Partilhar via

Crie programaticamente assinaturas MCA entre locatários associados do Microsoft Entra

  • Artigo

Este artigo ajuda-o a criar programaticamente uma subscrição do Contrato de Cliente Microsoft (MCA) entre inquilinos de faturação associados. Em algumas situações, talvez seja necessário criar assinaturas MCA entre locatários do Microsoft Entra, mas vinculá-las a uma única conta de cobrança. Exemplos de tais situações incluem:

  • Provedores de SaaS que desejam segregar os serviços hospedados ao cliente dos serviços internos de TI
  • Sociedades gestoras de participações sociais ou de capital de risco com muitas empresas de carteira
  • Ambientes internos com requisitos rigorosos de conformidade regulamentar, como PCI (Payment Card Industry, indústria de cartões de pagamento)

O processo para criar uma assinatura MCA em locatários de cobrança associados requer ações a serem tomadas nos locatários de origem e destino do Microsoft Entra. Este artigo usa a seguinte terminologia:

  • Origem: locatário do Microsoft Entra (source.onmicrosoft.com). Ele representa o locatário de origem onde a conta de faturamento MCA existe.
  • Locatário do Destination Cloud Microsoft Entra (destination.onmicrosoft.com). Ele representa o locatário de destino onde as novas assinaturas MCA são criadas.

Não é possível criar planos de suporte programaticamente. Pode comprar um novo plano de suporte ou atualizar um no portal do Azure. Navegue até Ajuda + suporte. Na parte superior da página, selecione Escolher o plano de suporte certo.

Nota

Há dois métodos para habilitar programaticamente a criação de assinaturas MCA em locatários do Microsoft Entra. O método descrito neste artigo é uma versão simplificada que minimiza a sobrecarga de gerenciamento e simplifica o processo de criação de assinatura transferindo permissões para criar assinaturas MCA inteiramente para o locatário de destino. O outro método envolve um processo de duas fases que fornece a governança do locatário de origem sobre as assinaturas criadas nos locatários de destino. Esse método pode ser preferido se você precisar de um controle mais rígido sobre a criação de assinaturas em locatários de destino.

Pré-requisitos

O seguinte ambiente é necessário para permitir a criação programática de assinaturas MCA entre locatários de cobrança associados:

  • Um locatário de origem do Microsoft Entra com uma conta de cobrança ativa do Contrato de Cliente da Microsoft. Se não tiver um MCA ativo, pode criar um. Para obter mais informações, consulte Azure - Inscrever-se
  • Um locatário Microsoft Entra de destino separado do locatário ao qual seu MCA pertence. Para criar um novo locatário do Microsoft Entra, consulte Configuração do locatário do Microsoft Entra.
  • Adicione o locatário de destino do Microsoft Entra como locatário de cobrança associado ao locatário de cobrança associado dentro do locatário de origem do Microsoft Entra e atribua funções de cobrança a um usuário do locatário de destino do Microsoft Entra.

Configuração da aplicação

Use as informações nas seções a seguir para instalar e configurar o aplicativo necessário no locatário de destino.

Registrar um aplicativo no locatário de destino

Para criar programaticamente uma assinatura MCA, um aplicativo Microsoft Entra deve ser registrado e receber a permissão RBAC (controle de acesso baseado em função) apropriada do Azure. Para esta etapa, verifique se você está conectado ao locatário de destino (destination.onmicrosoft.com) com uma conta que tenha permissões para registrar aplicativos do Microsoft Entra. Certifique-se também de que lhe foi atribuída uma função de faturação no inquilino de origem (source.onmicrosoft.com) como parte dos pré-requisitos.

Seguindo as etapas em Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft.

Para os fins deste processo, você só precisa seguir as seções Registrar um aplicativo e Adicionar credenciais .

Salve as seguintes informações para testar e configurar seu ambiente:

  • ID do Diretório (inquilino)
  • ID da aplicação (cliente)
  • ID do Objeto
  • Valor secreto do aplicativo que foi gerado. O valor só é visível no momento da criação.

Criar uma atribuição de função de cobrança para o aplicativo no locatário de destino

Para determinar o escopo apropriado e a função de cobrança para o aplicativo, examine as informações em Compreender as funções administrativas do Contrato de Cliente Microsoft no Azure.

Um usuário com acesso de proprietário pode atribuir uma função ao aplicativo entrando no portal do Azure no locatário associado. O acesso do proprietário inclui:

  • Proprietário da conta de faturação
  • Proprietário do perfil de faturação
  • Proprietário da secção de fatura

Depois de determinar o escopo e a função, use as informações em Gerenciar funções de cobrança no portal do Azure para criar a atribuição de função para o aplicativo. Procure a aplicação utilizando o nome que utilizou quando registou a aplicação na secção anterior.

Criar uma subscrição programaticamente

Com os aplicativos e permissões já configurados, use as informações a seguir para criar assinaturas programaticamente.

Criar a subscrição

Use as informações a seguir para criar uma assinatura no locatário de destino.

Obter um token de acesso ao aplicativo de destino

Substitua o {{placeholders}} pelo ID do locatário real, ID do aplicativo (cliente) e os valores secretos do aplicativo que você salvou quando criou o aplicativo locatário de destino anteriormente.

Invoque a solicitação e salve o access_token valor da resposta para uso na próxima etapa.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Obter os IDs da conta de cobrança, do perfil e da seção de fatura

Use as informações em Localizar contas de faturamento às quais você tem acesso e Localizar perfis de faturamento e seções de fatura para criar seções de assinaturas para obter os IDs da conta de faturamento, perfil e seção de fatura.

Nota

Recomendamos usar o método REST com o token de acesso obtido anteriormente para verificar se a atribuição de função de cobrança do aplicativo foi criada com êxito na seção Configuração do aplicativo.

Criar um alias de subscrição

Com os IDs da conta de cobrança, do perfil e da seção de fatura, você tem todas as informações necessárias para criar a assinatura:

  • {{guid}}: Pode ser um GUID válido.
  • {{access_token}}: Token de acesso do aplicativo locatário de destino obtido anteriormente.
  • {{billing_account}}: ID da conta de faturação obtida anteriormente.
  • {{billing_profile}}: ID do perfil de faturação obtido anteriormente.
  • {{invoice_section}}: ID da secção da fatura obtida anteriormente.
  • {{destination_tenant_id}}: ID do locatário de destino, conforme observado quando você criou anteriormente o aplicativo de locatário de destino.
  • {{destination_service_principal_object_id}}: ID da entidade de serviço do locatário de destino que você obteve da seção Obter um token de acesso ao aplicativo de destino anteriormente.
PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Próximos passos