Privilegované úlohy v Microsoft Foundry

Vývojáři, kteří mají roli Uživatele Foundry v oboru zdroje Foundry nebo projektu, mohou vytvářet agenty, spouštět odvozování a používat většinu funkcí Foundry. Mnoho úloh správy ale vyžaduje zvýšenou úroveň rolí, jako je vlastník, přispěvatel, vlastník účtu Foundry nebo jiné specializované role.

Tento článek vysvětluje, které zvýšené role jsou potřeba pro každou oblast správy Foundry, proč jsou tyto role požadovány, a odkazuje na podrobné postupy. Použijte ho jako referenci, když vývojáři narazí na chyby oprávnění nebo při plánování přiřazení rolí pro nové prostředí.

Note

Funkce ve verzi Preview, hostované možnosti a konkrétní podkladové prostředky mohou vyžadovat další role nebo oprávnění k datové rovině. V odkazovaných článcích najdete přesné požadavky ve vašem scénáři.

Pozadí definic rolí Foundry najdete v tématu Řízení přístupu na základě role pro Microsoft Foundry.

Klíčové koncepty

  • Řídicí rovina – operace, které spravují Azure prostředky (vytvoření, odstranění, konfigurace). Spravováno pomocí rolí Azure RBAC, jako jsou Owner a Contributor.
  • Datová rovina — Operace, které využívají schopnosti prostředku za běhu (čtení objektů blob, dotazování indexů). Řídí se rolemi dat, jako je Přispěvatel dat v objektech blob služby Storage.
  • Spravovaná identita – automaticky spravovaná Microsoft Entra identita, která se ověřuje v backingových prostředcích bez uložených přihlašovacích údajů. Ve Foundry je identita spravovaná projektem identita, kterou váš projekt používá za běhu. Některá nastavení také spoléhají na sdílenou identitu na úrovni účtu pro přístup k prostředkům. Použijte název identity, který odpovídá vašemu scénáři, místo toho, abyste se dvěma termíny zacházeli jako s zaměnitelnými.
  • Prostředek Foundry – prostředek Azure (typu Microsoft.CognitiveServices/accounts), který hostuje vaše projekty Foundry.
  • Rozsah – úroveň, na které se vztahuje přiřazení role: předplatné, skupina prostředků, prostředek nebo projekt. Role přiřazené ve vyšším rozsahu se dědí do nižších úrovní.

Přehled nastavení prostředí

Když zřídíte nové prostředí Foundry, úlohy se řídí tímto obecným pořadím:

  1. Vytvoření zdroje Foundry – povinné před všemi ostatními úkoly.
  2. Vytvořte jeden nebo více projektů — Agenti, modely a připojení se nacházejí v rámci projektů.
  3. Přiřaďte vývojářům role – Vývojáři potřebují uživatele Foundry pro obecný přístup. Nasazení modelu vyžaduje samostatnou roli.
  4. Nasazení modelů – vyžaduje vlastníka účtu Foundry.
  5. Nakonfigurujte infrastrukturu agenta (v případě potřeby).
  6. Nakonfigurujte sítě (v případě potřeby).
  7. Nastavte mantinely a zásady.
  8. Povolte monitorování.

Tip

Malý tým (1–5 vývojářů)? Přiřaďte sobě roli Owner v rámci oboru skupiny prostředků a každému vývojáři roli Foundry User v rámci oboru prostředku Foundry. Toto přiřazení zahrnuje většinu úloh správy. Pro větší týmy používejte skupiny Microsoft Entra a nastavte rozsah rolí pro každý projekt.

Zbývající části vysvětlují požadavky na roli pro každou oblast. Souhrn všech rolí se zvýšenými oprávněními najdete v rychlém přehledu: souhrn rolí.

Vytvoření a konfigurace prostředků Foundry

Vytváření prostředků a projektů Foundry vyžaduje oprávnění roviny řízení, která vývojáři obvykle nemají. Tyto operace upravují Azure Resource Manager objekty, takže potřebují role, jako je přispěvatel nebo vlastník účtu Foundry, na úrovni předplatného nebo skupiny prostředků.

Úkol Minimální role Scope Podrobnosti
Vytvoření prostředku Foundry Přispěvatel, Vlastník účtu FoundryneboVlastník foundry Předplatné nebo skupina prostředků Vytvořte svůj první prostředek
Vytvoření projektu Foundry Přispěvatel, Vlastník účtu FoundryneboVlastník foundry Zdroj platformy Foundry Vytváření a správa projektů
Upgrade v rámci služby Azure OpenAI VlastníkneboPřispěvatel Azure OpenAI prostředek Přechod z Azure OpenAI Service
Obnovení nebo vymazání odstraněných účtů Contributor Subscription Obnovení nebo vymazání odstraněných prostředků
Vytváření prostředků pomocí Bicep Přispěvatelnebovlastník Skupina zdrojů Vytvořte prostředky pomocí šablony Bicep

Podrobné pokyny pomocí Azure CLI, Bicep nebo portálu najdete v tématu Vytvoření prvního zdroje a vytvoření a správa projektů.

Přiřazení rolí členům týmu

K přiřazení jakékoli role uživateli potřebujete roli Vlastník nebo Správce uživatelských přístupů v cílovém oboru. Role Vlastník účtu Foundry a Foundry Project Manager mohou podmíněně přiřadit pouze roli uživatele Foundry.

Note

Role přiřazená v oboru skupiny prostředků se vztahuje na všechny zdroje a projekty Foundry v této skupině. Přiřaďte co nejužší obor, který vyhovuje vašim potřebám.

Úkol Minimální role Scope Podrobnosti
Přiřaďte uživatele Foundry vývojářům Vlastníknebosprávce uživatelských přístupů Prostředek nebo projekt Foundry Řízení přístupu na základě rolí
Přiřadit uživatele Foundry (podmíněně) Vlastník účtu FoundryneboSprávce projektu Foundry Nalezený zdroj nebo projekt Řízení přístupu na základě rolí
Vytvořte vlastní role RBAC Owner Předplatné nebo skupina prostředků Řízení přístupu na základě rolí
Přiřazení vlastních rolí Správce přístupu uživatelůneboSprávce řízení přístupu na základě rolí Cílový obor Řízení přístupu na základě rolí
Správa rolí pomocí skupin Microsoft Entra Vlastníknebosprávce uživatelských přístupů Cílový obor Řízení přístupu na základě rolí

Tip

Pomocí Microsoft Entra skupin zjednodušte přiřazení rolí. Vytvořte skupinu zabezpečení, přiřaďte jí příslušnou roli a přidejte vývojáře jako členy. Návod najdete v tématu Řízení přístupu na základě role .

Úvahy o rozsahu

  • Přiřaďte roli uživatele Foundry v oboru zdrojů Foundry , abyste udělili přístup ke všem projektům ve zdroji.
  • Přiřaďte na úrovni projektu, aby se přístup omezil na jeden projekt.
  • U organizací, které používají Microsoft Entra Privileged Identity Management (PIM), zvažte, jestli není přiřazení rolí se zvýšenými oprávněními způsobilá, a ne trvalá. Vyhovující přiřazení vyžadují aktivaci přesně na čas, což snižuje míru vystavení trvalým oprávněním.

Podrobné postupy přiřazení rolí najdete v tématu Řízení přístupu na základě role pro Microsoft Foundry a přiřazení rolí Azure.

Note

Propagace přiřazení rolí může trvat až pět minut. Pokud vývojář ihned po přiřazení oprávnění nahlásí chybu „přístup odepřen“, požádejte ho, aby chvíli počkal a zkusil to znovu. Informace o řešení běžných příčin najdete v tématu Řešení běžných chyb oprávnění .

Konfigurace infrastruktury agenta

Nastavení agenta je ve Foundry oblastí, která vyžaduje nejvíce oprávnění. Požadované role závisí na tom, kterou možnost nastavení zvolíte.

Možnost nastavení Zvolte, kdy Předpoklady Kompromis
Standard Potřebujete plnou kontrolu nad datovou rezidencí a zřizováním zdrojů. Zřízená služba Cosmos DB, vyhledávání AI a prostředky úložiště ve vaší skupině prostředků Spravujete zřizování a RBAC pro Cosmos DB, Search a Storage.
Hostované Chcete nejrychlejší cestu s minimálním nastavením. Žádné – slévárství zřizuje záložní zdroje za vás Foundry spravuje podpůrné zdroje; menší kontrola nad sítí
Prostředky BYO Už máte Cosmos DB, Search nebo Storage se specifickými požadavky na shodu s předpisy. Stávající prostředky služeb Cosmos DB, AI Search nebo Storage s nakonfigurovaným síťovým přístupem Připojujete existující prostředky a spravujete jejich RBAC.

Zkontrolujte pododdíl, který odpovídá vaší možnosti nastavení. Přeskočte ostatní – pokud se vaše požadavky změní, můžete se k nim později vrátit.

Nastavení standardního agenta

Standardní nastavení agenta vyžaduje, abyste zřídili a spravlili vlastní Azure Cosmos DB, Azure AI Vyhledávač a Azure Storage prostředky. Tento přístup vám poskytuje plnou kontrolu nad rezidencí dat, ale vyžaduje přiřazení rolí datové roviny ke spravované identitě projektu u každého podkladového prostředku.

Úkol Minimální role Scope Podrobnosti
Přiřazení rolí mezi službami (Cosmos DB, vyhledávání, úložiště) Vlastníknebosprávce řízení přístupu na základě rolí Skupina zdrojů Nastavení standardního agenta
Zřízení prostředků pro agenta Vlastník účtu Foundrynebovlastník Subscription Nastavte prostředky agenta

Přiřaďte spravované identitě projektu Foundry u podkladových prostředků následující role roviny dat:

Resource Úloha
Azure Cosmos DB Integrovaný přispěvatel dat ve službě Cosmos DB
Azure AI Vyhledávač Přispěvatel dat indexu vyhledávání, Přispěvatel vyhledávací služby
Azure Storage (azureml-blobstore) Přispěvatel dat Storage Blobu
Azure Storage (agents-blobstore) Vlastník dat služby Storage Blob

Note

Integrovaný přispěvatel dat služby Cosmos DB je role v rovině dat služby Cosmos DB. Přiřaďte ho prostřednictvím Azure CLI (az cosmosdb sql role assignment create) nebo pomocí Bicepu – nikoli prostřednictvím standardního panelu Řízení přístupu (IAM). Podrobnosti najdete v tématu Konfigurace řízení přístupu na základě role pro Azure Cosmos DB.

Úplný postup zřizování a šablony Bicep najdete v tématu Nastavení standardního agenta.

Nastavení hostovaného agenta

Nastavení hostovaného agenta je stále nejrychlejší cestou k infrastruktuře pro běhové prostředí agenta, ale má konkrétní předpoklady z hlediska prostředků a RBAC. Kromě účtu Foundry a projektu počítejte také se službami Azure Container Registry (ACR), Application Insights a propojeným pracovním prostorem služby Log Analytics.

Oblast úkolu Minimální role Scope Poznámky
Vytvořte prostředky ACR, Application Insights a Log Analytics Přispěvatelnebovlastník Skupina zdrojů Je vyžadováno, když váš hostovaný proces nasazení vytvoří tyto prostředky.
Vytvoření hostovaných agentů a verzí agentů (rovina dat) Uživatel Foundry, Projektový manažer FoundryneboVlastník Foundry Projekt slévárny Vlastník/Přispěvatel samy o sobě nejsou dostačující pro operace vytvoření nebo aktualizace agenta v datové rovině.
Vytvořte připojení projektů Projektový manažer Foundry, Vlastník účtu Foundry, Vlastník Foundry, Přispěvatel, neboVlastník Projekt slévárny Vyžaduje se pro připojení k ACR a monitorování.
Přiřaďte spravované identitě projektu roli ACR pull/read Vlastníknebosprávce řízení přístupu na základě rolí Prostředek ACR Přiřaďte Container Registry Repository Reader (nebo AcrPull).
Nahrajte image do ACR pro nasazení Zapisovatel repozitáře Container Registry (nebo AcrPush) Prostředek ACR Je vyžadováno pro uživatele nebo bezpečnostní subjekt, který nahrává image agenta.
Číst telemetrii agenta pro účely vyhodnocení Log Analytics Čtenář dat pracovní prostor služby Log Analytics Vyžadováno spravovanou identitou projektu pro vyhodnocení, která čtou data z pracovního prostoru.

Note

Foundry Project Manager a Foundry Account Owner můžou přiřadit pouze roli uživatele Foundry v oboru omezeného přiřazení role. Použijte Vlastník nebo správce řízení přístupu na základě role, pokud potřebujete přiřazení rolí na externích prostředcích, jako jsou ACR nebo Log Analytics.

Podrobné pokyny k oprávněním hostovaného agenta najdete v referenčních informacích k oprávněním hostovaného agenta.

Podrobné pokyny najdete v tématu Nasazení hostovaného agenta.

Používání vlastních prostředků

Tuto možnost použijte, pokud už máte Azure Cosmos DB, vyhledávání AI nebo prostředky úložiště s konkrétními požadavky na dodržování předpisů. Existující prostředky připojíte k projektu Foundry a přiřadíte požadované role roviny dat ke spravované identitě projektu.

Úkol Minimální role Scope Podrobnosti
Připojte vlastní zdroje Vlastník účtu Foundrynebovlastník Subscription Použití vlastních prostředků Azure
Přiřazení rolí ke spravované identitě Vlastníknebosprávce uživatelských přístupů Cílový prostředek Použití vlastních prostředků Azure

Podrobné pokyny najdete v tématu Použití vlastních prostředků Azure.

Nástroje agenta se zvýšenými požadavky

Několik nástrojů agenta vyžaduje oprávnění Contributor nebo vyšší ke zřízení nebo konfiguraci svých podkladových prostředků.

Nástroje infrastruktury

nástroj Minimální role Scope Podrobnosti
Zemnění Bingu Přispěvatelnebovlastník Předplatné nebo skupina prostředků Nástroje Bing
Automatizace prohlížeče (náhled) Přispěvatelnebovlastník Skupina zdrojů Automatizace prohlížeče
Vyhledávání AI Přispěvatel dat indexu vyhledávání, Přispěvatel vyhledávací služby Prostředek AI Search Nástroj AI Search
Hledání souborů Přispěvatel dat Storage Blobu Účet úložiště projektu Hledání souborů
Interpretér vlastního kódu (předběžná verze) Přispěvatel pro spravovaná prostředí služby Container Apps + Vlastník Foundry Předplatné nebo skupina prostředků Vlastní interpret kódu

Integrační nástroje

nástroj Minimální role Scope Podrobnosti
Nástroj OpenAPI Přispěvatelnebovlastník Projekt slévárny Nástroj OpenAPI
Nástroj MCP Přispěvatelnebovlastník Projekt slévárny Nástroj Model Context Protocol
Agent-to-agent (Preview) Přispěvatelnebovlastník Zdroj platformy Foundry Agent k agentovi
Azure Speech (služba pro rozpoznávání řeči) Přispěvatel dat Storage Blobu úložišťový účet nástroj Azure Speech

Agenti pro publikování

Publikováním se agent z vývojového prostředku v projektu Foundry povýší na spravovaný prostředek aplikace Agent Application se stabilním koncovým bodem. Abyste mohli publikovat agenta, musíte mít roli Foundry Project Manager v oboru prostředku Foundry.

Úkol Minimální role Scope Podrobnosti
Publikujte agenta jako aplikaci Agent Application Správce projektů Foundry Zdroj platformy Foundry Publikujte a sdílejte agenty
Vyvolání publikované aplikace agenta Uživatel Foundry Zdroj pro aplikaci agenta Vyvolání aplikací agenta
Publikování agenta do Microsoft 365 a Teams Správce projektů Foundry Projekt slévárny Publikování agentů do Microsoft 365 a Teams
Znovu přiřaďte RBAC k publikované identitě agenta Vlastníknebosprávce uživatelských přístupů Cílový prostředek Koncepty identit agenta

Important

Když publikujete agenta, obdrží novou jedinečnou identitu agenta Entra. Oprávnění přiřazená sdílené identitě projektu se nepřenesou. Znovu přiřaďte role RBAC u všech podřízených prostředků, ke které agent přistupuje (úložiště, vyhledávání, Key Vault) k nové identitě agenta. Podrobnosti najdete v tématu Koncepty identit agenta.

Nasazení a správa modelů

K nasazení modelu potřebujete na prostředku Foundry roli Vlastník účtu Foundry. Některé scénáře, jako jsou modely marketplace nebo zřízená propustnost, vyžadují vyšší role. V následující tabulce jsou uvedeny všechny úlohy související s modelem a požadavky na jejich roli.

Úkol Minimální role Scope Podrobnosti
Nasazení modelu z katalogu Vlastník účtu Foundry Zdroj platformy Foundry Vytvořte nasazení modelů
Nasazení modelů Foundry Vlastník účtu Foundry Zdroj platformy Foundry Nasazení modelů Foundry
Nasadit zřízenou propustnost Vlastník účtu Foundry Zdroj platformy Foundry Zřízená propustnost
Nasazení modelů Marketplace Contributor Subscription Nasazení modelů Foundry
Nasazení modelů Ohňostroje Vlastník Foundry (projekt) + Předplatné Přispěvatel Předplatné a projekt Povolení modelů Ohňostroje
Vyladění modelu Vlastník Foundry (nebouživatel Foundry + vlastník účtu Foundry) Zdroj platformy Foundry Řízení přístupu na základě rolí
Nasazení jemně vyladěného modelu mezi tenanty Správce projektů Foundry Zdrojové a cílové prostředky Doladění nasazení
Zobrazení kvót Vlastník účtu Foundry Subscription Správa kvót
Žádost o navýšení kvóty Contributor Subscription Správa kvót
Úprava kvót Vlastník účtu Foundry Prostředek a předplatné služby Foundry Správa kvót
Vytváření seznamů blokovaných obsahu Vlastník účtu Foundry Azure OpenAI prostředek Použití seznamů blokovaných položek

Nasazení modelu Marketplace vyžadují přístup na úrovni předplatného, protože vytvářejí fakturační smlouvy. Vyladění vyžaduje vlastníka Foundry, protože vytváří trénovací úlohy, které spotřebovávají výpočetní prostředky a úložiště. Před nasazením libovolného modelu ověřte, že vaše předplatné má dostatečnou kvótu pro cílový model a oblast – viz Správa kvót.

Pokyny krok za krokem pro nasazení najdete v článku Vytvoření nasazení modelu.

Konfigurace zabezpečení a sítě

Konfigurace sítě a šifrování vyžadují u více prostředků zvýšenou úroveň rolí. Tyto konfigurace zahrnují prostředek Foundry, virtuální sítě, zóny DNS a Key Vault, takže obvykle potřebujete více rolí.

Privátní koncové body

Privátní koncové body omezují přístup k vašemu prostředku Foundry pouze na provoz z konkrétních virtuálních sítí. Konfigurace privátního koncového bodu vyžaduje role na třech různých prostředcích.

Úkol Minimální role Scope Podrobnosti
Vytvoření privátního koncového bodu Přispěvatelnebovlastník Zdroj platformy Foundry Konfigurace privátního propojení
Konfigurace virtuální sítě Přispěvatel sítě Virtuální síť Konfigurace privátního propojení
Konfigurace privátní zóny DNS Přispěvatel pro privátní DNS zónu zóna DNS Konfigurace privátního propojení

Podrobné pokyny najdete v tématu Konfigurace privátního propojení.

Spravované virtuální sítě

Spravovaná virtuální síť izoluje prostředky Foundry v síti spravované službou Foundry. Toto nastavení zjednodušuje konfiguraci sítě v porovnání s přenesením vlastní virtuální sítě.

Úkol Minimální role Scope Podrobnosti
Konfigurace spravované virtuální sítě VlastníkneboPřispěvatel Zdroj platformy Foundry Spravovaná virtuální síť
Přiřaďte RBAC k prostředkům ve spravované virtuální síti Vlastníknebosprávce řízení přístupu na základě rolí Cílové prostředky Spravovaná virtuální síť

Perimetr zabezpečení sítě

Perimetr zabezpečení sítě poskytuje centralizovaný způsob správy síťového přístupu napříč několika prostředky Azure. Přidejte prostředek Foundry do existujícího perimetru a zajistěte konzistentní síťová pravidla.

Úkol Minimální role Scope Podrobnosti
Přidat Foundry do obvodu zabezpečení sítě (verze Preview) Vlastník, PřispěvatelneboPřispěvatel sítě Zdroj platformy Foundry Bezpečnostní hraniční síť

Klíče spravované zákazníkem

Pomocí klíčů spravovaných zákazníkem (CMK) můžete data Foundry zašifrovat pomocí klíčů, které řídíte v Azure Key Vault. CmK vyžaduje role v Key Vault i v prostředku Foundry, protože spravované identitě udělíte přístup ke svému klíči a pak prostředek nakonfigurujete tak, aby ho používal.

Úkol Minimální role Scope Podrobnosti
Přiřazení RBAC pro Key Vault Vlastníknebosprávce uživatelských přístupů Key Vault Konfigurace klíčů spravovaných zákazníkem
Přiřazení Key Vault Crypto User ke spravované identitě Vlastníknebosprávce uživatelských přístupů Key Vault Konfigurace klíčů spravovaných zákazníkem
Konfigurace šifrování pro prostředek Foundry Přispěvatelnebovlastník Zdroj platformy Foundry Konfigurace klíčů spravovaných zákazníkem

Úplný postup najdete v tématu Konfigurace klíčů spravovaných zákazníkem.

Připojení ke službě Key Vault

Připojení Key Vault umožňuje projektům Foundry přistupovat k tajným kódům, certifikátům a klíčům uloženým v Azure Key Vault bez vložení přihlašovacích údajů do kódu. Vytvořte připojení, když agenti nebo nasazené modely potřebují načíst klíče rozhraní API nebo certifikáty za běhu.

Úkol Minimální role Scope Podrobnosti
Vytvoření připojení ke službě Key Vault Key Vault Přispěvatel + Key Vault Správce Key Vault Ukládání tajných kódů do Azure Key Vault

Nastavte mantinely a zásady

Nastavte ochranná omezení a přiřazení zásad Azure Policy, abyste omezili, které modely, nástroje a konfigurace budou v prostředí Foundry k dispozici. K dokončení těchto úloh potřebujete role s oprávněními správce, protože vynucují hranice správy pro všechny vývojáře v rámci předplatného nebo skupiny prostředků.

Úkol Minimální role Scope Podrobnosti
Vytváření mantinelí Vlastník účtu Foundry nebo vyšší Zdroj platformy Foundry Vytváření mantinelí
Vytvořit zásady ochranných opatření VlastníkneboPřispěvatel zásad prostředků Předplatné nebo skupina prostředků Vytvoření zásad ochranné mantinely
Vytvoření zásad nasazení modelu VlastníkneboPřispěvatel zásad prostředků Předplatné nebo skupina prostředků Zásady nasazení modelu
Vytváření vlastních definic zásad Přispěvatel zásad prostředků (nejnižší oprávnění) nebovlastník Cílový obor Vytváření vlastních definic zásad
Nakonfigurujte ochranná opatření třetích stran Vlastník (předplatné) + Správce Key Vault Předplatné a Key Vault Integrace třetích stran
Vynucení omezení tokenů přes AI Gateway Přispěvatel nebovlastníkslužby API Management Prostředek APIM Vynucení omezení tokenů
Řízení nástrojů agenta přes AI Gateway Přispěvatel nebovlastníkslužby API Management Instance APIM Nástroje agenta řízení

Návod k vytvoření prvního mantinely najdete v tématu Vytvoření mantinely. Zásady nasazení modelu najdete v tématu Zásady nasazení modelu.

Správa dodržování předpisů a monitorování

Úlohy týkající se souladu s předpisy a monitorování pokrývají role Azure RBAC a adresářové role Microsoft Entra. Pochopení rozdílu je důležité – role adresáře přiřazujete v Centrum pro správu Microsoft Entra, ne v okně Řízení přístupu (IAM) na portálu Azure.

Úkol Minimální role Scope Podrobnosti
Povolení Microsoft Defenderu pro cloud Správce zabezpečenínebovlastník Subscription Správa dodržování předpisů a zabezpečení
Konfigurace Microsoft Purview Vlastník účtu Foundry Zdroj platformy Foundry Správa dodržování předpisů a zabezpečení
Konfigurace nastavení diagnostiky Přispěvatel monitoringu Zdroj platformy Foundry Monitorování modelů
Nakonfigurujte trasování Application Insights Přispěvatel nebo vyšší Prostředek Application Insights Architektura agenta trasování
Spravovat infrastrukturu agentů (správce Entra) Globální správcenebosprávce AI pro Microsoft Entra Tenant služby Microsoft Entra Spravujte infrastrukturu agenta jako správce Entra
Konfigurace zásad podmíněného přístupu Správce podmíněného přístupu Microsoft Entra ID Osvědčené postupy zabezpečení MCP

Important

Oprávnění globálního správce uděluje správci uživatelských přístupů v kořenovém oboru (/) napříč všemi předplatnými. Po dokončení požadovaných úkolů zrušte toto zvýšení oprávnění. Podrobnosti najdete v tématu Řízení infrastruktury agenta jako správce Entra.

Podrobné nastavení monitorování najdete v tématu Monitorování modelů a architektury agenta Trace.

Nakonfigurujte přístup k úložišti a datové rovině

Agenti Foundry, hodnocení a několik nástrojů vyžadují role v datové rovině u prostředků úložiště a vyhledávání. Přiřaďte tyto role spravované identitě projektu Foundry , ne lidským uživatelům, aby služba za běhu přistupovala k backingovým prostředkům.

Následující tabulka obsahuje sloupec Přiřazeno , protože tyto role se týkají spravovaných identit, nikoli pro lidské uživatele.

Úkol Minimální role k přiřazení Přiřazeno komu Cílový prostředek Podrobnosti
Úložiště BYO pro Foundry Přispěvatel dat Storage Blobu spravovaná identita projektu úložišťový účet Připojení k vlastnímu úložišti
Úložiště BYO pro Speech/Language Přispěvatel dat Storage Blobu Spravovaná identita služby Foundry úložišťový účet Připojte vlastní úložiště pro řeč/jazyk
Spouštějte vyhodnocení pomocí úložiště Entra ID Vlastník dat služby Storage Blob Uživatelský a projektový prostředek úložišťový účet Oblasti a limity vyhodnocení
Indexace Foundry IQ (verze Preview) Přispěvatel dat indexu vyhledávání spravovaná identita projektu Prostředek AI Search Připojení k Foundry IQ

Note

Přiřazení rolí roviny dat, jako je Storage Blob Data Contributor, spravované identitě vyžaduje roli Owner nebo User Access Administrator pro cílový prostředek.

Nastavení zotavení po havárii

Obnova po havárii pro Foundry zahrnuje dva scénáře: převzetí služeb při selhání samotného prostředku Foundry (vysoká dostupnost) a převzetí služeb při selhání podpůrných prostředků agenta. Obnovení po havárii služby Agent je obzvlášť náročné z hlediska rolí, protože kromě prostředku Foundry vyžaduje přístup ke službám Cosmos DB, AI Search a Storage.

Úkol Minimální role Scope Podrobnosti
Nakonfigurujte vysokou dostupnost VlastníkneboPřispěvatel + Správce uživatelských přístupů Skupina zdrojů Vysoká dostupnost a odolnost proti chybám
DR služby agenta (operátor) VlastníkneboPřispěvatel + Přispěvatel k účtu DocumentDB + Přispěvatel služby Search + Přispěvatel k datům objektů blob v úložišti Skupina prostředků a podkladové prostředky Zotavení po havárii služby agenta
Zotavení po havárii služby agenta (platforma) Přispěvatelnebovlastník + účtu úložiště Zdroje a úložiště Foundry Zotavení po havárii z výpadku platformy

Podrobné postupy pro zotavení po havárii najdete v tématech Vysoká dostupnost a odolnost a Zotavení po havárii služby Agent.

Konfigurace připojení a integrací

Foundry se integruje se službou API Management, servery MCP a externími službami. Většina úloh integrace vyžaduje alespoň přispěvatele, protože vytvářejí nebo upravují Azure prostředky. Propojení Foundry s AI Gateway vyžaduje roli Vlastník účtu Foundry , protože mění konfiguraci účtu.

Úkol Minimální role Scope Podrobnosti
Přidejte připojení k Foundry Uživatel Foundry, vlastník Foundry, nebopřispěvatel Projekt slévárny Vytvoření připojení
Povolit bránu AI (APIM) Přispěvatelnebovlastník Skupina prostředků nebo předplatné Povolte bránu služby AI API Management
Propojit Link Foundry s AI Gateway Vlastník účtu FoundryneboVlastník služby Foundry Zdroj platformy Foundry Povolte bránu služby API Management pro AI
Konfigurace přístupu k serveru MCP Přispěvatel nebo vyšší Projekt slévárny Začínáme s MCP
Vytvoření vlastního serveru MCP Contributor Skupina zdrojů Vytvoření vlastního serveru MCP
Správa přístupu MCP (přiřazení role) Vlastníknebosprávce uživatelských přístupů Cílový prostředek Osvědčené postupy zabezpečení MCP
Nakonfigurujte Claude Code Přispěvatelnebovlastník Skupina zdrojů Nakonfigurujte Claude Code
Správa značek u prostředků PřispěvatelneboPřispěvatel štítků Cílový obor Zakázání funkcí ve verzi Preview

Stručný přehled: souhrn rolí

Následující tabulka shrnuje primární role se zvýšenými oprávněními a v případě, že je správci potřebují. Použijte ji k rychlé identifikaci role, kterou chcete přiřadit pro danou kategorii úkolu.

Úloha Když je to potřeba
Owner Přiřazení rolí, vlastní role RBAC, vytváření zásad, operace na úrovni předplatného
Contributor Zřizování prostředků, nasazení modelu z marketplace, operace zápisu MCP, privátní koncové body
Vlastník účtu Foundry Vytváření prostředků a projektů Foundry, nasazení modelu, správa kvót, seznamy blokování obsahu, mantinely, integrace Purview, podmíněné přiřazení rolí
Správce projektů Foundry Publikování agentů, podmíněné přiřazení role Foundry User
Vlastník foundry Dolaďování, nasazení hostovaného agenta, kombinované operace datové a řídicí roviny
Správce uživatelského přístupu Přiřaďte role, pokud nemáte vlastníka; CMK Key Vault RBAC; přístup k registru kontejneru
Přispěvatel dat objektu blob služby Storage nebo vlastník úložiště podpory agenta, vyhodnocování, vlastní úložiště (BYO), nástroj pro vyhledávání v souborech
Přispěvatel dat indexu vyhledávání Nástroje pro agenty využívající AI Search, indexování Foundry IQ
Správce služby Key Vault Připojení ke službě Key Vault, ochranné mechanismy třetích stran
Přispěvatel k politice prostředků Přiřazení služby Azure Policy pro nasazení modelu a vlastní zásady
Globální správce Správa agentů na úrovni tenanta, zvýšení oprávnění
Správce zabezpečení Microsoft Defender for Cloud
Přispěvatel monitoringu Nastavení diagnostiky
Přispěvatel sítě Konfigurace sítě VNet, perimetr zabezpečení sítě

Řešení běžných chyb oprávnění

Když vývojáři narazí na chyby oprávnění, identifikujte požadovanou roli pomocí tabulek úkolů v tomto článku. Následující tabulka mapuje běžné chybové zprávy na pravděpodobné příčiny a jejich řešení.

Zpráva o chybě Pravděpodobná příčina Resolution
AuthorizationFailed nebo The client does not have authorization to perform action Chybí role roviny řízení (role vlastníka, přispěvatele nebo role specifické pro prostředky) Identifikujte úlohu v tomto článku, poznamenejte si minimální roli a obor a pak roli přiřaďte.
Vytvoření nebo aktualizace agenta selže i s rolí Vlastník/Přispěvatel Chybějící role roviny dat Foundry v projektu Přiřaďte na úrovni projektu roli uživatel Foundry, správce projektu Foundry nebo vlastník Foundry. Viz Nastavení hostovaného agenta.
Creating that role assignment requires Microsoft.Authorization/roleAssignments/write (nebo ekvivalentní) Volající má roli správce projektu Foundry nebo vlastníka účtu Foundry, ale potřebuje přiřadit role mimo povolené omezení role uživatel Foundry. Použijte Vlastník nebo Správce řízení přístupu na základě role v oboru cílového prostředku (například ACR nebo Log Analytics).
ForbiddenError při nasazení modelu V prostředku služby Foundry chybí vlastník účtu služby Foundry Viz Nasazení a správa modelů.
LinkedAuthorizationFailed během vytváření prostředků Chybějící oprávnění k propojenému prostředku (úložiště, Key Vault nebo hledání) Zkontrolujte konfiguraci infrastruktury agenta pro požadavky na role mezi službami.
Agent vrátí 403 za běhu. Chybějící role roviny dat v záložním prostředku Ověřte přiřazení rolí spravované identity v tabulce Nastavení agenta Standard.
Je přiřazena starší role Azure AI Developer, ale úlohy ve Foundry stále selhávají Starší přiřazení role projektu hubu neodpovídá aktuálním požadavkům na role ve Foundry Použijte mapování rolí v tomto článku a přiřaďte požadovanou roli ve správném oboru pro neúspěšnou úlohu.
Tlačítko Publikovat agenta je neaktivní. Chybí Správce projektu Foundry v rozsahu prostředků Foundry Přiřaďte roli Foundry Project Manager na úrovni prostředku Foundry (účtu), nejen na úrovni projektu. Viz Publikovat agenty.
RoleAssignmentExists Role již přiřazená ve stejném oboru Není potřeba žádná akce.
Chyba názvu modelu nebo oblasti (například InvalidModelName) Model není ve vybrané oblasti k dispozici. Zkontrolujte dostupnost oblasti modelu a znovu nasaďte v podporované oblasti.
Chyba kvóty (například InsufficientQuota) Nasazení překračuje kvótu TPM předplatného pro model nebo oblast. Viz Správa kvót pro zobrazení aktuálního využití a zvýšení požadavků.
Cosmos DB Built-in Data Contributor nenalezena v IAM Role roviny dat služby Cosmos DB se nezobrazují v okně Řízení přístupu (IAM) portálu Tuto roli přiřaďte prostřednictvím Azure CLI (az cosmosdb sql role assignment create) nebo Bicep. Podrobnosti najdete v poznámce k nastavení standardního agenta .
Could not resolve host nebo selhání překladu DNS po nastavení privátního koncového bodu Privátní zóna DNS není propojena s virtuální sítí nebo záznamy DNS nejsou propagovány Ověřte, že je privátní zóna DNS propojená se správnou virtuální sítí. Viz Konfigurace privátního propojení.
Authorization_RequestDenied z Microsoft Graph nebo Entra ID Chybějící adresářová role Microsoft Entra (například Globální správce nebo Správce AI pro Microsoft Entra) Role adresáře Entra se přiřazují v Centrum pro správu Microsoft Entra, ne v Azure RBAC. Viz Správa dodržování předpisů a monitorování.

Tip

Propagace přiřazení rolí může trvat až pět minut. Požádejte vývojáře, aby se po přiřazení role odhlasil a znovu se přihlásil. Obecné Azure řešení potíží s RBAC najdete v tématu Řešení potíží Azure RBAC.