Řízení přístupu na základě role pro Microsoft Foundry

V tomto článku se seznámíte se základními koncepty řízení přístupu na základě role (RBAC) pro Microsoft Foundry, včetně oborů, předdefinovaných rolí a běžných vzorů přiřazení podniku.

Tip

Role RBAC se použijí, když se ověřujete pomocí Microsoft Entra ID. Pokud místo toho použijete ověřování založené na klíči, udělí klíč úplný přístup bez omezení rolí. Microsoft doporučuje používat ověřování Entra ID pro lepší zabezpečení a podrobné řízení přístupu.

Další informace o ověřování a autorizaci v Microsoft Foundry najdete v tématu Authentication a Authorization.

Zahájení práce s minimálním přiřazením rolí

Aby mohli noví uživatelé služby Azure a Microsoft Foundry začít, je třeba nastavit tato minimální přiřazení, aby k funkcím Foundry měl přístup jak uživatelský principál, tak i spravovaná identita projektu.

Aktuální přiřazení můžete ověřit pomocí funkce Zkontrolovat přístup uživatele k jednotlivému prostředku Azure.

  • Přiřaďte roli uživatele Foundry k prostředku Foundryinstančnímu objektu uživatele.

    Important

    Nedávno byly přejmenovány role Foundry RBAC. Foundry User, Foundry Owner, Foundry Account Owner a Foundry Project Manager se dříve nazývaly Uživatel Azure AI, Vlastník Azure AI, Vlastník účtu Azure AI a Správce projektů Azure AI. Během zavádění přejmenování se stále můžou zobrazovat předchozí názvy na některých místech. ID rolí a základní oprávnění se při přejmenování nezmění.

  • Přiřaďte roli Foundry User u svého prostředku Foundry spravované identitě vašeho projektu.

Pokud může uživatel, který projekt vytvořil, přiřadit role (například tím, že má roli Azure Owner v oboru předplatného nebo skupiny prostředků), přidají se obě přiřazení automaticky.

Tip

Pokud uživatel nebo instanční objekt služby potřebuje pouze komunikovat s agenty (například voláním rozhraní Responses API), aniž by je vytvářel nebo upravoval, přiřaďte roli Foundry Agent Consumer místo Foundry User. Tato role poskytuje uživatelům agenta přístup podle principu nejmenších oprávnění.

Tip

Pokud uživatel nebo instanční objekt služby potřebuje pouze komunikovat s agenty (například voláním rozhraní Responses API), aniž by je vytvářel nebo upravoval, přiřaďte roli Foundry Agent Consumer místo Foundry User. Tato role poskytuje uživatelům agenta přístup podle principu nejmenších oprávnění.

Pokud chcete tyto role přiřadit ručně, použijte následující rychlé kroky.

Přiřazení role hlavnímu uživatelskému objektu

Na portálu Azure otevřete prostředek Foundry a přejděte na možnost Řízení přístupu (IAM). Vytvořte přiřazení role pro uživatele Foundry, nastavte členy na Uživatele, skupinu nebo instanční objekt, vyberte instanční objekt uživatele a pak vyberte Zkontrolovat a přiřadit.

Přiřazení role ke spravované identitě projektu

Na portálu Azure otevřete projekt Foundry a přejděte na ovládací prvek Access (IAM). Vytvořte přiřazení role pro Foundry User, nastavte Členové na spravovanou identitu, vyberte spravovanou identitu vašeho projektu a pak vyberte Zkontrolovat a přiřadit.

Terminologie pro řízení přístupu na základě role v Foundry

Pokud chcete porozumět řízení přístupu na základě role v Microsoft Foundry, zvažte dvě otázky pro váš podnik.

  • Jaká oprávnění chci, aby měl můj tým při sestavování v Microsoft Foundry?
  • V jakém oboru chci přiřadit oprávnění mému týmu?

Pokud chcete zodpovědět tyto otázky, tady jsou popisy některých terminologie, které se používají v tomto článku.

  • Oprávnění: Povolené nebo odepřené akce, které může identita provádět u prostředku, jako je čtení, zápis, odstranění nebo správa operací řídicí roviny i roviny dat.
  • Scope: Sada prostředků Azure, na které se vztahuje přiřazení role. Mezi typické obory patří předplatné, skupina prostředků, prostředek Foundry, projekt Foundry nebo jednotlivý agent.
  • Scope: Sada prostředků Azure, na které se vztahuje přiřazení role. Mezi typické obory patří předplatné, skupina prostředků, prostředek Foundry, projekt Foundry nebo jednotlivý agent.
  • Role: Pojmenovaná kolekce oprávnění, která definuje, jaké akce mohou být prováděny na prostředcích Azure v daném rozsahu.

Identita získá roli s konkrétními oprávněními ve vybraném oboru na základě vašich podnikových požadavků.

V Microsoft Foundry zvažte při dokončování přiřazení rolí následující obory.

  • Foundry resource: Nejvyšší úroveň rozsahu, která definuje hranice správy, zabezpečení a monitorování pro prostředí Microsoft Foundry.
  • Projekt Foundry: Dílčí obor v rámci zdroje Foundry, který slouží k uspořádání práce a vynucování řízení přístupu pro rozhraní Foundry API, nástroje a vývojářské pracovní postupy.
  • Agent: Užší rozsah v rámci projektu Foundry, který se vztahuje na jednotlivého agenta. Přiřazení rolí v tomto oboru se v současné době vyhodnocují jenom pro přístup ke koncovému bodu agenta, takže tento obor použijte k udělení přístupu ke koncovým bodům konkrétního agenta bez udělení přístupu ke koncovým bodům všem agentům v projektu. Další informace najdete v tématu Přiřazení rolí oboru agenta.

Předdefinované role

Role vestavěná role v Foundry je role vytvořená společností Microsoft, která pokrývá běžné scénáře přístupu, které můžete přiřadit členům týmu. Mezi klíčové předdefinované role používané napříč Azure patří Vlastník, Přispěvatel a Čtenář. Tyto role nejsou specifické pro oprávnění k prostředkům Foundry.

V případě prostředků Foundry použijte další předdefinované role k dodržování principů přístupu s nejnižšími oprávněními. Následující tabulka uvádí klíčové předdefinované role pro Foundry a odkazuje na přesné definice rolí v AI + Machine Learning předdefinované role.

Roli Popis
Foundry Agent Consumer Uděluje oprávnění k interakci s koncovými body agenta v projektu Foundry. Role s nejnižšími oprávněními pro přístup pro identity, které potřebují pouze komunikovat s agenty.
Uživatel Foundry Uděluje čtenářům přístup k projektu Foundry, zdroji Foundry a akcím dat pro váš projekt Foundry. Pokud můžete přiřadit role, přiřadí se vám tato role automaticky. Jinak mu vlastník předplatného nebo uživatel s oprávněním k přiřazení role udělí oprávnění. Role přístupu s nejnižšími oprávněními pro vývojáře, kteří vytvářejí a testují agenty.
Správce projektů Foundry Umožňuje provádět akce správy projektů Foundry, sestavovat a vyvíjet pomocí projektů a podmíněně přiřazovat roli uživatele Foundry dalším identitám uživatelů.
Vlastník účtu Foundry Uděluje úplný přístup ke správě projektů a zdrojů a umožňuje podmíněně přiřadit role Foundry User, ACR a monitorování k jiným objektům zabezpečení uživatele.
Vlastník foundry Uděluje úplný přístup ke správě projektů a zdrojů a sestavování a vývoji pomocí projektů. Umožňuje podmíněně přiřadit role Foundry User, ACR a Monitor. Vysoce privilegovaná samoobslužná role navržená pro digitální nativní uživatele.

Poznámka

Nepřiřazujte předdefinované role, které začínají službou Cognitive Services. Tyto role jsou navržené pro přímý přístup k prostředkům AI Services a nevztahují se na scénáře Foundry. Podobně nepoužívejte roli Azure AI Developer pro Foundry work. Navzdory názvu se tato role vztahuje na pracovní prostory Azure Machine Learning a huby Foundry, nikoli na projekty Foundry ani na agenty hostované službou Foundry. Pro přístup k projektu Foundry použijte místo toho uživatele Foundry nebo vlastníka Foundry .

Oprávnění pro každou předdefinované role

Pomocí následující tabulky zobrazíte oprávnění povolená pro každou předdefinované role v Microsoft Foundry.

Předdefinovaná role Vytváření projektů Foundry Vytvoření účtů Foundry Sestavení a vývoj v projektu (datové akce) Dokončení přiřazení rolí Přístup čtenáře k projektům a účtům Správa modelů Publikování agentů Pracovat s koncovými body agenta
Foundry Agent Consumer
Uživatel Foundry
Správce projektů Foundry ✔ (přiřadit pouze roli uživatele Foundry)
Vlastník účtu Foundry ✔ (přiřazení rolí uživatele Foundry, ACR a monitorování)
Vlastník foundry ✔ (přiřazení rolí uživatele Foundry, ACR a monitorování)

Important

Nedávno byly přejmenovány role Foundry RBAC. Foundry User, Foundry Owner, Foundry Account Owner a Foundry Project Manager se dříve nazývaly Uživatel Azure AI, Vlastník Azure AI, Vlastník účtu Azure AI a Správce projektů Azure AI. Během zavádění přejmenování se stále můžou zobrazovat předchozí názvy na některých místech. ID rolí a základní oprávnění se při přejmenování nezmění.

Použijte následující tabulku k zobrazení oprávnění povolených pro každou klíčovou předdefinovanou roli Azure (Vlastník, Přispěvatel, Čtenář).

Předdefinovaná role Vytváření projektů Foundry Vytvoření účtů Foundry Sestavení a vývoj v projektu (datové akce) Dokončení přiřazení rolí Přístup čtenáře k projektům a účtům Správa modelů Publikování agentů Pracovat s koncovými body agenta
Vlastník ✔ (přiřaďte libovolné roli libovolnému uživateli)
Přispěvatel
Čtenář

K publikování agentů potřebujete alespoň roli Foundry Project Manager v rozsahu prostředku Foundry. Další informace najdete v tématu Aplikace agenta v Microsoft Foundry.

Pomocí těchto karet můžete prozkoumat rozdíly mezi integrovanými rolemi přiřazenými na úrovni prostředku Foundry (kromě role vlastníka, která je přiřazená na úrovni předplatného).

Ukázková mapování RBAC podniku pro projekty

Zde je příklad implementace řízení přístupu založeného na rolích (RBAC) pro podnikový prostředek Foundry.

Persona Role a rozsah Účel
Správce IT Vlastník rozsahu předplatného Správce IT zajistí, že zdroj Foundry splňuje podnikové standardy. Přiřaďte správcům roli Vlastník účtu Foundry u prostředku, aby mohli vytvářet nové účty Foundry. Přiřaďte správcům roli Foundry Project Manager na zdroj, aby mohli vytvářet projekty v rámci účtu.
Manažeři Vlastník účtu Foundry v oboru prostředků Foundry Správci spravují prostředek Foundry, nasazují modely, auditovat výpočetní prostředky, auditovat připojení a vytvářet sdílená připojení. Nemohou vytvářet v projektech, ale mohou roli Foundry User přiřadit sami sobě i ostatním, aby mohli začít vytvářet.
Vedoucí týmu nebo vedoucí vývojář Projektový manažer Foundry pro rozsah prostředků Foundry Vedoucí vývojáři vytvářejí projekty pro svůj tým a začnou v nich pracovat. Po vytvoření projektu pozvou vlastníci projektu další členy a přiřadí roli Uživatele Foundry .
Členové týmu nebo vývojáři Obor projektu Foundry User on Foundry a Čtenář v oboru zdroje Foundry Vývojáři vytvářejí agenty v projektu s předem nasazenými modely Foundry a předem sestavenými připojeními.
Příjemci agentů nebo koncoví uživatelé Příjemce agenta Foundry v oboru projektu Foundry (nebo rozsah agenta pro řízení jednotlivých agentů) Uživatelé a instanční objekty, které potřebují komunikovat jenom s agenty prostřednictvím jejich koncových bodů. Tato role poskytuje přístup s nejnižšími oprávněními bez udělení širších možností vývoje.

Správa přiřazení rolí

Pokud chcete spravovat role v Foundry, musíte mít oprávnění k přiřazování a odebírání rolí v Azure. Tato oprávnění zahrnuje Azure předdefinovaná role Owner. Role můžete přiřadit prostřednictvím portálu Foundry (stránka pro správu), Azure portálu IAM nebo Azure CLI. Role můžete odebrat pomocí Azure portálu IAM nebo Azure CLI.

Na portálu Foundry spravujte oprávnění pomocí:

  1. Otevřete stránku Správce v Foundry a pak vyberte Správa>Správce.
  2. Vyberte název projektu.
  3. Chcete-li spravovat přístup k projektu, vyberte Přidat uživatele . Tato akce je dostupná jenom v případě, že máte oprávnění k přiřazení role.
  4. Použijte stejný proces pro přístup na úrovni prostředků Foundry.

Přiřazení rolí v oboru agenta

Přiřaďte role v oboru konkrétního agenta místo celého projektu. Tento přístup umožňuje udělit přístup ke koncovému bodu jednomu agentu bez udělení přístupu ke koncovému bodu všem agentům v projektu. Identifikátor URI rozsahu agenta má tento formát:

/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.CognitiveServices/accounts/<accountName>/projects/<projectName>/agents/<agentName>

Poznámka

Systém v současné době vyhodnocuje přiřazení rolí v oboru agenta pouze pro přístup ke koncovému bodu agenta. Přiřazení role v oboru jednotlivého agenta ovlivňuje, jestli může přiřazený uživatel pracovat s koncovými body tohoto agenta, ale neuděluje širší řídicí rovinu nebo oprávnění ke správě.

Například následující příkaz přiřadí instančnímu objektu služby roli Foundry Agent Consumer (ID definice role eed3b665-ab3a-47b6-8f48-c9382fb1dad6) v rozsahu konkrétního agenta.

az role assignment create \
    --assignee "<principalId>" \
    --role "eed3b665-ab3a-47b6-8f48-c9382fb1dad6" \
    --scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.CognitiveServices/accounts/<accountName>/projects/<projectName>/agents/<agentName>"

Mechanismus přiřazení role pro obory agentů se řídí stejným modelem RBAC Azure jako přiřazení rozsahu projektu. Libovolnou roli, kterou je možné přiřadit v oboru projektu, je možné přiřadit také v oboru agenta. V rámci oboru agenta se však přiřazení rolí v současné době vyhodnocují pouze pro přístup ke koncovému bodu agenta a neposkytují širší oprávnění v rovině řízení ani oprávnění ke správě.

Vytváření vlastních rolí pro projekty

Pokud předdefinované role nevyhovují vašim podnikovým požadavkům, vytvořte vlastní roli, která umožňuje přesnou kontrolu nad povolenými akcemi a obory. Tady je příklad definice vlastní role na úrovni předplatného:

{
  "properties": {
    "roleName": "My Enterprise Foundry User",
    "description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
    "assignableScopes": ["/subscriptions/<your-subscription-id>"],
    "permissions": [ { 
        "actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"], 
        "notActions": [], 
        "dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"], 
        "notDataActions": []     
    } ]
  }
}

Další informace o vytvoření vlastní role najdete v následujících článcích.

Poznámky a omezení

  • Pokud chcete zobrazit a vyprázdnit odstraněné účty Foundry, musíte mít přiřazenou roli Přispěvatel v oboru předplatného.

  • Uživatelé s rolí Přispěvatel mohou nasazovat modely v Foundry.

  • K vytvoření vlastních rolí v rámci prostředku potřebujete roli Vlastník na úrovni prostředku.

  • Pokud máte oprávnění k přiřazení role v Azure (například role Vlastník přiřazená v oboru účtu) k objektu zabezpečení uživatele a nasadíte prostředek Foundry z Azure portálu nebo uživatelského rozhraní portálu Foundry, role uživatele Foundry se automaticky přiřadí k objektu zabezpečení uživatele. Toto přiřazení se nevztahuje při nasazování Foundry ze sady SDK nebo rozhraní příkazového řádku.

    Important

    Nedávno byly přejmenovány role Foundry RBAC. Foundry User, Foundry Owner, Foundry Account Owner a Foundry Project Manager se dříve nazývaly Uživatel Azure AI, Vlastník Azure AI, Vlastník účtu Azure AI a Správce projektů Azure AI. Během zavádění přejmenování se stále můžou zobrazovat předchozí názvy na některých místech. ID rolí a základní oprávnění se při přejmenování nezmění.

  • Při vytváření prostředku Foundry vám předdefinovaná oprávnění řízení přístupu na základě role (RBAC) umožňují přístup k prostředku. Pokud chcete použít prostředky vytvořené mimo Foundry, ujistěte se, že má prostředek oprávnění, která vám umožní přístup k prostředku. Tady je několik příkladů:

    • Chcete-li použít nový účet Azure Blob Storage, přidejte spravovanou identitu účtu Foundry do role Čtenář dat objektů blob na tomto účtu úložiště.
    • Pokud chcete použít nový zdroj Azure AI Vyhledávač, přidejte Foundry do přiřazení rolí Azure AI Vyhledávač.
  • K vyladění modelu v Foundry potřebujete oprávnění roviny dat i řídicí roviny. Nasazení jemně vyladěného modelu je oprávnění v řídicí rovině systému. Jediná předdefinovaná role s oprávněními roviny dat i řídicí roviny je proto role vlastníka Foundry . Pokud chcete, můžete také přiřadit roli Uživatele Foundry pro oprávnění roviny dat a roli Vlastník účtu Foundry pro oprávnění řídicí roviny.

Oprávnění specifická pro typ nasazení

Následující části zahrnují plochu oprávnění pro konkrétní typy nasazení. Použijte je spolu s předdefinovanými tabulkami rolí v části Oprávnění pro jednotlivé předdefinované role při plánování přiřazení rolí pro konkrétní pracovní zátěž.

Operace spravované řídicí roviny výpočetních prostředků

Spravovaná výpočetní nasazení (Preview) se řídí vlastní sadou operací poskytovatele prostředků Azure v rámci poskytovatele Microsoft.CognitiveServices. Tyto operace řídí, kdo může vytvářet, číst, aktualizovat a odstraňovat spravované výpočetní nasazení a kdo může číst dostupnou kapacitu akcelerátoru a využití kvót pro účet Foundry.

Tato část uvádí pět požadovaných operací řídicí roviny, předdefinované role, které k nim udělují oprávnění, a způsob, jakým se mapování rolí na oprávnění liší ve srovnání se standardními nasazeními (s platbou za token a PTU).

Poznámka

Operace v této části řídí řídicí rovinu – vytváření, konfiguraci a odstraňování nasazení. Chcete-li vyvolat nasazení při inferenci, přiřaďte v rámci účtu Foundry roli Foundry User (nebo použijte klíč API účtu). Viz Ověřování a autorizace v Foundry.

Požadované operace

K plné správě spravovaných výpočetních nasazení v účtu Foundry se vyžaduje pět operací:

Operace Popis
Microsoft.CognitiveServices/accounts/managedComputeDeployments/read Číst nebo vypsat spravovaná výpočetní nasazení na účtu Foundry
Microsoft.CognitiveServices/accounts/managedComputeDeployments/write Vytvoření nebo aktualizace spravovaného výpočetního nasazení
Microsoft.CognitiveServices/accounts/managedComputeDeployments/delete Odstranění spravovaného výpočetního nasazení
Microsoft.CognitiveServices/locations/managedComputeCapacities/read Vypíše dostupnou kapacitu akcelerátoru podle oblasti.
Microsoft.CognitiveServices/locations/usages/read Využití akcelerátoru čtení a využití kvót

Important

Operace kořenové úrovně Microsoft.CognitiveServices/capacities/read neexistuje. Vlastní role, které udělují oprávnění ke čtení kapacity, musí používat operaci locations/managedComputeCapacities/read s rozsahem umístění (nebo managedComputeCapacities/read, pokud je definována v kořenovém adresáři poskytovatele). Zástupný znak, například Microsoft.CognitiveServices/locations/*/read, odpovídá locations/usages/read, ale neodpovídá locations/managedComputeCapacities/read. Vypsat operaci explicitně při vytváření vlastní role.

Mapování rolí na oprávnění

Následující tabulka ukazuje, které předdefinované role udělují oprávnění pro každou z pěti operací řídicí roviny spravovaných výpočetních prostředků.

Roli managedComputeDeployments/read managedComputeDeployments/write managedComputeDeployments/delete managedComputeCapacities/read usages/read
Přispěvatel služeb Cognitive Services
Uživatel služby Cognitive Services
Vlastník foundry
Vlastník účtu Foundry
Správce projektů Foundry
Uživatel Foundry

Předdefinované role Azure Owner a Contributor udělují všech pět operací prostřednictvím oprávnění akce se zástupným znakem pro předplatné nebo skupinu prostředků.

Porovnání: Standardní nasazení vs. spravovaná výpočetní nasazení

Plocha oprávnění řídicí roviny pro spravovaná výpočetní nasazení zrcadlí plochu pro standardní nasazení (s platbami za token a PTU). názvy operací se liší pouze podle segmentu typu prostředku (deployments vs managedComputeDeployments. a modelCapacities vs managedComputeCapacities. ).

Následující tabulka shrnuje, jak se pokrytí CRUD jednotlivých rolí porovnává mezi dvěma rodinami nasazení:

Roli Standardní nasazení CRUD Spravovaná výpočetní nasazení CRUD Rozdíl
Přispěvatel služeb Cognitive Services Úplný Úplný Stejné
Uživatel služeb Cognitive Services Read-only Read-only Stejné
Vlastník foundry Úplný Úplný Stejné
Vlastník účtu Foundry Úplný Úplný Stejné
Správce projektu Foundry Čtení + kapacity + využití Čtení + kapacity + využití Stejné
Uživatel Foundry Čtení + kapacity + využití Čtení + kapacity + využití Stejné

Poznámka

Pokud vytvoříte vlastní roli, která používá zástupný znak locations/*/read k udělení oprávnění ke čtení kapacity u standardních nasazení, tento zástupný znak nezahrnuje managedComputeCapacities/read. Explicitně přidejte Microsoft.CognitiveServices/locations/managedComputeCapacities/read do vlastní role, abyste udělili oprávnění ke čtení kapacity v rovině řízení spravovaných výpočetních prostředků.

Při přiřazování přístupu pro tyto operace se spravovanými výpočetními prostředky použijte následující výchozí body:

  • Nasazování a provoz spravovaných výpočetních nasazení: přiřaďte roli Cognitive Services Contributor v rozsahu účtu Foundry.
  • Prohlížeč jen pro čtení pro nasazení a kvótu: přiřaďte uživatele služeb Cognitive Services nebo Uživatele Foundry v oboru účtu Foundry.
  • Spravovat projekt Foundry, ale nenasazovat modely: přiřaďte Foundry Project Manager na úrovni účtu Foundry. Projektoví manažeři mohou číst nasazení a kvóty, ale nemohou je vytvářet ani mazat.
  • Volání spravovaného nasazení výpočetních prostředků pomocí Microsoft Entra ID během inference: přiřaďte roli Foundry User v rozsahu účtu Foundry navíc k jakékoli roli řídicí roviny, kterou má uživatel přiřazenou (nebo i bez jakékoli role řídicí roviny v případě uživatelů používajících pouze inferenci).

Kompletní pracovní postup nasazení najdete v tématu Nasazení opensourcových modelů se spravovanými výpočetními prostředky.

Dodatek

Příklady izolace přístupu

Každá organizace může mít různé požadavky na izolaci přístupu v závislosti na uživatelích v podniku. Izolace přístupu označuje, kterým uživatelům ve vašem podniku se udělí přiřazení rolí pro oddělení oprávnění pomocí našich předdefinovaných rolí nebo jednotné, vysoce permisivní role. Pro Foundry můžete vybrat tři možnosti izolace přístupu v závislosti na požadavcích na izolaci přístupu.

Žádná izolace přístupu. To znamená, že ve vašem podniku nemáte žádné požadavky, které by oddělovaly oprávnění mezi vývojářem, projektovým manažerem nebo správcem. Oprávnění pro tyto role je možné přiřadit napříč týmy.

Proto byste měli...

  • Udělit všem uživatelům ve vaší organizaci roli Foundry Owner v rámci rozsahu prostředku

    Important

    Nedávno byly přejmenovány role Foundry RBAC. Foundry User, Foundry Owner, Foundry Account Owner a Foundry Project Manager se dříve nazývaly Uživatel Azure AI, Vlastník Azure AI, Vlastník účtu Azure AI a Správce projektů Azure AI. Během zavádění přejmenování se stále můžou zobrazovat předchozí názvy na některých místech. ID rolí a základní oprávnění se při přejmenování nezmění.

Částečná izolace přístupu To znamená, že projektový manažer ve vaší organizaci by měl být schopný vyvíjet v rámci projektů i vytvářet projekty. Vaši správci by ale neměli být schopni vyvíjet v rámci Foundry, vytvářet pouze projekty a účty Foundry.

Proto byste měli...

  • Přiřaďte správci roli Foundry Account Owner v oboru prostředku.
  • Udělte svým vývojářům a projektovým manažerům roli Foundry Project Manager u prostředku.

Úplná izolace přístupu. To znamená, že vaši správci, projektoví manažeři a vývojáři mají přiřazená jasná oprávnění, která se nepřekrývají pro jejich různé funkce v rámci podniku.

Proto byste měli...

  • Přiřaďte svému správci roli Vlastník účtu Foundry v oboru prostředků
  • Udělte vývojáři roli Čtenář v rámci prostředků Foundry a roli Uživatel Foundry v rámci projektu.
  • Udělte správci projektu roli Foundry Project Manager v rámci oboru prostředků.
  • Udělte uživatelům agenta roli Foundry Agent Consumer v rozsahu projektu (nebo v rozsahu agenta pro řízení na úrovni jednotlivých agentů).

Použití skupin Microsoft Entra s Foundry

Microsoft Entra ID nabízí několik způsobů správy přístupu k prostředkům, aplikacím a úkolům. Pomocí Microsoft Entra skupin můžete udělit přístup a oprávnění skupině uživatelů, nikoli jednotlivým uživatelům. Podnikoví správci IT můžou vytvářet Microsoft Entra skupiny na portálu Azure, aby zjednodušily proces přiřazování rolí vývojářům. Když vytvoříte skupinu Microsoft Entra, můžete minimalizovat počet přiřazení rolí potřebných pro nové vývojáře pracující na projektech Foundry tím, že skupině přiřadíte požadované přiřazení role k potřebnému prostředku.

Dokončete následující kroky, abyste použili skupiny Microsoft Entra ID se službou Foundry.

  1. Vytvořte skupinu Security v Groups na portálu Azure.
  2. Přidejte vlastníka a uživatelské identity ve vaší organizaci, které potřebují sdílený přístup.
  3. Otevřete cílový prostředek a přejděte do Řízení přístupu (IAM).
  4. Přiřaďte požadovanou roli uživateli, skupině nebo instančnímu objektu a vyberte novou skupinu zabezpečení.
  5. Vyberte Zkontrolovat a přiřadit , aby se přiřazení role použilo pro všechny členy skupiny.

Běžné příklady:

  • Pokud chcete vytvářet agenty, spouštět trasování a používat základní funkce Foundry, přiřaďte skupině Microsoft Entra Foundry User.
  • Pokud chcete povolit interakci s agenty bez širšího vývojového přístupu, přiřaďte uživatele agenta Foundry ke skupině Microsoft Entra.
  • Pokud chcete používat funkce trasování a monitorování, přiřaďte Reader připojeného prostředku Application Insights ke stejné skupině.

Další informace o Microsoft Entra ID skupinách, požadavcích a omezeních najdete v tématu: