次の方法で共有


クイック スタート: マネージド アプリケーションの定義を作成および発行する

このクイックスタートでは、Azure Managed Applications の操作の概要を説明します。 サービス カタログに格納され、組織のメンバーを対象としたマネージド アプリケーション定義を作成して発行します。

サービス カタログにマネージド アプリケーションを発行するには、次の操作を行う必要があります。

  • マネージド アプリケーションでデプロイするリソースを定義する Azure Resource Manager テンプレート (ARM テンプレート) を作成します。
  • マネージド アプリケーションをデプロイするときに、ポータルのユーザー インターフェイス要素を定義する。
  • 必要な JSON ファイルを含む .zip パッケージを作成する。 .zip パッケージ ファイルには、サービス カタログのマネージド アプリケーション定義に対して 120 MB の制限があります。
  • マネージド アプリケーション定義を発行し、サービス カタログで使用できるようにする。

マネージド アプリケーション定義が 120 MB を超える場合、または組織のコンプライアンス上の理由から独自のストレージ アカウントを使用する場合は、「クイック スタート: 独自のストレージを使用して Azure Managed Applications の定義を作成および発行する」を参照してください。

Bicep を使用してマネージド アプリケーション定義を開発できますが、Azure で定義を発行する前に ARM テンプレートの JSON に変換する必要があります。 詳細については、Bicep を使用した Azure マネージド アプリケーション定義の作成と発行に関するクイックスタートを参照してください。

Bicep を使用して、サービス カタログからマネージド アプリケーション定義をデプロイすることもできます。 詳細については、Bicep を使用した Azure マネージド アプリケーション定義のデプロイに関するクイックスタートを参照してください。

前提条件

このクイックスタートを実行するには、次のものが必要です。

ARM テンプレートを作成する

各マネージ アプリケーション定義には、mainTemplate.json というファイルが含まれています。 このテンプレートは、デプロイする Azure リソースを定義し、通常の ARM テンプレートと同じ方法で定義します。

Visual Studio Code を開き、大文字と小文字を区別する名前 mainTemplate.json のファイルを作成して保存します。

次の JSON を追加し、ファイルを保存します。 これは、App Service と App Service プランをデプロイするためのリソースを定義します。 このテンプレートでは、従量課金制のコストが生じる App Service Basic プラン (B1) を使用します。 詳細については、「Azure App Service on Linux の価格」を参照してください。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]"
    },
    "appServicePlanName": {
      "type": "string",
      "maxLength": 40,
      "metadata": {
        "description": "App Service plan name."
      }
    },
    "appServiceNamePrefix": {
      "type": "string",
      "maxLength": 47,
      "metadata": {
        "description": "App Service name prefix."
      }
    }
  },
  "variables": {
    "appServicePlanSku": "B1",
    "appServicePlanCapacity": 1,
    "appServiceName": "[format('{0}{1}', parameters('appServiceNamePrefix'), uniqueString(resourceGroup().id))]",
    "linuxFxVersion": "DOTNETCORE|8.0"
  },
  "resources": [
    {
      "type": "Microsoft.Web/serverfarms",
      "apiVersion": "2023-01-01",
      "name": "[parameters('appServicePlanName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[variables('appServicePlanSku')]",
        "capacity": "[variables('appServicePlanCapacity')]"
      },
      "kind": "linux",
      "properties": {
        "zoneRedundant": false,
        "reserved": true
      }
    },
    {
      "type": "Microsoft.Web/sites",
      "apiVersion": "2023-01-01",
      "name": "[variables('appServiceName')]",
      "location": "[parameters('location')]",
      "properties": {
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', parameters('appServicePlanName'))]",
        "httpsOnly": true,
        "redundancyMode": "None",
        "siteConfig": {
          "linuxFxVersion": "[variables('linuxFxVersion')]",
          "minTlsVersion": "1.2",
          "ftpsState": "Disabled"
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', parameters('appServicePlanName'))]"
      ]
    }
  ],
  "outputs": {
    "appServicePlan": {
      "type": "string",
      "value": "[parameters('appServicePlanName')]"
    },
    "appServiceApp": {
      "type": "string",
      "value": "[reference(resourceId('Microsoft.Web/sites', variables('appServiceName')), '2023-01-01').defaultHostName]"
    }
  }
}

ポータル エクスペリエンスを定義する

マネージド アプリケーションを作成するためのポータル エクスペリエンスは、発行者が定義します。 ポータルのユーザー インターフェイスは、createUiDefinition.json ファイルによって生成されます。 ドロップダウンやテキスト ボックスなどのコントロール要素を使用して、各パラメーターの入力をユーザーがどのように提供するかを定義します。

この例では、ユーザー インターフェイスによって、App Service 名のプレフィックスと App Service プランの名前を入力するように求められます。 mainTemplate.json のデプロイ時に、appServiceName 変数は uniqueString 関数を使用して名前のプレフィックスに 13 文字の文字列を追加することで、名前が Azure 全体でグローバルで一意になるようにします。

Visual Studio Code を開き、大文字と小文字を区別する名前 createUiDefinition.json のファイルを作成して保存します。

次の JSON コードをファイルに追加し、保存します。

{
  "$schema": "https://schema.management.azure.com/schemas/0.1.2-preview/CreateUIDefinition.MultiVm.json#",
  "handler": "Microsoft.Azure.CreateUIDef",
  "version": "0.1.2-preview",
  "parameters": {
    "basics": [
      {}
    ],
    "steps": [
      {
        "name": "webAppSettings",
        "label": "Web App settings",
        "subLabel": {
          "preValidation": "Configure the web app settings",
          "postValidation": "Completed"
        },
        "elements": [
          {
            "name": "appServicePlanName",
            "type": "Microsoft.Common.TextBox",
            "label": "App Service plan name",
            "placeholder": "App Service plan name",
            "defaultValue": "",
            "toolTip": "Use alphanumeric characters or hyphens with a maximum of 40 characters.",
            "constraints": {
              "required": true,
              "regex": "^[a-z0-9A-Z-]{1,40}$",
              "validationMessage": "Only alphanumeric characters or hyphens are allowed, with a maximum of 40 characters."
            },
            "visible": true
          },
          {
            "name": "appServiceName",
            "type": "Microsoft.Common.TextBox",
            "label": "App Service name prefix",
            "placeholder": "App Service name prefix",
            "defaultValue": "",
            "toolTip": "Use alphanumeric characters or hyphens with minimum of 2 characters and maximum of 47 characters.",
            "constraints": {
              "required": true,
              "regex": "^[a-z0-9A-Z-]{2,47}$",
              "validationMessage": "Only alphanumeric characters or hyphens are allowed, with a minimum of 2 characters and maximum of 47 characters."
            },
            "visible": true
          }
        ]
      }
    ],
    "outputs": {
      "location": "[location()]",
      "appServicePlanName": "[steps('webAppSettings').appServicePlanName]",
      "appServiceNamePrefix": "[steps('webAppSettings').appServiceName]"
    }
  }
}

詳細については、CreateUiDefinition の概要に関するページを参照してください。

ファイルのパッケージ化

app.zip という名前のパッケージ ファイルに 2 つのファイルを追加します。 2 つのファイルは .zip ファイルのルートに配置する必要があります。 これらのファイルがフォルダー内にある場合、マネージド アプリケーション定義を作成するときに、必要なファイルが存在しないことを示すエラーが発生します。

マネージド アプリケーションの定義をデプロイするときに使用できるように、app.zip を Azure ストレージ アカウントにアップロードします。 ストレージ アカウント名は Azure 全体でグローバルに一意である必要があり、長さは小文字と数字のみで 3 から 24 文字にする必要があります。 コマンドで、山かっこ (<>) を含むプレースホルダー <pkgstorageaccountname> を一意のストレージ アカウント名に置き換えます。

Visual Studio Code で、新しい PowerShell ターミナルを開き、Azure サブスクリプションにサインインします。

Connect-AzAccount

コマンドを実行すると、既定のブラウザーが開き、Azure にサインインするよう求められます。 詳細については、「Azure PowerShell を使用してサインインする」を参照してください。

New-AzResourceGroup -Name packageStorageGroup -Location westus

$pkgstorageparms = @{
  ResourceGroupName = "packageStorageGroup"
  Name = "<pkgstorageaccountname>"
  Location = "westus"
  SkuName = "Standard_LRS"
  Kind = "StorageV2"
  MinimumTlsVersion = "TLS1_2"
  AllowBlobPublicAccess = $true
  AllowSharedKeyAccess = $false
}

$pkgstorageaccount = New-AzStorageAccount @pkgstorageparms

$pkgstorageparms 変数は、PowerShell のスプラッティングを使用して、新しいストレージ アカウントを作成するためにコマンド内で使用されるパラメーター値の読みやすさを向上させます。 スプラッティングは、複数のパラメーター値を使用するその他の PowerShell コマンドでも使用されます。

ストレージ アカウントを作成したら、ロールの割り当てストレージ BLOB データ共同作成者をストレージ アカウント スコープに追加します。 お使いの Microsoft Entra ユーザー アカウントにアクセスを割り当てます。 Azure のアクセス レベルによっては、管理者によって割り当てられた他のアクセス許可が必要になる場合があります。 詳細については、「BLOB データにアクセスのための Azure ロールを割り当てる」と「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

ストレージ アカウントにロールを追加した後は、Azure でアクティブになるまでに数分かかります。 その後、コンテナーを作成しファイルをアップロードするために必要なコンテキストを作成できます。

$pkgstoragecontext = New-AzStorageContext -StorageAccountName $pkgstorageaccount.StorageAccountName -UseConnectedAccount

New-AzStorageContainer -Name appcontainer -Context $pkgstoragecontext -Permission blob

$blobparms = @{
  File = "app.zip"
  Container = "appcontainer"
  Blob = "app.zip"
  Context = $pkgstoragecontext
}

Set-AzStorageBlobContent @blobparms

マネージド アプリケーション定義の作成

このセクションでは、Microsoft Entra ID から ID 情報を取得し、リソース グループを作成して、マネージド アプリケーション定義をデプロイします。

グループ ID とロール定義 ID を取得する

次の手順として、顧客のリソースを管理するためのユーザー、セキュリティ グループ、またはアプリケーションを選択します。 この ID には、割り当てられているロールに従って、管理対象リソース グループに対するアクセス許可が付与されています。 そのロールには、Azure の組み込みロール (所有者、共同作成者など) をどれでも使用できます。

この例ではセキュリティ グループを使用しており、お使いの Microsoft Entra アカウントはそのグループのメンバーである必要があります。 グループのオブジェクト ID を取得するには、山かっこ (<>) を含むプレースホルダー <managedAppDemo> をグループの名前に置き換えます。 この変数の値は、マネージド アプリケーション定義をデプロイするときに使用します。

新しい Microsoft Entra グループを作成するには、「Microsoft Entra グループとグループ メンバーシップの管理」にアクセスしてください。

$principalid=(Get-AzADGroup -DisplayName <managedAppDemo>).Id

次に、ユーザー、グループ、またはアプリケーションへのアクセス権を付与する Azure の組み込みロールのロール定義 ID を取得します。 この変数の値は、マネージド アプリケーション定義をデプロイするときに使用します。

$roleid=(Get-AzRoleDefinition -Name Owner).Id

マネージド アプリケーション定義を発行する

マネージド アプリケーション定義のリソース グループを作成します。

New-AzResourceGroup -Name appDefinitionGroup -Location westus

blob コマンドを実行して、パッケージの .zip ファイルの URL を保存するための変数を作成します。 この変数は、マネージド アプリケーション定義を作成するコマンドで使用されます。

$blob = Get-AzStorageBlob -Container appcontainer -Blob app.zip -Context $pkgstoragecontext

$publishparms = @{
  Name = "sampleManagedApplication"
  Location = "westus"
  ResourceGroupName = "appDefinitionGroup"
  LockLevel = "ReadOnly"
  DisplayName = "Sample managed application"
  Description = "Sample managed application that deploys web resources"
  Authorization = "${principalid}:$roleid"
  PackageFileUri = $blob.ICloudBlob.StorageUri.PrimaryUri.AbsoluteUri
}

New-AzManagedApplicationDefinition @publishparms

コマンドが完了すると、リソース グループにマネージド アプリケーション定義が作成されます。

前の例で使用されているパラメーターは次のとおりです。

  • ResourceGroupName: マネージド アプリケーション定義が作成されるリソース グループの名前。
  • LockLevel: 管理対象リソース グループで lockLevel を指定すると、このリソース グループに対して問題となるような操作を顧客が実行できなくなります。 現在サポートされているロック レベルは ReadOnly だけです。 ReadOnly を指定すると、顧客は管理対象リソース グループに存在するリソースの読み取りしか実行できません。 管理対象リソース グループへのアクセス権が付与されている発行元 ID は、ロック レベルの対象外となります。
  • Authorization:管理対象リソース グループへのアクセス許可を付与する際に使うプリンシパル ID とロール定義 ID を記述します。
    • "${principalid}:$roleid"、または変数 "${principalid}:${roleid}" ごとに中かっこを使用できます。
    • 複数の値を区切るには、コンマを使用してください: "${principalid1}:$roleid1", "${principalid2}:$roleid2"
  • PackageFileUri: 必要なファイルが含まれた .zip パッケージ ファイルの場所。

ユーザーが定義を確認できるようにする

自身がアクセスできるマネージ アプリケーション定義に、組織の他のユーザーもアクセスできることを確認する必要があります。 定義に対して閲覧者以上のロールをユーザーに付与してください。 これらの人々は、このレベルのアクセス権をサブスクリプションまたはリソース グループから継承している場合があります。 定義にアクセスできるユーザーを確認したり、ユーザーやグループを追加したりするには、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

リソースをクリーンアップする

これから定義をデプロイする場合は、記事にリンクしている「次の手順」セクションに進んで定義をデプロイします。

マネージド アプリケーションの定義が終了したら、作成した packageStorageGroup および appDefinitionGroup という名前のリソース グループを削除できます。

コマンドを実行すると、リソース グループを削除することを確認するメッセージが表示されます。

Remove-AzResourceGroup -Name packageStorageGroup

Remove-AzResourceGroup -Name appDefinitionGroup

次のステップ

マネージド アプリケーション定義を発行しました。 次の手順では、その定義のインスタンスをデプロイする方法を確認します。