次の方法で共有


Azure アプリケーション オファーの Azure マネージド アプリケーションを計画する

Azure 管理されたアプリケーション プランは、コマーシャル マーケットプレースで Azure アプリケーション オファーを発行する 1 つの方法です。 まだそうしていない場合は、「コマーシャル マーケットプレース用の Azure アプリケーション オファーを計画する」を参照してください。 マネージド アプリケーションは、Marketplace 経由でデプロイおよび課金されるトランザクション可能なオファーです。 マネージド アプリケーション プランを使用して、マネージド サービスの提供と収益化を行います。

マネージド アプリケーション プランの要件

要件 詳細
請求/メータリング リソースは、顧客の Azure サブスクリプションで提供されます。 従量課金制の支払モデルを使用する VM は Microsoft 経由で顧客が処理し、顧客の Azure サブスクリプション経由で請求されます。

ライセンス持ち込み VM の場合、顧客サブスクリプションで発生するインフラストラクチャ コストを Microsoft が請求しますが、ユーザーが顧客に対して直接ソフトウェア ライセンス料金を処理します。
顧客の利用状況属性 顧客の利用状況属性とそれを有効にする方法の詳細については、「Azure パートナーの顧客の使用状況の属性」をご覧ください。
展開パッケージ お客様がプランをデプロイできるようにするデプロイ パッケージが必要になります。 同じ技術的構成が必要なプランを複数作成する場合は、同じパッケージを使用できます。 詳細については、次のセクション「デプロイ パッケージ」を参照してください。

Note

管理対象アプリケーションは、Azure Marketplace から展開できる必要があります。 顧客の通信に懸念がある場合、リード共有を有効にした後、興味を持つ顧客に連絡してください。

展開パッケージ

デプロイ パッケージには、このプランに必要なすべてのテンプレート ファイルに加え、すべての追加リソースが、.zip ファイルとしてパッケージ化されて含まれています。

すべての Azure アプリケーションで、.zip アーカイブのルート フォルダーに次の 2 つのファイルが含まれている必要があります。

Note

デプロイ パッケージには、仮想マシン イメージなどのバイナリを含めてはなりません。 Azure アプリによってデプロイされるすべてのイメージは、マーケットプレースから参照されるイメージである必要があります。 Azure アプリケーションを公開する前に ARM テンプレート テスト ツールキットを使用して、オファーが推奨プラクティスに準拠していることを確認します。

Azure リージョン

プランは、Azure パブリック リージョン、Azure Government リージョン、または両方に発行できます。 Azure Government に発行する前に特定のエンドポイントが異なる可能性があるため、環境内でプランをテストして検証します。 プランを設定してテストするには、Microsoft Azure Government 試用版に試用版アカウントを申請します。

発行元は、コンプライアンス管理、セキュリティ対策、ベスト プラクティスについて責任を持ちます。 Azure Government では、物理的に離れた場所にあるデータ センターとネットワークが使用されます (場所は米国のみ)。

コマーシャル マーケットプレースでサポートされている国と地域の一覧については、利用可能な地域と通貨サポートに関するページを参照してください。

Azure Government サービスでは、特定の政府の規制および要件の対象となるデータが処理されます。 FedRAMP、NIST 800.171 (DIB)、ITAR、IRS 1075、DoD L4、CJIS などです。 これらのプログラムの認定資格を認識させるため、認定資格について説明するリンクを 100 個まで提供することができます。 これらでは、プログラムでの一覧に直接リンクすることも、独自の Web サイトでのそれらについてのコンプライアンスに関する説明にリンクすることもできます。 これらのリンクは、Azure Government の顧客にのみ表示されます。

プランを表示できるユーザーを選択する

各プランは、すべてのユーザーに (パブリック)、または特定の対象ユーザーにのみ (プライベート) 表示されるように構成できます。 最大 100 個のプランを作成でき、そのうち最大 45 個をプライベートにできます。 プライベート プランを作成して、特定の顧客にさまざまな価格オプションや技術的な構成を提供することができます。

プライベート プランには、Azure サブスクリプション ID を使用してアクセスを付与します。割り当てる各サブスクリプション ID の説明を含めるオプションがあります。 手動の場合は最大 10 個のサブスクリプション、または CSV ファイルを使用する場合は最大 1 万のサブスクリプション ID を追加できます。 Azure サブスクリプション ID は GUID として表されます。文字は小文字にする必要があります。

プライベート プランは、クラウド ソリューション プロバイダー プログラム (CSP) のリセラーを通じて確立された Azure サブスクリプションではサポートされていません。 詳細については、「Microsoft 商業マーケットプレースでのプライベート オファー」を参照してください。

Note

プライベート プランを発行する場合は、後でその可視性をパブリックに変更できます。 ただし、パブリック プランを発行すると、その可視性をプライベートに変更することはできません。

価格を定義する

Note

月単位および従量制課金価格を使用するマネージド アプリケーションの価格は、管理料金のみを考慮する必要があり、IP/ソフトウェアコスト、Azure インフラストラクチャ、またはアドオンには使用できません。 基になる仮想マシンまたはコンテナー オファーを使用して、IP/ソフトウェア のコストを処理します。 各プランについて、月ごとの価格を指定する必要があります。 このソリューションによってデプロイされるリソースによって発生する Azure インフラストラクチャまたは従量課金制ソフトウェアのコストに、この価格が追加されます。 月ごとの価格に加え、従量制課金を使用して、非標準ユニットの消費に対する価格を設定することもできます。 1 か月あたりの価格を 0 に設定し、従量制課金のみを使用して課金することができます。

価格は USD (USD = 米国 ドル) で設定され、保存時に現在の為替レートを使用して、選択したすべての市場の現地通貨に変換されます。 価格は現地通貨で公開され、為替レートが変動するにつれて更新されません。 各市場の顧客価格を指定するには、価格と利用可能時間のページから価格をエクスポートし、それぞれの市場と通貨を更新し、ファイルを保存してインポートします。 詳細については、「 通貨を変換する方法を参照してください。

Publisher Management

管理アクセスを有効にすると、顧客テナントでアプリケーションをホストするマネージド リソース グループへのアクセス権がパブリッシャーに付与されます。 パブリッシャー管理アクセスを有効にする場合は、アプリケーションを管理する Azure テナントとプリンシパル ID を指定する必要があります。

Note

プランがマーケットプレースで公開された後は、パブリッシャー管理を変更できません。

Just-In-Time (JIT) アクセス

JIT アクセスによって、発行元は、トラブルシューティングやメンテナンスを行うために、マネージド アプリケーションのリソースに対して昇格されたアクセス権を要求することができます。 発行元は、リソースへの読み取り専用アクセス権を常に所有していますが、特定の期間にさらに大きなアクセス権を持つことができます。 詳しくは、「Azure Managed Applications でジャストインタイム アクセスを有効にして要求する」をご覧ください。

Note

この機能をサポートするには、createUiDefinition.json ファイルを更新する必要があります。

だれがアプリケーションを管理できるかを選択する

このオプションは、Publisher Management が有効になっている場合にのみ使用できます。

Publisher Management が有効になっている場合は、選択した各クラウド (Public Azure、Azure Government Cloud) でマネージド アプリケーションを管理できるユーザーを指定する必要があります。 次の情報を収集します。

  • Microsoft Entra テナント ID – アクセス許可を付与するユーザー、グループ、またはアプリケーションの ID を含む Microsoft Entra テナント ID (ディレクトリ ID とも呼ばれます)。 Microsoft Entra テナント ID は、Azure portal の Properties for Microsoft Entra ID で確認できます。
  • 承認 – マネージド リソース グループへのアクセス許可を付与する各ユーザー、グループ、またはアプリケーションの Microsoft Entra オブジェクト ID を追加します。 プリンシパル ID でユーザーを識別します。これは、Azure portal の Microsoft Entra ユーザー ブレードで確認できます。

プリンシパル ID ごとに、Microsoft Entra 組み込みロールの 1 つ (所有者または共同作成者) を関連付けます。 選択したロールによって、顧客のサブスクリプションのリソースに対してプリンシパルが持つアクセス許可が記述されます。 詳細については、Azure の組み込みロールに関するページを参照してください。 ロールベースのアクセス制御 (RBAC) について詳しくは、Azure portal での RBAC の概要に関する記事をご覧ください。

Note

Azure リージョンごとに最大 100 個の承認を追加できますが、Active Directory ユーザー グループを作成し、その ID を "プリンシパル ID" に指定することをお勧めします。これにより、プランの展開後に管理グループにユーザーを追加でき、さらに承認を追加するためだけにプランを更新する必要が減ります。

顧客アクセス

顧客アクセスを有効にすると、Azure テナントにデプロイされたマネージド リソース グループに完全にアクセスできるようになります。 拒否割り当てでアクセスを制限すると、Azure テナント内のマネージド リソース グループへの顧客アクセスが無効になります。 拒否割り当てで顧客アクセスを無効にすると、顧客アクセスは削除されますが、発行元は許可された顧客アクションをカスタマイズできます。

Note

オファーがマーケットプレースに公開された後、顧客アクセスを変更することはできません。

展開モード

マネージド アプリケーション プランは、完全または増分のいずれかのデプロイ モードを使用するように構成できます。 完全モードでは、顧客がアプリケーションを再デプロイすると、リソースが mainTemplate.jsonで定義されていない場合、マネージド リソース グループ内のリソースが削除されます。 増分モードでは、アプリケーションを再デプロイしても、既存のリソースは変更されずに残ります。 詳細については、「Azure Resource Manager のデプロイ モード」を参照してください。

通知エンドポイント URL

必要に応じて、プランのマネージド アプリケーション インスタンスでのすべての CRUD 操作に関する通知を受け取る、HTTPS Webhook エンドポイントを指定できます。

Webhook URI を呼び出す前に、Azure によって末尾に /resource が追加されます。 そのため、Webhook URL は /resource で終わる必要があります。ただしこれは、パートナー センターの [通知エンドポイント URL] ボックスに入力された URI には含めません。 たとえば、通知エンドポイント URI として https://contoso.com を入力すると、https://contoso.com/resource が呼び出されます。

マネージド アプリの通知からイベントをリッスンする場合は、https://<url>/resource をリッスンし、設定された URL だけではないことを確認します。 通知の例については、「通知スキーマ」を参照してください。

許可される顧客アクションをカスタマイズする (省略可能)

必要に応じて、既定で使用できる "*/read" アクションに加えて、顧客が管理対象リソースに対してどのアクションを実行できるかを指定できます。

このオプションを選択する場合は、制御のアクションまたは許可されるデータ アクションのいずれか、または両方を指定する必要があります。 詳しくは、「Azure リソースの拒否割り当ての概要」をご覧ください。 使用できるアクションについては、「Azure Resource Manager のリソース プロバイダー操作」を参照してください。 たとえば、仮想マシンの再起動をコンシューマーに許可するには、許可されているアクションに Microsoft.Compute/virtualMachines/restart/action を追加します。

ポリシー設定

マネージド アプリケーションに Azure Policy を適用して、デプロイしたソリューションのコンプライアンス要件を指定できます。 ポリシーの定義とパラメーター値の形式については、「Azure Policy のサンプル」を参照してください。

最大 5 つのポリシーと、各種類のポリシーの 1 つのインスタンスだけを構成できます。 一部の種類のポリシーには、追加のパラメーターが必要です。

ポリシーのタイプ ポリシー パラメーターが必須か
Azure SQL Database の暗号化 いいえ
Azure SQL Server の監査設定 はい
Azure Data Lake Store の暗号化 いいえ
診断設定の監査 はい
リソースの場所のコンプライアンスの監査 いいえ

追加するポリシーの種類ごとに、Standard または Free のポリシー SKU を関連付ける必要があります。 監査ポリシーには Standard SKU が必要です。 ポリシー名は 50 文字までに制限されています。

ビデオ チュートリアル