Přehled služby Azure Managed Applications
Spravované aplikace Azure umožňují nabízet cloudová řešení, která můžou zákazníci snadno nasazovat a provozovat. Jako vydavatel implementujete infrastrukturu a můžete poskytovat průběžnou podporu. Pokud chcete spravovanou aplikaci zpřístupnit všem zákazníkům, publikujte ji na Azure Marketplace. Pokud ho chcete zpřístupnit jenom uživatelům ve vaší organizaci, publikujte ho do interního katalogu služeb.
Spravovaná aplikace se podobá šabloně řešení na Azure Marketplace s jedním klíčovým rozdílem. Ve spravované aplikaci se prostředky nasadí do spravované skupiny prostředků spravované vydavatelem aplikace nebo zákazníkem. Spravovaná skupina prostředků se nachází v předplatném zákazníka, ale identita v tenantovi vydavatele může mít přístup ke spravované skupině prostředků. Pokud jako vydavatel spravujete aplikaci, zadáte náklady na průběžnou podporu řešení.
Poznámka:
Dokumentace pro vlastní poskytovatele Azure, která se používá k zahrnutí do spravovaných aplikací. Tato dokumentace byla přesunuta do vlastních poskytovatelů Azure.
Oprávnění vydavatele a zákazníka
Pro spravovanou skupinu prostředků je přístup ke správě vydavatele a přiřazení zamítnutí zákazníka volitelné. V závislosti na potřebách vydavatele a zákazníka pro spravovanou aplikaci jsou k dispozici různé scénáře oprávnění.
- Spravované vydavatelem: Publisher má přístup ke správě prostředků ve spravované skupině prostředků v tenantovi Azure zákazníka. Zákaznický přístup ke spravované skupině prostředků je omezený přiřazením zamítnutí. Spravovaný vydavatelem je výchozí scénář oprávnění spravované aplikace.
- Přístup vydavatele a zákazníka: Vydavatel a zákazník mají úplný přístup ke spravované skupině prostředků. Přiřazení zamítnutí se odebere.
- Uzamčený režim: Publisher nemá žádný přístup k zákazníkům nasazeným spravovaným aplikacím nebo spravované skupině prostředků. Přístup zákazníka je omezený přiřazením zamítnutí.
- Spravovaný zákazníkem: Zákazník má úplný přístup ke správě spravované skupiny prostředků a přístup vydavatele se odebere. Neexistuje žádné odepření přiřazení. Publisher vyvíjí aplikaci a publikuje ji na Azure Marketplace, ale nespravuje ji. Publisher aplikaci na základě fakturace na webu Azure Marketplace licencuje.
Výhody používání scénářů oprávnění:
- Z bezpečnostních důvodů vydavatelé nechtějí trvalý přístup ke správě spravované skupiny prostředků, tenanta zákazníka nebo dat ve spravované skupině prostředků.
- Vydavatelé chtějí odebrat přiřazení zamítnutí, aby zákazníci mohli aplikaci spravovat. Aby bylo možné povolit nebo zakázat akce pro zákazníka, není nutné spravovat přiřazení zamítnutí. Například akce, jako je restartování virtuálního počítače ve spravované aplikaci.
- Poskytněte zákazníkům úplnou kontrolu nad správou aplikace, aby vydavatelé nemuseli být poskytovatelem služeb pro správu aplikace.
Výhody spravovaných aplikací
Spravované aplikace snižují překážky zákazníkům, kteří používají vaše řešení. Zákazníci díky tomu nepotřebují mít k používání vašeho řešení zkušenosti s cloudovou infrastrukturou. V závislosti na oprávněních nakonfigurovaných vydavatelem můžou mít zákazníci omezený přístup k důležitým prostředkům a nemusí se starat o chybu při správě.
Spravované aplikace umožňují vytvořit průběžný vztah se zákazníky. Definujete podmínky pro správu aplikace a všechny poplatky se zpracovávají prostřednictvím fakturace Azure.
I když zákazníci nasazují spravované aplikace do svých předplatných, nemusí je udržovat, aktualizovat ani obsluhovat. Existují ale oprávnění, která zákazníkovi umožňují úplný přístup k prostředkům ve spravované skupině prostředků. Vy se staráte o to, aby všichni zákazníci používali schválené verze. Zákazníci si nepotřebují osvojovat znalosti jednotlivých aplikací, aby je mohli spravovat. Zákazníci automaticky získávají aktualizace aplikací, aniž by si museli dělat starosti s řešením potíží a diagnostikou problémů s aplikacemi.
Pro IT týmy vám spravované aplikace umožňují nabízet předem schválená řešení uživatelům v organizaci. Máte jistotu, že jsou tato řešení v souladu se standardy organizace.
Spravované aplikace podporují spravované identity pro prostředky Azure.
Typy spravovaných aplikací
Spravovanou aplikaci můžete publikovat interně v katalogu služeb nebo externě na Azure Marketplace.
Katalog služeb
Katalog služeb je interní katalog schválených řešení určených pro uživatele v rámci organizace. Katalog používáte ke splnění standardů organizace a k nabízení řešení pro organizaci. Zaměstnanci používají katalog služeb k vyhledání aplikací doporučených a schválených jejich IT odděleními. Mají přístup ke spravovaným aplikacím, které s nimi sdílejí jiní uživatelé ve své organizaci.
Informace o publikování spravované aplikace do katalogu služeb najdete v tématu Rychlý start: Vytvoření a publikování definice spravované aplikace.
Azure Marketplace
Dodavatelé, kteří chtějí fakturovat své služby, můžou zpřístupnit spravovanou aplikaci prostřednictvím Azure Marketplace. Jakmile dodavatel publikuje aplikaci, je k dispozici uživatelům mimo jejich organizaci. Díky tomuto přístupu může poskytovatel spravovaných služeb (MSP), nezávislý dodavatel softwaru (ISV) nebo integrátor systému (SI) nabízet svá řešení všem zákazníkům Azure.
Informace o publikování spravované aplikace na Azure Marketplace najdete v tématu Vytvoření nabídky aplikací Azure.
Skupiny prostředků pro spravované aplikace
Prostředky pro spravovanou aplikaci jsou obvykle ve dvou skupinách prostředků. Zákazník spravuje jednu skupinu prostředků a vydavatel spravuje druhou skupinu prostředků. Když je spravovaná aplikace definovaná, vydavatel určuje úrovně přístupu. Vydavatel může požádat o trvalé přiřazení role nebo přístup za běhu pro přiřazení, které je omezené na časové období. Vydavatelé můžou také nakonfigurovat spravovanou aplikaci tak, aby k ní nebyl přístup vydavatele.
Omezení přístupu pro operace dat se momentálně nepodporuje pro všechny poskytovatele dat v Azure.
Následující obrázek znázorňuje vztah mezi předplatným Azure zákazníka a předplatným Azure vydavatele, což je výchozí oprávnění spravované vydavatelem. Spravovaná aplikace a spravovaná skupina prostředků jsou v předplatném zákazníka. Vydavatel má přístup ke správě spravované skupiny prostředků, aby zachoval prostředky spravované aplikace. Vydavatel umístí zámek jen pro čtení (odepření přiřazení) do spravované skupiny prostředků, která omezuje přístup zákazníka ke správě prostředků. Identity vydavatele, které mají přístup ke spravované skupině prostředků, jsou z zámku vyloučené.
Přístup ke správě, jak je znázorněno na obrázku, lze změnit. Zákazníkovi může být udělen úplný přístup ke spravované skupině prostředků. A přístup vydavatele ke spravované skupině prostředků je možné odebrat.
Skupina prostředků aplikace
Tato skupina prostředků obsahuje instanci spravované aplikace. Tato skupina prostředků může obsahovat pouze jeden prostředek. Typ prostředku spravované aplikace je Microsoft.Solutions/applications.
Zákazník má úplný přístup ke skupině prostředků a používá ho ke správě životního cyklu spravované aplikace.
Spravovaná skupina prostředků
Tato skupina prostředků obsahuje všechny prostředky vyžadované spravovanou aplikací. Například virtuální počítače, účty úložiště a virtuální sítě aplikace. Zákazník může mít omezený přístup k této skupině prostředků, protože pokud se nezmění možnosti oprávnění, zákazník nespravuje jednotlivé prostředky pro spravovanou aplikaci. Přístup vydavatele k této skupině prostředků odpovídá roli stanovené v definici spravované aplikace. Vydavatel si může pro tuto skupinu prostředků vyžádat třeba roli vlastníka nebo přispěvatele. Přístup je buď trvalý, nebo omezený na určitý čas. Vydavatel se může rozhodnout, že nemá přístup ke spravované skupině prostředků.
Když je spravovaná aplikace publikovaná na marketplace, může vydavatel zákazníkům udělit možnost provádět konkrétní akce s prostředky ve spravované skupině prostředků nebo udělit úplný přístup. Vydavatel může například určit, že zákazníci můžou restartovat virtuální počítače. Všechny ostatní akce nad rámec akcí čtení jsou stále odepřeny. Změny prostředků ve spravované skupině prostředků podle zákazníka s udělenými akcemi podléhají přiřazením azure Policy v rámci tenanta zákazníka s vymezeným oborem, aby zahrnovala spravovanou skupinu prostředků.
Když zákazník odstraní spravovanou aplikaci, odstraní se také spravovaná skupina prostředků.
Poskytovatel prostředků
Spravované aplikace používají Microsoft.Solutions
zprostředkovatele prostředků s kódem JSON šablony ARM. Další informace najdete v typech prostředků a verzích rozhraní API.
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Solutions/applications
- Microsoft.Solutions/jitRequests
Azure Policy
Azure Policy můžete použít k auditování spravované aplikace. Definice zásad použijete, abyste měli jistotu, že nasazené instance vaší spravované aplikace splňují požadavky na data a zabezpečení. Pokud aplikace pracuje s citlivými daty, nezapomeňte vyhodnotit, jak by se měla tato data chránit. Pokud například vaše aplikace komunikuje s daty z Microsoftu 365, použijte definici zásad, abyste měli jistotu, že je povolené šifrování dat.
Další kroky
V tomto článku jste se dozvěděli o výhodách používání spravovaných aplikací. Přejděte na další článek, který se zabývá vytvořením definice spravované aplikace.