Azure Lighthouse と Azure Managed Applications
Azure Managed Applications と Azure Lighthouse はどちらも、サービス プロバイダーがお客様のテナントに存在するリソースにアクセスできるようにします。 処理方式の違い、実際に役立つシナリオ、両方を組み合わせて使用できる方法について理解すると有益な場合があります。
ヒント
このトピックではサービス プロバイダーと顧客の場合について説明していますが、複数のテナントを管理するエンタープライズも同じプロセスとツールを使用できます。
Azure Lighthouse と Azure Managed Applications の比較
次の表は、Azure Lighthouse または Azure Managed Applications の使用の選択に影響を与える可能性がある、いくつかの大まかな違いを示しています。 場合によっては、両方を一緒に使用するソリューションを設計することがあるかもしれません。
考慮事項 | Azure Lighthouse | Azure Managed Applications |
---|---|---|
一般的なユーザー | 複数のテナントを管理するサービス プロバイダーまたは企業 | 独立系ソフトウェア ベンダー (ISV) |
テナント間アクセスの範囲 | サブスクリプションまたはリソース グループ | リソース グループ (1 つのアプリケーションに範囲指定) |
Azure Marketplace で購入可能 | いいえ (オファーは Azure Marketplace に発行できますが、お客様には別途請求されます) | はい |
IP 保護 | はい (IP はサービス プロバイダーのテナントに残せます) | あり (ISV が拒否の割り当てで顧客アクセスを制限することを選択した場合、管理対象リソース グループは顧客に対してロックされます) |
拒否割り当て | いいえ | はい |
Azure Lighthouse
Azure Lighthouse により、サービス プロバイダーはお客様のサブスクリプション (またはリソース グループ) でさまざまな管理タスクを直接実行できます。 このアクセスは、サービス プロバイダーが自身のテナントにサインインして、お客様のテナントに属するリソースにアクセスできる論理プロジェクションによって実現されています。 お客様は、サービス プロバイダーに委任するサブスクリプションまたはリソース グループを決定でき、これらのリソースへのフル アクセスはお客様が保持します。 また、サービス プロバイダーのアクセス権をいつでも削除することができます。
Azure Lighthouse を使用するために、顧客は ARM テンプレートを展開するか、Azure Marketplace のマネージド サービス オファーを使用してオンボードされます。 パートナー ID をリンクすることで、顧客エンゲージメントへの影響を追跡できます。
Azure Lighthouse は通常、サービス プロバイダーがお客様の管理タスクを継続的に実行するときに使用されます。 Azure Lighthouse の技術的なしくみの詳細については、Azure Lighthouse のアーキテクチャに関するページをご覧ください。
Azure Managed Applications
Azure マネージド アプリケーションを使用すると、顧客が自分のサブスクリプションで簡単にデプロイして使用できるクラウド ソリューションを ISV/発行元が提供できます。
マネージド アプリケーションでは、アプリケーションによって使用されるリソースがまとめられて、ISV/発行元によって管理できるリソース グループにデプロイされます。 この "管理対象リソース グループ" は顧客のサブスクリプション内に存在しますが、発行元のテナントの ID がそれにアクセスできます。 パートナー センターでオファーを発行するとき、発行元は発行元自体による管理アクセスを有効にするか無効にするかを選択できます。 さらに発行元は、顧客アクセスの制限 (拒否の割り当てを使用) や、顧客へのフル アクセスの許可も行うことができます。
マネージド アプリケーションは、カスタマイズされた Azure portal エクスペリエンスと、カスタム プロバイダーとの統合をサポートします。 これらのオプションは、カスタマイズされた統合されたエクスペリエンスを提供するために使用でき、お客様が一部の管理タスクを自分で簡単に実行できるようになります。
マネージド アプリケーションは、特定のお客様専用のプライベート オファーとして、または複数のお客様が購入できるパブリック オファーとして、Azure Marketplace に公開することができます。 また、マネージド アプリケーションをサービス カタログに公開することによって、組織内のユーザーに提供することもできます。 ARM テンプレートを使用して、サービス カタログと Marketplace の両方のインスタンスをデプロイできます。このテンプレートには、顧客の利用状況属性を追跡するための、コマーシャル マーケットプレース パートナーの一意識別子を含めることができます。
通常、Azure Managed Applications は、サービス プロバイダーによって完全に管理されるターンキー ソリューションによって満たすことができる、具体的なお客様のニーズのために使用されます。
Azure Lighthouse と Azure Managed Applications を組み合わせて使用する
Azure Lighthouse と Azure Managed Applications は異なるアクセス メカニズムを使用してさまざまな目標を達成しますが、サービス プロバイダーが同じお客様に対してこれら両方を使用することが理にかなっている場合もあります。
たとえば、お客様がパートナーのアクションを把握でき、かつ委任されたサブスクリプションを継続的に制御することができるよう、サービス プロバイダーが Azure Lighthouse を通じてマネージド サービスを提供することが求められる場合などです。 ただし、サービス プロバイダーは、お客様のテナントに格納されている特定のリソースにお客様がアクセスしたり、これらのリソースに対してカスタマイズされたアクションを許可することを望まないとします。 これらの目標を達成するために、サービス プロバイダーは、プライベート オファーをマネージド アプリケーションとして公開できます。 マネージド アプリケーションには、お客様のテナントにデプロイされているリソース グループを含めることができますが、お客様はこれに直接アクセスすることはできません。
また、お客様は複数のサービス プロバイダーが提供するマネージド アプリケーションに関心がある場合もあります。これらのサービス プロバイダーが Azure Lighthouse 経由でマネージド サービスも使用しているかどうかは関係ありません。 さらに、クラウド ソリューション プロバイダー (CSP) プログラムのパートナーは、他の ISV によって公開された特定のマネージド アプリケーションを、サポートするお客様に Azure Lighthouse を通じて再販できます。 さまざまなオプションを使用して、サービス プロバイダーはお客様のニーズに合わせて適切なバランスを模索し、必要に応じてリソースへのアクセスを制限することができます。
次のステップ
- Azure Managed Applications の詳細について説明します。
- サブスクリプションを Azure Lighthouse にオンボードする方法について学習します。
- Azure Lighthouse を使用した ISV シナリオについて説明します。