Panoramica di Applicazione gestita di Azure
Le applicazioni gestite di Azure consentono di offrire soluzioni cloud facili da distribuire e gestire ai clienti. Gli editori implementano l'infrastruttura e possono fornire supporto continuativo. Per rendere disponibile un'applicazione gestita a tutti i clienti, pubblicarla in Azure Marketplace. Per renderlo disponibile solo agli utenti dell'organizzazione, pubblicarlo in un catalogo di servizi interno.
Un'applicazione gestita è simile a un modello di soluzione in Azure Marketplace, con una differenza fondamentale. In un'applicazione gestita le risorse vengono distribuite in un gruppo di risorse gestito gestito dal server di pubblicazione dell'applicazione o dal cliente. Il gruppo di risorse gestite è presente nella sottoscrizione del cliente, ma è possibile accedere a un'identità nel tenant dell'editore al gruppo di risorse gestite. In qualità di editore, se si gestisce l'applicazione, si specifica il costo per il supporto continuativo della soluzione.
Nota
La documentazione per i provider personalizzati di Azure usata per essere inclusa nelle applicazioni gestite. La documentazione è stata spostata in Provider personalizzati di Azure.
Autorizzazioni per server di pubblicazione e cliente
Per il gruppo di risorse gestite, l'accesso alla gestione dell'editore e l'assegnazione di rifiuto del cliente sono facoltativi. Esistono diversi scenari di autorizzazione disponibili in base alle esigenze dell'editore e dei clienti per un'applicazione gestita.
- Server di pubblicazione gestito: il server di pubblicazione ha accesso alla gestione alle risorse nel gruppo di risorse gestite nel tenant di Azure del cliente. L'accesso del cliente al gruppo di risorse gestite è limitato da un'assegnazione di rifiuto. Il server di pubblicazione gestito è lo scenario di autorizzazione dell'applicazione gestita predefinito.
- Accesso al server di pubblicazione e al cliente: il server di pubblicazione e il cliente hanno accesso completo al gruppo di risorse gestite. L'assegnazione di rifiuto viene rimossa.
- Modalità bloccata: il server di pubblicazione non ha accesso ai clienti che hanno distribuito l'applicazione gestita o il gruppo di risorse gestite. L'accesso dei clienti è limitato dall'assegnazione di rifiuto.
- Gestito dal cliente: il cliente ha accesso di gestione completo al gruppo di risorse gestite e l'accesso dell'editore viene rimosso. Non esiste alcuna assegnazione negata. Il server di pubblicazione sviluppa l'applicazione e pubblica in Azure Marketplace ma non gestisce l'applicazione. Publisher concede in licenza l'applicazione per la fatturazione tramite Azure Marketplace.
Vantaggi dell'uso degli scenari di autorizzazione:
- Per motivi di sicurezza, gli editori non desiderano l'accesso permanente alla gestione al gruppo di risorse gestito, al tenant del cliente o ai dati nel gruppo di risorse gestite.
- Gli editori vogliono rimuovere l'assegnazione di rifiuto in modo che i clienti gestiscono l'applicazione. Il server di pubblicazione non deve gestire l'assegnazione di rifiuto per abilitare o disabilitare le azioni per il cliente. Ad esempio, un'azione come il riavvio di una macchina virtuale nell'applicazione gestita.
- Fornire ai clienti il controllo completo per gestire l'applicazione in modo che gli editori non devono essere un provider di servizi per gestire l'applicazione.
Vantaggi delle applicazioni gestite
Le applicazioni gestite riducono le barriere ai clienti che usano le soluzioni. utilizzabili senza alcuna esperienza di infrastruttura cloud. A seconda delle autorizzazioni configurate dal server di pubblicazione, i clienti potrebbero avere accesso limitato alle risorse critiche e non devono preoccuparsi di commettere un errore durante la gestione.
Le applicazioni gestite consentono di stabilire una relazione continuativa con i clienti. Le condizioni per la gestione dell'applicazione e tutti gli addebiti vengono gestiti tramite la fatturazione di Azure.
Anche se i clienti distribuiscono applicazioni gestite nelle sottoscrizioni, non devono gestire, aggiornare o gestire le applicazioni gestite. Esistono tuttavia autorizzazioni che consentono al cliente di avere accesso completo alle risorse nel gruppo di risorse gestite. È possibile fare in modo che tutti i clienti usino versioni approvate. I clienti non devono sviluppare una conoscenza approfondita delle caratteristiche delle applicazioni per gestirle. Inoltre, possono acquisire automaticamente gli aggiornamenti delle applicazioni senza doversi preoccupare di individuare, diagnosticare e risolvere eventuali problemi.
Per i team IT, le applicazioni gestite consentono di offrire soluzioni preapprovate agli utenti dell'organizzazione. Si ha la certezza che tali soluzioni siano conformi agli standard aziendali.
Le applicazioni gestite supportano le identità gestite per le risorse di Azure.
Tipi di applicazioni gestite
È possibile pubblicare l'applicazione gestita internamente nel catalogo dei servizi o esternamente in Azure Marketplace.
Catalogo di servizi
Il catalogo di servizi è un catalogo interno di soluzioni approvate per gli utenti in un'organizzazione. Il catalogo viene usato per soddisfare gli standard organizzativi e offrire soluzioni per l'organizzazione. I dipendenti usano il catalogo dei servizi per trovare le applicazioni consigliate e approvate dai reparti IT. Possono accedere alle applicazioni gestite condivise da altri utenti dell'organizzazione.
Per informazioni sulla pubblicazione di un'applicazione gestita in un catalogo di servizi, vedere Avvio rapido: Creare e pubblicare una definizione di applicazione gestita.
Azure Marketplace
I fornitori che vogliono fatturare i propri servizi possono rendere disponibile un'applicazione gestita tramite Azure Marketplace. Dopo che il fornitore pubblica un'applicazione, è disponibile per gli utenti esterni all'organizzazione. Con questo approccio, un provider di servizi gestiti (MSP), un fornitore di software indipendente (ISV) o un integratore di sistemi (SI) può offrire le proprie soluzioni a tutti i clienti di Azure.
Per informazioni sulla pubblicazione di un'applicazione gestita in Azure Marketplace, vedere Creare un'offerta di applicazione Azure.
Gruppi di risorse per le applicazioni gestite
Le risorse per un'applicazione gestita si trovano in genere in due gruppi di risorse. Il cliente gestisce un gruppo di risorse e l'editore gestisce l'altro gruppo di risorse. Quando l'applicazione gestita viene definita, il server di pubblicazione specifica i livelli di accesso. L'editore può richiedere un'assegnazione di ruolo permanente o un accesso JITE per un'assegnazione vincolata a un periodo di tempo. I server di pubblicazione possono anche configurare l'applicazione gestita in modo che non vi sia accesso al server di pubblicazione.
La limitazione dell'accesso per operazioni sui dati non è attualmente supportata per tutti i provider di dati in Azure.
L'immagine seguente mostra la relazione tra la sottoscrizione di Azure del cliente e la sottoscrizione di Azure dell'editore, ovvero l'autorizzazione gestita dall'editore predefinita. L'applicazione gestita e il gruppo di risorse gestite si trovano nella sottoscrizione del cliente. Il server di pubblicazione dispone dell'accesso di gestione al gruppo di risorse gestite per gestire le risorse dell'applicazione gestita. L'editore inserisce un blocco di sola lettura (assegnazione di rifiuto) nel gruppo di risorse gestite che limita l'accesso del cliente per gestire le risorse. Le identità dell'editore che hanno accesso al gruppo di risorse gestite sono esenti dal blocco.
L'accesso alla gestione, come illustrato nell'immagine, può essere modificato. Al cliente può essere concesso l'accesso completo al gruppo di risorse gestite. È anche possibile rimuovere l'accesso al gruppo di risorse gestite dal server di pubblicazione.
Gruppo di risorse dell'applicazione
Il gruppo di risorse contiene l'istanza dell'applicazione gestita. Questo gruppo di risorse può contenere solo una risorsa. Il tipo di risorsa dell'applicazione gestita è Microsoft.Solutions/applications.
Il cliente ha accesso completo al gruppo di risorse e lo usa per gestire il ciclo di vita dell'applicazione gestita.
Gruppo di risorse gestite
Questo gruppo di risorse contiene tutte le risorse richieste dall'applicazione gestita. Ad esempio, le macchine virtuali, gli account di archiviazione e le reti virtuali di un'applicazione. Il cliente potrebbe avere accesso limitato a questo gruppo di risorse perché, a meno che non vengano modificate le opzioni di autorizzazione, il cliente non gestisce le singole risorse per l'applicazione gestita. L'accesso al gruppo di risorse dell'entità di pubblicazione corrisponde al ruolo specificato nella definizione dell'applicazione gestita. Ad esempio, l'entità di pubblicazione potrebbe richiedere il ruolo di proprietario o di collaboratore per il gruppo di risorse. L'accesso è permanente o limitato a un periodo di tempo. Il server di pubblicazione può scegliere di non avere accesso al gruppo di risorse gestito.
Quando l'applicazione gestita viene pubblicata nel marketplace, l'editore può concedere ai clienti la possibilità di eseguire azioni specifiche sulle risorse nel gruppo di risorse gestite o di concedere l'accesso completo. Ad esempio, il server di pubblicazione può specificare che i clienti possono riavviare le macchine virtuali. Tutte le altre azioni oltre alle azioni di lettura sono comunque negate. Le modifiche alle risorse in un gruppo di risorse gestite da un cliente con azioni concesse sono soggette alle assegnazioni di Criteri di Azure all'interno del tenant del cliente con ambito per includere il gruppo di risorse gestite.
Quando il cliente elimina l'applicazione gestita, viene eliminato anche il gruppo di risorse gestite.
Provider di risorse
Le applicazioni gestite usano il Microsoft.Solutions provider di risorse con JSON del modello di Resource Manager. Per altre informazioni, vedere i tipi di risorse e le versioni delle API.
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Solutions/applications
- Microsoft.Solutions/jitRequests
Criteri di Azure
È possibile applicare criteri di Azure per controllare l'applicazione gestita. L'applicazione di definizioni di criteri consente di garantire che le istanze distribuite dell'applicazione gestita siano conformi ai requisiti per i dati e la sicurezza. Se l'applicazione interagisce con dati sensibili, assicurarsi di avere valutato come devono essere protetti. Se ad esempio l'applicazione interagisce con i dati di Microsoft 365, applicare una definizione di criteri per assicurarsi che la crittografia dei dati venga abilitata.
Passaggi successivi
In questo articolo si sono visti i vantaggi dell'uso di applicazioni gestite. Nel prossimo articolo si vedrà come creare una definizione di applicazione gestita.