Vue d’ensemble des applications gérées Azure

Les applications managées Azure vous permettent de proposer aux clients des solutions cloud faciles à déployer et à utiliser. En tant qu’éditeur, vous implémentez l’infrastructure et pouvez fournir un support continu. Pour rendre une application managée accessible à tous les clients, vous devez la publier sur la Place de marché Azure. Pour la rendre accessible uniquement aux utilisateurs de votre organisation, vous devez la publier dans un catalogue de services interne.

Une application managée est similaire à un modèle de solution de la Place de marché Azure, à une importante différence près. Dans une application managée, les ressources sont déployées vers un groupe de ressources géré par l’éditeur de l’application ou par le client. Le groupe de ressources géré est présent dans l’abonnement du client, mais une identité du locataire de l’éditeur peut recevoir l’accès au groupe de ressources géré. En tant qu’éditeur, si vous gérez l’application, vous spécifiez le coût du support en continu de la solution.

Notes

La documentation pour les fournisseurs personnalisés Azure étaient autrefois fournie avec Applications managées. Cette documentation a été déplacée vers Fournisseurs personnalisés Azure.

Autorisations de l’éditeur et du client

Pour le groupe de ressources géré, l’accès de gestion de l’éditeur et l’affectation de refus du client sont facultatifs. Il existe différents scénarios d’autorisation disponibles en fonction des besoins de l’éditeur et du client pour une application managée.

  • Géré par l’éditeur : l’éditeur dispose d’un accès de gestion aux ressources du groupe de ressources géré dans le locataire Azure du client. L’accès du client au groupe de ressources géré est limité par une affectation de refus. Géré par l’éditeur est le scénario d’autorisation d’application managée par défaut.
  • Accès éditeur et client : l’éditeur et le client ont un accès complet au groupe de ressources géré. L’affectation de refus est supprimée.
  • Mode verrouillé : l’éditeur n’a pas accès aux applications managées déployées par le client ou au groupe de ressources géré. L’accès du client est limité par l’affectation de refus.
  • Géré par le client : le client dispose d’un accès de gestion complet au groupe de ressources géré et l’accès de l’éditeur est supprimé. Il n’y a pas d’affectation de refus. L’éditeur développe l’application et publie sur Place de marché Azure, mais ne gère pas l’application. L’éditeur accorde des licences à l’application pour la facturation via Place de marché Azure.

Avantages de l’utilisation de scénarios d’autorisation :

  • Pour des raisons de sécurité, les éditeurs ne veulent pas d’accès de gestion permanente au groupe de ressources managé, au locataire du client ou aux données dans le groupe de ressources géré.
  • Les éditeurs souhaitent supprimer l’affectation de refus afin que les clients gèrent l’application. L’éditeur n’a pas besoin de gérer l’affectation de refus pour activer ou désactiver les actions pour le client. Par exemple, une action telle que le redémarrage d’une machine virtuelle dans l’application managée.
  • Fournissez aux clients un contrôle total pour gérer l’application afin que les éditeurs n’aient pas à être un fournisseur de services pour gérer l’application.

Avantages des applications gérées

Les applications managées offrent de nombreux avantages pour les clients de vos solutions. Ils n’ont besoin d’aucune compétence en matière d’infrastructure cloud pour utiliser votre solution. Selon les autorisations configurées par l’éditeur, les clients peuvent avoir un accès limité aux ressources critiques et ne pas avoir à se soucier de faire une erreur lors de leur gestion.

Les applications managées vous permettent d’établir une relation suivie avec vos clients. Vous définissez des conditions pour la gestion de l’application, et tous les frais sont gérés par le biais de la facturation Azure.

Bien que les clients déploient les applications managées dans leurs abonnements, ils n’ont pas à en gérer la maintenance ni à les mettre à jour. Toutefois, il existe des autorisations qui permettent au client d’avoir un accès complet aux ressources du groupe de ressources géré. Vous pouvez vous assurer que tous les clients utilisent des versions approuvées. Les clients n’ont pas besoin d’acquérir des connaissances techniques propres aux applications pour les gérer. Les clients obtiennent automatiquement les mises à jour des applications sans avoir à se soucier de la résolution et du diagnostic des problèmes liés aux applications.

Pour les équipes informatiques, les applications managées permettent d’offrir des solutions préapprouvées aux utilisateurs de l’organisation. Vous savez que ces solutions sont conformes aux normes de l’organisation.

Les applications managées prennent en charge les identités managées pour les ressources Azure.

Types d’applications managées

Vous pouvez publier votre application managée en interne dans le catalogue de services ou en externe sur la Place de marché Azure.

Diagramme qui montre comment une application managée est publiée dans le catalogue de services ou sur la Place de marché Azure.

Catalogue de services

Le catalogue de services est un catalogue interne des solutions approuvées pour les utilisateurs d’une organisation. Vous l’utilisez pour garantir la conformité avec les normes organisationnelles et fournir des solutions à l’organisation. Les employés utilisent le catalogue de services pour découvrir les applications recommandées et approuvées par leur service informatique. Ils peuvent accéder aux applications managées que d’autres personnes dans leur organisation partagent avec eux.

Pour plus d’informations sur la publication d’une application managée dans un catalogue de services, consultez Démarrage rapide : Créer et publier une définition d’application managée.

Place de marché Azure

Les fournisseurs qui souhaitent facturer leurs services peuvent mettre une application managée à disposition sur la Place de marché Azure. Une fois que le fournisseur a publié une application, elle est accessible aux utilisateurs en dehors de son organisation. Avec cette approche, un fournisseur de services managés, un éditeur de logiciels indépendants ou un intégrateur de système peuvent proposer leurs solutions à tous les clients Azure.

Pour plus d’informations sur la publication d’une application managée sur la Place de marché Azure, consultez Créer une offre d’application Azure.

Groupes de ressources pour les applications managées

En règle générale, les ressources d’une application managée résident dans deux groupes de ressources. L’utilisateur gère l’un des groupes de ressources, tandis que l’éditeur gère l’autre. Lors de la définition de l’application managée, l’éditeur spécifie les niveaux d’accès. L’éditeur peut demander une affectation de rôle permanente, ou un accès juste-à-temps dans le cadre d’une affectation limitée à une période. Les éditeurs peuvent également configurer l’application managée afin qu’il n’y ait aucun accès de l’éditeur.

La restriction de l’accès aux opérations de données n’est actuellement pas prise en charge pour tous les fournisseurs de données dans Azure.

L’image suivante montre la relation entre l’abonnement Azure du client et l’abonnement Azure de l’éditeur, qui est la permission Géré par l’éditeur par défaut. L’application managée et le groupe de ressources managés se trouvent dans l’abonnement du client. L’éditeur dispose d’un accès de gestion au groupe de ressources managé pour gérer les ressources de l’application managée. L’éditeur place un verrou en lecture seule (affectation de refus) sur le groupe de ressources géré qui limite l’accès du client pour gérer les ressources. Les identités de l’éditeur qui ont accès au groupe de ressources managé sont exemptées du verrou.

Diagramme montrant la relation entre les abonnements Azure client et éditeur pour un groupe de ressources managé.

L’accès à la gestion, comme indiqué dans l’image, peut être modifié. Le client peut recevoir un accès complet au groupe de ressources géré. De plus, l’accès de l’éditeur au groupe de ressources géré peut être supprimé.

Groupe de ressources d’application

Ce groupe de ressources contient l’instance de l’application managée. Ce groupe de ressources peut ne contenir qu’une ressource. Le type de ressource de l’application managée est Microsoft.Solutions/applications.

Le client dispose d’un accès complet au groupe de ressources et l’utilise pour gérer le cycle de vie de l’application managée.

Groupe de ressources géré

Ce groupe de ressources contient toutes les ressources exigées par l’application managée. Par exemple, les machines virtuelles, les comptes de stockage et les réseaux virtuels d’une application. Le client dispose d’un accès limité à ce groupe de ressources, car il ne gère pas les ressources individuelles pour l’application managée, sauf si les options de permission sont modifiées. L’accès de l’éditeur à ce groupe de ressources correspond au rôle spécifié dans la définition de l’application managée. Par exemple, l’éditeur peut demander le rôle Propriétaire ou Contributeur pour ce groupe de ressources. L’accès est limité de façon permanente ou à une période spécifique. L’éditeur peut choisir de ne pas avoir accès au groupe de ressources géré.

Lorsque l’application managée est publiée sur la place de marché, l’éditeur peut donner aux clients la possibilité d’effectuer des actions spécifiques sur les ressources du groupe de ressources géré ou leur donner l’accès complet. Par exemple, l’éditeur peut spécifier que les clients peuvent redémarrer des ordinateurs virtuels. Toutes les autres actions autres que les actions de lecture sont encore refusées. Les changements apportés aux ressources d’un groupe de ressources managé par un client avec des actions accordées sont soumises aux affectations Azure Policy dans le locataire du client dont l’étendue comprend le groupe de ressources managé.

Quand le client supprime l’application managée, le groupe de ressources managé est également supprimé.

Fournisseur de ressources

Les applications managées utilisent le Microsoft.Solutions fournisseur de ressources avec le modèle ARM JSON. Pour plus d’informations, consultez les types de ressources et les versions d’API.

Azure Policy

Vous pouvez appliquer Azure Policy pour auditer votre application gérée. Vous appliquez des définitions de stratégie pour garantir que les instances déployées de votre application gérée sont conformes aux exigences liées à la sécurité et aux données. Si votre application interagit avec des données sensibles, assurez-vous que vous avez évalué comment il convient de la protéger. Par exemple, si votre application interagit avec des données de Microsoft 365, appliquez une définition de stratégie pour garantir que le chiffrement des données est activé.

Étapes suivantes

Dans cet article, vous avez pris connaissance des avantages de l’utilisation des applications managées. Consultez l’article suivant pour créer une définition d’application managée.