Azure アプリケーション オファーの Azure マネージド アプリケーションを計画する

Azure 管理されたアプリケーション プランは、コマーシャル マーケットプレースで Azure アプリケーション オファーを発行する 1 つの方法です。 まだそうしていない場合は、「コマーシャル マーケットプレース用の Azure アプリケーション オファーを計画する」を参照してください。 マネージド アプリケーションは、Marketplace 経由でデプロイおよび課金されるトランザクション可能なオファーです。 マネージド アプリケーション プランを使用して、マネージド サービスの提供と収益化を行います。

マネージド アプリケーション プランの要件

展開パッケージ

デプロイ パッケージには、このプランに必要なすべてのテンプレート ファイルに加え、すべての追加リソースが、.zip ファイルとしてパッケージ化されて含まれています。

すべての Azure アプリケーションで、.zip アーカイブのルート フォルダーに次の 2 つのファイルが含まれている必要があります。

• mainTemplate.json という名前の Resource Manager テンプレート ファイル。 このテンプレートでは、顧客の Azure サブスクリプションにデプロイするリソースが定義されます。 Resource Manager テンプレートの例については、「 Azure クイック スタート テンプレート ギャラリー または対応する GitHub: Azure Resource Manager クイック スタート テンプレート リポジトリ」を参照してください。
• createUiDefinition.json という名前の、Azure アプリケーション作成エクスペリエンス用のユーザー インターフェイス定義。 ユーザー インターフェイスでは、コンシューマーがパラメーター値を入力できるようにする要素を指定します。

Azure リージョン

プランは、Azure パブリック リージョン、Azure Government リージョン、または両方に発行できます。 Azure Government に発行する前に特定のエンドポイントが異なる可能性があるため、環境内でプランをテストして検証します。 プランを設定してテストするには、Microsoft Azure Government 試用版に試用版アカウントを申請します。

発行元は、コンプライアンス管理、セキュリティ対策、ベスト プラクティスについて責任を持ちます。 Azure Government では、物理的に離れた場所にあるデータ センターとネットワークが使用されます (場所は米国のみ)。

コマーシャル マーケットプレースでサポートされている国と地域の一覧については、利用可能な地域と通貨サポートに関するページを参照してください。

Azure Government サービスでは、特定の政府の規制および要件の対象となるデータが処理されます。 FedRAMP、NIST 800.171 (DIB)、ITAR、IRS 1075、DoD L4、CJIS などです。 これらのプログラムの認定資格を認識させるため、認定資格について説明するリンクを 100 個まで提供することができます。 これらでは、プログラムでの一覧に直接リンクすることも、独自の Web サイトでのそれらについてのコンプライアンスに関する説明にリンクすることもできます。 これらのリンクは、Azure Government の顧客にのみ表示されます。

プランを表示できるユーザーを選択する

各プランは、すべてのユーザーに (パブリック)、または特定の対象ユーザーにのみ (プライベート) 表示されるように構成できます。 最大 100 個のプランを作成でき、そのうち最大 45 個をプライベートにできます。 プライベート プランを作成して、特定の顧客にさまざまな価格オプションや技術的な構成を提供することができます。

プライベート プランには、Azure サブスクリプション ID を使用してアクセスを付与します。割り当てる各サブスクリプション ID の説明を含めるオプションがあります。 手動の場合は最大 10 個のサブスクリプション、または CSV ファイルを使用する場合は最大 1 万のサブスクリプション ID を追加できます。 Azure サブスクリプション ID は GUID として表されます。文字は小文字にする必要があります。

プライベート プランは、クラウド ソリューション プロバイダー プログラム (CSP) のリセラーを通じて確立された Azure サブスクリプションではサポートされていません。 詳細については、「Microsoft 商業マーケットプレースでのプライベート オファー」を参照してください。

価格を定義する

価格は USD (USD = 米国 ドル) で設定され、保存時に現在の為替レートを使用して、選択したすべての市場の現地通貨に変換されます。 価格は現地通貨で公開され、為替レートが変動するにつれて更新されません。 各市場の顧客価格を指定するには、価格と利用可能時間のページから価格をエクスポートし、それぞれの市場と通貨を更新し、ファイルを保存してインポートします。 詳細については、「 通貨を変換する方法を参照してください。

Publisher Management

管理アクセスを有効にすると、顧客テナントでアプリケーションをホストするマネージド リソース グループへのアクセス権がパブリッシャーに付与されます。 パブリッシャー管理アクセスを有効にする場合は、アプリケーションを管理する Azure テナントとプリンシパル ID を指定する必要があります。

Just-In-Time (JIT) アクセス

JIT アクセスによって、発行元は、トラブルシューティングやメンテナンスを行うために、マネージド アプリケーションのリソースに対して昇格されたアクセス権を要求することができます。 発行元は、リソースへの読み取り専用アクセス権を常に所有していますが、特定の期間にさらに大きなアクセス権を持つことができます。 詳しくは、「Azure Managed Applications でジャストインタイム アクセスを有効にして要求する」をご覧ください。

だれがアプリケーションを管理できるかを選択する

このオプションは、Publisher Management が有効になっている場合にのみ使用できます。

Publisher Management が有効になっている場合は、選択した各クラウド (Public Azure、Azure Government Cloud) でマネージド アプリケーションを管理できるユーザーを指定する必要があります。 次の情報を収集します。

• Microsoft Entra テナント ID – アクセス許可を付与するユーザー、グループ、またはアプリケーションの ID を含む Microsoft Entra テナント ID (ディレクトリ ID とも呼ばれます)。 Microsoft Entra テナント ID は、Azure portal の Properties for Microsoft Entra ID で確認できます。
• 承認 – マネージド リソース グループへのアクセス許可を付与する各ユーザー、グループ、またはアプリケーションの Microsoft Entra オブジェクト ID を追加します。 プリンシパル ID でユーザーを識別します。これは、Azure portal の Microsoft Entra ユーザー ブレードで確認できます。

プリンシパル ID ごとに、Microsoft Entra 組み込みロールの 1 つ (所有者または共同作成者) を関連付けます。 選択したロールによって、顧客のサブスクリプションのリソースに対してプリンシパルが持つアクセス許可が記述されます。 詳細については、Azure の組み込みロールに関するページを参照してください。 ロールベースのアクセス制御 (RBAC) について詳しくは、Azure portal での RBAC の概要に関する記事をご覧ください。

顧客アクセス

顧客アクセスを有効にすると、Azure テナントにデプロイされたマネージド リソース グループに完全にアクセスできるようになります。 拒否割り当てでアクセスを制限すると、Azure テナント内のマネージド リソース グループへの顧客アクセスが無効になります。 拒否割り当てで顧客アクセスを無効にすると、顧客アクセスは削除されますが、発行元は許可された顧客アクションをカスタマイズできます。

展開モード

マネージド アプリケーション プランは、完全または増分のいずれかのデプロイ モードを使用するように構成できます。 完全モードでは、顧客がアプリケーションを再デプロイすると、リソースが mainTemplate.jsonで定義されていない場合、マネージド リソース グループ内のリソースが削除されます。 増分モードでは、アプリケーションを再デプロイしても、既存のリソースは変更されずに残ります。 詳細については、「Azure Resource Manager のデプロイ モード」を参照してください。

通知エンドポイント URL

必要に応じて、プランのマネージド アプリケーション インスタンスでのすべての CRUD 操作に関する通知を受け取る、HTTPS Webhook エンドポイントを指定できます。

Webhook URI を呼び出す前に、Azure によって末尾に /resource が追加されます。 そのため、Webhook URL は /resource で終わる必要があります。ただしこれは、パートナー センターの [通知エンドポイント URL] ボックスに入力された URI には含めません。 たとえば、通知エンドポイント URI として https://contoso.com を入力すると、https://contoso.com/resource が呼び出されます。

マネージド アプリの通知からイベントをリッスンする場合は、https://<url>/resource をリッスンし、設定された URL だけではないことを確認します。 通知の例については、「通知スキーマ」を参照してください。

許可される顧客アクションをカスタマイズする (省略可能)

必要に応じて、既定で使用できる "*/read" アクションに加えて、顧客が管理対象リソースに対してどのアクションを実行できるかを指定できます。

このオプションを選択する場合は、制御のアクションまたは許可されるデータ アクションのいずれか、または両方を指定する必要があります。 詳しくは、「Azure リソースの拒否割り当ての概要」をご覧ください。 使用できるアクションについては、「Azure Resource Manager のリソース プロバイダー操作」を参照してください。 たとえば、仮想マシンの再起動をコンシューマーに許可するには、許可されているアクションに Microsoft.Compute/virtualMachines/restart/action を追加します。

ポリシー設定

マネージド アプリケーションに Azure Policy を適用して、デプロイしたソリューションのコンプライアンス要件を指定できます。 ポリシーの定義とパラメーター値の形式については、「Azure Policy のサンプル」を参照してください。

最大 5 つのポリシーと、各種類のポリシーの 1 つのインスタンスだけを構成できます。 一部の種類のポリシーには、追加のパラメーターが必要です。

追加するポリシーの種類ごとに、Standard または Free のポリシー SKU を関連付ける必要があります。 監査ポリシーには Standard SKU が必要です。 ポリシー名は 50 文字までに制限されています。

次のステップ

• Azure アプリケーション オファーを作成する

ビデオ チュートリアル

• Azure Managed Applications の概要