Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous allez découvrir les principaux concepts de access control (RBAC) basés sur les rôles pour Microsoft Foundry, notamment les étendues, les rôles intégrés et les modèles d’affectation d’entreprise courants.
Conseil / Astuce
Les rôles RBAC s’appliquent lorsque vous vous authentifiez à l’aide de Microsoft Entra ID. Si vous utilisez plutôt l’authentification basée sur des clés, la clé accorde un accès complet sans aucune restriction de rôle. Microsoft recommande d’utiliser l’authentification Entra ID pour améliorer la sécurité et le contrôle d’accès granulaire.
Pour plus d’informations sur l’authentification et l’autorisation dans Microsoft Foundry, consultez Authentification et autorisation.
Attributions de rôles minimales pour commencer
Pour les nouveaux utilisateurs d'Azure et de Microsoft Foundry, commencez par ces affectations minimales afin que votre principal d'utilisateur et votre identité gérée du projet puissent accéder aux fonctionnalités de Foundry.
Vous pouvez vérifier les attributions actuelles en utilisant Vérifier les droits d’accès d’un utilisateur à une ressource Azure spécifique.
- Attribuez le rôle Azure AI User sur votre ressource Foundry à votre user principal.
- Affectez le rôle Azure AI User sur votre ressource Foundry à l'identité managée de votre projet.
Si l’utilisateur qui a créé le project peut attribuer des rôles (par exemple, en ayant le rôle Azure Owner au niveau de l’étendue de l’abonnement ou du groupe de ressources), les deux affectations sont ajoutées automatiquement.
Pour attribuer ces rôles manuellement, suivez les étapes rapides suivantes.
Attribuer un rôle à votre principal utilisateur
Dans le Azure portal, ouvrez votre ressource Foundry et accédez à Access control (IAM). Créer une attribution de rôle pour Utilisateur Azure AI, définissez Membres sur Utilisateur, groupe ou principal de service, sélectionnez votre principal utilisateur, puis Réviser + attribuer.
Attribuer un rôle à l'identité managée de votre project
Dans le Azure portal, ouvrez votre project Foundry et accédez à Access control (IAM). Créer une attribution de rôle pour Utilisateur Azure AI, définissez Members sur Identité managée, sélectionnez l'identité managée de votre projet, puis sélectionnez "Review + assign".
Terminologie pour le contrôle d'accès basé sur les rôles dans Foundry
Pour comprendre les access control basées sur des rôles dans Microsoft Foundry, tenez compte de deux questions pour votre entreprise.
- Quelles sont les autorisations que mon équipe doit avoir lors de la génération dans Microsoft Foundry ?
- À quelle étendue dois-je attribuer des autorisations à mon équipe ?
Pour répondre à ces questions, voici des descriptions de certaines terminologies utilisées dans cet article.
- Autorisations : actions autorisées ou refusées qu’une identité peut effectuer sur une ressource, comme la lecture, l’écriture, la suppression ou la gestion des opérations de plan de contrôle et de plan de données.
- Scope : ensemble de ressources Azure auxquelles une attribution de rôle s’applique. Les étendues classiques incluent l’abonnement, le groupe de ressources, la ressource Foundry ou le project Foundry.
- Role : collection nommée d’autorisations qui définit les actions qui peuvent être effectuées sur Azure ressources dans une étendue donnée.
Une identité obtient un rôle avec des autorisations spécifiques dans une étendue sélectionnée en fonction des besoins de votre entreprise.
Dans Microsoft Foundry, tenez compte de deux périmètres lors de l’achèvement des attributions de rôles.
- Ressource Foundry : étendue de niveau supérieur qui définit la limite d’administration, de sécurité et de surveillance pour un environnement Microsoft Foundry.
- Projet Foundry : un sous-ensemble au sein d’une ressource Foundry, utilisé pour organiser le travail et appliquer le contrôle d’accès aux API, aux outils et aux workflows de développement de Foundry.
Rôles intégrés
Un rôle intégré dans Foundry est un rôle créé par Microsoft qui couvre les scénarios d'accès courants que vous pouvez affecter aux membres de votre équipe. Les rôles intégrés clés utilisés dans Azure incluent Propriétaire, Contributeur et Lecteur. Ces rôles ne sont pas spécifiques aux autorisations de ressources Foundry.
Pour les ressources Foundry, utilisez des rôles prédéfinis supplémentaires pour suivre les principes de l'accès au privilège minimal. Le tableau suivant répertorie les rôles intégrés clés pour Foundry et les liens vers les définitions de rôles exactes dans AI + Machine Learning rôles intégrés.
| Role | Descriptif |
|---|---|
| Utilisateur Azure AI | Accorde l'accès en lecture au projet Foundry, à la ressource Foundry, et aux actions de données pour votre projet Foundry. Si vous pouvez attribuer des rôles, ce rôle vous est attribué automatiquement. Sinon, votre propriétaire d’abonnement ou un utilisateur disposant d’autorisations d’attribution de rôle l’accorde. Rôle d'accès à privilège minimal dans Foundry. |
| Azure AI Project Manager | Permet d’exécuter des opérations d’administration sur les projets Foundry, de créer et développer des projets, et d’attribuer conditionnellement le rôle Azure AI User à d’autres entités utilisateur. |
| Propriétaire du compte Azure AI | Octroie un accès complet pour gérer des projets et des ressources, et vous permet d’affecter de manière conditionnelle le rôle d’utilisateur Azure AI à d’autres principaux d’utilisateur. |
| Responsable de l'IA Azure | Accorde des accès complets aux projets et ressources gérés, et construit et développe des projets. Rôle de libre-service hautement privilégié conçu pour les natifs numériques. |
Autorisations pour chaque rôle intégré
Utilisez le tableau et le diagramme suivants pour voir les autorisations pour chaque rôle intégré de Foundry, y compris les rôles intégrés clés d'Azure.
| Rôle intégré | Créer des projets Foundry | Créer des comptes Foundry | Créer et développer dans un projet (actions de données) | Terminer les attributions de rôles | Accès en lecture des projets et des comptes | Gérer les modèles |
|---|---|---|---|---|---|---|
| Utilisateur Azure AI | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (attribuer uniquement le rôle d’utilisateur Azure AI) | ✔ | ||
| Propriétaire du compte Azure AI | ✔ | ✔ | ✔ (attribuer uniquement le rôle d’utilisateur Azure AI) | ✔ | ✔ | |
| Responsable de l'IA Azure | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (affecter n’importe quel rôle à n’importe quel utilisateur) | ✔ | ✔ | |
| Contributeur | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Pour plus d’informations sur les rôles intégrés dans Azure et Foundry, consultez Azure rôles intégrés. Pour en savoir plus sur l'utilisation de la délégation conditionnelle dans le rôle de propriétaire du compte Azure AI et le rôle de chef de projet Azure AI, consultez Delegate Azure role assignment management to others with conditions.
Exemples de mappages RBAC d’entreprise pour les projets
Voici un exemple de l'implémentation du contrôle d'accès basé sur les rôles (RBAC) pour une ressource Foundry d'entreprise.
| Persona | Rôle et étendue | Objectif |
|---|---|---|
| Administrateur informatique | Propriétaire dans le cadre du périmètre de l'abonnement | L’administrateur informatique garantit que la ressource Foundry répond aux normes d’entreprise. Attribuez aux gestionnaires le rôle Azure propriétaire de compte IA sur la ressource pour leur permettre de créer de nouveaux comptes Foundry. Attribuez aux gestionnaires le rôle Azure AI Project Manager sur la ressource pour leur permettre de créer des projets dans un compte. |
| Managers | Propriétaire du compte Azure AI sur l'étendue des ressources Foundry | Les gestionnaires gèrent la ressource Foundry, déploient des modèles, auditent les ressources de calcul, auditent les connexions et créent des connexions partagées. Ils ne peuvent pas générer de projets, mais ils peuvent s'attribuer le rôle Utilisateur Azure AI ainsi qu'à d'autres pour commencer à construire. |
| Responsable d’équipe ou développeur principal | Gestionnaire de projet Azure AI sur l’étendue des ressources Foundry | Les développeurs responsables créent des projets pour leur équipe et commencent à créer dans ces projets. Après avoir créé un projet, les propriétaires du projet invitent d'autres membres et attribuent le rôle Utilisateur Azure IA. |
| Membres de l’équipe ou développeurs | Utilisateur Azure AI sur l’étendue du projet Foundry et Lecteur sur l’étendue de la ressource Foundry | Les développeurs créent des agents dans un project avec des modèles Foundry prédéployés et des connexions prédéfinies. |
Gérer les attributions de rôles
Pour gérer les rôles dans Foundry, vous devez avoir l’autorisation d’attribuer et de supprimer des rôles dans Azure. Le rôle Azure intégré Owner inclut cette autorisation. Vous pouvez attribuer des rôles via le portail Foundry (page Administrateur), Azure portal IAM ou Azure CLI. Vous pouvez supprimer des rôles à l’aide de Azure portal IAM ou de Azure CLI.
Dans le portail Foundry, gérez les autorisations par :
- Ouvrez la page Admin dans Foundry, puis sélectionnez Operate>Admin.
- Sélectionnez votre nom de project.
- Sélectionnez Ajouter un utilisateur pour gérer l'accès au projet. Cette action est disponible uniquement si vous disposez d’autorisations d’attribution de rôle.
- Appliquez le même flux pour l'accès au niveau de ressource Foundry.
Vous pouvez gérer les autorisations dans le Azure portal sous Access Control (IAM) ou à l’aide de Azure CLI.
Par exemple, la commande suivante affecte le rôle d’utilisateur IA Azure à joe@contoso.com pour le groupe de ressources this-rg dans l’abonnement 00000000-0000-0000-0000-000000000000 :
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Créer des rôles personnalisés pour les projets
Si les rôles intégrés ne répondent pas aux exigences de votre entreprise, créez un rôle personnalisé qui permet un contrôle précis sur les actions et les étendues autorisées. Voici un exemple de définition de rôle personnalisé au niveau de l’abonnement :
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Pour plus d’informations sur la création d’un rôle personnalisé, consultez les articles suivants.
- portail Azure
- Azure CLI
- Azure PowerShell
- Désactivez les fonctionnalités en préversion dans Microsoft Foundry. Cet article fournit plus d’informations sur les autorisations spécifiques dans Foundry sur le plan de contrôle et de données que vous pouvez utiliser lors de la création de rôles personnalisés.
Notes et limitations
- Pour afficher et vider les comptes Foundry supprimés, vous devez avoir le rôle Contributeur affecté à l’étendue de l’abonnement.
- Les utilisateurs disposant du rôle Contributeur peuvent déployer des modèles dans Foundry.
- Vous avez besoin du rôle Propriétaire sur le périmètre d'une ressource pour créer des rôles personnalisés dans la ressource.
- Si vous disposez des autorisations d’attribution de rôle dans Azure (par exemple, le rôle Propriétaire attribué sur l’étendue du compte) à votre principal d’utilisateur et que vous déployez une ressource Foundry à partir de l’interface utilisateur du portail Azure portal ou Foundry, le rôle d’utilisateur IA Azure est automatiquement affecté à votre principal d’utilisateur. Cette affectation ne s’applique pas lors du déploiement de Foundry à partir du Kit de développement logiciel (SDK) ou de l’interface CLI.
- Lorsque vous créez une ressource Foundry, les autorisations de contrôle d'accès intégrées basées sur les rôles (RBAC) vous donnent accès à la ressource. Pour utiliser les ressources créées en dehors de Foundry, vérifiez que la ressource dispose d’autorisations qui vous permettent de l’access. Voici quelques exemples :
- Pour utiliser un nouveau compte Azure Blob Storage, ajoutez l'identité managée du compte Foundry au rôle "Lecteur de données Blob" sur ce compte de stockage.
- Pour utiliser une nouvelle source Azure AI Search, ajoutez Foundry aux attributions de rôles Azure AI Search.
- Pour affiner un modèle dans Foundry, vous avez besoin des autorisations de plan de données et de plan de contrôle. Le déploiement d’un modèle optimisé relève des autorisations du plan de contrôle. Par conséquent, le seul rôle intégré avec des autorisations de plan de données et de plan de contrôle est le rôle Propriétaire Azure AI. Si vous préférez, vous pouvez également attribuer le rôle Azure utilisateur IA pour les autorisations de plan de données et le rôle Azure propriétaire du compte AI pour les autorisations du plan de contrôle.
Contenu connexe
- Créer un projet.
- Vérifier l'accès d'un utilisateur à une unique ressource Azure.
- Authentification et autorisation dans Foundry.
- Désactivez les fonctionnalités en préversion dans Microsoft Foundry.
Appendice
Exemples d’isolation d’accès
Chaque organisation peut avoir des exigences d'isolation d'accès différentes en fonction des profils d'utilisateur dans leur entreprise. Isolation des accès se réfère à la manière dont les utilisateurs de votre entreprise se voient attribués des rôles, soit pour une séparation des permissions avec nos rôles intégrés, soit pour un rôle unifié et très permissif. Il existe trois options de d'accès isolé pour Foundry que vous pouvez sélectionner pour votre organisation en fonction de vos besoins d'accès isolé.
Aucune isolation d'accès. Cela signifie que dans votre entreprise, vous n'avez pas de conditions de séparation des autorisations entre un développeur, project manager ou un administrateur. Les autorisations pour ces rôles peuvent être attribuées à l’ensemble des équipes.
Par conséquent, vous devriez...
- Accordez à tous les utilisateurs de votre entreprise le rôle Azure AI Owner sur l’étendue des ressources
Isolation partielle d'accès. Cela signifie que le responsable project dans votre entreprise doit être en mesure de développer au sein de projets, ainsi que de créer des projets. Mais vos administrateurs ne doivent pas être en mesure de développer dans Foundry, uniquement de créer des projets et des comptes Foundry.
Par conséquent, vous devriez...
- Accordez à votre administrateur le rôle Propriétaire du compte Azure AI au niveau de l'étendue de la ressource
- Accordez à vos développeurs et chefs de projet le rôle Azure AI Project Manager sur la ressource.
Isolation complète d'accès. Cela signifie que vos administrateurs, gestionnaires project et développeurs disposent d'autorisations claires qui ne se chevauchent pas pour leurs différentes fonctions au sein d'une entreprise.
Par conséquent, vous devriez...
- Accordez à votre administrateur le rôle Propriétaire du compte Azure AI pour l'ensemble des ressources.
- Accordez à votre développeur le rôle Reader sur l’étendue des ressources Foundry et Utilisateur IA Azure sur l'étendue du projet.
- Accordez à votre gestionnaire de projet le rôle Azure AI Project Manager sur l'étendue du périmètre des ressources
Utiliser des groupes Microsoft Entra avec Foundry
Microsoft Entra ID offre plusieurs façons de gérer les access aux ressources, aux applications et aux tâches. En utilisant des groupes Microsoft Entra, vous pouvez accorder des access et des autorisations à un groupe d’utilisateurs plutôt qu’à chaque utilisateur individuel. Les administrateurs informatiques d’entreprise peuvent créer des groupes Microsoft Entra dans le Azure portal pour simplifier le processus d’attribution de rôle pour les développeurs. Lorsque vous créez un groupe Microsoft Entra, vous pouvez réduire le nombre d’attributions de rôles requises pour les nouveaux développeurs travaillant sur des projets Foundry en affectant au groupe l’attribution de rôle requise sur la ressource nécessaire.
Effectuez les étapes suivantes pour utiliser des groupes Microsoft Entra ID avec Foundry :
- Créez un groupe Security dans Groups dans le Azure portal.
- Ajoutez un propriétaire et les principaux utilisateurs de votre organisation qui ont besoin d'un accès partagé.
- Ouvrez la ressource cible et accédez à Access control (IAM).
- Attribuez le rôle requis à l’utilisateur, au groupe ou au principal du service, puis sélectionnez le nouveau groupe de sécurité.
- Sélectionnez Vérifier + affecter afin que l’attribution de rôle s’applique à tous les membres du groupe.
Exemples courants :
- Pour générer des agents, exécuter des traces et utiliser les fonctionnalités principales de Foundry, affectez Azure utilisateur IA au groupe Microsoft Entra.
- Pour utiliser les fonctionnalités de suivi et de surveillance, affectez lecteur sur la ressource Application Insights connectée au même groupe.
Pour en savoir plus sur les groupes Microsoft Entra ID, les prérequis et les limitations, consultez :