Azure Lighthouse 和 Azure 托管应用程序

Azure 托管应用程序和Azure Lighthouse 都允许服务提供商访问客户租户中的资源。 了解其工作方式的差异、启用的方案以及如何将它们一起使用会很有帮助。

比较 Azure Lighthouse 和 Azure 托管应用程序

下表显示了一些高级别差异，这些差异可能会影响你选择使用 Azure Lighthouse 还是 Azure 托管应用程序。 在某些情况下，可以设计同时使用这两种解决方案。

Azure Lighthouse

通过使用 Azure Lighthouse，服务提供商可以直接在客户的订阅或资源组上执行各种管理任务。 服务提供商通过 资源的逻辑投影 获得此访问权限。 服务提供商登录到自己的租户，可以访问客户租户中的委托资源。 客户选择要委托给服务提供商的订阅或资源组，保留对这些资源的完全访问权限，并且可以随时删除服务提供商的访问权限。

若要使用 Azure Lighthouse，请通过 部署 ARM 模板 或通过在 Microsoft Marketplace 上的 托管服务产品 载入客户。 若要跟踪对客户参与的影响， 请链接合作伙伴 ID。

通常，服务提供商使用 Azure Lighthouse 持续为客户执行管理任务。 有关 Azure Lighthouse 如何在技术级别工作的详细信息，请参阅 Azure Lighthouse 体系结构。

Azure 托管应用程序

Azure 托管应用程序 允许 ISV 或发布者提供云解决方案，客户可以在自己的订阅中轻松部署和使用这些解决方案。

在托管应用程序中，将应用程序使用的资源捆绑在一起，并将其部署到 ISV 或发布者管理的资源组。 此“托管的资源组”存在于客户的订阅中，但发布者租户中的身份可以访问它。 在Microsoft合作伙伴中心发布产品/服务时，可以选择是启用或禁用发布者的管理访问。 可以使用拒绝分配来限制客户访问权限，也可以授予客户完全访问权限。

托管应用程序支持自定义的 Azure 门户体验和与自定义提供程序的集成。 通过这些选项，你可以提供更自定义和集成的体验，并使客户能够更轻松地自行执行一些管理任务。

可以将托管应用程序作为特定客户的专用产品/服务或多个客户可以购买的公共产品/服务 发布到Microsoft市场 。 还可以通过将 托管应用程序发布到服务目录，将托管应用程序交付给组织中的用户。 可以使用 ARM 模板部署服务目录和市场实例，其中包括商业市场合作伙伴的唯一标识符来跟踪 客户使用情况归属。

Azure 托管应用程序通常通过服务提供商完全管理的包包解决方案解决特定客户需求。

配合使用 Azure Lighthouse 和 Azure 托管应用程序

虽然 Azure Lighthouse 和 Azure 托管应用程序使用不同的访问机制来实现不同的目标，但在某些情况下，服务提供商可以将这两种访问机制与同一客户一起使用。

例如，客户可能希望服务提供商通过 Azure Lighthouse 交付托管服务，以便他们能够了解合作伙伴的作，并持续控制其委托的订阅。 但是，服务提供商可能不希望客户访问某些服务提供商存储在客户租户中的资源，或者他们可能想要阻止对此类资源进行自定义操作。 为了满足这些目标，服务提供商可以将专用产品/服务作为托管应用程序发布。 托管应用程序可以包含部署在客户租户中的资源组，但客户无法直接访问。

客户可能还对多个服务提供商提供的托管应用程序感兴趣，无论他们是否也通过任何这些服务提供商提供的 Azure Lighthouse 使用托管服务。 此外，云解决方案提供商 (CSP) 计划中的合作伙伴可以将其他 ISV 发布的某些托管应用程序转售给他们通过 Azure Lighthouse 支持的客户。 使用各种选项，服务提供商可以选择适当的平衡来满足其客户需求，同时在适当的时候限制对资源的访问。

后续步骤

• 了解 Azure 托管应用程序。
• 了解如何将订阅加入 Azure Lighthouse。
• 了解 Azure Lighthouse 的 ISV 方案。