Übersicht über verwaltete Azure-Anwendungen

  • Artikel

Azure Managed Applications ermöglicht es Ihnen, Ihren Kunden Cloudlösungen anzubieten, die diese einfach bereitstellen und betreiben können. Als Herausgeber implementieren Sie die Infrastruktur und können kontinuierlichen Support bieten. Wenn Sie eine verwaltete Anwendung für alle Kunden verfügbar machen möchten, können Sie sie im Azure Marketplace veröffentlichen. Wenn Sie sie nur Benutzern in Ihrer Organisation zur Verfügung stellen möchten, können Sie sie in einem internen Dienstkatalog veröffentlichen.

Eine verwaltete Anwendung ähnelt einer Lösungsvorlage im Azure Marketplace, mit einem entscheidenden Unterschied. Bei einer verwalteten Anwendung werden die Ressourcen in einer verwalteten Ressourcengruppe bereitgestellt, die vom Herausgeber der App oder vom Kunden verwaltet wird. Die verwaltete Ressourcengruppe befindet sich zwar im Abonnement des Kunden, eine Identität im Mandanten des Herausgebers kann jedoch Zugriff auf die verwaltete Ressourcengruppe erhalten. Wenn Sie als Herausgeber die Anwendung verwalten, geben Sie die Kosten für den kontinuierlichen Support der Lösung an.

Hinweis

Die Dokumentation für benutzerdefinierte Azure-Anbieter war früher im Lieferumfang von Managed Applications enthalten. Diese Dokumentation wurde in die Dokumentation zu benutzerdefinierten Azure-Anbietern verschoben.

Herausgeber- und Kundenberechtigungen

Für die verwaltete Ressourcengruppe sind der Verwaltungszugriff des Herausgebers und die Ablehnungszuweisung des Kunden optional. Je nach Herausgeber- und Kundenanforderungen an eine verwaltete Anwendung stehen verschiedene Berechtigungsszenarien zur Verfügung.

  • Herausgeberseitig verwaltet: Der Herausgeber hat Verwaltungszugriff auf Ressourcen in der verwalteten Ressourcengruppe im Azure-Mandanten des Kunden. Der Kundenzugriff auf die verwaltete Ressourcengruppe wird durch eine Ablehnungszuweisung eingeschränkt. Die herausgeberseitige Verwaltung ist das Standardszenario im Hinblick auf Berechtigungen für verwaltete Anwendungen.
  • Herausgeber- und Kundenzugriff: Herausgeber und Kunde haben vollen Zugriff auf die verwaltete Ressourcengruppe. Die Ablehnungszuweisung wird entfernt.
  • Gesperrter Modus: Der Herausgeber hat keinerlei Zugriff auf die vom Kunden bereitgestellte verwaltete Anwendung oder die verwaltete Ressourcengruppe. Der Kundenzugriff wird durch eine Ablehnungszuweisung eingeschränkt.
  • Kundenseitig verwaltet: Der Kunde hat vollen Verwaltungszugriff auf die verwaltete Ressourcengruppe, und der Zugriff des Herausgebers wird entfernt. Es gibt keine Ablehnungszuweisung. Der Herausgeber entwickelt die Anwendung und veröffentlicht sie auf Azure Marketplace. Er verwaltet die Anwendung jedoch nicht. Der Herausgeber lizenziert die Anwendung für die Abrechnung über den Azure Marketplace.

Vorteile der Verwendung von Berechtigungsszenarien:

  • Aus Sicherheitsgründen möchten Herausgeber keinen dauerhaften Verwaltungszugriff auf die verwaltete Ressourcengruppe, den Mandanten des Kunden oder Daten in der verwalteten Ressourcengruppe.
  • Herausgeber möchten die Ablehnungszuweisung entfernen, damit Kunden die Anwendung verwalten. Der Herausgeber muss die Ablehnungszuweisung nicht verwalten, um Aktionen für den Kunden zu aktivieren oder zu deaktivieren. Ein Beispiel für eine solche Aktion wäre der Neustart einer VM in der verwalteten Anwendung.
  • Bieten Sie Kunden die vollständige Kontrolle über die Verwaltung der Anwendung, sodass der Herausgeber kein Dienstanbieter sein muss, um die Anwendung zu verwalten.

Vorteile von verwalteten Anwendungen

Verwaltete Anwendungen bauen Hürden für Kunden ab, die Ihre Lösungen verwenden. Verbraucher benötigen keine Cloudinfrastrukturkenntnisse, um Ihre Lösung verwenden zu können. Abhängig von den vom Herausgeber konfigurierten Berechtigungen haben Kunden möglicherweise eingeschränkten Zugriff auf die kritischen Ressourcen und müssen sich keine Gedanken darüber machen, dass sie bei der Verwaltung einen Fehler begehen.

Mithilfe von verwalteten Anwendungen können Sie eine anhaltende Beziehung zu Ihren Kunden aufbauen. Sie definieren die Bedingungen für die Verwaltung der Anwendung, und sämtliche Gebühren werden über Azure abgerechnet.

Wenngleich Kunden diese verwalteten Anwendungen in ihren Abonnements bereitstellen, müssen sie diese nicht verwalten, aktualisieren oder warten. Es gibt jedoch Berechtigungen, die es dem Kunden ermöglichen, vollen Zugriff auf Ressourcen in der verwalteten Ressourcengruppe zu haben. Sie können sicherstellen, dass alle Kunden genehmigte Versionen verwenden. Für die Verwaltung dieser Anwendungen müssen sich Kunden kein anwendungsspezifisches Domänenwissen aneignen. Kunden erhalten automatisch Anwendungsupdates, ohne sich mit der Behandlung und Diagnose von Anwendungsproblemen befassen zu müssen.

IT-Teams erlauben verwaltete Anwendungen, vorab genehmigte Lösungen für Benutzer in der Organisation anzubieten. Sie wissen, dass diese Lösungen mit den Standards der Organisation konform sind.

Verwaltete Anwendungen unterstützen verwaltete Identitäten für Azure-Ressourcen.

Arten von verwalteten Anwendungen

Sie können Ihre verwaltete Anwendung entweder intern im Dienstkatalog oder extern im Azure Marketplace veröffentlichen.

Diagramm zum Ablauf der Veröffentlichung einer verwalteten Anwendung im Dienstkatalog oder im Azure Marketplace

Dienstkatalog

Der Dienstkatalog ist ein interner Katalog mit freigegebenen Lösungen für Benutzer in einer Organisation. Sie nutzen den Katalog, um Organisationsstandards zu erfüllen und Lösungen für die Organisation anzubieten. Mitarbeiter können über den Dienstkatalog Anwendungen finden, die die IT-Abteilung empfohlen und freigegeben hat. Sie können auf die verwalteten Anwendungen zugreifen, die auch von anderen Personen in der Organisation verwendet werden.

Informationen zum Veröffentlichen einer verwalteten Anwendung in einem Dienstkatalog finden Sie unter Schnellstart: Erstellen und Veröffentlichen einer Definition für die verwaltete Anwendung.

Azure Marketplace

Anbieter, die ihre Dienste kostenpflichtig anbieten möchten, können eine verwaltete Anwendung über den Azure Marketplace verfügbar machen. Nachdem der Anbieter eine Anwendung veröffentlicht hat, ist sie für Benutzer außerhalb der Organisation verfügbar. Durch diesen Ansatz können Anbieter verwalteter Dienste (Managed Service Providers, MSPs), unabhängige Softwarehersteller (Independent Software Vendors, ISVs) und Systemintegratoren (SIs) ihre Lösung allen Azure-Kunden anbieten.

Informationen zum Veröffentlichen einer verwalteten Anwendung im Azure Marketplace finden Sie unter Erstellen eines Azure-Anwendungsangebots.

Ressourcengruppen für verwaltete Anwendungen

Die Ressourcen für eine verwaltete Anwendung befinden sich üblicherweise in zwei Ressourcengruppen. Eine wird vom Kunden verwaltet, die andere vom Herausgeber. Beim Definieren der verwalteten Anwendung gibt der Herausgeber die Zugriffsebenen an. Der Herausgeber kann eine permanente Rollenzuweisung oder Just-In-Time-Zugriff für eine Zuweisung anfordern, die auf einen bestimmten Zeitraum beschränkt ist. Herausgeber können die verwaltete Anwendung auch so konfigurieren, dass kein Zugriff durch den Herausgeber besteht.

Das Einschränken des Zugriffs für Datenvorgänge wird derzeit nicht für alle Datenanbieter in Azure unterstützt.

Die folgende Abbildung zeigt die Beziehung zwischen dem Azure-Abonnement des Kunden und dem Azure-Abonnement des Herausgebers. Dies ist der Standard für eine herausgeberseitig verwaltete Berechtigung. Die verwaltete Anwendung und die verwaltete Ressourcengruppe befinden sich im Abonnement des Kunden. Der Herausgeber hat Verwaltungszugriff auf die verwaltete Ressourcengruppe, um die Ressourcen der verwalteten Anwendung zu verwalten. Der Herausgeber wendet eine Schreibschutzsperre (Ablehnungszuweisung) auf die verwaltete Ressourcengruppe an, die den Zugriff des Kunden auf die Verwaltung von Ressourcen beschränkt. Diese gilt nicht für die Identitäten des Herausgebers, die Zugriff auf die verwaltete Ressourcengruppe haben.

Abbildung: Beziehung zwischen den Azure-Abonnements des Kunden und des Herausgebers für eine verwaltete Ressourcengruppe

Der Verwaltungszugriff, kann geändert werden, wie in der Abbildung dargestellt wird. Dem Kunden kann voller Zugriff auf die verwaltete Ressourcengruppe gewährt werden. Außerdem kann der Zugriff des Herausgebers auf die verwaltete Ressourcengruppe entfernt werden.

Anwendungsressourcengruppe

Diese Ressourcengruppe enthält die Instanz der verwalteten Anwendung. Diese Ressourcengruppe darf nur eine einzelne Ressource enthalten. Der Ressourcentyp der verwalteten Anwendung lautet Microsoft.Solutions/applications.

Der Kunde hat uneingeschränkten Zugriff auf die Ressourcengruppe und verwendet sie zum Verwalten des Lebenszyklus der verwalteten Anwendung.

Verwaltete Ressourcengruppe

Diese Ressourcengruppe enthält alle Ressourcen, die von der verwalteten Anwendung benötigt werden. Beispiele hierfür wären die VMs, Speicherkonten und virtuellen Netzwerke einer Anwendung. Der Kunde hat möglicherweise eingeschränkten Zugriff auf diese Ressourcengruppe, denn falls die Berechtigungsoptionen nicht geändert werden, verwaltet der Kunde nicht die einzelnen Ressourcen für die verwaltete Anwendung. Der Zugriff des Herausgebers auf diese Ressourcengruppe entspricht der Rolle, die in der Definition der verwalteten Anwendung angegeben ist. Der Herausgeber kann für diese Ressourcengruppe beispielsweise die Rolle „Besitzer“ oder „Mitwirkender" anfordern. Der Zugriff gilt entweder permanent oder ist auf einen bestimmten Zeitraum beschränkt. Der Herausgeber kann entscheiden, keinen Zugriff auf die verwaltete Ressourcengruppe zu haben.

Beim Veröffentlichen der verwalteten Anwendung im Marketplace kann der Herausgeber den Kunden die Möglichkeit geben, bestimmte Aktionen für die Ressourcen in der verwalteten Ressourcengruppe durchzuführen. Er kann ihnen auch vollständigen Zugriff gewähren. Beispielsweise kann der Herausgeber angeben, dass Kunden virtuelle Computer neu starten können. Alle anderen Aktionen, die über Leseaktionen hinausgehen, werden weiterhin verweigert. Für Änderungen an Ressourcen in einer verwalteten Ressourcengruppe, die von einem Kunden mit Berechtigung zur Ausführung von Aktionen vorgenommen werden, gelten die Azure Policy-Zuweisungen innerhalb des Kundenmandanten, der die verwaltete Ressourcengruppe einbezieht.

Wenn der Kunde die verwaltete Anwendung löscht, wird auch die verwaltete Ressourcengruppe gelöscht.

Ressourcenanbieter

Verwaltete Anwendungen verwenden den Ressourcenanbieter Microsoft.Solutions mit ARM-Vorlagen-JSON-Code. Weitere Informationen finden Sie in den Ressourcentypen und API-Versionen.

Azure Policy

Sie können eine Azure Policy-Instanz anwenden, um Ihre verwaltete Anwendung zu überwachen. Richtliniendefinitionen werden angewendet, um sicherzustellen, dass die bereitgestellten Instanzen Ihrer verwalteten Anwendung die Daten- und Sicherheitsanforderungen erfüllen. Falls Ihre Anwendung mit sensiblen Daten interagiert, müssen Sie prüfen, wie diese Daten geschützt werden müssen. Interagiert Ihre Anwendung also beispielsweise mit Daten aus Microsoft 365, wenden Sie eine Richtliniendefinition an, um sicherzustellen, dass die Datenverschlüsselung aktiviert ist.

Nächste Schritte

In diesem Artikel haben Sie Informationen zu den Vorteilen erhalten, die sich bei der Verwendung von verwalteten Anwendungen ergeben. Fahren Sie mit dem nächsten Artikel fort, um eine Definition für die verwaltete Anwendung zu erstellen.

Schnellstart: Erstellen und Veröffentlichen einer Definition für die verwaltete Anwendung