Azure 受控應用程式概觀

  • 發行項

Azure 受控應用程式可讓您提供雲端解決方案,讓客戶方便部署及操作。 作為一個發行者,您會實作基礎結構,並且會提供持續的支援。 若要讓受控應用程式可供所有客戶使用,請將其發佈到 Azure Marketplace 中。 若要讓它僅可供組織中的使用者使用,請將它發佈到內部服務目錄。

受控應用程式與 Azure Marketplace 中的解決方案範本類似,只有一個主要差異。 在受控應用程式中,資源會部署到應用程式發行者或客戶所管理的受控資源群組。 受控資源群組存在於客戶的訂用帳戶中,但發行者租用戶中的身分識別可以存取受控資源群組。 身為發行者,如果您管理應用程式,您可以指定持續支援解決方案的成本。

注意

Azure 自訂提供者的文件,這些提供者是用來包含在受控應用程式內。 該文件已移至 Azure 自訂提供者

發行者和客戶使用權限

針對受控資源群組,發行者的管理存取權和客戶的否定性指派是選擇性的。 根據受控應用程式的發行者和客戶需求,有不同的使用權限情節可供使用。

  • 發行者受控:發行者具有客戶 Azure 租用戶中受控資源群組中資源的管理存取權。 客戶對受控資源群組的存取受限於否定性指派。 發行者受控是預設受控應用程式使用權限情節。
  • 發行者和客戶存取:發行者和客戶具有受控資源群組的完整存取權。 已移除否定性指派。
  • 鎖定模式:發行者無法存取已部署受控應用程式或受控資源群組的客戶。 客戶存取受限於否定性指派。
  • 客戶受控:客戶具有受控資源群組的完整管理存取權,並移除發行者的存取權。 沒有否定性指派。 發行者會在 Azure Marketplace 上開發應用程式併發佈,但不會管理應用程式。 發行者會授權應用程式透過 Azure Marketplace 計費。

使用使用權限情節的優點:

  • 基於安全性考慮,發行者不希望持續管理存取受控資源群組、客戶的租用戶或受控資源群組中的資料。
  • 發行者想要移除否定性指派,以便客戶管理應用程式。 Publisher 不需要管理否定性指派,以啟用或停用客戶的動作。 例如,在受控應用程式中重新啟動虛擬機器之類的動作。
  • 為客戶提供管理應用程式的完整控制權,讓發行者不必是服務提供者來管理應用程式。

受控應用程式的優點

受控應用程式會降低客戶使用您解決方案的障礙。 他們不需要具備雲端基礎結構的專業知識,就可以使用您的解決方案。 根據發行者所設定的使用權限,客戶對於重要資源的存取權可能有限,而且不需要擔心在管理資源時發生錯誤。

受控應用程式可讓您與客戶建立持續的關係。 定義用來管理應用程式的條款,所有費用都是透過 Azure 帳單處理。

雖然客戶在其訂用帳戶中部署受控應用程式,但他們不需要維護、更新或服務。 但有使用權限可讓客戶擁有受控資源群組中資源的完整存取權。 您可以確保所有客戶都使用核准的版本。 客戶不需要開發特定應用程式特定領域的知識,就可以管理這些應用程式。 客戶會自動取得應用程式更新,而不必擔心應用程式的疑難排解和診斷問題。

對於 IT 小組,受控應用程式可讓您為組織中的使用者提供預先核准的解決方案。 您知道這些解決方案都符合組織標準。

受控應用程式支援適用於 Azure 資源的受控識別

受控應用程式的類型

您可以在服務類別目錄內部或外部在 Azure Marketplace 中發佈受控應用程式。

Diagram that shows how a managed application is published to service catalog or Azure Marketplace.

Service Catalog

服務類別目錄是組織中使用者適用的已核准解決方案的內部目錄。 您使用目錄來符合組織標準,並為組織提供解決方案。 員工會使用服務目錄尋找其 IT 部門所建議和核准的應用程式。 他們可以存取組織中的其他人所共用的受控應用程式。

如需將受控應用程式發佈至服務類別目錄的相關資訊,請參閱快速入門:建立及發佈受控應用程式定義

Azure Marketplace

想要為其服務開立帳單的廠商,可以透過 Azure Marketplace 讓受控應用程式可供使用。 廠商發佈應用程式之後,應用程式就可供其組織外部的使用者使用。 使用此方法,受控服務提供者 (MSP)、獨立軟體廠商 (ISV) 或系統整合者 (SI) 可以將其解決方案提供給所有 Azure 客戶。

如需將受控應用程式發佈到 Azure Marketplace 的詳細資訊,請參閱建立 Marketplace 應用程式供應項目

受控應用程式的資源群組

一般來說,受控應用程式的資源位於兩個資源群組中。 客戶會管理一個資源群組,發行者會管理另一個資源群組。 在定義受控應用程式時,發行者會指定存取的層級。 發行者可以要求永久角色指派,或是針對限制在某段時間的指派,要求 Just-In-Time 存取。 發行者也可以設定受控應用程式,讓沒有任何發行者存取權。

Azure 中的所有資料提供者目前都不支援限制存取資料作業

下圖顯示客戶的 Azure 訂用帳戶與發行者的 Azure 訂用帳戶之間的關係,這是預設 發行者受控 使用權限。 受控應用程式和受控資源群組位於客戶的訂用帳戶中。 發行者具有受控資源群組的管理存取權,可維護受控應用程式的資源。 發行者會在受控資源群組上放置唯讀鎖定 (否定性指派),以限制客戶管理資源的存取權。 獲取受控資源群組存取權的發行者身分識別免除鎖定。

Diagram that shows the relationship between customer and publisher Azure subscriptions for a managed resource group.

映射中顯示的管理存取權可以變更。 客戶可以取得受控資源群組的完整存取權。 而且,可以移除受控資源群組的發行者存取權。

應用程式資源群組

這個資源群組會保存受控應用程式執行個體。 這個資源群組只能包含一個資源。 受控應用程式的資源類型為 Microsoft.Solutions/applications

客戶具有資源群組的完整存取權,並且使用它來管理受控應用程式的生命週期。

受控資源群組

這個資源群組會保存受控應用程式所需的所有資源。 例如,應用程式的虛擬機器、儲存體帳戶和虛擬網路。 因為除非變更使用權限選項,客戶不會為受控應用程式管理個別資源,所以客戶具有這個資源群組的有限存取權。 這個資源群組的發行者存取權會對應至受控應用程式定義中指定的角色。 例如,發行者可能會要求這個資源群組的「擁有者」或「參與者」角色。 存取可以是永久或限制在特定時間。 發行者可以選擇沒有受控資源群組的存取權。

受控應用程式發佈至市集時,發行者可以授與客戶對受控資源群組中的資源執行特定動作的能力,或獲得完整存取權。 例如,發行者能指定客戶可以重新啟動虛擬機器。 系統仍然會拒絕讀取動作以外的所有其他動作。 由客戶透過授與的動作對受控資源群組中的資源所做的變更,受限於客戶租用戶內包含受控資源群組的 Azure 原則指派。

當客戶刪除受控應用程式時,也會刪除受控資源群組。

資源提供者

受控應用程式會搭配 ARM 範本 JSON 使用 Microsoft.Solutions 資源提供者。 如需詳細資訊,請參閱資源類型和 API 版本。

Azure 原則

您可以套用 Azure 原則,以便稽核您的受控應用程式。 您可套用原則定義,以確保受控應用程式的已部署執行個體符合資料和安全性需求。 如果您的應用程式與敏感性資料互動,請確定您已評估其保護方式。 例如,如果您的應用程式是與 Microsoft 365 中的資料互動,則套用原則定義以確定資料加密已啟用。

下一步

在本文中,您會了解使用受控應用程式的優點。 移至下一篇文章以建立受控應用程式定義。

快速入門:建立和發佈 Azure 受控應用程式定義