Planen einer von Azure verwalteten Anwendung für ein Azure-Anwendungsangebot
Ein von Azure verwalteter Anwendungsplan ist eine Möglichkeit, ein Azure-Anwendungsangebot im Commercial Marketplace zu veröffentlichen. Lesen Sie den Artikel Planen eines Azure-Anwendungsangebots für den kommerziellen Marketplace, wenn Sie dies noch nicht getan haben. Verwaltete Anwendungen sind transaktionenbare Angebote, die über Marketplace bereitgestellt und in Rechnung gestellt werden. Verwenden Sie verwaltete Anwendungspläne, um verwaltete Dienste bereitzustellen und zu monetarisieren.
Anforderungen für Angebote verwalteter Anwendungen
| Anforderungen | Details |
|---|---|
| Abrechnung und Messung | Die Ressourcen werden im Azure-Abonnement eines Kunden bereitgestellt. Bei VMs, für die das Modell der nutzungsbasierten Bezahlung verwendet wird, erfolgt die Transaktion mit dem Kunden über Microsoft, und die Abrechnung wird über das Azure-Abonnement des Kunden abgewickelt. Bei Bring-Your-Own-License-VMs rechnet Microsoft die angefallenen Infrastrukturkosten im Kundenabonnement ab. Die Softwarelizenzgebühren rechnen Sie jedoch direkt mit dem Kunden ab. |
| Zuordnen der Nutzung durch Kunden | Weitere Informationen zur Zuordnung der Nutzung durch Kunden sowie zu deren Aktivierung finden Sie unter Zuordnung der Nutzung durch Kunden von Azure-Partnern. |
| Bereitstellungspaket | Sie benötigen ein Bereitstellungspaket, mit dem Kunden Ihren Plan bereitstellen können. Wenn Sie mehrere Pläne erstellen, die dieselbe technische Konfiguration erfordern, können Sie auch dasselbe Paket verwenden. Ausführliche Informationen finden Sie im nächsten Abschnitt: Bereitstellungspaket. |
Hinweis
Verwaltete Anwendungen müssen über den Azure Marketplace bereitgestellt werden können. Wenn die Kundenkommunikation von Bedeutung ist, wenden Sie sich an interessierte Kunden, nachdem Sie den gemeinsamen Zugriff auf Leads aktiviert haben.
Bereitstellungspaket
Das Bereitstellungspaket enthält alle für diesen Plan erforderlichen Vorlagendateien sowie alle zusätzlichen Ressourcen in einer ZIP-Datei.
Alle Azure-Anwendungen müssen diese beiden Dateien im Stammordner eines ZIP-Archivs enthalten:
- Eine Resource Manager-Vorlagendatei mit dem Namen mainTemplate.json. In dieser Vorlage werden die Ressourcen definiert, die im Azure-Abonnement des Kunden bereitgestellt werden sollen. Beispiele für Ressourcen-Manager-Vorlagen finden Sie im Azure-Schnellstartvorlagenkatalog oder im entsprechenden GitHub: Azure Resource Manager– Schnellstartvorlagen-Repository .
- Eine Benutzeroberflächendefinition für die Oberfläche zum Erstellen von Azure-Anwendungen mit dem Namen createUiDefinition.json. Auf der Benutzeroberfläche geben Sie Elemente an, die Kunden die Angabe von Parameterwerten ermöglichen.
Hinweis
Das Bereitstellungspaket darf keine Binärdateien wie Virtual Machine-Images enthalten. Alle bilder, die von der Azure-App lizenzierung bereitgestellt werden, müssen Bilder sein, auf die vom Marketplace verwiesen wird. Stellen Sie sicher, dass Ihr Angebot unseren empfohlenen Vorgehensweisen entspricht, indem Sie das ARM-Vorlagentest-Toolkit verwenden, bevor Sie Ihre Azure-Anwendung veröffentlichen.
Azure-Regionen
Sie können Ihren Plan in öffentlichen Azure-Regionen und Azure Government-Regionen veröffentlichen. Testen und überprüfen Sie Vor der Veröffentlichung in Azure Government Ihren Plan in der Umgebung, da sich bestimmte Endpunkte möglicherweise unterscheiden. Fordern Sie für Einrichten und Testen Ihres Plans ein Testkonto bei Microsoft Azure Government-Test an.
Als Herausgeber sind Sie für alle Kompatibilitätskontrollen, Sicherheitsmaßnahmen und bewährten Methoden verantwortlich. Azure Government verwendet physisch isolierte Rechenzentren und Netzwerke (die sich ausschließlich in den USA befinden).
Eine Liste der Länder und Regionen, die vom kommerziellen Marketplace unterstützt werden, finden Sie unter Geografische Verfügbarkeit und Unterstützung von Währungen.
Azure Government-Dienste verarbeiten Daten, die bestimmten behördlichen Vorschriften und Anforderungen unterliegen. Beispielsweise FedRAMP, NIST 800.171 (DIB), ITAR, IRS 1075, DoD L4 und CJIS. Um bei Ihren Zertifizierungen ein Bewusstsein für diese Programme zu schaffen, können Sie bis zu 100 Links bereitstellen, in denen sie beschrieben werden. Diese können entweder direkt mit ihrem Listing im Programm verknüpft sein oder zu Beschreibungen der Konformität mit diesen Programmen auf Ihren eigenen Websites weiterleiten. Diese Links sind nur für Azure Government-Kunden sichtbar.
Auswählen der Sichtbarkeit des Plans
Sie können festlegen, dass jeder Plan für alle Benutzer (öffentlich) oder nur für eine bestimmte Zielgruppe (privat) angezeigt werden soll. Sie können bis zu 100 Pläne erstellen, von denen bis zu 45 privat sein können. Möglicherweise möchten Sie einen privaten Plan erstellen, um bestimmten Kunden unterschiedliche Preisoptionen oder technische Konfigurationen anzubieten.
Der Zugriff auf einen privaten Plan wird über Azure-Abonnement-IDs zugewiesen. Dabei kann eine Beschreibung jeder zugewiesenen Abonnement-ID angegeben werden. Sie können maximal 10 Abonnement-IDs manuell eingeben oder über eine CSV-Datei bis zu 10.000 Abonnement-IDs angeben. Azure-Abonnement-IDs werden als GUIDs dargestellt. Buchstaben müssen in Kleinbuchstaben angegeben werden.
Private Pläne werden bei Azure-Abonnements, die über einen Wiederverkäufer des Cloud Solution Provider-Programms (CSP) eingerichtet wurden, nicht unterstützt. Weitere Informationen finden Sie unter Private Angebote im kommerziellen Microsoft-Marketplace.
Hinweis
Wenn Sie einen privaten Plan veröffentlichen, können Sie die Sichtbarkeit später in „Öffentlich“ ändern. Nachdem Sie einen öffentlichen Plan veröffentlicht haben, können Sie die Sichtbarkeit jedoch nicht auf privat ändern.
Festlegen von Preisen
Hinweis
Die Preise für Ihre verwaltete Anwendung mit dem monatlichen und getakteten Abrechnungspreis dürfen nur die Verwaltungsgebühr berücksichtigen und dürfen nicht für IP-/Softwarekosten, Azure-Infrastruktur oder Add-Ons verwendet werden. Verwenden Sie das zugrunde liegende Virtuelle Computer- oder Containerangebot, um IP-/Softwarekosten zu tätigen. Sie müssen für jeden Plan den Preis pro Monat angeben. Dieser Preis gilt zusätzlich zu allen Azure-Infrastruktur- oder nutzungsbasierten Softwarekosten, die durch die von dieser Lösung bereitgestellten Ressourcen entstehen. Zusätzlich zu den monatlichen Preisen können Sie die Preise für die Nutzung von nicht standardmäßigen Einheiten mithilfe der getakteten Abrechnung festlegen. Sie können den Monatlichen Preis auf Null festlegen und ausschließlich die getaktete Abrechnung verwenden.
Die Preise werden in USD (USD = USA Dollar) festgelegt und in die lokale Währung aller ausgewählten Märkte umgewandelt, wobei die aktuellen Wechselkurse verwendet werden, wenn sie gespeichert werden. Die Preise werden in lokaler Währung veröffentlicht und werden nicht aktualisiert, da die Wechselkurse schwanken. Um Kundenpreise für jeden Markt anzugeben, exportieren Sie die Preise von der Seite "Preise und Verfügbarkeit", aktualisieren Sie den jeweiligen Markt und die jeweilige Währung, speichern und importieren Sie die Datei. Weitere Informationen finden Sie unter How we convert currency.
Publisher-Verwaltung
Durch aktivieren des Verwaltungszugriffs erhält Publisher Zugriff auf die verwaltete Ressourcengruppe, die Ihre Anwendung im Kundenmandanten hosten soll. Wenn Sie den Herausgeberverwaltungszugriff aktivieren, müssen Sie den Azure-Mandanten und die Prinzipal-ID angeben, mit der die Anwendung verwaltet wird.
Hinweis
Die Publisher-Verwaltung kann nicht geändert werden, nachdem der Plan auf dem Marketplace veröffentlicht wurde.
Just-In-Time-Zugriff (JIT)
Der JIT-Zugriff ermöglicht es Ihnen, erhöhte Zugriffsrechte auf die Ressourcen einer verwalteten Anwendung zur Problembehandlung oder Wartung anzufordern. Sie verfügen immer über Lesezugriff auf die Ressourcen, aber für einen bestimmten Zeitraum können Sie über erhöhte Zugriffsrechte verfügen. Weitere Informationen finden Sie unter Aktivieren und Anfordern des Just-In-time-Zugriffs für Azure Managed Applications.
Hinweis
Stellen Sie sicher, dass Sie Ihre createUiDefinition.json-Datei aktualisiert wurde, damit dieses Feature unterstützt wird.
Festlegen des Verwaltungszugriffs auf die Anwendung
Diese Option ist nur verfügbar, wenn Publisher Management aktiviert ist.
Wenn Publisher Management aktiviert ist, müssen Sie angeben, wer eine verwaltete Anwendung in jeder der ausgewählten Clouds verwalten kann: Public Azure und Azure Government Cloud. Sammeln Sie die folgenden Informationen:
- Microsoft Entra-Mandanten-ID – Die Microsoft Entra-Mandanten-ID (auch als Verzeichnis-ID bezeichnet), die die Identitäten der Benutzer, Gruppen oder Anwendungen enthält, denen Sie Berechtigungen erteilen möchten. Sie finden Ihre Microsoft Entra-Mandanten-ID im Azure-Portal in "Eigenschaften für Microsoft Entra-ID".
- Autorisierungen – Fügen Sie die Microsoft Entra-Objekt-ID der einzelnen Benutzer, Gruppen oder Anwendungen hinzu, denen Sie die Berechtigung für die verwaltete Ressourcengruppe erteilen möchten. Identifizieren Sie den Benutzer anhand ihrer Prinzipal-ID, die auf dem Blatt "Microsoft Entra-Benutzer" auf dem Azure-Portal zu finden ist.
Für jede Prinzipal-ID ordnen Sie eine der integrierten Microsoft Entra-Rollen (Besitzer oder Mitwirkender) zu. Die ausgewählte Rolle beschreibt die Berechtigungen, die der Prinzipal für die Ressourcen im Kundenabonnement erhält. Weitere Informationen finden Sie unter Integrierte Azure-Rollen. Weitere Informationen zur rollenbasierten Zugriffssteuerung (RBAC) finden Sie unter Erste Schritte mit RBAC im Azure-Portal.
Hinweis
Obwohl Sie bis zu 100 Autorisierungen pro Azure-Region hinzufügen können, empfehlen wir Ihnen, eine Active Directory-Benutzergruppe zu erstellen und ihre ID in der "Prinzipal-ID" anzugeben. Auf diese Weise können Sie der Verwaltungsgruppe weitere Benutzer hinzufügen, nachdem der Plan bereitgestellt wurde, und reduziert die Notwendigkeit, den Plan nur zu aktualisieren, um weitere Autorisierungen hinzuzufügen.
Kundenzugriff
Das Aktivieren des Kundenzugriffs ermöglicht Kunden vollzugriff auf die verwaltete Ressourcengruppe, die für ihren Azure-Mandanten bereitgestellt wurde. Durch das Einschränken des Zugriffs mit Verweigerungszuweisungen wird der Kundenzugriff auf die verwaltete Ressourcengruppe in ihrem Azure-Mandanten deaktiviert. Beachten Sie, dass das Deaktivieren des Kundenzugriffs mit Verweigerung des Kundenzugriffs den Kundenzugriff entfernt, es Publishern jedoch ermöglicht, zulässige Kundenaktionen anzupassen.
Hinweis
Der Kundenzugriff kann nicht geändert werden, nachdem das Angebot live im Marketplace ist.
Bereitstellungsmodus
Sie können einen Plan für eine verwaltete Anwendung so konfigurieren, dass entweder der Bereitstellungsmodus Vollständig oder Inkrementell verwendet wird. Im vollständigen Modus führt eine erneute Bereitstellung der Anwendung durch den Kunden zum Entfernen von Ressourcen in der Verwalteten Ressourcengruppe, wenn die Ressourcen nicht im mainTemplate.json definiert sind. Im inkrementellen Modus bleiben bestehende Ressourcen bei einer erneuten Bereitstellung der Anwendung unverändert. Weitere Informationen finden Sie unter Azure Resource Manager-Bereitstellungsmodi.
Benachrichtigungsendpunkt-URL
Sie können optional einen HTTPS-Webhookendpunkt angeben, um Benachrichtigungen zu allen CRUD-Vorgängen bei Instanzen einer verwalteten Anwendung eines Plans zu erhalten.
Azure fügt /resource an das Ende Ihrer Webhook-URIs an, bevor es ihn aufruft. Ihre Webhook-URL muss also auf /resource enden, obwohl sie nicht im URI enthalten sein sollte, der im Partner Center in das Feld Benachrichtigungsendpunkt-URL eingegeben wurde. Beispielsweise führt die Eingabe https://contoso.com als URI des Benachrichtigungsendpunkts zu einem Aufruf von https://contoso.com/resource.
Achten Sie beim Lauschen auf Ereignisse aus Ihren verwalteten App-Benachrichtigungen darauf, dass Sie nur auf https://<url>/resource und nicht auf die festgelegte URL lauschen. Eine Beispielbenachrichtigung finden Sie unter Benachrichtigungsschema.
Anpassen der zulässigen Kundenaktionen (optional)
Sie können optional angeben, welche Aktionen Kunden neben den standardmäßig verfügbaren */read-Aktionen für verwaltete Ressourcen ausführen können.
Wenn Sie diese Option auswählen, müssen Sie entweder die Steuerungsaktionen oder die zulässigen Datenaktionen oder beides bereitstellen. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Grundlegendes zu Ablehnungszuweisungen für Azure-Ressourcen. Die verfügbaren Aktionen finden Sie unter Vorgänge für Azure Resource Manager-Ressourcenanbieter. Beispiel: Wenn Sie Kunden das Neustarten virtueller Computer erlauben möchten, fügen Sie den zulässigen Aktionen Microsoft.Compute/virtualMachines/restart/action hinzu.
Richtlinieneinstellungen
Sie können Azure-Richtlinien auf Ihre verwaltete Anwendung anwenden, um Complianceanforderungen für die bereitgestellte Lösung anzugeben. Informationen zu Richtliniendefinitionen und zum Format der Parameterwerte finden Sie unter Azure Policy-Beispiele.
Sie können maximal fünf Richtlinien und nur eine Instanz jedes einzelnen Richtlinientyps konfigurieren. Einige Richtlinientypen erfordern zusätzliche Parameter.
| Richtlinientyp | Richtlinienparameter erforderlich |
|---|---|
| Azure SQL-Datenbankverschlüsselung | No |
| Azure SQL Server-Überwachungseinstellungen | Ja |
| Azure Data Lake Store-Verschlüsselung | No |
| Diagnoseeinstellung überwachen | Ja |
| Konformität des Ressourcenstandorts überwachen | No |
Für jeden Richtlinientyp, den Sie hinzufügen, müssen Sie die SKU „Standard“ oder „Freie Richtlinie“ zuordnen. Der Standard-SKU ist für Überwachungsrichtlinien erforderlich. Richtliniennamen sind auf 50 Zeichen beschränkt.
Zugehöriger Inhalt
Video-Lernprogramm