Azure マネージド アプリケーションの概要
Azure マネージド アプリケーションを使用して、お客様が簡単にデプロイして運用できるクラウド ソリューションを提供できます。 発行元はインフラストラクチャを実装し、継続的なサポートを提供します。 マネージド アプリケーションをすべてのユーザーが使用できるようにするには、Azure Marketplace でそのアプリケーションを発行します。 組織内のユーザーだけが使用できるようにするには、内部サービス カタログに発行します。
マネージド アプリケーションは、Azure Marketplace のソリューション テンプレートと似ていますが、1 つ大きな違いがあります。 マネージド アプリケーションでは、アプリケーションの発行元または顧客によって管理されているマネージド リソース グループがリソースのデプロイ先となります。 マネージド リソース グループは顧客のサブスクリプション内に存在しますが、発行元のテナントの ID にマネージド リソース グループへのアクセス権を付与できます。 発行元は、アプリケーションを管理する場合、ソリューションの継続的なサポートにかかるコストを明示します。
注意
Azure カスタム プロバイダーのドキュメントは、以前はマネージド アプリケーションに含まれていました。 そのドキュメントは Azure カスタム プロバイダーに移動されました。
発行元と顧客のアクセス許可
マネージド リソース グループの場合、発行元の管理アクセス権と顧客の拒否の割り当ては省略可能です。 マネージド アプリケーションに対する発行元と顧客のニーズに基づいて、さまざまなアクセス許可シナリオを使用できます。
- 発行元による管理: 発行元は、顧客の Azure テナントのマネージド リソース グループのリソースに対して管理アクセス権を持ちます。 顧客のマネージド リソース グループへのアクセスは、拒否の割り当てによって制限されます。 発行元による管理は、既定のマネージド アプリケーションのアクセス許可シナリオです。
- 発行元と顧客によるアクセス: 発行元と顧客は、マネージド リソース グループに対してフル アクセス権を持ちます。 拒否の割り当ては削除されます。
- ロック モード: 発行元は、顧客のデプロイされたマネージド アプリケーションまたはマネージド リソース グループに対してアクセス権を持ちません。 顧客のアクセスは拒否の割り当てによって制限されます。
- 顧客による管理: 顧客は、マネージド リソース グループに対してフル管理アクセス権を持ち、発行元のアクセス権は削除されます。 拒否の割り当てはありません。 発行元はアプリケーションを開発し、Azure Marketplace で発行しますが、アプリケーションの管理はしません。 発行元は Azure Marketplace を通じて、アプリケーションのライセンスを供与して課金します。
アクセス許可のシナリオを採用する利点:
- セキュリティ上の理由から、発行元はマネージド リソース グループ、顧客のテナント、またはマネージド リソース グループのデータに対して、永続的な管理アクセス権を持ちたくありません。
- 発行元は、顧客がアプリケーションを管理できるように拒否の割り当てを削除することを望んでいます。 発行元は、顧客のアクションを有効または無効にするために、拒否の割り当てを管理する必要はありません。 たとえば、マネージド アプリケーションにおける仮想マシンの再起動などのアクションです。
- アプリケーションを管理するフル コントロールを顧客に提供します。これにより、発行元がアプリケーションを管理するサービス プロバイダーになる必要はなくなります。
マネージド アプリケーションの利点
マネージド アプリケーションは、お客様がソリューションを使用するための障壁を削減します。 ユーザーは、ソリューションを使用するために、クラウド インフラストラクチャの専門知識を持っている必要はありません。 発行元によって構成されたアクセス許可によっては、重要なリソースへの顧客のアクセスは制限され、管理する場合に間違いが発生する心配が不要になることがあります。
マネージド アプリケーションによって、お客様と継続的な関係を確立できます。 発行元はアプリケーションを管理するための条件を定義し、すべての料金は Azure Billing を介して処理されます。
ユーザーは、マネージド アプリケーションを各自のサブスクリプションでデプロイしますが、アプリケーションの管理、更新、またはサービスの提供を行う必要はありません。 ただし、顧客がマネージド リソース グループのリソースにフル アクセスできるアクセス許可があります。 すべてのユーザーが承認済みのバージョンを使用していることを保証できます。 ユーザーは、これらのアプリケーションを管理するためのアプリケーション固有のドメインの知識を深める必要はありません。 ユーザーは、アプリケーションのトラブルシューティングや問題の診断を気にすることなく、アプリケーションの更新プログラムを自動的に取得します。
IT チームにとっては、マネージド アプリケーションを使用することで組織内のユーザーに事前承認されたソリューションを提供できます。 これらのソリューションが組織の標準に準拠していることへの確信が得られます。
マネージド アプリケーションでは、Azure リソースのマネージド ID はサポートされません。
マネージド アプリケーションの種類
マネージド アプリケーションは、サービス カタログ内で内部的に発行することも、Azure Marketplace で外部に発行することもできます。
サービス カタログ
サービス カタログは、組織内のユーザー向けの承認済みのソリューションの内部カタログです。 カタログを使用して、組織の基準を満たしながら、組織にソリューションを提供します。 従業員はサービス カタログを使用して、IT 部門が推奨し、承認されているアプリケーションを見つけます。 組織の他の従業員たちが共有しているマネージド アプリケーションにアクセスできます。
マネージド アプリケーションをサービス カタログに発行する方法については、「クイックスタート: マネージド アプリケーション定義を作成して発行する」を参照してください。
Azure Marketplace
サービスへの課金を望んでいるベンダーは、Azure Marketplace を介してマネージド アプリケーションを入手できるようにすることができます。 ベンダーがアプリケーションを発行すると、組織外のユーザーがそのアプリケーションを使用できるようになります。 この方法によって、マネージド サービス プロバイダー (MSP)、独立系ソフトウェア ベンダー (ISV)、およびシステム インテグレーター (SI) は、自社のソリューションをすべての Azure ユーザーに提供できます。
マネージド アプリケーションを Azure Marketplace に発行する方法については、Marketplace アプリケーションの作成に関する記事を参照してください。
マネージド アプリケーションのリソース グループ
通常、マネージド アプリケーションのリソースは 2 つのリソース グループに含まれます。 お客様が 1 つのリソース グループを管理し、発行元がもう 1 つのリソース グループを管理します。 発行元は、マネージド アプリケーションを定義するときに、アクセス レベルを指定します。 発行元は、永続的なロールの割り当てか、ジャストインタイム アクセス (ある期間に制限されている割り当ての場合) を要求できます。 発行元は、発行元にアクセス権がないようにマネージド アプリケーションを構成することもできます。
データ操作のアクセスの制限は、現在、Azure 内のすべてのデータ プロバイダーに対してはサポートされていません。
次の画像は、顧客の Azure サブスクリプションと発行元の Azure サブスクリプション間のリレーションシップを示しています。これは既定の "発行元による管理" のアクセス許可です。 マネージド アプリケーションとマネージド リソース グループは、お客様のサブスクリプションに含まれます。 発行元は、マネージド アプリケーションのリソースを維持する目的で、マネージド リソース グループへの管理アクセス権をもちます。 発行元は、マネージド リソース グループに読み取り専用ロック (拒否の割り当て) を設定します。これにより、顧客がリソースを管理するアクセスが制限されます。 マネージド リソース グループへのアクセス権をもっている発行元 ID は、ロックの対象外となります。
画像に示されているように、管理アクセス権は変更できます。 顧客には、マネージド リソース グループへのフル アクセス権を付与できます。 また、マネージド リソース グループへの発行元のアクセス権は削除できます。
アプリケーション リソース グループ
このリソース グループは、マネージド アプリケーション インスタンスを保持します。 このリソース グループには、1 つのリソースのみを含めることができます。 マネージド アプリケーションのリソースの種類は、Microsoft.Solutions/applications です。
お客様は、リソース グループへのフル アクセスをもち、リソース グループを使用してマネージド アプリケーションのライフ サイクルを管理します。
マネージド リソース グループ
このリソース グループは、マネージド アプリケーションが必要とするすべてのリソースを保持します。 たとえば、アプリケーションの仮想マシン、ストレージ アカウント、仮想ネットワークなどです。 顧客はマネージド アプリケーションの個々のリソースを管理しないため、アクセス許可のオプションを変更しない限り、このリソース グループへの顧客のアクセスは制限されている場合があります。 このリソース グループへの発行元のアクセスは、マネージド アプリケーション定義に指定されたロールに対応します。 たとえば、発行元は、このリソース グループの所有者または共同作成者ロールを要求できます。 このアクセスは永続的か、または特定の期間に制限されます。 発行元は、マネージド リソース グループへのアクセス権を持たないことを選べます。
マネージド アプリケーションがマーケットプレースに発行される場合、発行元は、マネージド リソース グループ内のリソースに対して特定のアクションを実行する機能またはフルアクセス権を、顧客に付与できます。 たとえば、発行者は、お客様が仮想マシンを再起動できることを指定できます。 読み取りアクション以外のすべてのアクションは、引き続き拒否されます。 アクションが許可されたお客様によるマネージド リソース グループ内のリソースに対する変更は、そのマネージド リソース グループを含むようにスコープが設定されているお客様のテナント内で Azure Policy 割り当ての対象となります。
お客様がマネージド アプリケーションを削除すると、マネージド リソース グループも削除されます。
リソース プロバイダー
マネージド アプリケーションでは、ARM テンプレート JSON を使用して Microsoft.Solutions
リソース プロバイダーを使用します。 詳細については、リソースの種類と API のバージョンを参照してください。
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Solutions/applications
- Microsoft.Solutions/jitRequests
Azure Policy
Azure Policy を適用して、マネージド アプリケーションを監査できます。 ポリシー定義を適用することで、デプロイされたマネージド アプリケーションのインスタンスがデータとセキュリティの要件を確実に満たすようにします。 アプリケーションで機密データを扱う場合は、そのデータに必要な保護の方法を検証しておいてください。 たとえば Microsoft 365 のデータを対象のアプリケーションで扱う場合、データ暗号化が有効であることを確認するポリシー定義を適用します。
次のステップ
この記事では、マネージド アプリケーションを使用する利点について説明しました。 次の記事にアクセスして、マネージド アプリケーションの定義を作成しましょう。