Panoramica di Applicazione gestita di Azure
Le applicazioni gestite di Azure consentono di offrire soluzioni cloud semplici da distribuire e gestire per i clienti. Per l'editore, è sufficiente implementare l'infrastruttura e garantire un supporto continuo. Per rendere un'applicazione gestita disponibile a tutti i clienti, pubblicarla in Azure Marketplace. Per renderla disponibile ai soli utenti dell'organizzazione, pubblicarla in un catalogo di servizi interno.
Un'applicazione gestita è simile a un modello di soluzione in Azure Marketplace, con una differenza essenziale. In un'applicazione gestita le risorse vengono distribuite in un gruppo di risorse gestite dall'editore dell'applicazione o dal cliente. Il gruppo di risorse gestite è presente nella sottoscrizione del consumer, ma è possibile concedere l'accesso al gruppo di risorse a un'identità nel tenant dell'editore. L'editore, se gestisce l'applicazione, specifica il costo del supporto continuo per la soluzione.
Nota
In precedenza, la documentazione per i provider personalizzati di Azure era inclusa nelle applicazioni gestite. Tale documentazione è stata spostata in Provider personalizzati di Azure.
Autorizzazioni dell'editore e del cliente
Per il gruppo di risorse gestite, l'accesso alla gestione dell'editore e l'assegnazione di rifiuto del cliente sono facoltativi. Esistono diversi scenari di autorizzazione disponibili in base alle esigenze dell'editore e dei clienti per un'applicazione gestita.
- Gestita dall'editore: l'editore dispone dell'accesso di gestione alle risorse nel gruppo di risorse gestite nel tenant di Azure del cliente. L'accesso del cliente al gruppo di risorse gestite è limitato da un'assegnazione di rifiuto. Gestita dall'editore è lo scenario di autorizzazione dell'applicazione gestita predefinito.
- Accesso dell'editore e del cliente: l'editore e il cliente hanno accesso completo al gruppo di risorse gestite. L'assegnazione di rifiuto viene rimossa.
- Modalità blocco: l'editore non ha accesso all'applicazione gestita o al gruppo di risorse gestite distribuito dai clienti. L'accesso del cliente è limitato dall'assegnazione di rifiuto.
- Gestita dal cliente: il cliente ha accesso completo alla gestione al gruppo di risorse gestite e l'accesso dell'editore viene rimosso. Non è presente alcuna assegnazione di rifiuto. L'editore sviluppa l'applicazione e pubblica in Azure Marketplace, ma non gestisce l'applicazione. L'editore concede in licenza l'applicazione per la fatturazione tramite Azure Marketplace.
Vantaggi dell'uso degli scenari di autorizzazione:
- Per motivi di sicurezza, gli editori non vogliono l'accesso permanente alla gestione al gruppo di risorse gestite, al tenant del cliente o ai dati nel gruppo di risorse gestite.
- Gli editori desiderano rimuovere l'assegnazione di rifiuto in modo che i clienti gestiscano l'applicazione. L'editore non deve gestire l'assegnazione di rifiuto per abilitare o disabilitare le azioni per il cliente, ad esempio, un'azione come il riavvio di una macchina virtuale nell'applicazione gestita.
- Fornire ai clienti il controllo completo per gestire l'applicazione in modo che gli editori non debbano agire da provider di servizi per gestire l'applicazione.
Vantaggi delle applicazioni gestite
Le applicazioni gestite riducono le barriere per i clienti che usano le soluzioni. utilizzabili senza alcuna esperienza di infrastruttura cloud. A seconda delle autorizzazioni configurate dall'editore, i clienti potrebbero avere accesso limitato alle risorse critiche e non devono preoccuparsi di commettere un errore durante la gestione.
Le applicazioni gestite consentono di stabilire una relazione continua con i clienti. È sufficiente definire le condizioni di gestione dell'applicazione e tutti gli addebiti vengono gestiti con la fatturazione di Azure.
Sebbene i clienti distribuiscano le applicazioni gestite nelle proprie sottoscrizioni, non devono occuparsi della gestione, degli aggiornamenti o della manutenzione. Esistono tuttavia autorizzazioni che consentono al cliente di avere accesso completo alle risorse nel gruppo di risorse gestite. È possibile fare in modo che tutti i clienti usino versioni approvate. I clienti non devono sviluppare una conoscenza approfondita delle caratteristiche delle applicazioni per gestirle. Inoltre, possono acquisire automaticamente gli aggiornamenti delle applicazioni senza doversi preoccupare di individuare, diagnosticare e risolvere eventuali problemi.
Per i team IT, le applicazioni gestite consentono di offrire soluzioni preapprovate agli utenti dell'organizzazione. Si ha la certezza che tali soluzioni siano conformi agli standard aziendali.
Le applicazioni gestite supportano le identità gestite per le risorse di Azure.
Tipi di applicazioni gestite
È possibile pubblicare l'applicazione gestita internamente nel catalogo dei servizi o esternamente in Azure Marketplace.
Catalogo di servizi
Il catalogo di servizi è un catalogo interno di soluzioni approvate per gli utenti in un'organizzazione. Il catalogo può essere usato per garantire la conformità agli standard aziendali e offrire al contempo soluzioni per l'organizzazione. I dipendenti lo usano per trovare facilmente le applicazioni consigliate e approvate dai reparti IT o per accedere alle applicazioni gestite che altri utenti dell'organizzazione hanno condiviso con loro.
Per informazioni sulla pubblicazione di un'applicazione gestita in un catalogo di servizi, vedere Guida introduttiva: Creare e pubblicare una definizione di applicazione gestita.
Azure Marketplace
I fornitori che desiderano fatturare direttamente i servizi offerti, possono rendere disponibile un'applicazione gestita tramite Azure Marketplace. Dopo che il fornitore pubblica un'applicazione, è disponibile per gli utenti esterni all'organizzazione. Con questo approccio, i provider di servizi gestiti (MSP), i fornitori di software indipendenti (ISV) e gli integratori di sistemi (SI) possono offrire soluzioni a tutti i clienti di Azure.
Per informazioni sulla pubblicazione di applicazioni gestite in Azure Marketplace, vedere Creare un'offerta di applicazione Azure.
Gruppi di risorse per le applicazioni gestite
Le risorse per un'applicazione gestita si trovano in genere in due gruppi di risorse. Il consumer gestisce un gruppo di risorse, mentre l'editore ne gestisce un altro. Quando l'applicazione gestita viene definita, l'editore specifica i livelli di accesso. L'editore può richiedere un'assegnazione di un ruolo permanente oppure l'accesso JIT per un'assegnazione vincolata a un periodo di tempo. Gli editori possono anche configurare l'applicazione gestita in modo che l'editore non abbia alcun accesso.
La limitazione dell'accesso per operazioni sui dati non è attualmente supportata per tutti i provider di dati in Azure.
L'immagine seguente mostra la relazione tra la sottoscrizione di Azure del cliente e la sottoscrizione di Azure dell'editore, ovvero l'autorizzazione predefinita Gestita dall'editore. L'applicazione gestita e il gruppo di risorse gestite si trovano nella sottoscrizione del cliente. L'editore dispone dell'accesso di gestione al gruppo di risorse gestite per gestire le risorse dell'applicazione gestita. L'editore imposta un blocco di sola lettura (assegnazione di rifiuto) nel gruppo di risorse gestite che limita l'accesso del cliente alla gestione delle risorse. Le identità dell'editore che hanno accesso al gruppo di risorse gestite sono esenti dal blocco.
L'accesso alla gestione, come illustrato nell'immagine, può essere modificato. Al cliente può essere concesso l'accesso completo al gruppo di risorse gestite. È anche possibile rimuovere l'accesso dell'editore al gruppo di risorse gestite.
Gruppo di risorse dell'applicazione
Il gruppo di risorse contiene l'istanza dell'applicazione gestita. Questo gruppo di risorse potrebbe contenere solo una risorsa. Il tipo di risorsa dell'applicazione gestita è Microsoft.Solutions/applications.
Il cliente ha accesso completo al gruppo di risorse e lo usa per gestire il ciclo di vita dell'applicazione gestita.
Gruppo di risorse gestite
Questo gruppo di risorse contiene tutte le risorse necessarie per l'applicazione gestita. Ad esempio, macchine virtuali, account di archiviazione e reti virtuali di un'applicazione. Il cliente potrebbe avere accesso limitato a questo gruppo di risorse perché, a meno che non vengano modificate le opzioni di autorizzazione, il cliente non gestisce le singole risorse per l'applicazione gestita. L'accesso al gruppo di risorse dell'entità di pubblicazione corrisponde al ruolo specificato nella definizione dell'applicazione gestita. Ad esempio, l'entità di pubblicazione potrebbe richiedere il ruolo di proprietario o di collaboratore per il gruppo di risorse. L'accesso è permanente o limitato a un periodo di tempo. L'editore può scegliere di non avere accesso al gruppo di risorse gestite.
Quando l'applicazione gestita viene pubblicata nel marketplace, l'editore può concedere ai clienti la possibilità di eseguire azioni specifiche sulle risorse nel gruppo di risorse gestite o concedere l'accesso completo. L'editore può ad esempio specificare che gli utenti possono riavviare le macchine virtuali. Tutte le altre azioni oltre alle azioni di lettura sono comunque negate. Le modifiche apportate alle risorse in un gruppo di risorse gestite da un cliente a cui sono state concesse azioni sono soggette alle assegnazioni di Criteri di Azure all'interno del tenant del cliente con un ambito definito per includere il gruppo di risorse gestite.
Quando il cliente elimina l'applicazione gestita, viene eliminato anche il gruppo di risorse gestite.
Provider di risorse
Le applicazioni gestite usano il provider di risorse Microsoft.Solutions con il file JSON del modello di ARM. Per altre informazioni, vedere i tipi di risorse e le versioni dell'API.
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Solutions/applications
- Microsoft.Solutions/jitRequests
Criteri di Azure
È possibile applicare criteri di Azure per controllare l'applicazione gestita. L'applicazione di definizioni di criteri consente di garantire che le istanze distribuite dell'applicazione gestita siano conformi ai requisiti per i dati e la sicurezza. Se l'applicazione interagisce con dati sensibili, assicurarsi di avere valutato come devono essere protetti. Se ad esempio l'applicazione interagisce con i dati di Microsoft 365, applicare una definizione di criteri per assicurarsi che la crittografia dei dati venga abilitata.
Passaggi successivi
In questo articolo si sono visti i vantaggi dell'uso di applicazioni gestite. Nel prossimo articolo si vedrà come creare una definizione di applicazione gestita.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per