Planifier une application managée Azure pour une offre d’application Azure
Un plan d’application managée Azure est un moyen de publier une offre d’application Azure sur la Place de marché commerciale. Si vous ne l’avez pas encore fait, lisez Planifier une offre d’application Azure pour la place de marché commerciale. Les applications managées sont des offres transactionnelles déployées et facturées via la Place de marché. Utilisez des plans d’application managée pour fournir et monétiser des services managés.
Exigences relatives à une offre d’application managée
Spécifications | Détails |
---|---|
Facturation et mesure | Les ressources sont fournies dans l’abonnement Azure d’un client. Les machines virtuelles qui utilisent le modèle de paiement à l’utilisation font l’objet de transactions avec le client par le biais de Microsoft et sont facturées dans le cadre de l’abonnement Azure du client. Pour les machines virtuelles BYOL (apportez votre propre licence), Microsoft facture tous les frais d’infrastructure engagés dans l’abonnement client, mais vous effectuez la transaction de vos frais de licence logicielle directement avec le client. |
Attribution de l’utilisation client | Pour plus d’informations sur l’attribution de l’utilisation de client et sur son activation, consultez Attribution de l’utilisation de client partenaire Azure. |
Package de déploiement | Vous aurez besoin d’un package de déploiement qui permettra aux clients de déployer votre plan. Si vous créez plusieurs plans nécessitant la même configuration technique, vous pouvez utiliser le même package. Pour plus d’informations, consultez la section suivante : Package de déploiement. |
Remarque
Les applications managées doivent pouvoir être déployées via Place de marché. Si la communication client est un problème, contactez les clients intéressés une fois que vous avez activé le partage des prospects.
Package de déploiement
Le package de déploiement regroupe tous les fichiers de modèle requis pour ce plan, ainsi que toutes les ressources supplémentaires, empaquetés dans un fichier .zip.
Toutes les applications Azure doivent inclure les deux fichiers suivants dans le dossier racine d’une archive .zip :
- Un fichier de modèle Resource Manager nommé mainTemplate.json. Ce modèle qui définit les ressources à déployer dans l’abonnement Azure du client. Pour obtenir des exemples de modèles Resource Manager, consultez la galerie de modèles de démarrage rapide Azure ou le référentiel GitHub correspondant : Modèles de démarrage rapide Azure Resource Manager.
- Une définition d’interface utilisateur pour l’expérience de création d’applications Azure nommée createUiDefinition.json. Dans l’interface utilisateur, vous spécifiez les éléments qui permettent aux consommateurs de fournir des valeurs de paramètre.
Remarque
Le package de déploiement ne doit pas inclure de fichiers binaires tels que des images de machine virtuelle. Toutes les images déployées par l’application Azure doivent être des images référencées à partir de la Place de marché. Assurez-vous que votre offre est conforme à nos pratiques recommandées à l’aide du kit de ressources de test de modèle ARM avant de publier votre Azure Application.
Régions Azure
Vous pouvez publier votre plan dans la région publique Azure, la région Azure Government, ou les deux. Avant de publier sur Azure Government, testez et validez votre plan dans l’environnement, car certains points de terminaison peuvent différer. Pour configurer et tester votre plan, demandez un compte d’essai depuis la page Microsoft Azure Government Trial.
En tant qu’éditeur, il vous incombe de mettre en place l’ensemble des contrôles de conformité, des mesures de sécurité et des bonnes pratiques nécessaires. Azure Government utilise des réseaux et des centres de données qui sont physiquement isolés (situés aux États-Unis uniquement).
Pour obtenir la liste des pays et régions desservis par la place de marché commerciale, consultez Prise en charge de la disponibilité géographique et des devises.
Les services Azure Government gèrent des données soumises à certaines réglementations et exigences gouvernementales. Par exemple, FedRAMP, NIST 800.171 (DIB), ITAR, IRS 1075, DoD L4 et CJIS. Afin de renseigner les clients sur vos certifications pour ces programmes, vous pouvez fournir jusqu’à 100 liens décrivant ces certifications. Ces liens peuvent être des liens vers votre liste de plans directement sur le programme, ou des liens vers des descriptions de votre conformité avec ces certifications sur vos propres sites web. Ces liens sont visibles uniquement par les clients Azure Government.
Choisir qui peut voir votre plan
Vous pouvez configurer chaque plan de sorte qu’il soit visible de tous (public) ou d’un public spécifique (privé). Vous pouvez créer jusqu’à 100 plans dont maximum 45 peuvent être privés. Vous pouvez créer un plan privé pour offrir différentes options tarifaires ou configurations techniques à des clients spécifiques.
Vous accordez l’accès à un plan privé à l’aide d’ID d’abonnement Azure, avec la possibilité d’inclure une description de chaque ID d’abonnement que vous attribuez. Vous pouvez ajouter jusqu’à 10 ID d’abonnement manuellement ou jusqu’à 10 000 ID d’abonnement à l’aide d’un fichier .CSV. Les ID d’abonnements Azure sont représentés par des GUID, où les lettres doivent être en minuscules.
Les plans privés ne sont pas pris en charge avec les abonnements Azure établis par le biais d’un revendeur du programme fournisseur de solutions Cloud (CSP). Pour plus d’informations, consultez Offres privées dans la Place de marché commerciale Microsoft.
Remarque
Si vous publiez un plan privé, vous pouvez modifier sa visibilité sur public ultérieurement. Toutefois, une fois que vous avez publié un plan public, vous ne pouvez pas modifier sa visibilité en privé.
Définir la tarification
Remarque
La tarification de votre application managée à l’aide du prix de facturation par mois et mesuré doit uniquement tenir compte des frais de gestion et peut ne pas être utilisée pour les coûts IP/logiciels, l’infrastructure Azure ou les modules complémentaires. Utilisez la machine virtuelle ou l’offre conteneur sous-jacente pour traiter les coûts IP/logiciels. Vous devez indiquer le tarif mensuel de chaque plan. Ce tarif s’ajoute aux coûts logiciels de paiement à l’utilisation et aux coûts de l’infrastructure Azure qui sont engendrés par les ressources déployées par cette solution. En plus du tarif mensuel, vous pouvez fixer des prix pour l’utilisation d’unités non standard assortie d’une facturation basée sur des mesures. Vous pouvez définir le prix par mois sur zéro et facturer exclusivement à l’aide de la facturation limitée.
Les prix sont fixés en USD (USD = États-Unis Dollar) et sont convertis en devise locale de tous les marchés sélectionnés à l’aide des taux de change actuels lorsqu’ils sont enregistrés. La tarification est publiée dans la devise locale et n’est pas mise à jour à mesure que les taux de change varient. Pour spécifier les prix des clients pour chaque marché, exportez les prix à partir de la page de tarification et de disponibilité, mettez à jour le marché et la devise respectifs, enregistrez et importez le fichier. Pour plus d’informations, consultez Comment convertir des devises.
Gestion des serveurs de publication
L’activation de l’accès de gestion donne à l’éditeur l’accès au groupe de ressources managé qui héberge votre application dans le locataire client. Si vous choisissez d’activer l’accès à la gestion des éditeurs, vous devez spécifier le locataire Azure et l’ID principal qui géreront l’application.
Remarque
La gestion des serveurs de publication ne peut pas être modifiée après la publication du plan sur la Place de marché.
Accès juste-à-temps (JIT)
L'accès JIT vous permet de demander un accès élevé aux ressources d'une application managée à des fins de résolution des problèmes ou de maintenance. Vous bénéficiez toujours d'un accès en lecture seule aux ressources, mais pour une durée spécifique, votre accès est étendu. Pour plus d’informations, consultez Activer et demander l’accès juste-à-temps pour les applications managées Azure.
Remarque
N’oubliez pas de mettre à jour votre fichier createUiDefinition.json
pour la prise en charge de cette fonctionnalité.
Choisir qui peut gérer l’application
Cette option est disponible uniquement lorsque la gestion des serveurs de publication est activée.
Lorsque la gestion des serveurs de publication est activée, vous devez indiquer qui peut gérer une application managée dans chacun des clouds sélectionnés : Azure public et Cloud Azure Government. Collectez les informations suivantes :
- ID de locataire Microsoft Entra : ID de locataire Microsoft Entra (également appelé ID d’annuaire) contenant les identités des utilisateurs, des groupes ou des applications auxquels vous souhaitez accorder des autorisations. Vous trouverez votre ID de locataire Microsoft Entra sur le Portail Azure, dans Propriétés de l’ID Microsoft Entra.
- Autorisations : ajoutez l’ID d’objet Microsoft Entra de chaque utilisateur, groupe ou application que vous souhaitez accorder l’autorisation au groupe de ressources managé. Identifiez l’utilisateur par son ID principal, qui se trouve dans le panneau Utilisateurs de Microsoft Entra sur le Portail Azure.
Pour chaque ID de principal, vous allez associer l’un des rôles intégrés Microsoft Entra (Propriétaire ou Contributeur). Le rôle sélectionné détermine les autorisations que le principal aura sur les ressources dans l’abonnement client. Pour plus d’informations, voir Rôles intégrés Azure. Pour plus d’informations sur le contrôle d’accès en fonction du rôle (RBAC), consultez Bien démarrer avec le contrôle d’accès en fonction du rôle (RBAC) dans le portail Azure.
Remarque
Bien que vous puissiez ajouter jusqu’à 100 autorisations par région Azure, nous vous recommandons de créer un groupe d’utilisateurs Active Directory et de spécifier son ID dans l'« ID principal ». Cela vous permet d’ajouter d’autres utilisateurs au groupe d’administration une fois le plan déployé et réduit la nécessité de mettre à jour le plan simplement pour ajouter d’autres autorisations.
Accès client
L’activation de l’accès client donne aux clients un accès complet au groupe de ressources managé déployé sur leur locataire Azure. La restriction de l’accès avec attributions de refus désactive l’accès du client au groupe de ressources managé dans son locataire Azure. Notez que la désactivation de l’accès client avec attribution de refus supprime l’accès client, mais permet aux éditeurs de personnaliser les actions client autorisées.
Remarque
L’accès client ne peut pas être modifié une fois que l’offre est active sur la Place de marché.
Mode de déploiement
Vous pouvez configurer un plan d’application managée pour qu’il utilise le mode de déploiement Complet ou Incrémentiel. En mode complet, un redéploiement de l’application par le client entraîne la suppression de ressources dans le groupe de ressources managé si les ressources ne sont pas définies dans le mainTemplate.json. En mode incrémentiel, un redéploiement de l’application laisse les ressources existantes inchangées. Pour en savoir plus, consultez Modes de déploiement d’Azure Resource Manager.
URL de point de terminaison de notification
En option, vous pouvez également spécifier un point de terminaison Webhook HTTPS pour recevoir des notifications de toutes les opérations CRUD effectuées sur les instances d’application managée d’un plan.
Azure ajoute /resource
à la fin de votre URI de webhook avant de l’appeler. Par conséquent, votre URL de webhook doit se terminer par /resource
, même si elle ne doit pas être incluse dans l’URI entré dans la zone URL du point de terminaison de notification dans l’Espace partenaires. Par exemple, l’entrée de https://contoso.com
en tant qu’URI de point de terminaison de notification entraîne un appel à https://contoso.com/resource
.
Lors de l’écoute des événements de vos notifications d’application gérée, veillez à écouter https://<url>/resource
et pas uniquement l’URL définie. Pour obtenir un exemple de notification, consultez Schéma de notification.
Personnaliser les actions des clients autorisées (facultatif)
En option, vous pouvez spécifier les actions que les clients peuvent effectuer sur les ressources managées en plus des actions */read
autorisées par défaut.
Si vous choisissez cette option, vous devez fournir les actions de contrôle, les actions de données autorisées ou les deux. Pour plus d’informations, consultez Comprendre les affectations de refus relatives aux ressources Azure. Pour obtenir la liste des actions disponibles, consultez Opérations du fournisseur de ressources Azure Resource Manager. Par exemple, pour permettre aux consommateurs de redémarrer des machines virtuelles, ajoutez Microsoft.Compute/virtualMachines/restart/action
aux actions autorisées.
Paramètres de stratégie
Vous pouvez appliquer des stratégies Azure à votre application managée afin de spécifier des exigences de conformité pour la solution déployée. Pour les définitions de stratégie et le format des valeurs de paramètre, consultez Exemples Azure Policy.
Vous pouvez configurer un maximum de cinq stratégies, et une seule instance de chaque type de stratégie. Certains types de stratégies requièrent des paramètres supplémentaires.
Type de stratégie | Paramètres de stratégie requis |
---|---|
Chiffrement d’Azure SQL Database | Non |
Paramètres d’audit d’Azure SQL Server | Oui |
Chiffrement d’Azure Data Lake Store | Non |
Auditer le paramètre de diagnostic | Oui |
Auditer la conformité de l’emplacement des ressources | Non |
Pour chaque type de stratégie que vous ajoutez, vous devez associer une référence SKU de stratégie standard ou gratuite. La référence SKU Standard est requise pour les stratégies d’audit. Les noms de requête sont limités à 50 caractères.
Contenu connexe
Tutoriel vidéo