Översikt över Azure Managed Applications

  • Artikel

Med Azure Managed Applications kan du erbjuda molnlösningar som är enkla för kunder att distribuera och använda. Som utgivare implementerar du infrastrukturen och kan tillhandahålla löpande support. Om du vill göra ett hanterat program tillgängligt för alla kunder publicerar du det i Azure Marketplace. Om du bara vill göra den tillgänglig för användare i din organisation publicerar du den i en intern tjänstkatalog.

Ett hanterat program liknar en lösningsmall i Azure Marketplace, med en viktig skillnad. I ett hanterat program distribueras resurserna till en hanterad resursgrupp som hanteras av programmets utgivare eller av kunden. Den hanterade resursgruppen finns i kundens prenumeration, men en identitet i utgivarens klientorganisation kan ges åtkomst till den hanterade resursgruppen. Om du hanterar programmet som utgivare anger du kostnaden för löpande support för lösningen.

Anteckning

Dokumentationen för anpassade Azure-providrar brukade ingå i hanterade program. Dokumentationen har flyttats till anpassade Azure-leverantörer.

Utgivar- och kundbehörigheter

För den hanterade resursgruppen är utgivarens hanteringsåtkomst och kundens nekandetilldelning valfria. Det finns olika behörighetsscenarier som är tillgängliga baserat på utgivarens och kundens behov för ett hanterat program.

  • Utgivare hanterad: Utgivaren har hanteringsåtkomst till resurser i den hanterade resursgruppen i kundens Azure-klientorganisation. Kundåtkomst till den hanterade resursgruppen begränsas av en nekandetilldelning. Publisher-hanterad är standardscenariot för hanterad programbehörighet.
  • Utgivare och kundåtkomst: Utgivare och kund har fullständig åtkomst till den hanterade resursgruppen. Neka-tilldelningen tas bort.
  • Låst läge: Utgivaren har inte någon åtkomst till det kunddistribuerade hanterade programmet eller den hanterade resursgruppen. Kundåtkomst begränsas genom att tilldelning nekas.
  • Kundhanterad: Kunden har fullständig hanteringsåtkomst till den hanterade resursgruppen och utgivarens åtkomst tas bort. Det går inte att neka tilldelning. Publisher utvecklar programmet och publicerar på Azure Marketplace men hanterar inte programmet. Publisher licensierar programmet för fakturering via Azure Marketplace.

Fördelar med att använda behörighetsscenarier:

  • Av säkerhetsskäl vill utgivare inte ha beständig hanteringsåtkomst till den hanterade resursgruppen, kundens klientorganisation eller data i den hanterade resursgruppen.
  • Utgivare vill ta bort neka-tilldelningen så att kunderna hanterar programmet. Publisher behöver inte hantera nekandetilldelningen för att aktivera eller inaktivera åtgärder för kunden. Till exempel en åtgärd som att starta om en virtuell dator i det hanterade programmet.
  • Ge kunderna fullständig kontroll för att hantera programmet så att utgivare inte behöver vara en tjänstleverantör för att hantera programmet.

Fördelar med hanterade program

Hanterade program minskar hindren för kunder som använder dina lösningar. De behöver inga kunskaper om molninfrastruktur för att använda din lösning. Beroende på vilka behörigheter som konfigurerats av utgivaren kan kunderna ha begränsad åtkomst till de kritiska resurserna och behöver inte bekymra sig om att göra ett misstag när de hanterar dem.

Med hanterade program kan du upprätta en pågående relation med dina kunder. Du definierar villkoren för att hantera programmet och alla avgifter hanteras via Azure-fakturering.

Även om kunder distribuerar hanterade program i sina prenumerationer behöver de inte underhålla, uppdatera eller underhålla dem. Men det finns behörigheter som gör att kunden har fullständig åtkomst till resurser i den hanterade resursgruppen. Du kan se till att alla kunder använder godkända versioner. Kunder måste inte utveckla programspecifika domänkunskaper för att hantera programmen. Kunder hämtar automatiskt programuppdateringar utan att behöva tänka på felsökning och att diagnostisera problem med programmen.

För IT-team gör hanterade program att du kan erbjuda förhandsgodkända lösningar till användare i organisationen. Du vet att lösningarna uppfyller organisationens standarder.

Hanterade program stöder hanterade identiteter för Azure-resurser.

Typer av hanterade program

Du kan publicera ditt hanterade program internt i tjänstkatalogen eller externt i Azure Marketplace.

Diagram som visar hur ett hanterat program publiceras till tjänstkatalogen eller Azure Marketplace.

Tjänstkatalog

Tjänstkatalogen är en intern katalog med godkända lösningar för användare i en organisation. Du använder katalogen för att uppfylla organisationens standarder och erbjuda lösningar för organisationen. Anställda använder tjänstkatalogen för att hitta program som rekommenderas och godkänns av deras IT-avdelningar. De kan komma åt de hanterade program som andra personer i organisationen delar med sig av.

Information om hur du publicerar ett hanterat program till en tjänstkatalog finns i Snabbstart: Skapa och publicera en definition för ett hanterat program.

Azure Marketplace

Leverantörer som vill fakturera för sina tjänster kan göra ett hanterat program tillgängligt via Azure Marketplace. När leverantören har publicerat ett program är det tillgängligt för användare utanför organisationen. Med den här metoden kan en hanterad tjänstleverantör (MSP), oberoende programvaruleverantör (ISV) eller systemintegratör (SI) erbjuda sina lösningar till alla Azure-kunder.

Information om hur du publicerar ett hanterat program till Azure Marketplace finns i Skapa ett erbjudande för Azure-program.

Resursgrupper för hanterade program

Vanligtvis finns resurserna för ett hanterat program i två resursgrupper. Kunden hanterar en resursgrupp och utgivaren hanterar den andra resursgruppen. När det hanterade programmet har definierats anger utgivaren åtkomstnivåerna. Utgivaren kan begära antingen en permanent rolltilldelning eller just-in-time-åtkomst för en tilldelning som är begränsad till en tidsperiod. Utgivare kan också konfigurera det hanterade programmet så att det inte finns någon utgivaråtkomst.

Möjligheten att begränsa åtkomsten för dataåtgärder stöds inte för närvarande för alla datalprovidrar i Azure.

Följande bild visar relationen mellan kundens Azure-prenumeration och utgivarens Azure-prenumeration, som är den hanterade standardbehörigheten för utgivaren . Det hanterade programmet och den hanterade resursgruppen finns i kundens prenumeration. Utgivaren har hanteringsåtkomst till den hanterade resursgruppen för att underhålla det hanterade programmets resurser. Utgivaren placerar ett skrivskyddat lås (neka tilldelning) på den hanterade resursgruppen som begränsar kundens åtkomst till att hantera resurser. Utgivarens identiteter som har åtkomst till den hanterade resursgruppen är undantagna från låset.

Diagram som visar relationen mellan azure-prenumerationer för kunder och utgivare för en hanterad resursgrupp.

Hanteringsåtkomsten som visas i bilden kan ändras. Kunden kan få fullständig åtkomst till den hanterade resursgruppen. Dessutom kan utgivarens åtkomst till den hanterade resursgruppen tas bort.

Programresursgrupp

I den här resursgruppen finns instansen för det hanterade programmet. Den här resursgruppen får bara innehålla en resurs. Resurstypen för det hanterade programmet är Microsoft.Solutions/applications.

Kunden har fullständig åtkomst till resursgruppen och använder den för att hantera livscykeln för det hanterade programmet.

Hanterad resursgrupp

Den här resursgruppen innehåller alla resurser som krävs av det hanterade programmet. Till exempel ett programs virtuella datorer, lagringskonton och virtuella nätverk. Kunden kan ha begränsad åtkomst till den här resursgruppen eftersom kunden inte hanterar de enskilda resurserna för det hanterade programmet om inte behörighetsalternativen ändras. Utgivarens åtkomst till den här resursgruppen motsvarar rollen som anges i definitionen av hanterade program. Utgivaren kan till exempel begära ägar- eller deltagarroll för den här resursgruppen. Åtkomsten är antingen permanent eller begränsad till en viss tid. Utgivaren kan välja att inte ha åtkomst till den hanterade resursgruppen.

När det hanterade programmet publiceras på Marketplace kan utgivaren ge kunderna möjlighet att utföra specifika åtgärder på resurser i den hanterade resursgruppen eller få fullständig åtkomst. Utgivaren kan till exempel ange att kunder kan starta om virtuella datorer. Alla andra åtgärder utöver läsåtgärder nekas fortfarande. Ändringar av resurser i en hanterad resursgrupp av en kund med beviljade åtgärder omfattas av Azure Policy tilldelningar inom kundens klientorganisation som omfattar den hanterade resursgruppen.

När kunden tar bort det hanterade programmet tas även den hanterade resursgruppen bort.

Resursprovider

Hanterade program använder Microsoft.Solutions resursprovidern med ARM-mallens JSON. Mer information finns i resurstyperna och API-versionerna.

Azure Policy

Du kan använda en Azure Policy för att granska ditt hanterade program. Du tillämpar principdefinitioner för att se till att distribuerade instanser av ditt hanterade program uppfyller data- och säkerhetskrav. Om programmet interagerar med känsliga data måste du ha utvärderat hur dessa data ska skyddas. Om ditt program till exempel interagerar med data från Microsoft 365 använder du en principdefinition för att kontrollera att datakryptering är aktiverat.

Nästa steg

I den här artikeln har du lärt dig om fördelarna med att använda hanterade program. Gå till nästa artikel för att skapa en definition för det hanterade programmet.

Snabbstart: Skapa och publicera en azure-definition för hanterade program