Descrição geral das Aplicações Geridas do Azure

As Aplicações Geridas do Azure permitem-lhe oferecer soluções na cloud fáceis de implementar e operar pelos clientes. Enquanto publicador, implementa a infraestrutura e pode fornecer suporte contínuo. Para disponibilizar uma aplicação gerida a todos os clientes, publique-a no Azure Marketplace. Para disponibilizá-la apenas aos utilizadores na sua organização, publique-a num catálogo de serviços internos.

Uma aplicação gerida é semelhante a um modelo de solução no Azure Marketplace, com uma diferença fundamental. Numa aplicação gerida, os recursos são implementados num grupo de recursos gerido que é gerido pelo editor da aplicação ou pelo cliente. O grupo de recursos geridos está presente na subscrição do cliente, mas é possível conceder acesso a uma identidade no inquilino do publicador ao grupo de recursos geridos. Enquanto publicador, se gerir a aplicação, especifique o custo do suporte contínuo da solução.

Nota

A documentação dos Fornecedores Personalizados do Azure costumava ser incluída nas Aplicações Geridas. Essa documentação foi movida para Fornecedores Personalizados do Azure.

Permissões do publisher e do cliente

Para o grupo de recursos geridos, o acesso de gestão do publicador e a atribuição de negação do cliente são opcionais. Existem diferentes cenários de permissão disponíveis com base nas necessidades do editor e do cliente para uma aplicação gerida.

• Gerido pelo Publisher: o Publisher tem acesso de gestão aos recursos no grupo de recursos geridos no inquilino do Azure do cliente. O acesso do cliente ao grupo de recursos geridos é restringido por uma atribuição de negação. O Publisher gerido é o cenário de permissão da aplicação gerida predefinida.
• Acesso ao editor e ao cliente: o Publisher e o cliente têm acesso total ao grupo de recursos geridos. A atribuição de negação é removida.
• Modo bloqueado: o Publisher não tem acesso aos clientes implementados na aplicação gerida ou no grupo de recursos geridos. O acesso ao cliente é restringido por atribuição de negação.
• Gerido pelo cliente: o cliente tem acesso de gestão total ao grupo de recursos gerido e o acesso do publicador é removido. Não há atribuição de negação. O Publisher desenvolve a aplicação e publica no Azure Marketplace mas não gere a aplicação. O Publisher licencia a aplicação para faturação através de Azure Marketplace.

Vantagens da utilização de cenários de permissão:

• Por razões de segurança, os editores não querem acesso de gestão persistente ao grupo de recursos gerido, ao inquilino do cliente ou aos dados no grupo de recursos geridos.
• Os editores querem remover a atribuição de negação para que os clientes façam a gestão da aplicação. O Publisher não precisa de gerir a atribuição de negação para ativar ou desativar ações para o cliente. Por exemplo, uma ação como reiniciar uma máquina virtual na aplicação gerida.
• Forneça aos clientes controlo total para gerir a aplicação para que os editores não tenham de ser um fornecedor de serviços para gerir a aplicação.

Vantagens das aplicações geridas

As aplicações geridas reduzem as barreiras aos clientes que utilizam as suas soluções. Aqueles não precisam de conhecimentos técnicos sobre a infraestrutura na cloud para utilizar a sua solução. Dependendo das permissões configuradas pelo publicador, os clientes podem ter acesso limitado aos recursos críticos e não precisam de se preocupar em cometer um erro ao geri-lo.

As aplicações geridas permitem-lhe estabelecer uma relação contínua com os seus clientes. Define os termos para gerir a aplicação e todos os custos são processados através da faturação do Azure.

Embora os clientes implementem aplicações geridas nas suas subscrições, não têm de as manter, atualizar ou prestar assistência. Mas existem permissões que permitem ao cliente ter acesso total aos recursos no grupo de recursos geridos. Pode confirmar que todos os clientes estão a utilizar versões aprovadas. Os clientes não têm de desenvolver conhecimentos no domínio de aplicações específicas para geri-las. Adquirem automaticamente as atualizações das aplicações sem terem de se preocupar com a resolução e o diagnóstico de problemas com aquelas.

Para as equipas de TI, as aplicações geridas permitem-lhe oferecer soluções pré-aprovadas aos utilizadores na organização. Sabe que essas soluções estão em conformidade com os padrões da organização.

As aplicações geridas suportam identidades geridas para recursos do Azure.

Tipos de aplicações geridas

Pode publicar a aplicação gerida internamente no catálogo de serviços ou externamente no Azure Marketplace.

Catálogo de serviços

O catálogo de serviços é um catálogo interno de soluções aprovadas para os utilizadores de uma organização. Utilize o catálogo para cumprir os padrões organizacionais e oferecer soluções para a organização. Os colaboradores utilizam o catálogo de serviços para encontrar aplicações recomendadas e aprovadas pelos respetivos departamentos de TI. Podem aceder às aplicações geridas que outras pessoas na sua organização partilham com as mesmas.

Para obter informações sobre a publicação de uma aplicação gerida num catálogo de serviços, veja Início Rápido: Criar e publicar uma definição de aplicação gerida.

Azure Marketplace

Os fornecedores que pretendem faturar os respetivos serviços podem disponibilizar uma aplicação gerida através de Azure Marketplace. Depois de o fornecedor publicar uma aplicação, está disponível para utilizadores fora da organização. Com esta abordagem, um fornecedor de serviços gerido (MSP), um fornecedor independente de software (ISV) ou um integrador de sistema (SI) podem oferecer as suas soluções a todos os clientes do Azure.

Para obter informações sobre como publicar uma aplicação gerida para Azure Marketplace, veja Criar uma oferta de aplicação do Azure.

Grupos de recursos para aplicações geridas

Normalmente, os recursos de uma aplicação gerida estão em dois grupos de recursos. O cliente gere um grupo de recursos e o publicador gere o outro grupo de recursos. Quando a aplicação gerida é definida, o publicador especifica os níveis de acesso. O publicador pode pedir uma atribuição de função permanente ou acesso just-in-time para uma atribuição restrita a um período de tempo. Os editores também podem configurar a aplicação gerida para que não haja acesso de publicador.

A restrição do acesso das operações de dados não é atualmente suportada para todos os fornecedores de dados no Azure.

A imagem seguinte mostra a relação entre a subscrição do Azure do cliente e a subscrição do Azure do fabricante, que é a permissão gerida do publicador predefinida . A aplicação gerida e o grupo de recursos geridos estão na subscrição do cliente. O publicador tem acesso de gestão ao grupo de recursos geridos para manter os recursos da aplicação gerida. O publicador coloca um bloqueio só de leitura (atribuição de negação) no grupo de recursos geridos que limita o acesso do cliente para gerir recursos. As identidades do publicador que têm acesso ao grupo de recursos geridos estão isentas do bloqueio.

O acesso de gestão, conforme mostrado na imagem, pode ser alterado. O cliente pode ter acesso total ao grupo de recursos geridos. Além disso, o acesso do publicador ao grupo de recursos geridos pode ser removido.

Grupo de recursos da aplicação

Este grupo de recursos contém a instância da aplicação gerida. Só pode conter um recurso. O tipo de recurso da aplicação gerida é Microsoft.Solutions/applications.

O cliente tem acesso total ao grupo de recursos e utiliza-o para gerir o ciclo de vida da aplicação gerida.

Grupo de recursos gerido

Este grupo de recursos contém todos os recursos de que a aplicação gerida precisa. Por exemplo, as máquinas virtuais, contas de armazenamento e redes virtuais de uma aplicação. O cliente pode ter acesso limitado a este grupo de recursos porque, a menos que as opções de permissão sejam alteradas, o cliente não gere os recursos individuais da aplicação gerida. O acesso do editor a este grupo de recursos corresponde à função especificada na definição da aplicação gerida. Por exemplo, o editor pode pedir a função Proprietário ou Contribuidor para este grupo de recursos. O acesso é permanente ou limitado a uma hora específica. O publicador pode optar por não ter acesso ao grupo de recursos geridos.

Quando a aplicação gerida é publicada no marketplace, o publicador pode conceder aos clientes a capacidade de realizar ações específicas em recursos no grupo de recursos geridos ou ter acesso total. Por exemplo, o publicador pode especificar que os clientes podem reiniciar máquinas virtuais. Todas as outras ações além das ações de leitura continuam a ser negadas. As alterações aos recursos num grupo de recursos geridos por um cliente com ações concedidas estão sujeitas às atribuições de Azure Policy no âmbito do inquilino do cliente para incluir o grupo de recursos geridos.

Quando o cliente elimina a aplicação gerida, o grupo de recursos geridos também é eliminado.

Fornecedor de recursos

As aplicações geridas utilizam o Microsoft.Solutions fornecedor de recursos com o modelo DO ARM JSON. Para obter mais informações, veja os tipos de recursos e as versões da API.

• Microsoft.Solutions/applicationDefinitions
• Microsoft.Solutions/applications
• Microsoft.Solutions/jitRequests

Azure Policy

Pode aplicar uma Azure Policy para auditar a aplicação gerida. Aplica definições de política para garantir que as instâncias implementadas da sua aplicação gerida cumprem os requisitos de dados e segurança. Se a sua aplicação interagir com dados confidenciais, confirme que avaliou a forma como estes devem ser protegidos. Por exemplo, se a sua aplicação interagir com dados do Microsoft 365, aplique uma definição de política para garantir que a encriptação de dados está ativada.

Passos seguintes

Neste artigo, aprendeu sobre os benefícios da utilização de aplicações geridas. Aceda ao artigo seguinte para criar uma definição da aplicação gerida.

Início Rápido: Criar e publicar uma definição de aplicação gerida do Azure