Konfigurace sítě a přístupu pro Azure OpenAI ve vašich datech

Poznámka:

Od června 2024 už není potřeba formulář aplikace pro privátní koncový bod spravovaný Microsoftem do služby Azure AI Search.

Spravovaný privátní koncový bod se odstraní z virtuální sítě spravované Microsoftem v červenci 2025. Pokud jste už prostřednictvím procesu aplikace zřídili spravovaný privátní koncový bod před červnem 2024, povolte důvěryhodnou službu Azure AI Search co nejdříve, abyste se vyhnuli přerušení služeb.

V tomto článku se dozvíte, jak nakonfigurovat sítě a přístup při používání Azure OpenAI na vašich datech s řízením přístupu na základě role na základě ID Microsoft Entra, virtuálními sítěmi a privátními koncovými body.

Architektura příjmu dat

Při použití Azure OpenAI On Your Data k ingestování dat z Úložiště objektů blob v Azure, místních souborů nebo adres URL do služby Azure AI Search se k zpracování dat použije následující proces.

• Kroky 1 a 2 se používají pouze k nahrání souboru.
• V tomto diagramu není znázorněno stahování adres URL do úložiště objektů blob. Po stažení webových stránek z internetu a jejich nahrání do úložiště blobů jsou kroky od třetího dále stejné.
• Jeden indexer, jeden index a jeden zdroj dat v prostředku Azure AI Search se vytvoří pomocí předem připravených dovedností a integrované vektorizace.
• Azure AI Search zpracovává extrakci, vytváření bloků dat a vektorizaci dokumentů prostřednictvím integrované vektorizace. Pokud je zadaný plánovací interval, indexer se spustí odpovídajícím způsobem.

Pro spravované identity používané při volání služby se podporují pouze spravované identity přiřazené systémem. Spravované identity přiřazené uživatelem se nepodporují.

Architektura odvození

Při odesílání volání rozhraní API pro chatování s modelem Azure OpenAI na vašich datech musí služba načíst pole indexu během odvozování, aby bylo možné provádět mapování polí. Proto služba vyžaduje, aby identita Azure OpenAI měla Search Service Contributor roli vyhledávací služby i během odvozování.

Pokud je v požadavku na inference k dispozici vložená závislost, Azure OpenAI vektorizuje přepsaný dotaz a dotaz i vektor se odešlou do Azure AI Search pro vektorové vyhledávání.

Řízení přístupu na úrovni dokumentu

Poznámka:

Řízení přístupu na úrovni dokumentu se podporuje jenom pro vyhledávání Azure AI.

Azure OpenAI On Your Data umožňuje omezit dokumenty, které se dají použít v odpovědích pro různé uživatele pomocí filtrů zabezpečení služby Azure AI Search. Když povolíte přístup na úrovni dokumentu, Azure AI Search ořízne výsledky hledání na základě členství ve skupině Microsoft Entra zadané ve filtru. Přístup na úrovni dokumentu můžete povolit pouze u existujících indexů Azure AI Search. Povolení přístupu na úrovni dokumentu:

1. Pokud chcete zaregistrovat aplikaci a vytvořit uživatele a skupiny, postupujte podle pokynů v dokumentaci ke službě Azure AI Search.

2. Indexujte dokumenty s povolenými skupinami. Ujistěte se, že nová pole zabezpečení mají schéma:

   {"name": "group_ids", "type": "Collection(Edm.String)", "filterable": true }
   

   group_ids je výchozí název pole. Pokud použijete jiný název pole, například my_group_ids, můžete pole mapovat v mapování polí indexu.

3. Ujistěte se, že každý citlivý dokument v indexu má tuto hodnotu pole zabezpečení nastavenou na povolené skupiny dokumentu.

4. Na portálu Azure AI Foundry přidejte zdroj dat. V části mapování polí indexu můžete namapovat nulovou nebo jednu hodnotu na pole povolených skupin , pokud je schéma kompatibilní. Pokud není namapované pole povolené skupiny, přístup na úrovni dokumentu je zakázaný.

Portál Azure AI Foundry

Po připojení indexu Azure AI Search mají vaše odpovědi v studiu přístup k dokumentům na základě oprávnění Microsoft Entra přihlášeného uživatele.

Rozhraní API

Při použití rozhraní API předejte filter parametr v každém požadavku rozhraní API. Příklad:

Důležité

Používejte klíče rozhraní API s opatrností. Nezahrnujte klíč rozhraní API přímo do kódu a nikdy ho nezveřejňujte veřejně. Pokud používáte klíč rozhraní API, bezpečně ho uložte ve službě Azure Key Vault. Další informace o bezpečném používání klíčů ROZHRANÍ API ve vašich aplikacích najdete v tématu Klíče rozhraní API se službou Azure Key Vault.

Další informace o zabezpečení služeb AI najdete v tématu Ověřování požadavků na služby Azure AI.

Další informace o zabezpečení najdete v tématu Ověřování požadavků.

{
    "messages": [
        {
            "role": "user",
            "content": "who is my manager?"
        }
    ],
    "data_sources": [
        {
            "type": "azure_search",
            "parameters": {
                "endpoint": "<AZURE_AI_SEARCH_ENDPOINT>",
                "key": "<AZURE_AI_SEARCH_API_KEY>",
                "index_name": "<AZURE_AI_SEARCH_INDEX>",
                "filter": "my_group_ids/any(g:search.in(g, 'group_id1, group_id2'))"
            }
        }
    ]
}

• my_group_ids je název pole, který jste vybrali pro povolené skupiny během mapování polí.
• group_id1, group_id2 jsou skupiny přiřazené přihlášeným uživatelům. Klientská aplikace může načítat a ukládat skupiny uživatelů do mezipaměti pomocí rozhraní Microsoft Graph API.

Konfigurace prostředků

Pomocí následujících částí nakonfigurujte prostředky pro optimální zabezpečené využití. I když plánujete zabezpečit jenom část prostředků, musíte postupovat podle všech kroků.

Tento článek popisuje nastavení sítě související se zákazem veřejné sítě pro prostředky Azure OpenAI, prostředky azure AI Search a účty úložiště. Použití vybraných sítí s pravidly PROTOKOLU IP se nepodporuje, protože IP adresy služeb jsou dynamické.

Vytvořit skupinu zdrojů

Vytvořte skupinu prostředků, abyste mohli uspořádat všechny relevantní prostředky. Mezi prostředky ve skupině prostředků patří mimo jiné:

• Jedna virtuální síť
• Tři klíčové služby: jeden Azure OpenAI, jeden Azure AI Search, jeden účet úložiště
• Tři privátní koncové body, z nichž každá je propojená s jednou klíčovou službou
• Tři síťová rozhraní, z nichž každá je přidružená k jednomu privátnímu koncovému bodu
• Jedna brána virtuální sítě pro přístup z místních klientských počítačů
• Jedna webová aplikace s integrovanou virtuální sítí
• Jedna Privátní DNS zóna, takže webová aplikace najde IP adresu vašeho Azure OpenAI.

Vytvoření virtuální sítě

Virtuální síť má tři podsítě.

1. První podsíť se používá pro bránu virtuální sítě.
2. Druhá podsíť se používá pro privátní koncové body pro tři klíčové služby.
3. Třetí podsíť je prázdná a používá se pro integraci odchozí virtuální sítě webové aplikace.

Konfigurace Azure OpenAI

Povolení vlastní subdomény

Vlastní subdoména se vyžaduje pro ověřování na základě ID Microsoft Entra a privátní zóny DNS. Pokud se prostředek Azure OpenAI vytvoří pomocí šablony ARM, je nutné explicitně zadat vlastní subdoménu.

Povolit spravovanou identitu

Pokud chcete umožnit službě Azure AI Search a účtu úložiště rozpoznat modely Azure OpenAI v Azure AI Foundry pomocí ověřování prostřednictvím Microsoft Entra ID, musíte přiřadit spravovanou identitu pro Azure OpenAI v modelech Azure AI Foundry. Nejjednodušším způsobem je přepnout spravovanou identitu přiřazenou systémem na webu Azure Portal.

Informace o nastavení spravovaných identit prostřednictvím rozhraní API pro správu najdete v referenční dokumentaci k rozhraní API pro správu.

"identity": {
  "principalId": "<YOUR-PRINCIPAL-ID>",
  "tenantId": "<YOUR-TENNANT-ID>",
  "type": "SystemAssigned, UserAssigned", 
  "userAssignedIdentities": {
    "/subscriptions/<YOUR-SUBSCIRPTION-ID>/resourceGroups/my-resource-group",
    "principalId": "<YOUR-PRINCIPAL-ID>", 
    "clientId": "<YOUR-CLIENT-ID>"
  }
}

Povolení důvěryhodné služby

Pokud chcete službě Azure AI Search povolit volání modelu vkládání Azure OpenAI, zatímco Azure OpenAI nemá přístup k veřejné síti, musíte nastavit Azure OpenAI tak, aby se služba Azure AI Search obešla jako důvěryhodná služba založená na spravované identitě. Azure OpenAI identifikuje provoz z azure AI Search ověřením deklarací identity ve webovém tokenu JSON (JWT). Azure AI Search musí k volání koncového bodu vložení použít ověřování spravované identity přiřazené systémem.

Nastavte networkAcls.bypass jako AzureServices z rozhraní API pro správu. Další informace najdete v článku o virtuálních sítích.

Tento krok můžete přeskočit jenom v případě, že máte sdílený privátní odkaz pro prostředek Azure AI Search.

Zakázání přístupu k veřejné síti

Přístup k veřejné síti prostředku Azure OpenAI můžete zakázat na webu Azure Portal.

Pokud chcete povolit přístup ke službě Azure OpenAI z klientských počítačů, například použití portálu Azure AI Foundry, musíte vytvořit soukromá koncová připojení, která jsou připojena k vašemu prostředku Azure OpenAI.

Konfigurace služby Azure AI Search

Pro vyhledávací prostředek můžete použít základní cenovou úroveň a vyšší. Není to nutné, ale pokud používáte cenovou úroveň S2, jsou k dispozici pokročilé možnosti .

Povolit spravovanou identitu

Pokud chcete ostatním prostředkům umožnit rozpoznávání služby Azure AI Search pomocí ověřování Microsoft Entra ID, musíte přiřadit spravovanou identitu pro službu Azure AI Search. Nejjednodušším způsobem je přepnout spravovanou identitu přiřazenou systémem na webu Azure Portal.

Povolení řízení přístupu na základě role

Vzhledem k tomu, že Azure OpenAI používá spravovanou identitu pro přístup ke službě Azure AI Search, musíte ve službě Azure AI Search povolit řízení přístupu na základě role. Pokud to chcete udělat na Azure Portal, vyberte na kartě Klíče Obojí nebo Řízení přístupu na základě rolí.

Další informace najdete v článku RBAC služby Azure AI Search.

Zakázání přístupu k veřejné síti

Přístup k veřejné síti prostředku Azure AI Search můžete zakázat na webu Azure Portal.

Pokud chcete povolit přístup k prostředku Azure AI Search z klientských počítačů, jako je portál Azure AI Foundry, musíte vytvořit privátní koncové body, které se připojí k vašemu prostředku Azure AI Search.

Povolení důvěryhodné služby

Důvěryhodnou službu vašeho vyhledávacího prostředku můžete povolit na webu Azure Portal.

Přejděte na kartu sítě vašeho vyhledávacího prostředku. Pokud je přístup k veřejné síti nastavený na zakázáno, vyberte Možnost Povolit službám Azure v seznamu důvěryhodných služeb přístup k této vyhledávací službě.

K povolení důvěryhodné služby můžete použít také rozhraní REST API. V tomto příkladu se používají nástroje Azure CLI a jq.

rid=/subscriptions/<YOUR-SUBSCRIPTION-ID>/resourceGroups/<YOUR-RESOURCE-GROUP>/providers/Microsoft.Search/searchServices/<YOUR-RESOURCE-NAME>
apiVersion=2024-03-01-Preview
#store the resource properties in a variable
az rest --uri "https://management.azure.com$rid?api-version=$apiVersion" > search.json

#replace bypass with AzureServices using jq
jq '.properties.networkRuleSet.bypass = "AzureServices"' search.json > search_updated.json

#apply the updated properties to the resource
az rest --uri "https://management.azure.com$rid?api-version=$apiVersion" \
    --method PUT \
    --body @search_updated.json

Vytvoření sdíleného privátního propojení

Návod

Pokud používáte cenovou úroveň Basic nebo Standard nebo pokud jste poprvé nastavili všechny prostředky bezpečně, měli byste toto pokročilé téma přeskočit.

Tato část se vztahuje pouze na vyhledávací prostředek cenové úrovně S2, protože vyžaduje podporu privátních koncových bodů pro indexery se sadou dovedností.

Pokud chcete vytvořit sdílený privátní odkaz z vašeho vyhledávacího prostředku, který se připojuje k prostředku Azure OpenAI, projděte si dokumentaci k hledání. Vyberte typ prostředku jako Microsoft.CognitiveServices/accounts a ID skupiny jako openai_account.

Se sdíleným privátním propojením se krok 8 diagramu architektury příjmu dat změní z obejití důvěryhodné služby na sdílené privátní propojení.

Konfigurace účtu úložiště

Povolení důvěryhodné služby

Pokud chcete povolit přístup k vašemu účtu úložiště z Azure OpenAI a Azure AI Search, musíte nakonfigurovat účet úložiště, aby obešel Azure OpenAI a Azure AI Search jako důvěryhodné služby na základě spravované identity.

Na webu Azure Portal přejděte na kartu Sítě účtu úložiště, zvolte Vybrané sítě a pak v seznamu důvěryhodných služeb vyberte Povolit službám Azure přístup k tomuto účtu úložiště a klikněte na Uložit.

Zakázání přístupu k veřejné síti

Přístup k veřejné síti účtu úložiště můžete zakázat na webu Azure Portal.

Pokud chcete povolit přístup ke svému účtu úložiště z vašich klientských počítačů, například při použití portálu Azure AI Foundry, musíte vytvořit připojení privátního koncového bodu, která se napojí na úložiště objektů blob.

Přiřazení rolí

Zatím jste už nastavili každý zdroj tak, aby pracoval nezávisle. Dále je potřeba službám povolit, aby se vzájemně autorizovaly.

Role	Pověřený	Zdroj	Popis
Search Index Data Reader	Azure OpenAI	Azure AI Vyhledávač	Služba odvozování dotazuje data z indexu.
Search Service Contributor	Azure OpenAI	Azure AI Vyhledávač	Služba odvozování dotazuje schéma indexu pro automatické mapování polí. Služba pro příjem dat vytváří index, zdroje dat, sadu dovedností, indexer a dotazuje stav indexeru.
Storage Blob Data Contributor	Azure OpenAI	Účet úložiště	Načte ze vstupního kontejneru a zapíše předzpracovaný výsledek do výstupního kontejneru.
Cognitive Services OpenAI Contributor	Azure AI Vyhledávač	Azure OpenAI	pro umožnění přístupu prostředku Azure AI Search k embedovacímu koncovému bodu Azure OpenAI.
Storage Blob Data Reader	Azure AI Vyhledávač	Účet úložiště	Čte blobové dokumenty a bloky blobů.
Reader	Projekt Azure AI Foundry	Privátní koncové body služby Azure Storage (objekt blob a soubor)	Čtení indexů vyhledávání vytvořených v úložišti objektů blob v rámci projektu Azure AI Foundry
Cognitive Services OpenAI User	Webová aplikace	Azure OpenAI	Odvození.

Ve výše uvedené tabulce znamená Assignee systémem přiřazenou spravovanou identitu toho prostředku.

Správce musí mít roli Owner u těchto prostředků, aby mohl přidat přiřazení rolí.

Pokyny k nastavení těchto rolí na webu Azure Portal najdete v dokumentaci k Azure RBAC. K programovému přidání přiřazení rolí můžete použít dostupný skript na GitHubu .

Aby vývojáři mohli tyto prostředky používat k vytváření aplikací, musí správce přidat identitu vývojářů s následujícími přiřazeními rolí k prostředkům.

Role	Zdroj	Popis
Cognitive Services OpenAI Contributor	Azure OpenAI	Volání veřejného rozhraní API pro příjem dat z portálu Azure AI Foundry Role Contributor nestačí, protože pokud máte pouze Contributor roli, nemůžete volat API pro datovou rovinu prostřednictvím ověřování Microsoft Entra ID a v zabezpečeném nastavení popsaném v tomto článku je takové ověřování požadováno.
Contributor	Azure AI Vyhledávač	Seznam API-Keys pro zobrazení indexů z portálu Azure AI Foundry.
Contributor	Účet úložiště	Uveďte SAS účtu pro nahrání souborů z portálu Azure AI Foundry.
Contributor	Skupina prostředků nebo předplatné Azure, kde je zapotřebí, aby vývojář nasadil webovou aplikaci	Nasaďte webovou aplikaci do předplatného Azure vývojáře.
Role Based Access Control Administrator	Azure OpenAI	Oprávnění ke konfiguraci potřebného přiřazení role u prostředku Azure OpenAI Umožňuje webové aplikaci volat Azure OpenAI.

Konfigurace brány a klienta

Jedním z přístupů ke službě Azure OpenAI z místních klientských počítačů je konfigurace služby Azure VPN Gateway a klienta Azure VPN.

Podle tohoto návodu vytvořte bránu virtuální sítě pro vaši virtuální síť.

Podle tohoto návodu přidejte konfiguraci typu point-to-site a povolte ověřování založené na Microsoft Entra ID. Stáhněte konfigurační balíček profilu klienta Azure VPN, rozbalte ho a naimportujte AzureVPN/azurevpnconfig.xml do klienta Azure VPN.

Nakonfigurujte soubor místního počítače hosts tak, aby názvy hostitelů zdrojů směřovaly na privátní IP adresy ve vaší virtuální síti. Soubor hosts se nachází ve C:\Windows\System32\drivers\etc Windows a v /etc/hosts Linuxu. Příklad:

10.0.0.5 contoso.openai.azure.com
10.0.0.6 contoso.search.windows.net
10.0.0.7 contoso.blob.core.windows.net

Portál Azure AI Foundry

Měli byste být schopni používat všechny funkce portálu Azure AI Foundry , včetně příjmu dat i odvozování, z místních klientských počítačů.

Webová aplikace

Webová aplikace komunikuje s prostředkem Azure OpenAI. Vzhledem k tomu, že váš prostředek Azure OpenAI má zakázanou veřejnou síť, musí být webová aplikace nastavená tak, aby používala privátní koncový bod ve vaší virtuální síti pro přístup k vašemu prostředku Azure OpenAI.

Webová aplikace musí přeložit název hostitele Azure OpenAI na privátní IP adresu privátního koncového bodu pro Azure OpenAI. Proto musíte nejprve nakonfigurovat privátní zónu DNS pro vaši virtuální síť.

1. Vytvořte privátní DNS zónu ve skupině prostředků.
2. Přidejte záznam DNS. IP adresa je privátní IP adresa privátního koncového bodu vašeho prostředku Azure OpenAI a tuto IP adresu můžete získat ze síťového rozhraní přidruženého k privátnímu koncovému bodu pro váš Azure OpenAI.
3. Propojte privátní zónu DNS s vaší virtuální sítí , aby webová aplikace integrovaná v této virtuální síti používala tuto privátní zónu DNS.

Při nasazování webové aplikace z portálu Azure AI Foundry vyberte stejné umístění s virtuální sítí a vyberte správnou skladovou položku, aby podporovala funkci integrace virtuální sítě.

Po nasazení webové aplikace na kartě sítě na webu Azure Portal nakonfigurujte integraci virtuální sítě odchozího provozu webové aplikace a zvolte třetí podsíť, kterou jste si rezervovali pro webovou aplikaci.

Použití rozhraní API

Ujistěte se, že přihlašovací údaje mají Cognitive Services OpenAI Contributor roli ve vašem prostředku Azure OpenAI, a spusťte az login nejprve.

Rozhraní API pro příjem dat

Podrobnosti o objektech požadavků a odpovědí používaných rozhraním API pro příjem dat najdete v referenčním článku k rozhraní API pro příjem dat.

Rozhraní API pro inferenci

Podrobnosti o objektech požadavků a odpovědí používaných rozhraním API pro odvozování najdete v referenčním článku rozhraní API pro odvozování.

Použití Microsoft Defenderu pro cloud

Teď můžete integrovat Microsoft Defender for Cloud (Preview) s prostředky Azure za účelem ochrany vašich aplikací. Microsoft Defender for Cloud chrání vaše aplikace pomocí ochrany před hrozbami pro úlohy AI a poskytuje týmům výstrahy zabezpečení založené na důkazech obohacené o signály Analýzy hrozeb Microsoftu a umožňuje týmům posílit stav zabezpečení pomocí integrovaných doporučení osvědčených postupů zabezpečení.

Tento formulář použijte pro přístup.