Udostępnij za pośrednictwem

Programowe tworzenie subskrypcji MCA w dzierżawach firmy Microsoft Entra

  • Artykuł

Ten artykuł pomaga programowo utworzyć subskrypcję Umowa z Klientem Microsoft (MCA) w dzierżawach firmy Microsoft Entra. W niektórych sytuacjach może być konieczne utworzenie subskrypcji UMOWY MCA w dzierżawach firmy Microsoft Entra, ale ich powiązanie z jednym kontem rozliczeniowym. Przykładami takich sytuacji są dostawcy SaaS, którzy chcą rozdzielić hostowane usługi klienta od wewnętrznych usług IT lub środowisk wewnętrznych, które mają ścisłe wymagania dotyczące zgodności z przepisami, takie jak Payment Card Industry (PCI).

Proces tworzenia subskrypcji UMOWY MCA w dzierżawach jest w rzeczywistości procesem dwufazowym. Wymaga to wykonania akcji w dzierżawach źródłowych i docelowych firmy Microsoft Entra. W tym artykule jest używana następująca terminologia:

  • Source Microsoft Entra ID (source.onmicrosoft.com). Reprezentuje dzierżawę źródłową, w której istnieje konto rozliczeniowe MCA.
  • Destination Cloud Microsoft Entra ID (destination.onmicrosoft.com). Reprezentuje dzierżawę docelową, w której są tworzone nowe subskrypcje MCA.

Nie można programowo tworzyć planów pomocy technicznej. Możesz kupić nowy plan pomocy technicznej lub uaktualnić go w witrynie Azure Portal. Przejdź do pozycji Pomoc i wsparcie techniczne, a następnie w górnej części strony wybierz pozycję Wybierz odpowiedni plan pomocy technicznej.

Wymagania wstępne

Musisz mieć już utworzone następujące dzierżawy:

Konfiguracja aplikacji

Skorzystaj z informacji w poniższych sekcjach, aby skonfigurować i skonfigurować wymagane aplikacje w dzierżawach źródłowych i docelowych.

Rejestrowanie aplikacji w dzierżawie źródłowej

Aby programowo utworzyć subskrypcję MCA, aplikacja Firmy Microsoft Entra musi zostać zarejestrowana i udzielona odpowiednie uprawnienie RBAC platformy Azure. W tym kroku upewnij się, że zalogowano się do dzierżawy źródłowej (source.onmicrosoft.com) przy użyciu konta z uprawnieniami do rejestrowania aplikacji Firmy Microsoft Entra.

Wykonaj kroki opisane w przewodniku Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.

Na potrzeby tego procesu wystarczy postępować zgodnie z sekcjami Rejestrowanie aplikacji i Dodawanie poświadczeń .

Zapisz następujące informacje, aby przetestować i skonfigurować środowisko:

  • Identyfikator katalogu (dzierżawcy)
  • Identyfikator aplikacji (klient)
  • Identyfikator obiektu
  • Wygenerowana wartość wpisu tajnego aplikacji. Wartość jest widoczna tylko w momencie tworzenia.

Tworzenie przypisania roli rozliczeń dla aplikacji w dzierżawie źródłowej

Zapoznaj się z informacjami w artykule Omówienie ról administracyjnych Umowa z Klientem Microsoft na platformie Azure, aby określić odpowiedni zakres i rolę rozliczeń dla aplikacji.

Po określeniu zakresu i roli użyj informacji w temacie Zarządzanie rolami rozliczeniowymi w witrynie Azure Portal , aby utworzyć przypisanie roli dla aplikacji. Wyszukaj aplikację przy użyciu nazwy użytej podczas rejestrowania aplikacji w poprzedniej sekcji.

Rejestrowanie aplikacji w dzierżawie docelowej

Aby zaakceptować subskrypcję MCA z dzierżawy docelowej (destination.onmicrosoft.com), należy zarejestrować aplikację Firmy Microsoft Entra i dodać ją do roli Administratora rozliczeń Firmy Microsoft Entra. W tym kroku upewnij się, że zalogowano się do dzierżawy docelowej (destination.onmicrosoft.com) przy użyciu konta z uprawnieniami do rejestrowania aplikacji firmy Microsoft Entra. Musi również mieć uprawnienia roli administratora rozliczeń.

Wykonaj te same kroki, które użyto powyżej, aby zarejestrować aplikację w dzierżawie źródłowej. Zapisz następujące informacje, aby przetestować i skonfigurować środowisko:

  • Identyfikator katalogu (dzierżawcy)
  • Identyfikator aplikacji (klient)
  • Identyfikator obiektu
  • Wygenerowana wartość wpisu tajnego aplikacji. Wartość jest widoczna tylko w momencie tworzenia.

Dodawanie aplikacji docelowej do roli administratora rozliczeń firmy Microsoft Entra

Skorzystaj z informacji w artykule Przypisywanie ról administratora i innych niż administrator do użytkowników z identyfikatorem Entra firmy Microsoft, aby dodać aplikację docelową utworzoną w poprzedniej sekcji do roli administrator rozliczeń Microsoft Entra w dzierżawie docelowej.

Programowe tworzenie subskrypcji

Po skonfigurowaniu aplikacji i uprawnień użyj poniższych informacji, aby programowo tworzyć subskrypcje.

Pobieranie identyfikatora docelowej jednostki usługi aplikacji

Podczas tworzenia subskrypcji MCA w dzierżawie źródłowej należy określić jednostkę usługi lub nazwę SPN aplikacji w dzierżawie docelowej jako właściciel. Użyj jednej z następujących metod, aby uzyskać identyfikator. W obu metodach wartość używana dla pustego identyfikatora GUID to identyfikator aplikacji (klienta) utworzonej wcześniej aplikacji dzierżawy docelowej.

Interfejs wiersza polecenia platformy Azure

Zaloguj się do interfejsu wiersza polecenia platformy Azure i użyj polecenia az ad sp show :

az ad sp show --id aaaaaaaa-bbbb-cccc-1111-222222222222 --query 'id'

Azure PowerShell

Zaloguj się do programu Azure PowerShell i użyj polecenia cmdlet Get-AzADServicePrincipal :

Get-AzADServicePrincipal -ApplicationId 00001111-aaaa-2222-bbbb-3333cccc4444 | Select-Object -Property Id

Id Zapisz wartość zwróconą przez polecenie .

Tworzenie subskrypcji

Skorzystaj z poniższych informacji, aby utworzyć subskrypcję w dzierżawie źródłowej.

Uzyskiwanie tokenu dostępu do aplikacji źródłowej

Zastąp element {{placeholders}} rzeczywistym identyfikatorem dzierżawy, identyfikatorem aplikacji (klienta) oraz wartościami wpisów tajnych aplikacji zapisanymi podczas tworzenia źródłowej aplikacji dzierżawy.

Wywołaj żądanie i zapisz access_token wartość z odpowiedzi do użycia w następnym kroku.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Pobieranie identyfikatorów sekcji konta rozliczeniowego, profilu i faktury

Skorzystaj z informacji znajdujących się w sekcji Znajdowanie kont rozliczeniowych, do których masz dostęp i sekcje Znajdowanie profilów rozliczeniowych i faktur, aby utworzyć sekcje subskrypcji w celu uzyskania identyfikatorów sekcji konta rozliczeniowego, profilu i faktury.

Uwaga

Zalecamy użycie metody REST z tokenem dostępu uzyskanym wcześniej, aby sprawdzić, czy przypisanie roli rozliczeń aplikacji zostało pomyślnie utworzone w sekcji Konfiguracja aplikacji.

Tworzenie aliasu subskrypcji

W przypadku identyfikatorów sekcji konta rozliczeniowego, profilu i faktury masz wszystkie informacje potrzebne do utworzenia subskrypcji:

  • {{guid}}: może być prawidłowym identyfikatorem GUID.
  • {{access_token}}: token dostępu aplikacji dzierżawy źródłowej uzyskanej wcześniej.
  • {{billing_account}}: identyfikator uzyskanego wcześniej konta rozliczeniowego.
  • {{billing_profile}}: identyfikator uzyskanego wcześniej profilu rozliczeniowego.
  • {{invoice_section}}: identyfikator uzyskanej wcześniej sekcji faktury.
  • {{destination_tenant_id}}: identyfikator dzierżawy docelowej, jak zanotowano podczas tworzenia wcześniej docelowej aplikacji dzierżawy.
  • {{destination_service_principal_id}}: identyfikator docelowej jednostki usługi dzierżawy, która została wcześniej pobrana z sekcji Pobierz identyfikator jednostki usługi aplikacji docelowej.

Wyślij żądanie i zanotuj wartość nagłówka Location w odpowiedzi.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_id}}"
    }
  }
}

Akceptowanie własności subskrypcji

Ostatnia faza ukończenia procesu polega na zaakceptowaniu własności subskrypcji.

Uzyskiwanie tokenu dostępu aplikacji docelowej

Zastąp {{placeholders}} wartość rzeczywistym identyfikatorem dzierżawy, identyfikatorem aplikacji (klienta) i wartościami wpisów tajnych aplikacji zapisanymi wcześniej podczas tworzenia docelowej aplikacji dzierżawy.

Wywołaj żądanie i zapisz access_token wartość z odpowiedzi na następny krok.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Zaakceptuj własność

Użyj poniższych informacji, aby zaakceptować własność subskrypcji w dzierżawie docelowej:

  • {{subscription_id}}: identyfikator subskrypcji utworzonej w sekcji Tworzenie aliasu subskrypcji. Znajduje się on w zanotowany nagłówek lokalizacji.
  • {{access_token}}: token dostępu utworzony w poprzednim kroku.
  • {{subscription_display_name}}: Nazwa wyświetlana subskrypcji w środowisku platformy Azure.
POST https://management.azure.com/providers/Microsoft.Subscription/subscriptions/{{subscription_id}}/acceptOwnership?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_display_name}}",
    "managementGroupId": null
  }
}

Następne kroki