Hinzufügen eines Suchdiensts zu einem Netzwerksicherheitsperimeter

Ein Netzwerksicherheitsperimeter ist eine logische Netzwerkgrenze um Ihre Plattform als Dienstressourcen (PaaS), die Sie außerhalb eines virtuellen Netzwerks bereitstellen. Sie richtet einen Umkreis für die Steuerung des öffentlichen Netzwerkzugriffs auf Ressourcen wie Azure KI-Suche, Azure Storage und Azure OpenAI in Microsoft Foundry Models ein.

In diesem Artikel wird erläutert, wie Sie einem Azure KI-Suche-Dienst zu einem Netzwerksicherheitsperimeter beitreten, um den Netzwerkzugriff auf Ihren Suchdienst zu steuern. Die Verbindung mit einem Netzwerksicherheitsperimeter bietet folgende Möglichkeiten:

• Sie können den gesamten Zugriff auf Ihren Suchdienst im Kontext anderer Azure-Ressourcen im selben Perimeter steuern.
• Sie können die gesamte Datenexfiltrationen von einem Suchdienst in andere Dienste außerhalb des Perimeters blockieren.
• Ermöglichen Sie den Zugriff auf Ihren Suchdienst, indem Sie die Eingehenden und ausgehenden Zugriffsfunktionen des Netzwerksicherheitsperimeters verwenden.

Sie können einen Suchdienst einem Netzwerksicherheitsperimeter im Azure-Portal hinzufügen, wie in diesem Artikel beschrieben. Alternativ können Sie die REST-APIs für die Suchverwaltung verwenden, um die Konfigurationseinstellungen anzuzeigen und zu synchronisieren.

Voraussetzungen

• Ein vorhandener Netzwerksicherheitsperimeter. Sie können einen erstellen und Ihrem Suchdienst zuordnen.

• Azure KI-Suche mit einer beliebigen abrechenbaren Ebene in jeder Region.

• Azure-Rollenzuweisungen: Network Security Perimeter Contributor für den Perimeter (oder dessen Ressourcengruppe oder Abonnement), um den Perimeter, Profile, Zugriffsregeln und Zuordnungen zu erstellen und zu verwalten. Suchdienstmitwirkender (oder Mitwirkender) für den Suchdienst, um ihn einem Perimeter zuzuordnen. Weitere Informationen finden Sie unter Was ist ein Netzwerksicherheitsperimeter?.

• Wenn Sie beabsichtigen, Indexer zu verwenden, konfigurieren Sie den Suchdienst mit einer vom System oder einem Benutzer zugewiesenen verwalteten Identität , und weisen Sie der Identität eine entsprechende Datenebenenrolle für jede Datenquelle zu.

Einschränkungen

• Derzeit werden als Datenquellen für Indexer nur Azure Blob Storage, Azure Cosmos DB for NoSQL und Azure SQL-Datenbank unterstützt.

• Indexerverbindungen zu Azure PaaS für den Datenabruf sind der primäre Intraperimeter-Anwendungsfall. Konfigurieren Sie für anderen Datenverkehr eingehende und ausgehende Regeln. Informationen zu ausgehenden Aufrufen von Microsoft Foundry-Ressourcen finden Sie unter Outbound-Zugriff auf Microsoft Foundry-Ressourcen. Der freigegebene private Link ist eine Alternative für bestimmte Ressourcentypen.

Ausgehender Zugriff auf Microsoft Foundry-Ressourcen

Ein Netzwerksicherheitsperimeter, der sowohl Ihren Suchdienst als auch eine Microsoft Foundry-Ressource enthält stellt einen privaten Kanal für ausgehende Anrufe zwischen diesen bereit. Da der Umkreis auf der Ressourcen- und Netzwerkebene ausgeführt wird, verwendet jedes Suchdienstfeature, das die Foundry-Ressource aufruft, denselben zulässigen Pfad, einschließlich:

• Alle Fähigkeiten, die eine Foundry-Ressource aufrufen, wie z. B. die Azure OpenAI-Einbettungsfähigkeit, GenAI-Eingabeaufforderungsfähigkeit, Content Understanding-Fähigkeit und andere Foundry-Ressourcenfähigkeiten für KI-Anreicherung und Abrechnung.

• Der Azure OpenAI-Vektorizer zur Abfragezeit während integrierten Vektorisierung.

• Agent-Abrufe von einem Wissens-Agent an eine Foundry-Modellbereitstellung.

So aktivieren Sie den privaten Kanal:

1. Fügen Sie sowohl Ihren Suchdienst als auch die Foundry-Ressource zum gleichen Netzwerksicherheitsperimeter oder zu Umkreisen hinzu, die die Kommunikation zwischen ihnen ermöglichen.

2. Wenn sich beide Ressourcen im selben Umkreis befinden und der Suchdienst sich mithilfe einer verwalteten Identität bei der Foundry-Ressource authentifiziert, müssen Sie keine ausgehende Regel hinzufügen. Datenverkehr innerhalb des Perimeters ist implizit erlaubt. Wenn sich die Ressourcen in verschiedenen Umkreisen befinden oder sich der Suchdienst mit API-Schlüsseln authentifiziert, fügen Sie eine ausgehende FQDN-Zugriffsregel für den Umfang hinzu, der Ihrem Suchdienst zugeordnet ist, der auf den Hostnamen der Foundry-Ressource abzielt. Anleitungen zur Konfiguration auf der Foundry-Seite finden Sie unter Microsoft Foundry zu einem Netzwerksicherheitsperimeter hinzufügen.

3. Überprüfen des Zugriffs in zwei Phasen:

   1. Führen Sie mit dem Perimeter im Lernmodus ein Skillset, eine vektorisierte Abfrage oder einen Agent-Abruf aus, der die Foundry-Ressource aufruft. Überprüfen Sie die Umkreisprotokolle, um den erwarteten Zugriffspfad zu bestätigen.

   2. Wechseln Sie zum erzwungenen Modus, und führen Sie denselben Vorgang erneut aus. Bestätigen Sie den Erfolg im Ausführungsverlauf des Indexers sowie in den Protokollen zu ausgehendem zugelassenem Datenverkehr des Perimeters.

Die Unterstützung des Netzwerksicherheitsperimeters (Network Security Perimeter, NSP) für Microsoft.CognitiveServices-Ressourcen vom Typ AIServices (Microsoft Foundry) ist nun allgemein verfügbar. Die NSP-Unterstützung für Ressourcen der Art OpenAI (Azure OpenAI Service) befindet sich in der öffentlichen Vorschau. Die aktuelle Supportliste finden Sie unter "Onboarded Private Link Resources".

Der freigegebene private Link zur Foundry-Ressource wird weiterhin als Alternative unterstützt.

Zuweisen eines Suchdiensts zu einem Netzwerksicherheitsperimeter

Ordnen Sie Ihren Suchdienst einem Umkreis zu, sodass der gesamte Indizierungs- und Abfragedatenverkehr durch Umkreisregeln gesteuert wird.

Tip

Verwenden Sie für die Automatisierung die Rest-APIs für die Suchverwaltung anstelle des Portals. Weitere Informationen finden Sie unter Verwalten Ihres Azure KI-Suche-Diensts mit REST-APIs.

1. Suchen Sie im Azure-Portal den Netzwerksicherheitsperimeterdienst für Ihr Abonnement.

2. Wählen Sie im linken Bereich Einstellungen>zugeordnete Ressourcen aus.

   

3. Wählen Sie Hinzufügen>Ressourcen einem vorhandenen Profil zuordnen aus.

   

4. Wählen Sie unter Profil das Profil aus, das Sie beim Erstellen des Netzwerksicherheitsperimeters erstellt haben.

5. Wählen Sie "Hinzufügen" und dann Ihren Suchdienst aus.

   

6. Wählen Sie " Verknüpfen" in der unteren linken Ecke aus, um die Zuordnung zu erstellen.

Entfernen eines Suchdiensts aus einem Netzwerksicherheitsperimeter

So heben Sie die Zuordnung eines Suchdienstes zu einem Perimeter auf:

1. Wechseln Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

2. Wählen Sie im linken Bereich Einstellungen>zugeordnete Ressourcen aus.

3. Suchen Sie Ihren Suchdienst in der Tabelle, wählen Sie die drei Punkte am Ende der Zeile aus, und wählen Sie dann "Zuordnung entfernen" aus.

4. Bestätigen Sie das Entfernen. Nachdem die Zuordnung entfernt wurde, gelten Umkreisregeln nicht mehr für den Suchdienst, und die publicNetworkAccess Einstellung für den Suchdienst steuert erneut eingehenden Datenverkehr.

Zugriffsmodi im Netzwerksicherheitsperimeter

Netzwerksicherheitsperimeter unterstützen zwei verschiedene Zugriffsmodi für zugeordnete Ressourcen:

Modus	Description
Lernmodus	Dies ist der Standardzugriffsmodus. Im Lernmodus protokolliert der Netzwerksicherheitsperimeter den gesamten Datenverkehr zum Suchdienst, der verweigert würde, wenn sich der Perimeter im erzwungenen Modus befindet. Dieser Zugriffsmodus ermöglicht Es Netzwerkadministratoren, die vorhandenen Zugriffsmuster des Suchdiensts zu verstehen, bevor die Durchsetzung von Zugriffsregeln implementiert wird.
Erzwingungsmodus	Im erzwungenen Modus protokolliert und verweigert der Netzwerksicherheitsperimeter den gesamten Datenverkehr, der nicht explizit durch Zugriffsregeln erlaubt ist.

Netzwerkeinstellungen für Netzwerksicherheitsperimeter und Suchdienst

Die publicNetworkAccess-Einstellung legt die Suchdienstzuordnung mit einem Netzwerksicherheitsperimeter fest.

• Im Lernmodus steuert die publicNetworkAccess Einstellung den öffentlichen Zugriff auf die Ressource.

• Im erzwungenen Modus überschreiben die Netzwerksicherheitsperimeterregeln die publicNetworkAccess Einstellung. Wenn beispielsweise ein Suchdienst mit einer publicNetworkAccess-Einstellung von enabled für einen Netzwerksicherheitsperimeter im Erzwingungsmodus zugeordnet ist, wird der Zugriff auf den Suchdienst weiterhin durch Zugriffsregeln des Netzwerksicherheitsperimeters gesteuert.

Ändern des Zugriffsmodus für Netzwerksicherheitsperimeter

1. Wechseln Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

2. Wählen Sie im linken Bereich Einstellungen>zugeordnete Ressourcen aus.

   

3. Suchen Sie Ihren Suchdienst in der Tabelle.

4. Wählen Sie die drei Punkte am Ende der Zeile aus, und wählen Sie dann den Zugriffsmodus ändern aus.

   

5. Wählen Sie den gewünschten Zugriffsmodus aus und dann Anwenden aus.

   

Aktivieren der Protokollierung des Netzwerkzugriffs

1. Wechseln Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

2. Wählen Sie im linken Bereich Überwachung>Diagnoseeinstellungen aus.

   

3. Klicken Sie auf Diagnoseeinstellung hinzufügen.

4. Geben Sie einen beliebigen Namen ein, z. B. diagnostic, für Diagnoseeinstellungsname.

5. Wählen Sie unter Protokolle die Option allLogs aus. Mit allLogs wird sichergestellt, dass alle ein- und ausgehenden Netzwerkzugriffe auf Ressourcen in Ihrem Netzwerksicherheitsperimeter protokolliert werden.

6. Wählen Sie unter Zieldetails die Option In Speicherkonto archivieren oder An Log Analytics-Arbeitsbereich senden aus. Das Speicherkonto muss sich in derselben Region wie der Netzwerksicherheitsperimeter befinden. Sie können ein vorhandenes Speicherkonto auswählen oder ein neues erstellen. Ein Log Analytics-Arbeitsbereich kann sich auch in einer anderen Region als der des Netzwerksicherheitsperimeters befinden. Sie können auch eines der anderen entsprechenden Ziele auswählen.

   

7. Wählen Sie Speichern aus, um die Diagnoseeinstellung zu erstellen und die Protokollierung des Netzwerkzugriffs zu starten.

8. Um zu überprüfen, ob die Protokollierung aktiv ist, generieren Sie Datenverkehr an den Suchdienst (z. B. führen Sie eine Abfrage aus). Fragen Sie innerhalb von ca. 10 Minuten die Tabelle NSPAccessLogs in Log Analytics ab, oder überprüfen Sie den entsprechenden insights-logs-* Container im Speicherkonto.

Lesen von Netzwerkzugriffsprotokollen

Netzwerksicherheitsperimeterprotokolle werden an die Ziele übermittelt, die Sie in den Diagnoseeinstellungen ausgewählt haben. Die am häufigsten verwendeten Ziele sind ein Log Analytics Arbeitsbereich und ein Speicherkonto.

Log Analytics-Arbeitsbereich

Die NSPAccessLogs Tabelle enthält alle Protokolle für jede Protokollkategorie, z. B. NspPublicInboundPerimeterRulesAllowed. Jedes Protokoll enthält einen Datensatz des Zugriffs auf den Netzwerksicherheitsperimeter, der der Protokollkategorie entspricht.

Im Folgenden finden Sie ein Beispiel für das Protokollformat von NspPublicInboundPerimeterRulesAllowed:

Spaltenname	Bedeutung	Beispielwert
Ergebnisbeschreibung	Name des Netzwerkzugriffsvorgangs.	POST /indexes/my-index/docs/search
Profil	Welchem Netzwerksicherheitsperimeter der Suchdienst zugeordnet wurde.	Standardprofil
ServiceResourceId	Ressourcen-ID des Suchdiensts.	search-service-resource-id
Ausgelöste Regel	JSON-Beschreibung der Regel, mit der das Protokoll übereinstimmt.	{ "accessRule": "IP firewall" }
Quell-IP-Adresse	Quell-IP des eingehenden Netzwerkzugriffs, falls zutreffend.	192.0.2.1
AccessRuleVersion	Version der Zugriffsregeln des Netzwerksicherheitsperimeters, die zur Durchsetzung der Netzwerkzugriffsregeln verwendet wird.	0

Speicherkonto

Das Speicherkonto verfügt über Container für jede Protokollkategorie, z. B. insights-logs-nsppublicinboundperimeterrulesallowed. Die Ordnerstruktur innerhalb des Containers entspricht der Ressourcen-ID des Netzwerksicherheitsperimeters und der Zeit, zu der die Protokolle erfasst wurden. Jede Zeile in der JSON-Protokolldatei enthält einen Datensatz für Netzwerkzugriff im Netzwerkperimeter aus der jeweiligen Protokollkategorie.

Zum Protokollieren der Kategorie für Eingangsregeln für zulässigen Perimeterzugriff wird z. B. das folgende Format verwendet:

"properties": {
    "ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
    "Profile": "defaultProfile",
    "MatchedRule": {
        "AccessRule": "myaccessrule"
    },
    "Source": {
        "IpAddress": "192.0.2.1",
    }
}

Hinzufügen einer Zugriffsregel für Ihren Suchdienst

Ein Netzwerksicherheitsperimeterprofil gibt Regeln an, die den Zugriff im Perimeter zulassen oder verweigern.

Innerhalb des Perimeters haben alle Ressourcen gegenseitigen Zugriff auf Netzwerkebene. Sie müssen trotzdem eine Authentifizierung und Autorisierung einrichten, aber auf Netzwerkebene werden Verbindungsanforderungen innerhalb des Perimeters akzeptiert.

Für Ressourcen außerhalb des Netzwerksicherheitsperimeters müssen Sie Regeln für ein- und ausgehenden Zugriff angeben. Eingangsregeln geben an, welche eingehenden Verbindungen zulässig sind, und Ausgangsregeln legen fest, welche ausgehenden Anforderungen erlaubt sind.

Ein Suchdienst akzeptiert eingehende Anforderungen von Apps wie dem Microsoft Foundry-Portal und jeder App, die Indizierungs- oder Abfrageanforderungen sendet. Ein Suchdienst sendet ausgehende Anforderungen während der indexerbasierten Indizierung und bei Skillsetausführungen. In diesem Abschnitt wird erläutert, wie Sie Regeln für ein- und ausgehenden Zugriff für Szenarien mit Azure KI-Suche einrichten.

Hinweis

Wenn sich der Suchdienst mithilfe einer verwalteten Identität und Microsoft Entra-basierten Rollenzuweisungen authentifiziert, wird der Datenverkehr zwischen Ressourcen im selben Netzwerksicherheitsperimeter auf Netzwerkebene implizit zugelassen. Wenn sich der Suchdienst mit API-Schlüsseln authentifiziert, kann der Umkreis den Datenverkehr nicht als Intraperimeter identifizieren. Daher müssen Sie explizite Eingehende- und Ausgehende Zugriffsregeln hinzufügen, auch wenn sich beide Ressourcen im gleichen Umkreis befinden.

Hinzufügen einer Regel für eingehenden Zugriff

Regeln für eingehenden Zugreifen lassen Verbindungen aus dem Internet und von Ressourcen außerhalb des Perimeters mit Ressourcen innerhalb des Perimeters zu.

Der Netzwerksicherheitsperimeter unterstützt zwei Typen von Regeln für eingehenden Zugriff:

• IP-Adressbereiche. IP-Adressen oder -bereiche müssen im CIDR-Format (Classless Inter-Domain Routing) angegeben werden. Ein Beispiel für die CIDR-Notation ist „192.0.2.0/24“, womit die IP-Adressen im Bereich zwischen 192.0.2.0 und 192.0.2.255 dargestellt werden. Dieser Regeltyp lässt eingehende Anforderungen von einer beliebigen IP-Adresse innerhalb des Bereichs zu.

• Abonnements. Dieser Regeltyp ermöglicht den eingehenden Zugriff, der mithilfe einer beliebigen verwalteten Identität aus dem Abonnement authentifiziert wird. Die Regel steuert nur den Netzwerkpfad; der Aufrufer benötigt weiterhin eine Azure RBAC-Rollenzuweisung für den Suchdienst.

So fügen Sie eine Regel für eingehenden Zugriff über das Azure-Portal hinzu:

1. Wechseln Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

2. Wählen Sie im linken Bereich Einstellungen> und Profile aus.

   

3. Wählen Sie das Profil aus, das Sie mit Ihrem Netzwerksicherheitsperimeter verwenden.

   

4. Wählen Sie im linken Bereich "Einstellungen>" aus.

   

5. Wählen Sie Hinzufügen.

   

6. Geben Sie folgende Werte ein bzw. wählen diese aus:

   Einstellung	Wert
   Regelname	Der Name für die Eingangszugriffsregel, wie MyInboundAccessRule.
   Quelltyp	Gültige Werte sind IP-Adressbereiche oder Abonnements.
   Zulässige Quellen	Wenn Sie IP-Adressbereiche ausgewählt haben, geben Sie den IP-Adressbereich im CIDR-Format ein, aus dem Sie den eingehenden Zugriff zulassen möchten. Laden Sie die Datei Azure IP-Bereiche und Diensttags herunter. Wenn Sie Abonnements ausgewählt haben, verwenden Sie das Abonnement, aus dem Sie den eingehenden Zugriff zulassen möchten.

7. Wählen Sie Hinzufügen aus, um die Regel für eingehenden Zugriff zu erstellen.

   

8. Um die Regel zu überprüfen, wechseln Sie in einem Testprofil zur erzwungenen Zuordnung. Bestätigen Sie, dass übereinstimmende Anforderungen in der NspPublicInboundPerimeterRulesAllowed Protokollkategorie angezeigt werden und nicht übereinstimmende Anforderungen in der NspPublicInboundPerimeterRulesDenied Kategorie angezeigt werden.

Hinzufügen einer Regel für ausgehenden Zugriff

Ein Suchdienst führt während der indexerbasierten Indizierung und bei Skillsetausführungen ausgehende Aufrufe durch. Wenn sich Ihre Indizierungsdatenquellen, eine zugeordnete Microsoft Foundry-Ressource für Foundry Tools-Abrechnungs-Skills oder Ihre benutzerdefinierte Skilllogik außerhalb des Netzwerksicherheitsperimeters befinden, erstellen Sie eine Regel für den ausgehenden Zugriff, über die Ihr Suchdienst die Verbindung herstellen kann.

Innerhalb des Sicherheitsperimeters können Indexer eine Verbindung mit Azure Blob Storage, Azure Cosmos DB für NoSQL und Azure SQL-Datenbank herstellen. Wenn Ihre Indexer andere Datenquellen verwenden, benötigen Sie eine Regel für ausgehenden Zugriff erstellen, die diese Verbindung unterstützt.

Der Netzwerksicherheitsperimeter unterstützt ausgehende Zugriffsregeln basierend auf dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Ziels. Sie können z. B. ausgehenden Zugriff von jedem Dienst, der Ihrem Netzwerksicherheitsperimeter zugeordnet ist, an einen FQDN wie mystorageaccount.blob.core.windows.net zulassen.

So fügen Sie eine Regel für ausgehenden Zugriff über das Azure-Portal hinzu:

1. Wechseln Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

2. Wählen Sie im linken Bereich Einstellungen> und Profile aus.

   

3. Wählen Sie das Profil aus, das Sie mit Ihrem Netzwerksicherheitsperimeter verwenden.

   

4. Wählen Sie im linken Bereich "Einstellungen für ausgehende Zugriffsregeln> aus.

   

5. Wählen Sie Hinzufügen.

   

6. Geben Sie folgende Werte ein bzw. wählen diese aus:

   Einstellung	Wert
   Regelname	Der Name für die ausgehende Zugriffsregel, z. B. MyOutboundAccessRule.
   Zieltyp	Als FQDN belassen.
   Zulässige Ziele	Geben Sie eine durch Trennzeichen getrennte Liste von FQDNs ein, auf die Sie ausgehenden Zugriff zulassen möchten.

7. Wählen Sie Hinzufügen aus, um die Regel für ausgehenden Zugriff zu erstellen.

   

8. Um die Regel zu überprüfen, wechseln Sie in einem Testprofil zur erzwungenen Zuordnung. Bestätigen Sie, dass übereinstimmende ausgehende Anforderungen in der NspPublicOutboundPerimeterRulesAllowed Protokollkategorie angezeigt werden.

Testen der Verbindung über den Netzwerksicherheitsperimeter

Um Ihre Verbindung über den Netzwerksicherheitsperimeter zu testen, benötigen Sie Zugriff auf einen Webbrowser, entweder auf einem lokalen Computer mit internetverbindung oder auf einer Azure-VM.

1. Ändern Sie die Zuordnung des Netzwerksicherheitsperimeters in den erzwungenen Modus, um die Anforderungen des Netzwerksicherheitsperimeters für den Netzwerkzugriff auf Ihren Suchdienst zu erzwingen.

2. Wählen Sie einen Client aus:

   1. Rufen Sie für einen lokalen Computer Ihre öffentliche IP-Adresse ab.

   2. Verwenden Sie für einen Azure virtuellen Computer Private-Link oder ermitteln Sie die IP-Adresse im Azure Portal.

3. Erstellen Sie eine Eingangszugriffsregel für diese IP-Adresse, um den Zugriff zuzulassen.

4. Öffnen Sie im Azure-Portal Ihren Suchdienst, und zeigen Sie dessen Indizes an.

   • Erwarteter Erfolg: Die Indexliste wird geladen, und Sie können eine Testabfrage ausführen. Die eingehende IP-Regel funktioniert.

   • Wenn der Fehler "403" oder "Öffentlicher Netzwerkzugriff ist deaktiviert" angezeigt wird: Ihre Client-IP oder das Azure Portal wird nicht von einer eingehenden Regel abgedeckt. Überprüfen Sie die Regeln für eingehenden Zugriff.

Häufige Probleme beheben

Symptom	Wahrscheinliche Ursache	Abschwächung
Der Indexer schlägt nach dem Wechsel zum erzwungenen Modus fehl.	Die Suchdienstidentität weist keine Datenebenenrolle auf der Datenquelle auf, oder die Datenquelle wird im Perimeter nicht unterstützt.	Bestätigen Sie, dass der Suchdienst eine verwaltete Identität verwendet und über die erforderliche Rolle für die Datenquelle verfügt. Fügen Sie für nicht unterstützte Datenquellen eine Ausgehende Zugriffsregel hinzu.
Skill-, Vektorisierungs- oder Agent-Abrufe an eine Foundry-Ressource werden verweigert.	Die Foundry-Ressource befindet sich in einem anderen Umkreis, oder der Suchdienst authentifiziert sich mit API-Schlüsseln, sodass der Kanal nicht implizit ist.	Fügen Sie beide Ressourcen zum gleichen Umkreis hinzu und verwenden Sie verwaltete Identität, oder fügen Sie eine ausgehende FQDN-Regel hinzu, die auf den Hostnamen der Foundry-Ressource abzielt. Weitere Informationen finden Sie unter Outbound-Zugriff auf Microsoft Foundry-Ressourcen.
Diagnoseprotokolle werden nicht in Log Analytics oder Speicher angezeigt.	Erfassungslatenz, oder das Speicherkonto befindet sich nicht in derselben Region wie der Sicherheitsperimeter.	Warten Sie bis zu 10 Minuten nach dem Generieren von Datenverkehr, und fragen Sie dann die NSPAccessLogs Tabelle ab, oder überprüfen Sie den entsprechenden insights-logs-* Speichercontainer. Überprüfen Sie die Speicherkontoregion.
Der Zugriff auf das Portal zum Suchdienst wird nach der Durchsetzung verweigert.	Ihre Client-IP-Adresse fällt unter keine Eingangsregel.	Fügen Sie eine Regel für eingehenden Zugriff für Ihre Client-IP hinzu, oder wechseln Sie zurück in den Lernmodus, während Sie die Konfiguration abschließen.

Anzeigen und Verwalten der Konfiguration des Netzwerksicherheitsperimeters

Verwenden Sie die REST-APIs für die Netzwerksicherheitsperimeterkonfiguration , um Umkreiskonfigurationen in einem Suchdienst zu überprüfen und abzugleichen.

Listen Sie beispielsweise die aktuellen Umkreiskonfigurationen in einem Suchdienst auf:

az rest --method get \
  --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service-name>/networkSecurityPerimeterConfigurations?api-version=2025-05-01"

Wenn die Konfiguration nicht mit dem Perimeter synchron ist, lösen Sie einen Abgleich aus:

az rest --method post \
  --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service-name>/networkSecurityPerimeterConfigurations/<association-name>/reconcile?api-version=2025-05-01"

Verwenden Sie die neueste stabile Version der REST-APIs der Suchverwaltung. Weitere Informationen finden Sie unter Verwalten Ihres Azure KI-Suche-Diensts mit REST-APIs.

Verwandte Inhalte

• Netzwerksicherheitsperimeterkonzepte
• Konfigurieren Sie einen Suchdienst, der mit einer verwalteten Identität verbunden ist
• Erstellen ausgehender Verbindungen über eine freigegebene private Verbindung
• Microsoft Foundry zu einem Netzwerksicherheitsperimeter hinzufügen