Condividi tramite


Panoramica di Applicazione gestita di Azure

Le applicazioni gestite di Azure consentono di offrire soluzioni cloud semplici da distribuire e gestire per i clienti. Per l'editore, è sufficiente implementare l'infrastruttura e garantire un supporto continuo. Per rendere un'applicazione gestita disponibile a tutti i clienti, pubblicarla in Azure Marketplace. Per renderla disponibile ai soli utenti dell'organizzazione, pubblicarla in un catalogo di servizi interno.

Un'applicazione gestita è simile a un modello di soluzione in Azure Marketplace, con una differenza essenziale. In un'applicazione gestita le risorse vengono distribuite in un gruppo di risorse gestite dall'editore dell'applicazione o dal cliente. Il gruppo di risorse gestite è presente nella sottoscrizione del consumer, ma è possibile concedere l'accesso al gruppo di risorse a un'identità nel tenant dell'editore. L'editore, se gestisce l'applicazione, specifica il costo del supporto continuo per la soluzione.

Nota

In precedenza, la documentazione per i provider personalizzati di Azure era inclusa nelle applicazioni gestite. Tale documentazione è stata spostata in Provider personalizzati di Azure.

Autorizzazioni dell'editore e del cliente

Per il gruppo di risorse gestite, l'accesso alla gestione dell'editore e l'assegnazione di rifiuto del cliente sono facoltativi. Esistono diversi scenari di autorizzazione disponibili in base alle esigenze dell'editore e dei clienti per un'applicazione gestita.

  • Gestita dall'editore: l'editore dispone dell'accesso di gestione alle risorse nel gruppo di risorse gestite nel tenant di Azure del cliente. L'accesso del cliente al gruppo di risorse gestite è limitato da un'assegnazione di rifiuto. Gestita dall'editore è lo scenario di autorizzazione dell'applicazione gestita predefinito.
  • Accesso dell'editore e del cliente: l'editore e il cliente hanno accesso completo al gruppo di risorse gestite. L'assegnazione di rifiuto viene rimossa.
  • Modalità blocco: l'editore non ha accesso all'applicazione gestita o al gruppo di risorse gestite distribuito dai clienti. L'accesso del cliente è limitato dall'assegnazione di rifiuto.
  • Gestita dal cliente: il cliente ha accesso completo alla gestione al gruppo di risorse gestite e l'accesso dell'editore viene rimosso. Non è presente alcuna assegnazione di rifiuto. L'editore sviluppa l'applicazione e pubblica in Azure Marketplace, ma non gestisce l'applicazione. L'editore concede in licenza l'applicazione per la fatturazione tramite Azure Marketplace.

Vantaggi dell'uso degli scenari di autorizzazione:

  • Per motivi di sicurezza, gli editori non vogliono l'accesso permanente alla gestione al gruppo di risorse gestite, al tenant del cliente o ai dati nel gruppo di risorse gestite.
  • Gli editori desiderano rimuovere l'assegnazione di rifiuto in modo che i clienti gestiscano l'applicazione. L'editore non deve gestire l'assegnazione di rifiuto per abilitare o disabilitare le azioni per il cliente, ad esempio, un'azione come il riavvio di una macchina virtuale nell'applicazione gestita.
  • Fornire ai clienti il controllo completo per gestire l'applicazione in modo che gli editori non debbano agire da provider di servizi per gestire l'applicazione.

Vantaggi delle applicazioni gestite

Le applicazioni gestite riducono le barriere per i clienti che usano le soluzioni. utilizzabili senza alcuna esperienza di infrastruttura cloud. A seconda delle autorizzazioni configurate dall'editore, i clienti potrebbero avere accesso limitato alle risorse critiche e non devono preoccuparsi di commettere un errore durante la gestione.

Le applicazioni gestite consentono di stabilire una relazione continua con i clienti. È sufficiente definire le condizioni di gestione dell'applicazione e tutti gli addebiti vengono gestiti con la fatturazione di Azure.

Sebbene i clienti distribuiscano le applicazioni gestite nelle proprie sottoscrizioni, non devono occuparsi della gestione, degli aggiornamenti o della manutenzione. Esistono tuttavia autorizzazioni che consentono al cliente di avere accesso completo alle risorse nel gruppo di risorse gestite. È possibile fare in modo che tutti i clienti usino versioni approvate. I clienti non devono sviluppare una conoscenza approfondita delle caratteristiche delle applicazioni per gestirle. Inoltre, possono acquisire automaticamente gli aggiornamenti delle applicazioni senza doversi preoccupare di individuare, diagnosticare e risolvere eventuali problemi.

Per i team IT, le applicazioni gestite consentono di offrire soluzioni preapprovate agli utenti dell'organizzazione. Si ha la certezza che tali soluzioni siano conformi agli standard aziendali.

Le applicazioni gestite supportano le identità gestite per le risorse di Azure.

Tipi di applicazioni gestite

È possibile pubblicare l'applicazione gestita internamente nel catalogo dei servizi o esternamente in Azure Marketplace.

Diagramma che mostra come un'applicazione gestita viene pubblicata nel catalogo dei servizi o in Azure Marketplace.

Catalogo di servizi

Il catalogo di servizi è un catalogo interno di soluzioni approvate per gli utenti in un'organizzazione. Il catalogo può essere usato per garantire la conformità agli standard aziendali e offrire al contempo soluzioni per l'organizzazione. I dipendenti lo usano per trovare facilmente le applicazioni consigliate e approvate dai reparti IT o per accedere alle applicazioni gestite che altri utenti dell'organizzazione hanno condiviso con loro.

Per informazioni sulla pubblicazione di un'applicazione gestita in un catalogo di servizi, vedere Guida introduttiva: Creare e pubblicare una definizione di applicazione gestita.

Azure Marketplace

I fornitori che desiderano fatturare direttamente i servizi offerti, possono rendere disponibile un'applicazione gestita tramite Azure Marketplace. Dopo che il fornitore pubblica un'applicazione, è disponibile per gli utenti esterni all'organizzazione. Con questo approccio, i provider di servizi gestiti (MSP), i fornitori di software indipendenti (ISV) e gli integratori di sistemi (SI) possono offrire soluzioni a tutti i clienti di Azure.

Per informazioni sulla pubblicazione di applicazioni gestite in Azure Marketplace, vedere Creare un'offerta di applicazione Azure.

Gruppi di risorse per le applicazioni gestite

Le risorse per un'applicazione gestita si trovano in genere in due gruppi di risorse. Il consumer gestisce un gruppo di risorse, mentre l'editore ne gestisce un altro. Quando l'applicazione gestita viene definita, l'editore specifica i livelli di accesso. L'editore può richiedere un'assegnazione di un ruolo permanente oppure l'accesso JIT per un'assegnazione vincolata a un periodo di tempo. Gli editori possono anche configurare l'applicazione gestita in modo che l'editore non abbia alcun accesso.

La limitazione dell'accesso per operazioni sui dati non è attualmente supportata per tutti i provider di dati in Azure.

L'immagine seguente mostra la relazione tra la sottoscrizione di Azure del cliente e la sottoscrizione di Azure dell'editore, ovvero l'autorizzazione predefinita Gestita dall'editore. L'applicazione gestita e il gruppo di risorse gestite si trovano nella sottoscrizione del cliente. L'editore dispone dell'accesso di gestione al gruppo di risorse gestite per gestire le risorse dell'applicazione gestita. L'editore imposta un blocco di sola lettura (assegnazione di rifiuto) nel gruppo di risorse gestite che limita l'accesso del cliente alla gestione delle risorse. Le identità dell'editore che hanno accesso al gruppo di risorse gestite sono esenti dal blocco.

Diagramma che mostra la relazione tra le sottoscrizioni di Azure del cliente e dell'editore per un gruppo di risorse gestite.

L'accesso alla gestione, come illustrato nell'immagine, può essere modificato. Al cliente può essere concesso l'accesso completo al gruppo di risorse gestite. È anche possibile rimuovere l'accesso dell'editore al gruppo di risorse gestite.

Gruppo di risorse dell'applicazione

Il gruppo di risorse contiene l'istanza dell'applicazione gestita. Questo gruppo di risorse potrebbe contenere solo una risorsa. Il tipo di risorsa dell'applicazione gestita è Microsoft.Solutions/applications.

Il cliente ha accesso completo al gruppo di risorse e lo usa per gestire il ciclo di vita dell'applicazione gestita.

Gruppo di risorse gestite

Questo gruppo di risorse contiene tutte le risorse necessarie per l'applicazione gestita. Ad esempio, macchine virtuali, account di archiviazione e reti virtuali di un'applicazione. Il cliente potrebbe avere accesso limitato a questo gruppo di risorse perché, a meno che non vengano modificate le opzioni di autorizzazione, il cliente non gestisce le singole risorse per l'applicazione gestita. L'accesso al gruppo di risorse dell'entità di pubblicazione corrisponde al ruolo specificato nella definizione dell'applicazione gestita. Ad esempio, l'entità di pubblicazione potrebbe richiedere il ruolo di proprietario o di collaboratore per il gruppo di risorse. L'accesso è permanente o limitato a un periodo di tempo. L'editore può scegliere di non avere accesso al gruppo di risorse gestite.

Quando l'applicazione gestita viene pubblicata nel marketplace, l'editore può concedere ai clienti la possibilità di eseguire azioni specifiche sulle risorse nel gruppo di risorse gestite o concedere l'accesso completo. L'editore può ad esempio specificare che gli utenti possono riavviare le macchine virtuali. Tutte le altre azioni oltre alle azioni di lettura sono comunque negate. Le modifiche apportate alle risorse in un gruppo di risorse gestite da un cliente a cui sono state concesse azioni sono soggette alle assegnazioni di Criteri di Azure all'interno del tenant del cliente con un ambito definito per includere il gruppo di risorse gestite.

Quando il cliente elimina l'applicazione gestita, viene eliminato anche il gruppo di risorse gestite.

Provider di risorse

Le applicazioni gestite usano il provider di risorse Microsoft.Solutions con il file JSON del modello di ARM. Per altre informazioni, vedere i tipi di risorse e le versioni dell'API.

Criteri di Azure

È possibile applicare criteri di Azure per controllare l'applicazione gestita. L'applicazione di definizioni di criteri consente di garantire che le istanze distribuite dell'applicazione gestita siano conformi ai requisiti per i dati e la sicurezza. Se l'applicazione interagisce con dati sensibili, assicurarsi di avere valutato come devono essere protetti. Se ad esempio l'applicazione interagisce con i dati di Microsoft 365, applicare una definizione di criteri per assicurarsi che la crittografia dei dati venga abilitata.

Passaggi successivi

In questo articolo si sono visti i vantaggi dell'uso di applicazioni gestite. Nel prossimo articolo si vedrà come creare una definizione di applicazione gestita.