Übersicht über verwaltete Azure-Anwendungen
Azure Managed Applications ermöglicht es Ihnen, Ihren Kunden Cloudlösungen anzubieten, die diese einfach bereitstellen und betreiben können. Sie implementieren die Infrastruktur und bieten kontinuierlichen Support. Wenn Sie eine verwaltete Anwendung für alle Kunden verfügbar machen möchten, können Sie sie im Azure Marketplace veröffentlichen. Wenn Sie sie nur Benutzern in Ihrer Organisation zur Verfügung stellen möchten, können Sie sie in einem internen Katalog veröffentlichen.
Eine verwaltete Anwendung ähnelt einer Lösungsvorlage im Azure Marketplace, mit einem entscheidenden Unterschied. Bei einer verwalteten Anwendung werden die Ressourcen in einer Ressourcengruppe bereitgestellt, die vom Herausgeber der App verwaltet wird. Die Ressourcengruppe befindet sich zwar im Abonnement des Kunden, eine Identität im Mandanten des Herausgebers hat jedoch Zugriff auf die Ressourcengruppe. Als Herausgeber geben Sie die Kosten für den kontinuierlichen Support der Lösung an.
Hinweis
Die Dokumentation für benutzerdefinierte Azure-Anbieter war früher im Lieferumfang von Managed Applications enthalten. Diese Dokumentation wurde in die Dokumentation zu benutzerdefinierten Azure-Anbietern verschoben.
Vorteile von verwalteten Anwendungen
Verwaltete Anwendungen bauen Hürden für Kunden ab, die Ihre Lösungen verwenden. Verbraucher benötigen keine Cloudinfrastrukturkenntnisse, um Ihre Lösung verwenden zu können. Kunden haben eingeschränkten Zugriff auf die kritischen Ressourcen und müssen sich keine Sorgen machen, beim Verwalten einen Fehler zu begehen.
Mithilfe von verwalteten Anwendungen können Sie eine anhaltende Beziehung zu Ihren Kunden aufbauen. Sie definieren die Bedingungen für die Verwaltung der Anwendung, und sämtliche Gebühren werden über Azure abgerechnet.
Wenngleich Kunden diese verwalteten Anwendungen in ihren Abonnements bereitstellen, müssen sie diese nicht verwalten, aktualisieren oder warten. Sie können sicherstellen, dass alle Kunden genehmigte Versionen verwenden. Für die Verwaltung dieser Anwendungen müssen sich Kunden kein anwendungsspezifisches Domänenwissen aneignen. Kunden erhalten automatisch Anwendungsupdates, ohne sich mit der Behandlung und Diagnose von Anwendungsproblemen befassen zu müssen.
Für IT-Teams können Sie mit verwalteten Anwendungen vorab genehmigte Lösungen für Benutzer in der Organisation anbieten. Sie wissen, dass diese Lösungen mit den Standards der Organisation konform sind.
Verwaltete Anwendungen unterstützen verwaltete Identitäten für Azure-Ressourcen.
Arten von verwalteten Anwendungen
Sie können Ihre verwaltete Anwendung entweder intern im Dienstkatalog oder extern im Azure Marketplace veröffentlichen.
Dienstkatalog
Der Dienstkatalog ist ein interner Katalog mit freigegebenen Lösungen für Benutzer in einer Organisation. Sie nutzen den Katalog, um Organisationsstandards zu erfüllen und Lösungen für die Organisation anzubieten. Mitarbeiter können über den Katalog Anwendungen finden, die die IT-Abteilung empfohlen und freigegeben hat. Sie sehen die verwalteten Anwendungen, die auch von anderen Personen in der Organisation verwendet werden.
Informationen zum Veröffentlichen einer verwalteten Anwendung in einem Dienstkatalog finden Sie unter Schnellstart: Erstellen und Veröffentlichen einer Definition für die verwaltete Anwendung.
Azure Marketplace
Anbieter, die ihre Dienste kostenpflichtig anbieten möchten, können eine verwaltete Anwendung über den Azure Marketplace verfügbar machen. Nachdem der Anbieter eine Anwendung veröffentlicht hat, ist sie für Benutzer außerhalb der Organisation verfügbar. Durch diesen Ansatz können Anbieter verwalteter Dienste (Managed Service Providers, MSPs), unabhängige Softwarehersteller (Independent Software Vendors, ISVs) und Systemintegratoren (SIs) ihre Lösung allen Azure-Kunden anbieten.
Informationen zum Veröffentlichen einer verwalteten Anwendung im Azure Marketplace finden Sie unter Erstellen eines Azure-Anwendungsangebots.
Ressourcengruppen für verwaltete Anwendungen
Die Ressourcen für eine verwaltete Anwendung befinden sich üblicherweise in zwei Ressourcengruppen. Eine wird vom Kunden verwaltet, die andere vom Herausgeber. Beim Definieren der verwalteten Anwendung gibt der Herausgeber die Zugriffsebenen an. Der Herausgeber kann eine permanente Rollenzuweisung oder Just-In-Time-Zugriff für eine Zuweisung anfordern, die auf einen bestimmten Zeitraum beschränkt ist.
Das Einschränken des Zugriffs für Datenvorgänge wird derzeit nicht für alle Datenanbieter in Azure unterstützt.
Die folgende Abbildung zeigt die Beziehung zwischen dem Azure-Abonnement des Kunden und dem Azure-Abonnement des Herausgebers. Die verwaltete Anwendung und die verwaltete Ressourcengruppe befinden sich im Abonnement des Kunden. Der Herausgeber hat Verwaltungszugriff auf die verwaltete Ressourcengruppe, um die Ressourcen der verwalteten Anwendung zu verwalten. Der Herausgeber wendet eine Schreibschutzsperre auf die verwaltete Ressourcengruppe an, die den Zugriff des Kunden auf die Verwaltung von Ressourcen beschränkt. Diese gilt nicht für die Identitäten des Herausgebers, die Zugriff auf die verwaltete Ressourcengruppe haben.
Anwendungsressourcengruppe
Diese Ressourcengruppe enthält die Instanz der verwalteten Anwendung. Diese Ressourcengruppe darf nur eine einzelne Ressource enthalten. Der Ressourcentyp der verwalteten Anwendung lautet Microsoft.Solutions/applications.
Der Kunde hat uneingeschränkten Zugriff auf die Ressourcengruppe und verwendet sie zum Verwalten des Lebenszyklus der verwalteten Anwendung.
Verwaltete Ressourcengruppe
Diese Ressourcengruppe enthält alle Ressourcen, die von der verwalteten Anwendung benötigt werden. Hierzu zählen beispielsweise die virtuellen Computer, Speicherkonten und virtuellen Netzwerke für die Lösung. Der Kunde hat eingeschränkten Zugriff auf diese Ressourcengruppe, da er nicht die einzelnen Ressourcen für die verwaltete Anwendung verwaltet. Der Zugriff des Herausgebers auf diese Ressourcengruppe entspricht der Rolle, die in der Definition der verwalteten Anwendung angegeben ist. Der Herausgeber kann für diese Ressourcengruppe beispielsweise die Rolle „Besitzer“ oder „Mitwirkender" anfordern. Der Zugriff gilt entweder permanent oder ist auf einen bestimmten Zeitraum beschränkt.
Beim Veröffentlichen der verwalteten Anwendung im Marketplace kann der Herausgeber den Kunden die Möglichkeit gewähren, bestimmte Aktionen für die Ressourcen in der verwalteten Ressourcengruppe durchzuführen. Beispielsweise kann der Herausgeber angeben, dass Kunden virtuelle Computer neu starten können. Alle anderen Aktionen, die über Leseaktionen hinausgehen, werden weiterhin verweigert. Für Änderungen an Ressourcen in einer verwalteten Ressourcengruppe, die von einem Kunden mit Berechtigung zur Ausführung von Aktionen vorgenommen werden, gelten die Azure Policy-Zuweisungen innerhalb des Kundenmandanten, der die verwaltete Ressourcengruppe einbezieht.
Wenn der Kunde die verwaltete Anwendung löscht, wird auch die verwaltete Ressourcengruppe gelöscht.
Ressourcenanbieter
Verwaltete Anwendungen verwenden den Ressourcenanbieter Microsoft.Solutions mit ARM-Vorlagen-JSON-Code. Weitere Informationen finden Sie in den Ressourcentypen und API-Versionen.
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Solutions/applications
- Microsoft.Solutions/jitRequests
Azure Policy
Sie können eine Azure Policy-Instanz anwenden, um Ihre verwaltete Anwendung zu überwachen. Richtliniendefinitionen werden angewendet, um sicherzustellen, dass die bereitgestellten Instanzen Ihrer verwalteten Anwendung die Daten- und Sicherheitsanforderungen erfüllen. Falls Ihre Anwendung mit sensiblen Daten interagiert, müssen Sie prüfen, wie diese Daten geschützt werden müssen. Interagiert Ihre Anwendung also beispielsweise mit Daten aus Microsoft 365, wenden Sie eine Richtliniendefinition an, um sicherzustellen, dass die Datenverschlüsselung aktiviert ist.
Nächste Schritte
In diesem Artikel haben Sie Informationen zu den Vorteilen erhalten, die sich bei der Verwendung von verwalteten Anwendungen ergeben. Fahren Sie mit dem nächsten Artikel fort, um eine Definition für die verwaltete Anwendung zu erstellen.