Overzicht van Azure Managed Applications

  • Artikel

Met Azure Managed Applications kunt u cloudoplossingen aanbieden die klanten eenvoudig kunnen implementeren en gebruiken. Als uitgever implementeert u de infrastructuur en kunt u doorlopende ondersteuning bieden. Als u een beheerde toepassing beschikbaar wilt maken voor alle klanten, publiceert u deze in Azure Marketplace. Als u deze alleen beschikbaar wilt maken voor gebruikers in uw organisatie, publiceert u het naar een interne servicecatalogus.

Een beheerde toepassing is vergelijkbaar met een oplossingssjabloon in Azure Marketplace, met één belangrijk verschil. In een beheerde toepassing worden de resources geïmplementeerd in een beheerde resourcegroep die wordt beheerd door de uitgever van de toepassing of door de klant. De beheerde resourcegroep is aanwezig in het abonnement van de klant, maar een identiteit in de tenant van de uitgever kan toegang krijgen tot de beheerde resourcegroep. Als u de toepassing beheert, geeft u als uitgever de kosten op voor de doorlopende ondersteuning van de oplossing.

Notitie

De documentatie voor aangepaste Azure-providers was voorheen opgenomen in Beheerde toepassingen. Deze documentatie is verplaatst naar aangepaste Azure-providers.

Machtigingen voor uitgever en klant

Voor de beheerde resourcegroep zijn de beheertoegang van de uitgever en de weigeringstoewijzing van de klant optioneel. Er zijn verschillende machtigingsscenario's beschikbaar op basis van de behoeften van de uitgever en de klant voor een beheerde toepassing.

  • Door Publisher beheerd: Publisher heeft beheertoegang tot resources in de beheerde resourcegroep in de Azure-tenant van de klant. Klanttoegang tot de beheerde resourcegroep wordt beperkt door een weigeringstoewijzing. Publisher beheerd is het standaardscenario voor beheerde toepassingsmachtigingen.
  • Uitgevers- en klanttoegang: Publisher en de klant hebben volledige toegang tot de beheerde resourcegroep. De weigeringstoewijzing wordt verwijderd.
  • Vergrendelde modus: Publisher heeft geen toegang tot de door klanten geïmplementeerde beheerde toepassing of beheerde resourcegroep. Klanttoegang wordt beperkt door toewijzing weigeren.
  • Door de klant beheerd: de klant heeft volledige beheertoegang tot de beheerde resourcegroep en de toegang van de uitgever wordt verwijderd. Er is geen weigeringstoewijzing. Publisher ontwikkelt de toepassing en publiceert op Azure Marketplace, maar beheert de toepassing niet. Publisher licentiet de toepassing voor facturering via Azure Marketplace.

Voordelen van het gebruik van machtigingsscenario's:

  • Om veiligheidsredenen willen uitgevers geen permanente beheertoegang tot de beheerde resourcegroep, de tenant van de klant of gegevens in de beheerde resourcegroep.
  • Uitgevers willen de weigeringstoewijzing verwijderen, zodat klanten de toepassing kunnen beheren. Publisher hoeft de weigeringstoewijzing niet te beheren om acties voor de klant in of uit te schakelen. Bijvoorbeeld een actie zoals het opnieuw opstarten van een virtuele machine in de beheerde toepassing.
  • Geef klanten volledige controle over het beheren van de toepassing, zodat uitgevers geen serviceprovider hoeven te zijn om de toepassing te beheren.

Voordelen van beheerde toepassingen

Beheerde toepassingen verminderen belemmeringen voor klanten die uw oplossingen gebruiken. Ze hebben geen kennis van de cloudinfrastructuur nodig om uw oplossing te kunnen gebruiken. Afhankelijk van de machtigingen die door de uitgever zijn geconfigureerd, hebben klanten mogelijk beperkte toegang tot de kritieke resources en hoeven ze zich geen zorgen te maken over het maken van een fout bij het beheren ervan.

Met beheerde toepassingen kunt u een doorlopende relatie met uw klanten tot stand brengen. U definieert voorwaarden voor het beheren van de toepassing en alle kosten worden verwerkt via Azure-facturering.

Hoewel klanten beheerde toepassingen implementeren in hun abonnementen, hoeven ze deze niet te onderhouden, bij te werken of te onderhouden. Er zijn echter machtigingen waarmee de klant volledige toegang heeft tot resources in de beheerde resourcegroep. U kunt ervoor zorgen dat alle klanten goedgekeurde versies gebruiken. Klanten hoeven geen toepassingsspecifieke domeinkennis te ontwikkelen om deze toepassingen te beheren. Klanten verkrijgen automatisch toepassingsupdates en hoeven zich geen zorgen te maken over probleemoplossing en diagnoseproblemen met de toepassingen.

Voor IT-teams kunt u met beheerde toepassingen vooraf goedgekeurde oplossingen aanbieden aan gebruikers in de organisatie. U weet dat deze oplossingen voldoen aan de organisatiestandaarden.

Beheerde toepassingen ondersteunen beheerde identiteiten voor Azure-resources.

Soorten beheerde toepassingen

U kunt uw beheerde toepassing intern publiceren in de servicecatalogus of extern in Azure Marketplace.

Diagram dat laat zien hoe een beheerde toepassing wordt gepubliceerd naar de servicecatalogus of Azure Marketplace.

Servicecatalogus

De servicecatalogus is een interne catalogus van goedgekeurde oplossingen voor gebruikers in een organisatie. U gebruikt de catalogus om te voldoen aan de organisatiestandaarden en oplossingen voor de organisatie aan te bieden. Werknemers gebruiken de servicecatalogus om toepassingen te vinden die worden aanbevolen en goedgekeurd door hun IT-afdelingen. Ze hebben toegang tot de beheerde toepassingen die andere personen in hun organisatie met hen delen.

Zie Quickstart: Een definitie van een beheerde toepassing maken en publiceren voor meer informatie over het publiceren van een beheerde toepassing in een servicecatalogus.

Azure Marketplace

Leveranciers die hun services willen factureren, kunnen een beheerde toepassing beschikbaar maken via Azure Marketplace. Nadat de leverancier een toepassing heeft gepubliceerd, is deze beschikbaar voor gebruikers buiten hun organisatie. Met deze aanpak kan een managed service provider (MSP), onafhankelijke softwareleverancier (ISV) of systeemintegrator (SI) hun oplossingen aanbieden aan alle Azure-klanten.

Zie Een Azure-toepassingsaanbieding maken voor meer informatie over het publiceren van een beheerde toepassing naar Azure Marketplace.

Resourcegroepen voor beheerde toepassingen

De resources voor een beheerde toepassing bevinden zich doorgaans in twee resourcegroepen. De klant beheert de ene resourcegroep en de uitgever de andere resourcegroep. Wanneer de beheerde toepassing is gedefinieerd, geeft de uitgever de toegangsniveaus op. De uitgever kan een permanente roltoewijzing of Just-In-Time-toegang aanvragen voor een toewijzing die beperkt is tot een bepaalde periode. Uitgevers kunnen de beheerde toepassing ook zo configureren dat er geen uitgeverstoegang is.

Het beperken van de toegang voor gegevensbewerkingen wordt momenteel niet voor alle gegevensproviders in Azure ondersteund.

In de volgende afbeelding ziet u de relatie tussen het Azure-abonnement van de klant en het Azure-abonnement van de uitgever. Dit is de standaardmachtiging die door de uitgever wordt beheerd . De beheerde toepassing en de beheerde resourcegroep bevinden zich in het abonnement van de klant. De uitgever heeft beheertoegang tot de beheerde resourcegroep om de resources van de beheerde toepassing te onderhouden. De uitgever plaatst een alleen-lezenvergrendeling (toewijzing weigeren) op de beheerde resourcegroep die de toegang van de klant voor het beheren van resources beperkt. De identiteiten van de uitgever die toegang hebben tot de beheerde resourcegroep, zijn uitgesloten van de vergrendeling.

Diagram met de relatie tussen azure-abonnementen van de klant en de uitgever voor een beheerde resourcegroep.

De beheertoegang zoals weergegeven in de afbeelding kan worden gewijzigd. De klant kan volledige toegang krijgen tot de beheerde resourcegroep. En de toegang van de uitgever tot de beheerde resourcegroep kan worden verwijderd.

Resourcegroep van toepassing

Deze resourcegroep bevat het exemplaar van de beheerde toepassing. Deze resourcegroep mag maar één resource bevatten. Het resourcetype van de beheerde toepassing is Microsoft.Solutions/applications.

De klant heeft volledige toegang tot de resourcegroep en gebruikt deze om de levenscyclus van de beheerde toepassing te beheren.

Beheerde resourcegroep

Deze resourcegroep bevat alle resources die de beheerde toepassing nodig heeft. Bijvoorbeeld de virtuele machines, opslagaccounts en virtuele netwerken van een toepassing. De klant heeft mogelijk beperkte toegang tot deze resourcegroep, omdat de klant, tenzij de machtigingsopties worden gewijzigd, de afzonderlijke resources voor de beheerde toepassing niet beheert. De toegang van de uitgever tot deze resourcegroep komt overeen met de rol die is opgegeven in de definitie van de beheerde toepassing. De uitgever kan bijvoorbeeld de rol van eigenaar of bijdrager voor deze resourcegroep aanvragen. De toegang is permanent of beperkt geldig. De uitgever kan ervoor kiezen geen toegang te hebben tot de beheerde resourcegroep.

Wanneer de beheerde toepassing naar de marketplace wordt gepubliceerd, kan de uitgever klanten de mogelijkheid geven om specifieke acties uit te voeren op resources in de beheerde resourcegroep of om volledige toegang te krijgen. De uitgever kan bijvoorbeeld opgeven dat klanten virtuele machines opnieuw kunnen starten. Acties die groter zijn dan lees-acties, worden nog steeds geweigerd. Wijzigingen in resources in een beheerde resourcegroep door een klant met toegewezen acties zijn onderhevig aan de Azure Policy toewijzingen binnen de tenant van de klant die de beheerde resourcegroep bevatten.

Wanneer de klant de beheerde toepassing verwijdert, wordt de beheerde resourcegroep ook verwijderd.

Resourceprovider

Beheerde toepassingen maken gebruik van de Microsoft.Solutions resourceprovider met arm-sjabloon-JSON. Zie de resourcetypen en API-versies voor meer informatie.

Azure Policy

U kunt een Azure Policy toepassen om uw beheerde toepassing te controleren. U past beleidsdefinities toe om te verzekeren dat geïmplementeerde exemplaren van uw beheerde toepassing aan gegevens- en beveiligingsvereisten voldoen. Als uw toepassing met gevoelige gegevens werkt, zorg er dan voor dat u hebt geëvalueerd hoe die moeten worden beschermd. Als uw toepassing bijvoorbeeld met gegevens uit Microsoft 365 werkt, past u een beleidsdefinitie toe om te verzekeren dat gegevensversleuteling is ingeschakeld.

Volgende stappen

In dit artikel hebt u geleerd over de voordelen van het gebruik van beheerde toepassingen. Ga naar het volgende artikel om een definitie van een ​​beheerde toepassing te maken.

Quickstart: Een definitie van een beheerde Azure-toepassing maken en publiceren