ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تساعدك هذه المقالة على إنشاء اشتراك اتفاقية عملاء Microsoft (MCA) برمجيا عبر مستأجري Microsoft Entra. في بعض الحالات، قد تحتاج إلى إنشاء اشتراكات MCA عبر مستأجري Microsoft Entra ولكن ربطها بحساب فوترة واحد. تتضمن أمثلة مثل هذه الحالات موفري خدمة تأجير البرامج الذين يرغبون في فصل خدمات العملاء المستضافة عن خدمات تكنولوجيا المعلومات الداخلية أو البيئات الداخلية التي لديها متطلبات امتثال تنظيمية صارمة، مثل صناعة بطاقات الدفع (PCI).
عملية إنشاء اشتراك MCA عبر المستأجرين هي عملية من مرحلتين بشكل فعال. يتطلب اتخاذ إجراءات في مستأجري Microsoft Entra المصدر والوجهة. تستخدم هذه المقالة المصطلحات التالية:
- معرف Microsoft Entra المصدر (source.onmicrosoft.com). يمثل المستأجر المصدر حيث يوجد حساب فوترة MCA.
- معرف Microsoft Entra للسحابة الوجهة (destination.onmicrosoft.com). يمثل مستأجر الوجهة حيث يتم إنشاء اشتراكات MCA الجديدة.
لا يمكنك إنشاء خطط الدعم برمجيا. يمكنك شراء خطة دعم جديدة أو ترقية خطة في مدخل Microsoft Azure. انتقل إلى التعليمات + الدعم. في أعلى الصفحة، حدد اختيار خطة الدعم المناسبة.
إشعار
هناك طريقتان لتمكين إنشاء اشتراكات MCA برمجيا عبر مستأجري Microsoft Entra. تتضمن الطريقة الموضحة في هذه المقالة عملية من مرحلتين توفر إدارة المستأجر المصدر على الاشتراكات التي تم إنشاؤها في المستأجرين الوجهة. قد يفضل هذا الأسلوب إذا كنت بحاجة إلى تحكم أكثر إحكاما في إنشاء الاشتراكات في المستأجرين الوجهة. الطريقة الأخرى لاستخدام المستأجرين المقترنين هي إصدار مبسط يقلل من حمل الإدارة ويبسط عملية إنشاء الاشتراك عن طريق نقل الأذونات لإنشاء اشتراكات MCA بالكامل إلى المستأجر الوجهة.
المتطلبات الأساسية
يجب أن يكون لديك بالفعل المستأجرون التاليون الذين تم إنشاؤهم:
- مستأجر Microsoft Entra مصدر مع حساب فوترة اتفاقية عملاء Microsoft نشط. إذا لم يكن لديك MCA نشط، يمكنك إنشاء واحد. لمزيد من المعلومات، راجع Azure - التسجيل
- وجهة مستأجر Microsoft Entra منفصلة عن المستأجر حيث ينتمي MCA الخاص بك. لإنشاء مستأجر Microsoft Entra جديد، راجع إعداد مستأجر Microsoft Entra.
إعداد التطبيق
استخدم المعلومات الموجودة في الأقسام التالية لإعداد وتكوين التطبيقات المطلوبة في مستأجري المصدر والوجهة.
تسجيل تطبيق في المستأجر المصدر
لإنشاء اشتراك MCA برمجيا، يجب تسجيل تطبيق Microsoft Entra ومنح الإذن المناسب للتحكم في الوصول المستند إلى دور Azure (RBAC). لهذه الخطوة، تأكد من تسجيل الدخول إلى المستأجر المصدر (source.onmicrosoft.com) باستخدام حساب لديه أذونات لتسجيل تطبيقات Microsoft Entra.
اتباع الخطوات الواردة في التشغيل السريع: تسجيل تطبيق مع النظام الأساسي للهويات في Microsoft.
لأغراض هذه العملية، تحتاج فقط إلى اتباع قسمي تسجيل تطبيق وإضافة بيانات اعتماد .
احفظ المعلومات التالية لاختبار بيئتك وتكوينها:
- معرف الدليل (المستأجر)
- معرف التطبيق (العميل)
- معرف الكائن
- قيمة سر التطبيق التي تم إنشاؤها. تكون القيمة مرئية فقط في وقت الإنشاء.
إنشاء تعيين دور الفوترة للتطبيق في المستأجر المصدر
لتحديد النطاق المناسب ودور الفوترة للتطبيق، راجع المعلومات في فهم اتفاقية عملاء Microsoft الأدوار الإدارية في Azure.
بعد تحديد النطاق والدور، استخدم المعلومات في إدارة أدوار الفوترة في مدخل Microsoft Azure لإنشاء تعيين الدور للتطبيق. ابحث عن التطبيق باستخدام الاسم الذي استخدمته عند تسجيل التطبيق في القسم السابق.
تسجيل تطبيق في المستأجر الوجهة
لقبول اشتراك MCA من المستأجر الوجهة (destination.onmicrosoft.com)، يجب تسجيل تطبيق Microsoft Entra وإضافته إلى دور مسؤول الفوترة Microsoft Entra. لهذه الخطوة، تأكد من تسجيل الدخول إلى المستأجر الوجهة (destination.onmicrosoft.com) باستخدام حساب لديه أذونات لتسجيل تطبيقات Microsoft Entra. يجب أن يكون لديه أيضا إذن دور مسؤول الفوترة.
اتبع نفس الخطوات المستخدمة سابقا لتسجيل تطبيق في المستأجر المصدر. احفظ المعلومات التالية لاختبار بيئتك وتكوينها:
- معرف الدليل (المستأجر)
- معرف التطبيق (العميل)
- معرف الكائن
- قيمة سر التطبيق التي تم إنشاؤها. تكون القيمة مرئية فقط في وقت الإنشاء.
إضافة التطبيق الوجهة إلى دور مسؤول الفوترة Microsoft Entra
لإضافة التطبيق الوجهة الذي تم إنشاؤه في القسم السابق إلى دور مسؤول الفوترة Microsoft Entra في المستأجر الوجهة، استخدم المعلومات في تعيين أدوار المسؤول وغير المسؤول للمستخدمين الذين لديهم معرف Microsoft Entra.
إنشاء اشتراك برمجيا
مع إعداد التطبيقات والأذونات بالفعل، استخدم المعلومات التالية لإنشاء الاشتراكات برمجيا.
الحصول على معرف كيان خدمة التطبيق الوجهة
عند إنشاء اشتراك MCA في المستأجر المصدر، يجب تحديد كيان الخدمة أو SPN للتطبيق في المستأجر الوجهة كمالك. استخدم إحدى الطرق التالية للحصول على المعرف. في كلتا الطريقتين، القيمة المراد استخدامها ل GUID الفارغة هي معرف التطبيق (العميل) لتطبيق المستأجر الوجهة الذي تم إنشاؤه مسبقا.
Azure CLI
سجل الدخول إلى Azure CLI واستخدم الأمر az ad sp show :
az ad sp show --id aaaaaaaa-bbbb-cccc-1111-222222222222 --query 'id'
Azure PowerShell
سجل الدخول إلى Azure PowerShell واستخدم Get-AzADServicePrincipal cmdlet:
Get-AzADServicePrincipal -ApplicationId 00001111-aaaa-2222-bbbb-3333cccc4444 | Select-Object -Property Id
احفظ القيمة التي Id تم إرجاعها بواسطة الأمر .
إنشاء الاشتراك
استخدم المعلومات التالية لإنشاء اشتراك في المستأجر المصدر.
الحصول على رمز مميز للوصول إلى التطبيق المصدر
{{placeholders}} استبدل بمعرف المستأجر الفعلي ومعرف التطبيق (العميل) والقيم السرية للتطبيق التي قمت بحفظها عند إنشاء تطبيق المستأجر المصدر مسبقا.
استدع الطلب واحفظ access_token القيمة من الاستجابة لاستخدامها في الخطوة التالية.
POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F
الحصول على معرفات قسم الفوترة وملف التعريف والفاتورة
استخدم المعلومات الموجودة في البحث عن حسابات الفوترة التي يمكنك الوصول إليها والعثور على ملفات تعريف الفوترة وأقسام الفواتير لإنشاء أقسام الاشتراكات للحصول على معرفات حساب الفوترة وملف التعريف ومعرف قسم الفاتورة.
إشعار
نوصي باستخدام أسلوب REST مع رمز الوصول المميز الذي تم الحصول عليه مسبقا للتحقق من إنشاء تعيين دور فوترة التطبيق بنجاح في قسم إعداد التطبيق.
إنشاء اسم مستعار للاشتراك
باستخدام معرفات حساب الفوترة وملف التعريف ومعرف قسم الفاتورة، لديك جميع المعلومات اللازمة لإنشاء الاشتراك:
-
{{guid}}: يمكن أن يكون GUID صالحا. -
{{access_token}}: الرمز المميز للوصول لتطبيق المستأجر المصدر الذي تم الحصول عليه مسبقا. -
{{billing_account}}: معرف حساب الفوترة الذي تم الحصول عليه مسبقا. -
{{billing_profile}}: معرف ملف تعريف الفوترة الذي تم الحصول عليه مسبقا. -
{{invoice_section}}: معرف قسم الفاتورة الذي تم الحصول عليه مسبقا. -
{{destination_tenant_id}}: معرف المستأجر الوجهة كما هو ملاحظ عند إنشاء تطبيق المستأجر الوجهة مسبقا. -
{{destination_service_principal_id}}: معرف كيان خدمة المستأجر الوجهة الذي حصلت عليه من قسم الحصول على معرف كيان خدمة التطبيق الوجهة مسبقا.
أرسل الطلب ولاحظ قيمة Location العنوان في الاستجابة.
PUT https://management.azure.com/providers/Microsoft.Subscription/aliases/{{guid}}?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json
{
"properties": {
"displayName": "{{subscription_name}}",
"workload": "Production",
"billingScope": "/billingAccounts/{{billing_account}}/billingProfiles/{{billing_profile}}/invoiceSections/{{invoice_section}}",
"subscriptionId": null,
"additionalProperties": {
"managementGroupId": null,
"subscriptionTenantId": "{{destination_tenant_id}}",
"subscriptionOwnerId": "{{destination_service_principal_id}}"
}
}
}
قبول ملكية الاشتراك
المرحلة الأخيرة لإكمال العملية هي قبول ملكية الاشتراك.
الحصول على رمز مميز للوصول إلى تطبيق الوجهة
استبدل {{placeholders}} بمعرف المستأجر الفعلي ومعرف التطبيق (العميل) والقيم السرية للتطبيق التي قمت بحفظها عند إنشاء تطبيق المستأجر الوجهة مسبقا.
استدعاء الطلب وحفظ access_token القيمة من الاستجابة للخطوة التالية.
POST https://login.microsoftonline.com/{{tenant_id}}/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials&client_id={{client_id}}&client_secret={{app_secret}}&resource=https%3A%2F%2Fmanagement.azure.com%2F
قبول الملكية
استخدم المعلومات التالية لقبول ملكية الاشتراك في المستأجر الوجهة:
-
{{subscription_id}}: معرف الاشتراك الذي تم إنشاؤه في قسم إنشاء الاسم المستعار للاشتراك. إنه في عنوان الموقع الذي لاحظته. -
{{access_token}}: رمز الوصول المميز الذي تم إنشاؤه في الخطوة السابقة. -
{{subscription_display_name}}: اسم العرض للاشتراك في بيئة Azure.
POST https://management.azure.com/providers/Microsoft.Subscription/subscriptions/{{subscription_id}}/acceptOwnership?api-version=2021-10-01
Authorization: Bearer {{access_token}}
Content-Type: application/json
{
"properties": {
"displayName": "{{subscription_display_name}}",
"managementGroupId": null
}
}
الخطوات التالية
- الآن بعد أن قمت بإنشاء اشتراك، يمكنك منح هذه القدرة للمستخدمين الآخرين وكيانات الخدمة. لمزيد من المعلومات، راجع منح الوصول لإنشاء اشتراكات Azure Enterprise (معاينة).
- لمزيد من المعلومات حول إدارة أعداد كبيرة من الاشتراكات باستخدام مجموعات الإدارة، راجع تنظيم مواردك باستخدام مجموعات إدارة Azure.
- لتغيير مجموعة الإدارة لاشتراك، راجع نقل الاشتراكات.