Visão geral de aplicativos gerenciados do Azure

  • Artigo

Os Aplicativos Gerenciados do Azure permitem que você ofereça soluções de nuvem fáceis de implantar e operar. Como editor, você implementa a infraestrutura e pode fornecer suporte contínuo. Para disponibilizar um aplicativo gerenciado para todos os clientes, publique-o no Azure Marketplace. Para disponibilizá-lo somente para usuários em sua organização, publique-o em um catálogo de serviços interno.

Um aplicativo gerenciado é semelhante a um modelo de solução no Azure Marketplace, com uma diferença importante. Em um aplicativo gerenciado, os recursos são implantados em um grupo de recursos gerenciado pelo editor do aplicativo ou pelo consumidor. O grupo de recursos gerenciado está presente na assinatura do consumidor, mas uma identidade no locatário do editor pode obter acesso ao grupo de recursos gerenciado. Como editor, se você gerenciar o aplicativo, deverá especificar o custo do suporte contínuo da solução.

Observação

A documentação dos Provedores Personalizados do Azure costumava ser incluída com Aplicativos Gerenciados. Essa documentação foi movida para Provedores Personalizados do Azure.

Permissões de editor e consumidor

Para o grupo de recursos gerenciado, o acesso de gerenciamento do editor e a atribuição de negação do consumidor são opcionais. Há diferentes cenários de permissão disponíveis com base nas necessidades do editor e do consumidor para um aplicativo gerenciado.

  • Gerenciado pelo editor: o editor tem acesso de gerenciamento aos recursos no grupo de recursos gerenciado no locatário do Azure do consumidor. O acesso do consumidor ao grupo de recursos gerenciado é restrito por uma atribuição de negação. Gerenciado pelo editor é o cenário de permissão de aplicativo gerenciado padrão.
  • Acesso de editor e consumidor: o editor e o consumidor têm acesso completo ao grupo de recursos gerenciado. A atribuição de negação é removida.
  • Modo bloqueado: o editor não tem acesso ao grupo de recursos gerenciado ou ao aplicativo gerenciado implantado pelos consumidores. O acesso do consumidor é restrito por atribuição de negação.
  • Gerenciado pelo consumidor: o consumidor tem acesso de gerenciamento completo ao grupo de recursos gerenciado e o acesso do editor é removido. Não há nenhuma atribuição de negação. O editor desenvolve o aplicativo e o publica no Azure Marketplace, mas não gerencia o aplicativo. O editor licencia o aplicativo para cobrança por meio do Azure Marketplace.

Vantagens do uso de cenários de permissão:

  • Por motivos de segurança, os editores não querem acesso de gerenciamento persistente ao grupo de recursos gerenciado, ao locatário do consumidor ou aos dados no grupo de recursos gerenciado.
  • Os editores desejam remover a atribuição de negação para que os consumidores gerenciem o aplicativo. O editor não precisa gerenciar a atribuição de negação para habilitar ou desabilitar ações para o consumidor. Por exemplo, uma ação como reinicializar uma máquina virtual no aplicativo gerenciado.
  • Forneça aos consumidores controle total para gerenciar o aplicativo para que os editores não precisem ser um provedor de serviços para gerenciar o aplicativo.

Vantagens dos aplicativos gerenciados

Os aplicativos gerenciados reduzem as barreiras para os consumidores que usam suas soluções. Eles não precisam de conhecimento especializado sobre a infraestrutura de nuvem para usar sua solução. Dependendo das permissões configuradas pelo editor, os consumidores podem ter acesso limitado aos recursos críticos e não precisam se preocupar com a possibilidade de cometer erros durante o gerenciamento.

Os aplicativos gerenciados permitem que você estabeleça uma relação contínua com seus consumidores. Defina as condições para o gerenciamento do aplicativo, e todos os encargos serão manipulados por meio da cobrança do Azure.

Embora os clientes implantem esses aplicativos gerenciados em suas assinaturas, eles não precisam fazer a manutenção, atualizar nem repará-las. Mas há permissões que permitem que o consumidor tenha acesso total aos recursos no grupo de recursos gerenciado. Você pode garantir que todos os clientes estejam usando versões aprovadas. Os clientes não precisam desenvolver conhecimento de domínio específico do aplicativo para gerenciarem esses aplicativos. Os clientes adquirem automaticamente atualizações do aplicativo sem precisar se preocupar com o diagnóstico e a solução de problemas com o aplicativo.

Para equipes de TI, os aplicativos gerenciados permitem a oferta de soluções pré-aprovadas aos usuários na organização. Você sabe que essas soluções estão em conformidade com os padrões organizacionais.

Os Aplicativos Gerenciados dão suporte a identidades gerenciadas em recursos do Azure.

Tipos de aplicativos gerenciados

Você pode publicar seu aplicativo gerenciado internamente no catálogo de serviços ou externamente no Azure Marketplace.

Diagrama que mostra como um aplicativo gerenciado é publicado em um catálogo de serviços ou no Azure Marketplace.

Catálogo de serviços

O catálogo de serviços é um catálogo interno das soluções aprovadas para os usuários em uma organização. Use o catálogo para atender aos padrões organizacionais e oferecer soluções para a organização. Os funcionários usam o catálogo de serviços para encontrar aplicativos recomendados e aprovados pelos departamentos de TI. Eles podem acessar os aplicativos gerenciados que outras pessoas na organização compartilham com eles.

Para informações sobre como publicar um aplicativo gerenciado em um catálogo de serviços, confira Início Rápido: Criar e publicar uma definição de aplicativo gerenciado.

Azure Marketplace

Os fornecedores que desejam cobrar por seus serviços podem disponibilizar um aplicativo gerenciado no Azure Marketplace. Depois que o fornecedor publicar um aplicativo, ele ficará disponível para os usuários fora da organização. Com essa abordagem, um MSP (provedor de serviços gerenciados), ISV (fornecedor de software independentes) e SI (integrador de sistema) podem oferecer suas soluções a todos os clientes do Azure.

Para obter informações sobre como publicar aplicativos gerenciados para o Azure Marketplace, confira Criar uma oferta de aplicativo do Azure.

Grupos de recursos para aplicativos gerenciados

Normalmente, os recursos de um aplicativo gerenciado estão em dois grupos de recursos. O consumidor gerencia um grupo de recursos, e o fornecedor gerencia o outro grupo de recursos. Quando o aplicativo gerenciado é definido, o editor especifica os níveis de acesso. O publicador pode solicitar uma atribuição de função permanente, ou acesso just-in-time para uma atribuição que é restrita a um período de tempo. Os editores também podem configurar o aplicativo gerenciado para que não haja acesso do editor.

Atualmente não há suporte para restringir o acesso para operações de dados para todos os provedores de dados no Azure.

A imagem a seguir mostra a relação entre a assinatura do Azure do consumidor e a assinatura do Azure do editor, que é a permissão gerenciada pelo editor padrão. O aplicativo gerenciado e o grupo de recursos gerenciados estão na assinatura do cliente. O publicador tem acesso de gerenciamento ao grupo de recursos gerenciados para manter os recursos do aplicativo gerenciado. O editor coloca um bloqueio somente leitura (atribuição de negação) no grupo de recursos gerenciado que limita o acesso do consumidor para gerenciar recursos. As identidades do distribuidor que recebem acesso ao grupo de recursos gerenciados são isentas de bloqueio.

Diagrama que mostra a relação entre as assinaturas do Azure do cliente e do editor para um grupo de recursos gerenciados.

O acesso de gerenciamento, conforme mostrado na imagem, pode ser alterado. O consumidor pode receber acesso completo ao grupo de recursos gerenciado. Além disso, o acesso do editor ao grupo de recursos gerenciado pode ser removido.

Grupo de recursos do aplicativo

Esse grupo de recursos armazena a instância do aplicativo gerenciado. Esse grupo de recursos pode conter apenas um recurso. O tipo de recurso do aplicativo gerenciado é Microsoft.Solutions/applications.

O consumidor tem acesso total ao grupo de recursos e o utiliza para gerenciar o ciclo de vida do aplicativo gerenciado.

Grupo de recursos gerenciado

Este grupo de recursos contém todos os recursos necessários ao aplicativo gerenciado. Por exemplo, máquinas virtuais, contas de armazenamento e redes virtuais de um aplicativo. O consumidor pode ter acesso limitado a esse grupo de recursos, pois a não ser que as opções de permissão sejam alteradas, ele não gerencia os recursos individuais do aplicativo gerenciado. O acesso do fornecedor a este grupo de recursos corresponde à função especificada na definição do aplicativo gerenciado. Por exemplo, o fornecedor pode solicitar a função de Proprietário ou Colaborador para este grupo de recursos. O acesso é permanente ou limitado a uma hora específica. O editor pode optar por não ter acesso ao grupo de recursos gerenciado.

Quando o aplicativo gerenciado é publicado no marketplace, o editor pode conceder aos consumidores a capacidade de executar ações específicas em recursos no grupo de recursos gerenciado ou receber acesso total. Por exemplo, o editor pode especificar que os consumidores podem reiniciar as máquinas virtuais. Todas as outras ações além das ações de leitura ainda são negadas. As alterações nos recursos em um grupo de recursos gerenciados realizadas por um consumidor com ações concedidas estão sujeitas às atribuições do Azure Policy no locatário dos consumidores com escopo para incluir o grupo de recursos gerenciados.

Quando o consumidor exclui o aplicativo gerenciado, o grupo de recursos gerenciado também é excluído.

Provedor de recursos

Os aplicativos gerenciados usam o Microsoft.Solutions provedor de recursos com o modelo do ARM JSON. Para obter mais informações, consulte os tipos de recursos e versões de API.

Azure Policy

Você pode aplicar um Azure Policy para fazer auditoria do seu aplicativo gerenciado. Aplique definições de política para que as instâncias implantadas do seu aplicativo gerenciado atendam aos requisitos de segurança e de dados. Se o aplicativo interage com os dados confidenciais, verifique se você avaliou como eles devem ser protegidos. Por exemplo, se o aplicativo interage com os dados do Microsoft 365, aplique uma definição de política para que a criptografia de dados esteja habilitada.

Próximas etapas

Neste artigo, você aprendeu sobre os benefícios do uso de aplicativos gerenciados. Va até o próximo artigo para criar uma definição de aplicativo gerenciado.

Início Rápido: Criar e publicar a definição de um aplicativo gerenciado do Azure