Azure Lighthouse 和 Azure 受控應用程式

  • 發行項

Azure 受控應用程式與 Azure Lighthouse 都能讓服務提供者存取位於客戶租用戶中的資源。 了解這兩項服務在運作方式和支援案例方面的差異以及如何將兩者搭配使用,一定能派上用場。

提示

雖然我們在這個主題中所述的是服務提供者和客戶,但管理多個租用戶的企業也能使用相同的程序及工具。

Azure Lighthouse 與 Azure 受控應用程式的比較

下表大致說明可能會影響您選用 Azure Lighthouse 或 Azure 受控應用程式的差異。 在某些情況下,您可能會想設計能將兩者搭配使用的解決方案。

考量事項 Azure Lighthouse Azure 受控應用程式
一般使用者 服務提供者或管理多個租用戶的企業 獨立軟體廠商 (ISV)
跨租用戶存取範圍 訂閱或資源群組 資源群組 (範圍限定為單一應用程式)
可於 Azure Marketplace 購買 不行 (供應項目可以發佈至 Azure Marketplace,但客戶會分開計費) Yes
IP 保護 有 (IP 可以保留在服務提供者的租用戶中) 是 (如果 ISV 選擇使用否定性指派來限制客戶存取權,則受控資源群組會鎖定至客戶)
拒絕指派 No Yes

Azure Lighthouse

使用 Azure Lighthouse 時,服務提供者可以直接在客戶的訂閱 (或資源群組) 上廣泛執行各種管理工作。 這種透過邏輯投影進行存取的方式,讓服務提供者只要登入自己的租用戶就能存取屬於客戶租用戶的資源。 客戶可以決定要將哪些訂閱或資源群組委派給服務提供者,且可以保有這些資源的完整存取權, 也能隨時移除服務提供者的存取權。

如要使用 Azure Lighthouse,可藉由部署 ARM 範本或透過 Azure Marketplace 中的受控服務供應項目讓客戶上線。 藉由連結您的合作夥伴識別碼,您可以追蹤對客戶業務開發的影響力。

持續為客戶執行管理工作的服務提供者通常會使用 Azure Lighthouse。 如要深入了解 Azure Lighthouse 在技術層級的運作方式,請參閱 Azure Lighthouse 結構

Azure 受控應用程式

ISV/發行者可使用 Azure 受控應用程式提供雲端解決方案,可讓客戶在自己的訂用帳戶中輕鬆部署及使用。

在受控應用程式中,應用程式使用的資源會組合在一起,然後部署至由 ISV/發行者管理的資源群組。 此「受控資源群組」位於客戶的訂用帳戶中,但發行者租用戶中的身分識別擁有其存取權。 在 Microsoft 合作夥伴中心發佈供應項目時,發行者可以選擇是否啟用或停用發行者本身的管理存取權。 此外,發行者可以限制客戶存取權 (使用否定性指派),或授與客戶完整存取權。

受控應用程式支援自訂 Azure 入口網站體驗以及與自訂提供者整合, 這些選項可用於提供自訂和整合程度更高的體驗,協助客戶更輕鬆地自行執行部分管理工作。

受控應用程式可以特定客戶使用的私人供應項目,或供多位客戶購買的公用供應項目來發佈至 Azure Marketplace; 您也可以將受控應用程式發佈至服務類別目錄,藉此將這些應用程式提供給組織內的使用者。 您可以使用 ARM 範本同時部署服務類別目錄和 Marketplace 執行個體,並在其中加入商業市集合作夥伴的唯一識別碼以便追蹤客戶使用狀況屬性

若服務提供者之完全受控的周全解決方案能夠滿足特定客戶需求,通常會使用 Azure 受控應用程式。

將 Azure Lighthouse 與 Azure 受控應用程式搭配使用

雖然 Azure Lighthouse 與 Azure 受控應用程式是使用不同的存取機制來達成不同的目標,但在某些情況下,服務提供者可針對同一位客戶同時使用這兩項服務。

例如,客戶可能希望服務提供者透過 Azure Lighthouse 提供受控服務,讓他們能夠看見合作夥伴的動作,並持續控制他們的委派訂閱。 然而,服務提供者並不想讓客戶存取將儲存在客戶租用戶中的特定資源,或允許對這些資源執行任何自訂動作。 為了達成這些目標,服務提供者可以將私人供應項目發佈為受控應用程式; 這個受控應用程式可包含部署在客戶租用戶中的資源群組,但客戶無法直接存取該資源群組。

客戶或許也會對多個服務提供者的受控應用程式產生興趣,不論他們是否透過 Azure Lighthouse 使用其中任何服務供應者的受控服務。 此外,雲端解決方案提供者 (CSP) 計畫的合作夥伴可以將透過 Azure Lighthouse 支援的其他 ISV 所發佈的特定受控應用程式轉售給客戶。 服務供應者擁有各式各樣的廣泛選擇,能在滿足客戶需求以及適時限制資源存取權之間取得完美平衡。

下一步