Introducción a las aplicaciones administradas de Azure

Las aplicaciones administradas de Azure le permiten ofrecer soluciones en la nube que los clientes pueden implementar y utilizar fácilmente. Como publicador, implementa la infraestructura y puede proporcionar soporte técnico continuo. Para poner a disposición de todos los clientes una aplicación administrada, publíquela en Azure Marketplace. Si quiere que esté disponible solo para los usuarios de su organización, publíquela en un catálogo interno.

Una aplicación administrada es similar a una plantilla de solución de Azure Marketplace, aunque hay una diferencia importante. En una aplicación administrada, los recursos se implementan en un grupo de recursos que está administrado por el publicador de la aplicación. El grupo de recursos administrados está presente en la suscripción del cliente, pero se puede dar acceso al grupo de recursos administrados a una identidad en el inquilino del publicador. Como publicador, puede especificar el costo del soporte técnico continuado de la solución.

Nota

En Managed Applications se debe incluir la documentación de los proveedores personalizados de Azure que se van a usar. Esa documentación se movió a Proveedores personalizados de Azure.

Permisos de publicador y cliente

Para el grupo de recursos administrado, el acceso de administración del publicador y la asignación de denegación del cliente son opcionales. Hay diferentes escenarios de permisos disponibles en función de las necesidades de publicador y cliente de una aplicación administrada.

  • Publicador administrado: El publicador tiene acceso de administración a los recursos del grupo de recursos administrados en el inquilino de Azure del cliente. El acceso de los clientes al grupo de recursos administrado está restringido por una asignación de denegación. El publicador administrado es el escenario de permisos de aplicación administrada predeterminado.
  • Acceso al publicador y al cliente: El publicador y el cliente tienen acceso total al grupo de recursos administrado. Se quita la asignación de denegación.
  • Modo bloqueado: El publicador no tiene acceso a la aplicación administrada implementada por los clientes ni al grupo de recursos administrados. El acceso al cliente está restringido por la asignación de denegación.
  • Administrado por el cliente: El cliente tiene acceso de administración total al grupo de recursos administrado y se quita el acceso del publicador. No hay ninguna asignación de denegación. El publicador desarrolla la aplicación y publica en Azure Marketplace, pero no administra la aplicación. El publicador concede licencias a la aplicación para la facturación a través de Azure Marketplace.

Ventajas del uso de escenarios de permisos:

  • Por motivos de seguridad, los publicadores no quieren acceso de administración persistente al grupo de recursos administrados, al inquilino del cliente ni a los datos del grupo de recursos administrados.
  • Los publicadores quieren quitar la asignación de denegación para que los clientes administren la aplicación. El publicador no necesita administrar la asignación de denegación para habilitar o deshabilitar acciones para el cliente. Por ejemplo, una acción como reiniciar una máquina virtual en la aplicación administrada.
  • Proporcione a los clientes control total para administrar la aplicación de modo que los publicadores no tengan que ser un proveedor de servicios para administrar la aplicación.

Ventajas de las aplicaciones administradas

Las aplicaciones administradas reducen las barreras que existen para los clientes que utilizan sus soluciones. No es necesario que tengan conocimientos de la infraestructura de nube para usar la solución. En función de los permisos configurados por el publicador, es posible que los clientes tengan acceso limitado a los recursos críticos y no tengan que preocuparse por cometer un error al administrarlo.

Las aplicaciones administradas le permiten establecer una relación continuada con los clientes. Defina los términos de administración de la aplicación y todos los cargos se controlarán mediante la facturación de Azure.

A pesar de que los clientes implementan estas aplicaciones administradas en sus suscripciones, no es necesario que las mantengan, actualicen ni atiendan. Pero hay permisos que permiten al cliente tener acceso total a los recursos del grupo de recursos administrados. Puede estar seguro de que todos los clientes usan versiones aprobadas. No es necesario que los clientes desarrollen un conocimiento ni dominio específico para administrar estas aplicaciones. Los clientes adquieren de inmediato las actualizaciones de las aplicaciones sin tener que preocuparse de solucionar ni diagnosticar problemas de estas.

Para los equipos de TI, las aplicaciones administradas permiten ofrecer soluciones aprobadas previamente a los usuarios de la organización. Estas soluciones se sabe que son compatibles con los estándares de la organización.

Las aplicaciones administradas admiten las identidades administradas para recursos de Azure.

Tipos de aplicaciones administradas

Puede publicar la aplicación administrada internamente en el catálogo de servicios o externamente en Azure Marketplace.

Diagrama que muestra c´´omo se publica una aplicación administrada en el catálogo de servicios o en Azure Marketplace.

Catálogo de servicios

El catálogo de servicios es un catálogo interno de soluciones aprobadas para los usuarios de una organización. Usará el catálogo para cumplir los estándares organizativos y ofrecer al mismo tiempo soluciones para las organizaciones. Los empleados usan el catálogo de servicios para encontrar aplicaciones recomendadas y aprobadas por sus departamentos de TI. También pueden ver las aplicaciones administradas que otras personas de su organización comparten con ellos.

Para información sobre cómo publicar una aplicación administrada en un catálogo de servicios, consulte Inicio rápido: Creación y publicación de una definición de aplicación administrada.

Azure Marketplace

Los proveedores que deseen facturar sus servicios pueden disponer de una aplicación administrada mediante Azure Marketplace. Después de que el proveedor publica una aplicación, esta está disponible para los usuarios de fuera de la organización. Con este enfoque, los proveedores de servicios administrados (MSP), los proveedores de software independiente (ISV) o los integradores de sistemas (SI) pueden ofrecer sus soluciones a todos los clientes de Azure.

Para información sobre cómo publicar una aplicación administrada en Azure Marketplace, consulte Creación de una oferta de aplicación de Azure.

Grupos de recursos para aplicaciones administradas

Normalmente, los recursos de una aplicación administrada residen en dos grupos de recursos. El cliente administra un grupo de recursos y el editor administra el otro. Al definir la aplicación administrada, el editor especifica los niveles de acceso. El publicador puede solicitar una asignación de roles permanentes, o acceso Just-In-Time para una asignación que esté restringida a un período de tiempo. Los publicadores también pueden configurar la aplicación administrada para que no haya acceso al publicador.

No se admite actualmente la restricción del acceso para las operaciones de datos para todos los proveedores de datos en Azure.

En la imagen siguiente se muestra la relación entre la suscripción de Azure del cliente y la suscripción de Azure del publicador, que es el permiso administrado por el publicador predeterminado. La aplicación administrada y el grupo de recursos administrados se encuentran en la suscripción del cliente. El publicador tiene acceso de administración al grupo de recursos administrados para mantener los recursos de la aplicación administrada. El publicador coloca un bloqueo de solo lectura en el grupo de recursos administrado que limita el acceso del cliente para administrar los recursos. Las identidades del publicador a las que tiene acceso al grupo de recursos administrado están exentas del bloqueo.

Diagrama que muestra la relación entre el cliente y el publicador de las suscripciones de Azure para un grupo de recursos administrado.

Se puede cambiar el acceso de administración tal como se muestra en la imagen. El cliente puede tener acceso total al grupo de recursos administrado. Además, se puede quitar el acceso del publicador al grupo de recursos administrado.

Grupo de recursos de la aplicación

Este grupo de recursos mantiene la instancia de la aplicación administrada. Este grupo de recursos solo puede contener un recurso. El tipo de recurso de la aplicación administrada es Microsoft.Solutions/applications.

El cliente tiene acceso total al grupo de recursos y lo utiliza para administrar el ciclo de vida de la aplicación administrada.

Grupo de recursos administrado

Este grupo de recursos contiene todos los recursos que requiere la aplicación administrada. Por ejemplo, las máquinas virtuales, las cuentas de almacenamiento y las redes virtuales de una aplicación. El cliente tiene acceso limitado a este grupo de recursos porque, a menos que se cambien las opciones de permiso, el cliente no administra los recursos individuales de la aplicación administrada. El acceso del editor a este grupo de recursos se corresponde con el rol especificado en la definición de la aplicación administrada. Por ejemplo, el editor puede solicitar el rol de propietario o colaborador para este grupo de recursos. El acceso es permanente o está limitado a un momento específico. El publicador puede optar por no tener acceso al grupo de recursos administrado.

Al publicar la aplicación administrada en el mercado, el publicador puede conceder a los clientes la capacidad de realizar acciones específicas en los recursos del grupo de recursos administrados o darles acceso total. Por ejemplo, el editor puede especificar que los clientes puedan reiniciar máquinas virtuales. Se continuarán rechazando el resto de acciones que no sean de lectura. Los cambios en los recursos de un grupo de recursos administrado por un clientes con acciones concedidas están sujetos a que las asignaciones de Azure Policy dentro del inquilino de los clientes del ámbito incluyan el grupo de recursos administrado.

Cuando el cliente elimina la aplicación administrada, también se elimina el grupo de recursos administrados.

Proveedor de recursos

Las aplicaciones administradas usan el proveedor de recursos Microsoft.Solutions con JSON de plantilla de ARM. Para más información, consulte los tipos de recursos y las versiones de API.

Azure Policy

Puede aplicar una directiva de Azure Policy para auditar la aplicación administrada. Las definiciones de directiva se aplican para garantizar que las instancias implementadas de la aplicación administrada cumplan con los requisitos de seguridad y datos. Si la aplicación interactúa con datos confidenciales, asegúrese de que se ha evaluado cómo debe protegerse. Por ejemplo, si la aplicación interactúa con datos de Microsoft 365, aplique una definición de directiva para asegurarse de que el cifrado de datos esté habilitado.

Pasos siguientes

En este artículo, ha aprendido acerca de las ventajas de uso de las aplicaciones administradas. Vaya al siguiente artículo para crear una definición de aplicación administrada.