規劃 Azure 應用程式供應項目的 Azure 受控應用程式
Azure 受控應用程式 方案是在商業市集中發佈 Azure 應用程式供應專案的其中一種方式。 如果您尚未這麼做,請閱讀規劃商業市集的 Azure 應用程式 供應專案。 受控應用程式是可交易的供應專案,可透過 Marketplace 進行部署和計費。 客戶面向清單選項為 [立即取得]。 使用受控應用程式計畫透過 Marketplace 交易 Azure 應用程式供應專案。
使用受控應用程式發行者可以選擇:
- 啟用或停用客戶租用戶中資源群組的發行者管理存取權。
- 為客戶提供資源群組的完整或限制存取權。
若要在下列組態模式上啟用交易性:
受控應用程式供應專案需求
| 需求 | 詳細資料 |
|---|---|
| Azure 訂用帳戶 | 受控應用程式必須部署到客戶的訂用帳戶 |
| 計費和計量 | 資源會在客戶的 Azure 訂用帳戶中提供。 使用隨用隨付付款模型的 VM 會透過 Microsoft 與客戶交易,並透過客戶的 Azure 訂用帳戶計費。 針對自備授權 VM,Microsoft 會收取客戶訂用帳戶中產生的任何基礎結構成本,但您直接與客戶交易軟體授權費用。 |
| 客戶使用量屬性 | 如需客戶使用量屬性以及如何啟用的詳細資訊,請參閱 Azure 合作夥伴客戶使用量屬性。 |
| 部署套件 | 您將需要一個部署套件,讓客戶部署您的方案。 如果您建立多個需要相同技術設定的方案,您可以使用相同的套件。 如需詳細資訊,請參閱下一節:部署套件。 |
注意
受控應用程式必須可透過 Azure Marketplace 部署。 如果客戶溝通是個問題,請在啟用潛在客戶共享之後連絡感興趣的客戶。
部署套件
部署套件包含此方案所需的所有範本檔案,以及封裝為 .zip 檔案的任何其他資源。
所有 Azure 應用程式都必須在 .zip 封存的根資料夾中包含這兩個檔案:
- 名為 mainTemplate.json 的 Resource Manager 範本檔案。 此範本會定義要部署到客戶 Azure 訂用帳戶的資源。 如需 Resource Manager 範例,請參閱 Azure 快速入門範本資源庫 或對應的 GitHub:Azure Resource Manager 快速入門範本 存放庫。
- Azure 應用程式建立體驗的使用者介面定義,名為 createUiDefinition.json。 在使用者介面中,您可以指定可讓取用者提供參數值的元素。
支援的檔案大小上限為:
- 壓縮的 .zip 封存大小總計最多 1 Gb
- .zip 封存內任何未壓縮的個別檔案最多 1 Gb
提示
發佈您的 Azure 應用程式 之前,請確定您的供應專案符合我們建議的做法,方法是使用ARM範本測試工具組。
Azure 區域
您可以將方案發佈至 Azure 公用區域、Azure Government 區域或兩者。 發佈至 Azure Government 之前,請先在環境中測試並驗證您的方案,因為某些端點可能會有所不同。 若要設定及測試您的方案,請向 Microsoft Azure Government 試用版要求試用帳戶。
身為發佈者的您必須負責任何合規性控制、安全性措施和最佳做法。 Azure Government 使用實體隔離的數據中心和網路(僅適用於美國)。
如需商業市集所支援的國家/地區清單,請參閱 地理可用性和貨幣支援。
Azure Government 服務會處理受限於特定政府法規和需求的數據。 例如,FedRAMP、NIST 800.171 (DIB)、ITAR、IRS 1075、DoD L4 和 CJIS。 若要了解這些程式的認證,您可以提供最多 100 個描述它們的連結。 這些可以是您直接在程式上清單的連結,或連結到您自己網站上的合規性描述。 只有 Azure Government 客戶可以看到這些連結。
選擇誰可以看到您的計劃
您可以設定每個方案,讓每個人(公開)或只顯示特定物件(私人)。 您可以建立最多100個方案,其中最多45個是私人方案。 您可能想要建立私人方案,以針對特定客戶提供不同的定價選項或技術組態。
您可以使用 Azure 訂用帳戶標識碼,將存取權授與您指派的每個訂用帳戶標識碼描述的選項。 您可以使用 手動新增最多 10 個訂用帳戶標識碼,或使用 最多 10,000 個訂用帳戶標識碼。CSV 檔案。 Azure 訂用帳戶標識符會以 GUID 表示,字母必須是小寫。
私人方案不支援透過 雲端解決方案提供者 方案(CSP)的轉銷商建立的 Azure 訂用帳戶。 如需詳細資訊,請參閱 Microsoft 商業市集中的私人供應專案。
注意
如果您發佈私人方案,您可以稍後將其可見性變更為公開。 不過,一旦您發佈公用方案,就無法將其可見度變更為私人。
定義定價
您必須為每個方案提供每月價格。 此價格除了此解決方案所部署的資源所產生的任何 Azure 基礎結構或隨用隨付軟體成本之外。
除了每月價格之外,您也可以使用 計量付費來設定非標準單位使用量的價格。 您可以視需要,將每月價格設定為零,並使用計量付費專用計費。
價格設定為美元(美元 = 美國 美元),並在儲存時使用目前匯率轉換為所有所選市場的當地貨幣。 定價會以當地貨幣發佈,且不會隨著匯率波動而更新。 若要指定每個市場的客戶價格,請從定價和可用性頁面匯出價格、更新個別的市場和貨幣、儲存和匯入檔案。 如需詳細資訊,請參閱 如何轉換貨幣。
發行者管理
啟用管理存取可讓發行者存取客戶租用戶中裝載您應用程式的受控資源群組。 如果您選擇啟用發行者管理存取,則必須指定將管理應用程式的 Azure 租使用者和主體識別碼。 停用管理存取會完全移除受控資源群組及其資源的管理與讀取許可權。
注意
發行者管理在發行至市集上線之後,就無法修改發行者管理。
Just In-Time (JIT) 存取
JIT 存取可讓您要求提高受控應用程式資源的存取權,以進行疑難解答或維護。 您一律具有資源的唯讀存取權,但在特定時段內,您可以擁有更大的存取權。 如需詳細資訊,請參閱 啟用和要求 Azure 受控應用程式的 Just-In-Time 存取。
注意
請務必更新您的 createUiDefinition.json 檔案,以支援這項功能。
選擇誰可以管理應用程式
只有在啟用發行者管理時,才能使用此選項。
啟用發行者管理時,您必須指出誰可以在每個選取的雲端中管理受控應用程式: 公用 Azure 和 Azure Government 雲端。 收集下列資訊:
- Microsoft Entra 租使用者標識元 – Microsoft Entra 租使用者識別碼(也稱為目錄標識符),其中包含您想要授與許可權的使用者、群組或應用程式身分識別。 您可以在 microsoft Entra 識別碼的 [屬性] 中找到 Azure 入口網站 上的 Microsoft Entra 租使用者識別符。
- 授權 – 新增您想要授與受控資源群組許可權之每個使用者、群組或應用程式的 Microsoft Entra 物件標識符。 依其主體標識碼來識別使用者,您可以在 Azure 入口網站 的 [Microsoft Entra 使用者] 刀鋒視窗中找到。
針對每個主體標識碼,您將建立其中一個 Microsoft Entra 內建角色 (擁有者或參與者) 的關聯。 您選取的角色描述主體在客戶訂用帳戶中資源上擁有的許可權。 如需詳細資訊,請參閱 Azure 內建角色。 如需角色型訪問控制 (RBAC) 的詳細資訊,請參閱開始使用 Azure 入口網站 中的 RBAC。
注意
雖然您可以為每個 Azure 區域新增最多 100 個授權,但建議您建立 Active Directory 使用者群組,並在「主體標識碼」中指定其標識碼。這可讓您在部署方案之後,將更多使用者新增至管理群組,並減少更新方案的需求,只是為了新增更多授權。
客戶存取
啟用客戶存取可讓客戶完整存取部署至其 Azure 租使用者的受控資源群組。 使用拒絕指派限制存取會停用客戶對其 Azure 租使用者中受控資源群組的存取。 請注意,停用具有拒絕指派的客戶存取會移除客戶存取,但允許發行者自定義允許的客戶動作。
注意
在供應專案在市集中上線之後,就無法修改客戶存取。
部署模式
您可以設定受控應用程式計畫,以使用 完整 或 累加 式部署模式。 在完整模式中,如果mainTemplate.json中未定義資源,客戶重新部署應用程式會導致移除受控資源群組中的資源。 在累加模式中,重新部署應用程式會維持現有資源不變。 若要深入瞭解,請參閱 Azure Resource Manager 部署模式。
通知端點 URL
您可以選擇性地提供 HTTPS Webhook 端點,以接收有關方案受控應用程式實例上所有 CRUD 作業的通知。
Azure 會在 /resource 呼叫 Webhook URI 之前附加至您的 Webhook URI 結尾。 因此,您的 Webhook URL 必須以 結尾/resource,但不應包含在合作夥伴中心 [通知端點 URL] 方塊中輸入的 URI 中。 例如,輸入 https://contoso.com 作為通知端點 URI 會導致呼叫 https://contoso.com/resource。
從受控應用程式通知接聽事件時,請確定您只接聽 https://<url>/resource 而不是設定的URL。 如需範例通知,請參閱 通知架構。
自訂允許的客戶動作(選擇性)
除了預設可用的動作之外,您可以選擇性地指定客戶可以在受控資源 */read 上執行的動作。
如果您選擇此選項,則必須提供控制項動作或允許的數據動作,或兩者。 如需詳細資訊,請參閱 瞭解 Azure 資源的拒絕指派。 如需可用的動作,請參閱 Azure Resource Manager 資源提供者作業。 例如,若要允許取用者重新啟動虛擬機,請將 新增 Microsoft.Compute/virtualMachines/restart/action 至允許的動作。
原則設定
您可以將 Azure 原則套用至受控應用程式,以指定已部署解決方案的合規性需求。 如需原則定義和參數值的格式,請參閱 Azure 原則 範例。
您可以設定最多五個原則,而且每個原則類型只能有一個實例。 某些原則類型需要其他參數。
| 原則類型 | 需要原則參數 |
|---|---|
| Azure SQL 資料庫 加密 | No |
| Azure SQL Server 稽核 設定 | Yes |
| Azure Data Lake Store 加密 | No |
| 稽核診斷設定 | Yes |
| 稽核資源位置合規性 | No |
針對您新增的每個原則類型,您必須建立標準或免費原則 SKU 的關聯。 稽核策略需要標準 SKU。 原則名稱限制為 50 個字元。
下一步
影片教學課程
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應