Creare sottoscrizioni MCA a livello di codice nei tenant di Microsoft Entra associati

Questo articolo illustra come creare sottoscrizioni a livello di codice per un Contratto del cliente Microsoft (MCA) nei tenant di fatturazione associati. In alcune situazioni, potrebbe essere necessario creare sottoscrizioni mca nei tenant di Microsoft Entra, ma collegarle a un singolo account di fatturazione. Esempi di tali situazioni includono:

• Provider SaaS che vogliono separare i servizi dei clienti ospitati dai servizi IT interni
• Società di holding o aziende di venture capital con molte società di portafoglio
• Ambienti interni con requisiti di conformità normativi rigorosi, ad esempio Payment Card Industry (PCI)

Il processo di creazione di una sottoscrizione MCA nei tenant di fatturazione associati richiede l'esecuzione di azioni nei tenant di Microsoft Entra di origine e destinazione. In questo articolo viene usata la terminologia seguente:

• Tenant Microsoft Entra di origine (source.onmicrosoft.com). Rappresenta il tenant di origine in cui è presente l'account di fatturazione MCA.
• Tenant Microsoft Entra cloud di destinazione (destination.onmicrosoft.com). Rappresenta il tenant di destinazione in cui vengono create le nuove sottoscrizioni MCA.

Non è possibile creare piani di supporto a livello di codice. È possibile invece acquistare un nuovo piano di supporto o aggiornarne uno già esistente nel portale di Azure. Passare a Guida e supporto. Nella parte superiore della pagina selezionare Scegliere il piano di supporto appropriato.

Prerequisiti

L'ambiente seguente è necessario per abilitare la creazione programmatica di sottoscrizioni MCA tra i tenant di fatturazione associati.

• Un tenant Microsoft Entra di origine con un account di fatturazione del Contratto del cliente Microsoft attivo. Se non hai un account MCA attivo, puoi crearne uno. Per altre informazioni, vedere Azure - Iscrizione
• Un tenant Microsoft Entra di destinazione separato dal tenant a cui appartiene l'MCA. Per creare un nuovo tenant di Microsoft Entra, vedere Configurazione dei tenant di Microsoft Entra.
• Aggiungere il tenant Microsoft Entra di destinazione come tenant di fatturazione associato all'interno del tenant Microsoft Entra di origine e assegnare ruoli di fatturazione a un utente del tenant Microsoft Entra di destinazione.

Configurazione dell'applicazione

Usare le informazioni nelle sezioni seguenti per impostare e configurare l'applicazione necessaria nel tenant di destinazione.

Registrare un'applicazione nel tenant di destinazione

Per creare una sottoscrizione MCA a livello di codice, è necessario registrare un'applicazione Microsoft Entra e concedere l'autorizzazione appropriata per il controllo degli accessi basato su ruoli di Azure. Per questo passaggio, assicurarsi di aver eseguito l'accesso al tenant di destinazione (destination.onmicrosoft.com) con un account con le autorizzazioni per registrare le applicazioni Microsoft Entra. Assicurarsi anche che, come parte dei prerequisiti, sia stato assegnato un ruolo di fatturazione nel tenant di origine (source.onmicrosoft.com).

A tale scopo, seguire la procedura illustrata in Avvio rapido: Registrare un'applicazione con Microsoft Identity Platform.

Ai fini di questo processo, è sufficiente seguire le istruzioni nelle sezioni Registrare un'applicazione e Aggiungere credenziali.

Salvare le informazioni seguenti per testare e configurare l'ambiente:

• ID della directory (tenant)
• ID applicazione (cliente)
• ID dell'oggetto.
• Valore del segreto dell'app generato. Il valore è visibile solo al momento della creazione.

Creare un'assegnazione di ruolo di fatturazione per l'applicazione nel tenant di destinazione

Per determinare l'ambito appropriato e il ruolo di fatturazione per l'applicazione, esaminare le informazioni in Comprendere i ruoli amministrativi del Contratto del cliente Microsoft in Azure.

Un utente con accesso proprietario può assegnare un ruolo all'applicazione accedendo al portale di Azure nel tenant associato. L'accesso del proprietario include:

• Proprietario dell'account di fatturazione
• Proprietario del profilo di fatturazione
• Proprietario della sezione della fattura

Dopo aver determinato l'ambito e il ruolo, usare le informazioni in Gestire i ruoli di fatturazione nel portale di Azure per creare l'assegnazione di ruolo per l'applicazione. Cercare l'applicazione con il nome utilizzato durante la registrazione dell'applicazione nella sezione precedente.

Creare una sottoscrizione programmaticamente

Con le applicazioni e le autorizzazioni già configurate, usare le informazioni seguenti per creare sottoscrizioni a livello di codice.

Creare la sottoscrizione

Usare le informazioni seguenti per creare una sottoscrizione nel tenant di destinazione.

Ottenere un token di accesso all'applicazione di destinazione

Sostituire il {{placeholders}} con l'ID tenant effettivo, l'ID dell'applicazione (client) e i valori dei segreti dell'app salvati quando avete creato in precedenza l'applicazione tenant di destinazione.

Richiamare la richiesta e salvare il valore access_token della risposta da usare nel passaggio successivo.

POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F

Ottenere gli ID dell'account di fatturazione, del profilo di fatturazione e della sezione della fattura

Usare le informazioni disponibili nelle sezioni Trova account di fatturazione a cui si ha accesso e Trovare profili di fatturazione e sezioni della fattura per creare sottoscrizioni per ottenere gli ID dell'account di fatturazione, del profilo di fatturazione e della sezione della fattura.

Creare un alias di sottoscrizione

Con gli ID dell'account di fatturazione, del profilo di fatturazione e della sezione della fattura sono disponibili tutte le informazioni necessarie per creare la sottoscrizione:

• {{guid}}: può essere un GUID valido.
• {{access_token}}: token di accesso dell'applicazione tenant di destinazione ottenuto in precedenza.
• {{billing_account}}: ID dell'account di fatturazione ottenuto in precedenza.
• {{billing_profile}}: ID del profilo di fatturazione ottenuto in precedenza.
• {{invoice_section}}: ID della sezione della fattura ottenuto in precedenza.
• {{destination_tenant_id}}: ID del tenant di destinazione, come indicato quando hai creato l'applicazione per il tenant di destinazione.
• {{destination_service_principal_object_id}}: ID dell'entità servizio tenant di destinazione ottenuto in precedenza dalla sezione Ottenere un token di accesso dell'applicazione di destinazione.

PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json

{
  "properties": {
    "displayName": "{{subscription_name}}",
    "workload": "Production",
    "billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
    "subscriptionId": null,
    "additionalProperties": {
      "managementGroupId": null,
      "subscriptionTenantId": "{{destination_tenant_id}}",
      "subscriptionOwnerId": "{{destination_service_principal_object_id}}"
    }
  }
}

Passaggi successivi

• Ora che la sottoscrizione è stata creata, è possibile concedere la medesima possibilità ad altri utenti ed entità servizio. Per ulteriori informazioni, vedere Concedere l'accesso a creare sottoscrizioni di Azure Enterprise (anteprima).
• Per altre informazioni sulla gestione di un numero elevato di sottoscrizioni mediante i gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure.
• Per modificare il gruppo di gestione per una sottoscrizione, vedere Spostare le sottoscrizioni.