Descrição geral das Aplicações Geridas do Azure
As Aplicações Geridas do Azure permitem-lhe oferecer soluções na nuvem fáceis de implementar e operar pelos clientes. Como editor, você implementa a infraestrutura e pode fornecer suporte contínuo. Para disponibilizar um aplicativo gerenciado para todos os clientes, publique-o no Azure Marketplace. Para disponibilizá-lo apenas para usuários em sua organização, publique-o em um catálogo de serviços interno.
Um aplicativo gerenciado é semelhante a um modelo de solução no Azure Marketplace, com uma diferença fundamental. Em um aplicativo gerenciado, os recursos são implantados em um grupo de recursos gerenciado que é gerenciado pelo editor do aplicativo ou pelo cliente. O grupo de recursos gerenciados está presente na assinatura do cliente, mas uma identidade no locatário do editor pode ter acesso ao grupo de recursos gerenciados. Como editor, se você gerenciar o aplicativo, especificará o custo do suporte contínuo da solução.
Nota
A documentação dos Provedores Personalizados do Azure costumava ser incluída nos Aplicativos Gerenciados. Essa documentação foi movida para os Provedores Personalizados do Azure.
Permissões de editor e cliente
Para o grupo de recursos gerenciados, o acesso de gerenciamento do editor e a atribuição de negação do cliente são opcionais. Há diferentes cenários de permissão disponíveis com base nas necessidades do editor e do cliente para um aplicativo gerenciado.
- Publisher gerenciado: o Publisher tem acesso de gerenciamento aos recursos no grupo de recursos gerenciados no locatário do Azure do cliente. O acesso do cliente ao grupo de recursos gerenciados é restrito por uma atribuição de negação. Publisher managed é o cenário de permissão de aplicativo gerenciado padrão.
- Acesso do editor e do cliente: o editor e o cliente têm acesso total ao grupo de recursos gerenciados. A atribuição de negação é removida.
- Modo bloqueado: o Publisher não tem acesso aos clientes implantados aplicativo gerenciado ou grupo de recursos gerenciados. O acesso do cliente é restrito pela atribuição negada.
- Gerenciado pelo cliente: o cliente tem acesso total de gerenciamento ao grupo de recursos gerenciados e o acesso do editor é removido. Não há como negar. O Publisher desenvolve o aplicativo e publica no Azure Marketplace, mas não gerencia o aplicativo. O Publisher licencia a aplicação para faturação através do Azure Marketplace.
Vantagens de usar cenários de permissão:
- Por motivos de segurança, os editores não querem acesso de gerenciamento persistente ao grupo de recursos gerenciados, ao locatário do cliente ou aos dados no grupo de recursos gerenciados.
- Os editores desejam remover a atribuição de negação para que os clientes gerenciem o aplicativo. O Publisher não precisa gerenciar a atribuição de negação para habilitar ou desabilitar ações para o cliente. Por exemplo, uma ação como reinicializar uma máquina virtual no aplicativo gerenciado.
- Forneça aos clientes controle total para gerenciar o aplicativo para que os editores não precisem ser um provedor de serviços para gerenciar o aplicativo.
Vantagens das aplicações geridas
Os aplicativos gerenciados reduzem as barreiras para os clientes usarem suas soluções. Aqueles não precisam de conhecimentos técnicos sobre a infraestrutura na cloud para utilizar a sua solução. Dependendo das permissões configuradas pelo editor, os clientes podem ter acesso limitado aos recursos críticos e não precisam se preocupar em cometer um erro ao gerenciá-los.
As aplicações geridas permitem-lhe estabelecer uma relação contínua com os seus clientes. Você define termos para gerenciar o aplicativo e todas as cobranças são tratadas por meio da cobrança do Azure.
Embora os clientes implantem aplicativos gerenciados em suas assinaturas, eles não precisam mantê-los, atualizá-los ou atendê-los. Mas há permissões que permitem que o cliente tenha acesso total aos recursos no grupo de recursos gerenciados. Pode confirmar que todos os clientes estão a utilizar versões aprovadas. Os clientes não têm de desenvolver conhecimentos no domínio de aplicações específicas para geri-las. Adquirem automaticamente as atualizações das aplicações sem terem de se preocupar com a resolução e o diagnóstico de problemas com aquelas.
Para as equipes de TI, os aplicativos gerenciados permitem oferecer soluções pré-aprovadas aos usuários da organização. Sabe que essas soluções estão em conformidade com os padrões da organização.
Os aplicativos gerenciados dão suporte a identidades gerenciadas para recursos do Azure.
Tipos de aplicações geridas
Você pode publicar seu aplicativo gerenciado internamente no catálogo de serviços ou externamente no Azure Marketplace.
Catálogo de serviços
O catálogo de serviços é um catálogo interno de soluções aprovadas para os utilizadores de uma organização. Você usa o catálogo para atender aos padrões organizacionais e oferecer soluções para a organização. Os funcionários usam o catálogo de serviços para encontrar aplicativos recomendados e aprovados por seus departamentos de TI. Eles podem acessar os aplicativos gerenciados que outras pessoas em sua organização compartilham com eles.
Para obter informações sobre como publicar um aplicativo gerenciado em um catálogo de serviços, consulte Guia de início rápido: criar e publicar uma definição de aplicativo gerenciado.
Azure Marketplace
Os fornecedores que desejam cobrar por seus serviços podem disponibilizar um aplicativo gerenciado por meio do Azure Marketplace. Depois que o fornecedor publica um aplicativo, ele fica disponível para usuários fora de sua organização. Com essa abordagem, um provedor de serviços gerenciados (MSP), fornecedor independente de software (ISV) ou integrador de sistemas (SI) pode oferecer suas soluções a todos os clientes do Azure.
Para obter informações sobre como publicar um aplicativo gerenciado no Azure Marketplace, consulte Criar uma oferta de aplicativo do Azure.
Grupos de recursos para aplicações geridas
Normalmente, os recursos para um aplicativo gerenciado estão em dois grupos de recursos. O cliente gerencia um grupo de recursos e o editor gerencia o outro grupo de recursos. Quando o aplicativo gerenciado é definido, o editor especifica os níveis de acesso. O editor pode solicitar uma atribuição de função permanente ou acesso just-in-time para uma atribuição restrita a um período de tempo. Os editores também podem configurar o aplicativo gerenciado para que não haja acesso do editor.
A restrição do acesso das operações de dados não é atualmente suportada para todos os fornecedores de dados no Azure.
A imagem a seguir mostra a relação entre a assinatura do Azure do cliente e a assinatura do Azure do editor, que é a permissão gerenciada do editor padrão. O aplicativo gerenciado e o grupo de recursos gerenciados estão na assinatura do cliente. O editor tem acesso de gerenciamento ao grupo de recursos gerenciados para manter os recursos do aplicativo gerenciado. O editor coloca um bloqueio somente leitura (negar atribuição) no grupo de recursos gerenciados que limita o acesso do cliente para gerenciar recursos. As identidades do editor que têm acesso ao grupo de recursos gerenciados estão isentas do bloqueio.
O acesso de gerenciamento, conforme mostrado na imagem, pode ser alterado. O cliente pode ter acesso total ao grupo de recursos gerenciados. Além disso, o acesso do editor ao grupo de recursos gerenciados pode ser removido.
Grupo de recursos da aplicação
Este grupo de recursos contém a instância da aplicação gerida. Este grupo de recursos pode conter apenas um recurso. O tipo de recurso da aplicação gerida é Microsoft.Solutions/applications.
O cliente tem acesso total ao grupo de recursos e o usa para gerenciar o ciclo de vida do aplicativo gerenciado.
Grupo de recursos gerido
Esse grupo de recursos contém todos os recursos exigidos pelo aplicativo gerenciado. Por exemplo, as máquinas virtuais, as contas de armazenamento e as redes virtuais de um aplicativo. O cliente pode ter acesso limitado a esse grupo de recursos porque, a menos que as opções de permissão sejam alteradas, o cliente não gerencia os recursos individuais para o aplicativo gerenciado. O acesso do editor a este grupo de recursos corresponde à função especificada na definição da aplicação gerida. Por exemplo, o editor pode pedir a função Proprietário ou Contribuidor para este grupo de recursos. O acesso é permanente ou limitado a um tempo específico. O editor pode optar por não ter acesso ao grupo de recursos gerenciados.
Quando o aplicativo gerenciado é publicado no mercado, o editor pode conceder aos clientes a capacidade de executar ações específicas em recursos no grupo de recursos gerenciados ou receber acesso total. Por exemplo, o editor pode especificar que os clientes podem reiniciar máquinas virtuais. Todas as outras ações além das ações lidas ainda são negadas. As alterações nos recursos em um grupo de recursos gerenciado por um cliente com ações concedidas estão sujeitas às atribuições da Política do Azure no escopo do locatário do cliente para incluir o grupo de recursos gerenciados.
Quando o cliente exclui o aplicativo gerenciado, o grupo de recursos gerenciados também é excluído.
Fornecedor de recursos
Os aplicativos gerenciados usam o provedor de recursos com o Microsoft.Solutions
modelo ARM JSON. Para obter mais informações, consulte os tipos de recursos e as versões da API.
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Soluções/aplicações
- Microsoft.Solutions/jitRequests
Azure Policy
Você pode aplicar uma Política do Azure para auditar seu aplicativo gerenciado. Você aplica definições de política para garantir que as instâncias implantadas do seu aplicativo gerenciado atendam aos requisitos de dados e segurança. Se a sua aplicação interagir com dados confidenciais, confirme que avaliou a forma como estes devem ser protegidos. Por exemplo, se seu aplicativo interage com dados do Microsoft 365, aplique uma definição de política para garantir que a criptografia de dados esteja habilitada.
Próximos passos
Neste artigo, aprendeu sobre os benefícios da utilização de aplicações geridas. Aceda ao artigo seguinte para criar uma definição da aplicação gerida.