Skapa MCA-prenumerationer programmatiskt mellan associerade Microsoft Entra-klienter

Den här artikeln hjälper dig att programmatiskt skapa en mca-prenumeration (Microsoft-kundavtal) mellan associerade faktureringsklientorganisationer. I vissa situationer kan du behöva skapa MCA-prenumerationer för Microsoft Entra-klienter, men koppla dem till ett enda faktureringskonto. Exempel på sådana situationer är:

• SaaS-leverantörer som vill skilja värdbaserade kundtjänster från interna IT-tjänster
• Holding- eller riskkapitalbolag med många portföljbolag
• Interna miljöer som har strikta krav på regelefterlevnad, till exempel PCI (Payment Card Industry)

Processen för att skapa en MCA-prenumeration i associerade faktureringsklientorganisationer kräver att åtgärder vidtas i Microsoft Entra-klientorganisationer för källa och mål. Den här artikeln använder följande terminologi:

• Microsoft Entra-klientorganisation (source.onmicrosoft.com). Den representerar källklientorganisationen där MCA-faktureringskontot finns.
• Målmoln Microsoft Entra-klientorganisation (destination.onmicrosoft.com). Den representerar målklientorganisationen där de nya MCA-prenumerationerna skapas.

Du kan inte skapa supportplaner programmatiskt. Du kan köpa ett nytt supportprogram eller uppgradera ett supportprogram i Azure-portalen. Gå till Hjälp + support. Längst upp på sidan väljer du Välj rätt supportplan.

Kommentar

Det finns två metoder för att programmatiskt skapa MCA-prenumerationer i Microsoft Entra-klienter. Metoden som beskrivs i den här artikeln är en förenklad version som minimerar hanteringskostnaderna och effektiviserar processen för att skapa prenumerationer genom att överföra behörigheter för att skapa MCA-prenumerationer helt till målklientorganisationen. Den andra metoden omfattar en tvåfasprocess som tillhandahåller källorganisationsstyrning för de prenumerationer som skapats i målklientorganisationer. Den här metoden kan vara att föredra om du behöver bättre kontroll över att skapa prenumerationer i målklientorganisationer.

Förutsättningar

Följande miljö krävs för att möjliggöra programmatiskt skapande av MCA-prenumerationer mellan associerade faktureringsklientorganisationer:

• En Microsoft Entra-källklient med ett aktivt Microsoft-kundavtal faktureringskonto. Om du inte har en aktiv MCA kan du skapa en. Mer information finns i Azure – Registrera dig
• En Microsoft Entra-målklientorganisation som är separat från den klientorganisation där din MCA tillhör. Information om hur du skapar en ny Microsoft Entra-klientorganisation finns i Konfiguration av Microsoft Entra-klientorganisation.
• Lägg till microsoft Entra-målklientorganisationen som associerad faktureringsklientorganisation som är associerad med faktureringsklientorganisationer i Microsoft Entra-källklientorganisationen och tilldela faktureringsroller till en användare från microsoft Entra-målklientorganisationen.

Programkonfiguration

Använd informationen i följande avsnitt för att konfigurera det program som behövs i målklientorganisationen.

Registrera ett program i målklientorganisationen

För att programmatiskt skapa en MCA-prenumeration måste ett Microsoft Entra-program registreras och beviljas lämplig behörighet för rollbaserad åtkomstkontroll i Azure (RBAC). I det här steget kontrollerar du att du är inloggad på målklientorganisationen (destination.onmicrosoft.com) med ett konto som har behörighet att registrera Microsoft Entra-program. Kontrollera också att den tilldelades en faktureringsroll i källklientorganisationen (source.onmicrosoft.com) som en del av förutsättningarna.

Följ stegen i Snabbstart: Registrera ett program med Microsofts identitetsplattform.

I den här processen behöver du bara följa avsnitten Registrera ett program och Lägg till autentiseringsuppgifter .

Spara följande information för att testa och konfigurera din miljö:

• Katalog-ID (klientorganisation)
• App-ID (klient-ID)
• Objekt-ID
• Apphemlighetsvärde som genererades. Värdet visas bara när det skapas.

Skapa en tilldelning av faktureringsrollen för programmet i målklientorganisationen

Om du vill fastställa lämplig omfångs- och faktureringsroll för programmet läser du informationen i Förstå Microsoft-kundavtal administrativa roller i Azure.

En användare med ägaråtkomst kan tilldela en roll till programmet genom att logga in på Azure Portal i den associerade klientorganisationen. Ägaråtkomst omfattar:

• Faktureringskontoägare
• Faktureringsprofilsägare
• Fakturaavsnittsägare

När du har fastställt omfånget och rollen använder du informationen i Hantera faktureringsroller i Azure Portal för att skapa rolltilldelningen för programmet. Sök efter programmet med det namn som du använde när du registrerade programmet i föregående avsnitt.

Skapa en prenumeration programmatiskt

Med de program och behörigheter som redan har konfigurerats använder du följande information för att programmatiskt skapa prenumerationer.

Skapa prenumerationen

Använd följande information för att skapa en prenumeration i målklientorganisationen.

Hämta en åtkomsttoken för målprogram

{{placeholders}} Ersätt med det faktiska klientorganisations-ID:t, program-ID:t (klient) och de apphemlighetsvärden som du sparade när du skapade målklientprogrammet tidigare.

Anropa begäran och spara access_token värdet från svaret för användning i nästa steg.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Hämta avsnitts-ID:na för faktureringskonto, profil och faktura

Använd informationen i Hitta faktureringskonton som du har åtkomst till och Hitta faktureringsprofiler och fakturaavsnitt för att skapa prenumerationsavsnitt för att hämta faktureringskontot , profilen och fakturaavsnitts-ID:n.

Kommentar

Vi rekommenderar att du använder REST-metoden med den åtkomsttoken som erhölls tidigare för att verifiera att tilldelningen av programfaktureringsrollen har skapats i avsnittet Programinstallation .

Skapa ett prenumerationsalias

Med avsnitts-ID:na för faktureringskonto, profil och faktura har du all information som behövs för att skapa prenumerationen:

• {{guid}}: Kan vara ett giltigt GUID.
• {{access_token}}: Åtkomsttoken för målklientprogrammet som hämtades tidigare.
• {{billing_account}}: ID för det faktureringskonto som erhölls tidigare.
• {{billing_profile}}: ID för faktureringsprofilen som erhölls tidigare.
• {{invoice_section}}: ID för fakturaavsnittet som erhölls tidigare.
• {{destination_tenant_id}}: ID för målklientorganisationen enligt beskrivningen när du tidigare skapade målklientprogrammet.
• {{destination_service_principal_object_id}}: ID för målklienttjänstens huvudnamn som du fick från avsnittet Hämta ett målprograms åtkomsttoken tidigare.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Nästa steg

• Nu när du har skapat en prenumeration kan du ge den möjligheten till andra användare och tjänstens huvudnamn. Mer information finns i Bevilja behörighet att skapa Azure Enterprise-prenumerationer (förhandsversion).
• Mer information om hur du hanterar ett stort antal prenumerationer med hanteringsgrupper finns i Ordna resurser med hanteringsgrupper i Azure.
• Information om hur du ändrar hanteringsgruppen för en prenumeration finns i Flytta prenumerationer.