepassing registreren bij het Microsoft Identity Platform.

Voor dit proces hoeft u alleen de secties Een toepassing registreren te volgen en referenties toe te voegen.

Sla de volgende informatie op om uw omgeving te testen en te configureren:

• Id van directory (tenant)
• Client-id van toepassing
• Object-id
• App-geheime waarde die is gegenereerd. De waarde is alleen zichtbaar op het moment van maken.

Een factureringsroltoewijzing maken voor de toepassing in de brontenant

Als u de juiste bereik- en factureringsrol voor de toepassing wilt bepalen, raadpleegt u de informatie op Inzicht in Microsoft-klantovereenkomst beheerdersrollen in Azure.

Nadat u het bereik en de rol hebt bepaald, gebruikt u de informatie bij Factureringsrollen beheren in Azure Portal om de roltoewijzing voor de toepassing te maken. Zoek naar de toepassing met behulp van de naam die u hebt gebruikt bij het registreren van de toepassing in de vorige sectie.

Een toepassing registreren in de doeltenant

Als u het MCA-abonnement van de doeltenant (destination.onmicrosoft.com) wilt accepteren, moet een Microsoft Entra-toepassing worden geregistreerd en toegevoegd aan de rol Factureringsbeheerder Microsoft Entra. Zorg ervoor dat u voor deze stap bent aangemeld bij de doeltenant (destination.onmicrosoft.com) met een account met machtigingen voor het registreren van Microsoft Entra-toepassingen. Het moet ook de rolmachtiging factureringsbeheerder hebben.

Volg dezelfde stappen die u eerder hebt gebruikt om een toepassing te registreren in de brontenant. Sla de volgende informatie op om uw omgeving te testen en te configureren:

• Id van directory (tenant)
• Client-id van toepassing
• Object-id
• App-geheime waarde die is gegenereerd. De waarde is alleen zichtbaar op het moment van maken.

De doeltoepassing toevoegen aan de Microsoft Entra-rol Factureringsbeheerder

Als u de doeltoepassing die in de vorige sectie is gemaakt, wilt toevoegen aan de Microsoft Entra-rol Factureringsbeheerder in de doeltenant, gebruikt u de informatie bij Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id.

Programmatisch een abonnement maken

Wanneer de toepassingen en machtigingen al zijn ingesteld, gebruikt u de volgende informatie om programmatisch abonnementen te maken.

De id van de service-principal van de doeltoepassing ophalen

Wanneer u een MCA-abonnement maakt in de brontenant, moet u de service-principal of SPN van de toepassing in de doeltenant opgeven als eigenaar. Gebruik een van de volgende methoden om de id op te halen. In beide methoden is de waarde die moet worden gebruikt voor de lege GUID de toepassings-id (client) van de doeltenanttoepassing die eerder is gemaakt.

Azure-CLI

Meld u aan bij Azure CLI en gebruik de opdracht az ad sp show :

az ad sp show --id aaaaaaaa-bbbb-cccc-1111-222222222222 --query 'id'

Azure PowerShell

Meld u aan bij Azure PowerShell en gebruik de cmdlet Get-AzADServicePrincipal :

Get-AzADServicePrincipal -ApplicationId 00001111-aaaa-2222-bbbb-3333cccc4444 | Select-Object -Property Id

Sla de Id waarde op die wordt geretourneerd door de opdracht.

Het abonnement maken

Gebruik de volgende informatie om een abonnement te maken in de brontenant.

Een toegangstoken voor een brontoepassing ophalen

Vervang de {{placeholders}} waarde door de werkelijke tenant-id, de toepassings-id (client) en de waarden voor het app-geheim die u hebt opgeslagen toen u de brontenanttoepassing eerder hebt gemaakt.

Roep de aanvraag aan en sla de access_token waarde op uit het antwoord voor gebruik in de volgende stap.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

De factureringsrekening, het profiel en de factuursectie-id's ophalen

Gebruik de informatie in Factureringsaccounts zoeken waartoe u toegang hebt en factureringsprofielen en factuursecties zoeken om abonnementensecties te maken om de factureringsrekening, het profiel en de factuursectie-id's op te halen.

Notitie

U wordt aangeraden de REST-methode te gebruiken met het toegangstoken dat u eerder hebt verkregen om te controleren of de roltoewijzing van de toepassingsfacturering is gemaakt in de sectie Toepassingsinstallatie .

Een abonnementsalias maken

Met de factureringsaccount-, profiel- en factuursectie-id's hebt u alle informatie die nodig is om het abonnement te maken:

• {{guid}}: kan een geldige GUID zijn.
• {{access_token}}: Toegangstoken van de brontenanttoepassing die eerder is verkregen.
• {{billing_account}}: id van de factureringsrekening die u eerder hebt verkregen.
• {{billing_profile}}: id van het factureringsprofiel dat u eerder hebt verkregen.
• {{invoice_section}}: id van de factuursectie die u eerder hebt verkregen.
• {{destination_tenant_id}}: id van de doeltenant zoals vermeld toen u de doeltenanttoepassing eerder hebt gemaakt.
• {{destination_service_principal_id}}: id van de service-principal van de doeltenant die u eerder hebt verkregen uit de sectie De id van de service-principal van de doeltoepassing ophalen.

Verzend de aanvraag en noteer de waarde van de Location header in het antwoord.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_id}}"
    }
  }
}

Eigendom van het abonnement accepteren

De laatste fase voor het voltooien van het proces is het accepteren van het eigendom van het abonnement.

Een toegangstoken voor een doeltoepassing ophalen

Vervang door {{placeholders}} de werkelijke tenant-id, toepassings-id (client) en app-geheime waarden die u hebt opgeslagen toen u de doeltenanttoepassing eerder hebt gemaakt.

Roep de aanvraag aan en sla de access_token waarde op uit het antwoord voor de volgende stap.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Eigendom accepteren

Gebruik de volgende informatie om het eigendom van het abonnement in de doeltenant te accepteren:

• {{subscription_id}}: Id van het abonnement dat is gemaakt in de sectie Abonnementsalias maken. Deze bevindt zich in de locatiekoptekst die u hebt genoteerd.
• {{access_token}}: Toegangstoken dat in de vorige stap is gemaakt.
• {{subscription_display_name}}: Weergavenaam voor het abonnement in uw Azure-omgeving.

POST https://management.azure.com/providers/Microsoft.Subscription/subscriptions/{{subscription_id}}/acceptOwnership?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_display_name}}",
    "managementGroupId": null
  }
}

Volgende stappen

• Nu u een abonnement hebt gemaakt, kunt u die mogelijkheid verlenen aan andere gebruikers en service-principals. Zie Toegang verlenen voor het maken van Azure Enterprise-abonnementen (preview) voor meer informatie.
• Zie Resources organiseren met Azure-beheergroepen voor meer informatie over het beheren van grote aantallen abonnementen met behulp van beheergroepen.
• Zie Abonnementen verplaatsen als u de beheergroep voor een abonnement wilt wijzigen.