Udostępnij za pośrednictwem

Programowe tworzenie subskrypcji MCA w skojarzonych dzierżawach firmy Microsoft Entra

  • Artykuł

Ten artykuł pomaga programowo utworzyć subskrypcję Umowa z Klientem Microsoft (MCA) w skojarzonych dzierżawach rozliczeniowych. W niektórych sytuacjach może być konieczne utworzenie subskrypcji MCA w dzierżawach firmy Microsoft Entra, ale połączenie ich z jednym kontem rozliczeniowym. Przykłady takich sytuacji to:

  • Dostawcy SaaS, którzy chcą segregować hostowane usługi klienta z wewnętrznych usług IT
  • Holding lub venture capital firm z wieloma firmami portfelowymi
  • Środowiska wewnętrzne, które mają ścisłe wymagania dotyczące zgodności z przepisami, takie jak Payment Card Industry (PCI)

Proces tworzenia subskrypcji MCA w skojarzonych dzierżawach rozliczeniowych wymaga wykonania akcji w źródłowych i docelowych dzierżawach firmy Microsoft Entra. W tym artykule jest używana następująca terminologia:

  • Źródłowa dzierżawa firmy Microsoft Entra (source.onmicrosoft.com). Reprezentuje dzierżawę źródłową, w której istnieje konto rozliczeniowe MCA.
  • Docelowa dzierżawa firmy Microsoft Entra (destination.onmicrosoft.com). Reprezentuje dzierżawę docelową, w której są tworzone nowe subskrypcje MCA.

Nie można programowo tworzyć planów pomocy technicznej. Możesz kupić nowy plan pomocy technicznej lub uaktualnić go w witrynie Azure Portal. Przejdź do pozycji Pomoc i obsługa techniczna. W górnej części strony wybierz pozycję Wybierz odpowiedni plan pomocy technicznej.

Uwaga

Istnieją dwie metody umożliwiające programowe tworzenie subskrypcji MCA w dzierżawach firmy Microsoft Entra. Metoda opisana w tym artykule jest uproszczoną wersją, która minimalizuje obciążenie związane z zarządzaniem i usprawnia proces tworzenia subskrypcji przez przeniesienie uprawnień do tworzenia subskrypcji w całości do dzierżawy docelowej. Druga metoda obejmuje proces dwufazowy, który zapewnia nadzór dzierżawy źródłowej nad subskrypcjami utworzonymi w dzierżawach docelowych. Ta metoda może być preferowana, jeśli potrzebujesz ściślejszej kontroli nad tworzeniem subskrypcji w dzierżawach docelowych.

Wymagania wstępne

Aby umożliwić programowe tworzenie subskrypcji umowy MCA w skojarzonych dzierżawach rozliczeniowych, wymagane jest następujące środowisko:

Konfiguracja aplikacji

Skorzystaj z informacji w poniższych sekcjach, aby skonfigurować i skonfigurować wymaganą aplikację w dzierżawie docelowej.

Rejestrowanie aplikacji w dzierżawie docelowej

Aby programowo utworzyć subskrypcję MCA, należy zarejestrować aplikację Firmy Microsoft Entra i przyznać odpowiednie uprawnienie kontroli dostępu opartej na rolach (RBAC) platformy Azure. W tym kroku upewnij się, że zalogowano się do dzierżawy docelowej (destination.onmicrosoft.com) przy użyciu konta z uprawnieniami do rejestrowania aplikacji Firmy Microsoft Entra. Upewnij się również, że przypisano mu rolę rozliczeń w dzierżawie źródłowej (source.onmicrosoft.com) w ramach wymagań wstępnych.

Wykonaj kroki opisane w przewodniku Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.

Na potrzeby tego procesu wystarczy postępować zgodnie z sekcjami Rejestrowanie aplikacji i Dodawanie poświadczeń .

Zapisz następujące informacje, aby przetestować i skonfigurować środowisko:

  • Identyfikator katalogu (dzierżawcy)
  • Identyfikator aplikacji (klient)
  • Identyfikator obiektu
  • Wygenerowana wartość wpisu tajnego aplikacji. Wartość jest widoczna tylko w momencie tworzenia.

Tworzenie przypisania roli rozliczeń dla aplikacji w dzierżawie docelowej

Aby określić odpowiedni zakres i rolę rozliczeń dla aplikacji, zapoznaj się z informacjami w artykule Omówienie ról administracyjnych Umowa z Klientem Microsoft na platformie Azure.

Użytkownik z dostępem właściciela może przypisać rolę do aplikacji, logując się do witryny Azure Portal w skojarzonej dzierżawie. Dostęp właściciela obejmuje:

  • Właściciel konta rozliczeniowego
  • Właściciel profilu rozliczeniowego
  • Właściciel sekcji faktury

Po określeniu zakresu i roli użyj informacji w temacie Zarządzanie rolami rozliczeniowymi w witrynie Azure Portal , aby utworzyć przypisanie roli dla aplikacji. Wyszukaj aplikację przy użyciu nazwy użytej podczas rejestrowania aplikacji w poprzedniej sekcji.

Programowe tworzenie subskrypcji

Po skonfigurowaniu aplikacji i uprawnień użyj poniższych informacji, aby programowo tworzyć subskrypcje.

Tworzenie subskrypcji

Skorzystaj z poniższych informacji, aby utworzyć subskrypcję w dzierżawie docelowej.

Uzyskiwanie tokenu dostępu aplikacji docelowej

Zastąp element {{placeholders}} rzeczywistym identyfikatorem dzierżawy, identyfikatorem aplikacji (klienta) i wartościami wpisów tajnych aplikacji zapisanymi podczas tworzenia aplikacji dzierżawy docelowej wcześniej.

Wywołaj żądanie i zapisz access_token wartość z odpowiedzi do użycia w następnym kroku.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Pobieranie identyfikatorów sekcji konta rozliczeniowego, profilu i faktury

Skorzystaj z informacji znajdujących się w sekcji Znajdowanie kont rozliczeniowych, do których masz dostęp i sekcje Znajdowanie profilów rozliczeniowych i faktur, aby utworzyć sekcje subskrypcji w celu uzyskania identyfikatorów sekcji konta rozliczeniowego, profilu i faktury.

Uwaga

Zalecamy użycie metody REST z tokenem dostępu uzyskanym wcześniej, aby sprawdzić, czy przypisanie roli rozliczeń aplikacji zostało pomyślnie utworzone w sekcji Konfiguracja aplikacji.

Tworzenie aliasu subskrypcji

W przypadku identyfikatorów sekcji konta rozliczeniowego, profilu i faktury masz wszystkie informacje potrzebne do utworzenia subskrypcji:

  • {{guid}}: może być prawidłowym identyfikatorem GUID.
  • {{access_token}}: token dostępu aplikacji dzierżawy docelowej uzyskanej wcześniej.
  • {{billing_account}}: identyfikator uzyskanego wcześniej konta rozliczeniowego.
  • {{billing_profile}}: identyfikator uzyskanego wcześniej profilu rozliczeniowego.
  • {{invoice_section}}: identyfikator uzyskanej wcześniej sekcji faktury.
  • {{destination_tenant_id}}: identyfikator dzierżawy docelowej, jak zanotowano podczas tworzenia wcześniej docelowej aplikacji dzierżawy.
  • {{destination_service_principal_object_id}}: identyfikator docelowej jednostki usługi dzierżawy, która została wcześniej pobrana z sekcji Uzyskiwanie tokenu dostępu aplikacji docelowej.
PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Następne kroki