Поделиться через

Программное создание подписок MCA в связанных клиентах Microsoft Entra

  • Статья

Эта статья поможет вам программно создать подписку по Клиентскому соглашению Майкрософт (MCA) для связанных арендаторов выставления счетов. В некоторых ситуациях может потребоваться создать подписки MCA в клиентах Microsoft Entra, но связать их с одной учетной записью выставления счетов. Примеры таких ситуаций:

  • Поставщики SaaS, желающие отделить услуги для клиентов, размещенные в облаке, от внутренних ИТ-услуг
  • Холдинговая или венчурная капиталная компания со многими портфельными компаниями
  • Внутренние среды с строгими требованиями к соответствию нормативным требованиям, таким как индустрия карт оплаты (PCI)

Процесс создания подписки MCA в ассоциированных арендаторах выставления счетов требует выполнения действий в исходных и целевых арендаторах Microsoft Entra. В этой статье используется следующая терминология:

  • Исходный клиент Microsoft Entra (source.onmicrosoft.com). Он представляет собой исходный арендатор, в котором существует учетная запись для выставления счетов MCA.
  • Клиент Целевого облака Microsoft Entra (destination.onmicrosoft.com). Он представляет целевой клиент, в котором создаются новые подписки MCA.

Вы не можете создавать планы поддержки программным способом. Вы можете приобрести новый план поддержки или обновить его на портале Azure. Перейдите к Помощь + поддержка. В верхней части страницы выберите нужный план поддержки.

Примечание.

Существует два метода для программного создания подписок MCA в клиентах Microsoft Entra. Метод, описанный в этой статье, является упрощенной версией, которая сводит к минимуму затраты на управление и упрощает процесс создания подписки путем передачи разрешений на создание подписок MCA полностью в целевой клиент. Другой метод предполагает двухэтапный процесс, который обеспечивает управление исходным арендатором над подписками, созданными в конечных арендаторах. Этот метод может быть предпочтительнее, если требуется более жесткий контроль над созданием подписок в конечных клиентах.

Предварительные условия

Для обеспечения программного создания подписок MCA в связанных клиентах выставления счетов требуется следующая среда:

  • Исходный клиент Microsoft Entra с активной учетной записью для выставления счетов и действующим Клиентским соглашением Microsoft. Если у вас нет действующей учетной записи MCA, вы можете создать её. Дополнительные сведения см. в статье Azure . Регистрация
  • Целевой арендатор Microsoft Entra, отличный от того арендатора, где ваш MCA находится. Сведения о создании нового клиента Microsoft Entra см. в разделе "Настройка клиента Microsoft Entra".
  • Добавьте целевой клиент Microsoft Entra в качестве ассоциированного клиента ассоциированные клиенты выставления счетов в исходном клиенте Microsoft Entra и назначьте роли выставления счетов пользователю из целевого клиента Microsoft Entra.

Настройка приложения

Используйте информацию в следующих разделах, чтобы установить и настроить нужное приложение в целевом арендаторе.

Регистрация приложения в целевом клиенте

Чтобы программно создать подписку MCA, необходимо зарегистрировать приложение Microsoft Entra и предоставить соответствующее разрешение на управление доступом на основе ролей Azure (RBAC). На этом шаге убедитесь, что вы вошли в целевой клиент (destination.onmicrosoft.com) с учетной записью с разрешениями на регистрацию приложений Microsoft Entra. Также убедитесь, что она была назначена роль выставления счетов в исходном клиенте (source.onmicrosoft.com) в рамках предварительных требований.

Следуйте действиям, указанным в Краткое руководство: Регистрация приложения на платформе удостоверений Microsoft.

В целях этого процесса необходимо следовать только разделам регистрации приложения и добавления учетных данных.

Сохраните следующие сведения, чтобы протестировать и настроить среду:

  • Идентификатор каталога (арендатора)
  • Идентификатор приложения (клиент)
  • Код объекта
  • Значение секрета приложения, которое было сгенерировано. Значение видно только на этапе создания.

Создание назначения роли выставления счетов для приложения в целевом клиенте

Чтобы определить соответствующую область и роль выставления счетов для приложения, ознакомьтесь с информацией в статье "Общие сведения о Клиентском соглашении Microsoft и административных ролях в Azure".

Пользователь с доступом владельца может назначить роль приложению, выполнив вход в портал Azure в связанном клиенте. Доступ владельца включает:

  • Владелец учетной записи выставления счетов
  • Владелец профиля выставления счетов
  • Владелец раздела счета-фактуры

После определения объема и роли используйте сведения об управлении ролями выставления счетов в портале Azure, чтобы создать назначение роли для приложения. Найдите приложение с помощью имени, используемого при регистрации приложения в предыдущем разделе.

Программное создание подписки

При настройке приложений и разрешений используйте следующие сведения для программного создания подписок.

Создание подписки

Используйте следующие сведения, чтобы создать подписку в целевом клиенте.

Получение токена доступа к целевому приложению

Замените {{placeholders}} фактическими значениями идентификатора клиента, идентификатора приложения (клиента) и секрета приложения, которые вы сохранили при создании приложения для целевого арендатора ранее.

Вызовите запрос и сохраните access_token значение из ответа для использования на следующем шаге.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Получите идентификаторы разделов учетной записи, профиля и счета

Используйте информацию в разделах «Найти учетные записи выставления счетов, к которым у вас есть доступ» и «Найти профили выставления счетов и разделы счетов для создания подписок», чтобы получить идентификаторы учетных записей выставления счетов, профилей и секций счетов.

Примечание.

Мы рекомендуем использовать метод REST с маркером доступа, полученным ранее, чтобы убедиться, что назначение роли выставления счетов приложения было успешно создано в разделе "Настройка приложения".

Создание псевдонима подписки

С идентификаторами учетной записи, профиля и раздела накладных у вас есть вся информация, необходимая для создания подписки.

  • {{guid}}: может быть допустимым ИДЕНТИФИКАТОРом GUID.
  • {{access_token}}: маркер доступа конечного клиентского приложения, полученного ранее.
  • {{billing_account}}: идентификатор биллинговой учетной записи, полученной ранее.
  • {{billing_profile}}: ранее полученный идентификатор профиля выставления счетов.
  • {{invoice_section}}: идентификатор раздела счета-фактуры, полученный ранее.
  • {{destination_tenant_id}}: идентификатор целевого клиента, как указано при создании ранее целевого приложения клиента.
  • {{destination_service_principal_object_id}}: идентификатор учетной записи службы арендатора, который вы получили из раздела получение маркера доступа к целевому приложению ранее.
PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Следующие шаги