Identités managées pour Intelligence documentaire
Ce contenu s’applique à : 
v4.0 (préversion) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Les identités managées des ressources Azure sont des principaux de service qui créent une identité Microsoft Entra et des autorisations spécifiques pour des ressources managées Azure :
Les identités managées octroient l’accès à des ressources qui prennent en charge l’authentification Microsoft Entra, y compris vos propres applications. Contrairement aux clés de sécurité et aux jetons d’authentification, les identités managées éliminent la nécessité pour les développeurs de gérer les informations d’identification.
Vous pouvez accorder l’accès à une ressource Azure et attribuer un rôle à une identité managée en utilisant le contrôle d’accès en fonction du rôle Azure (Azure RBAC). L’utilisation d’identités managées dans Azure n’occasionne aucun coût supplémentaire.
Important
Les identités managées éliminent la nécessité de gérer les informations d’identification, y compris les jetons de signature d’accès partagé (SAS).
Les identités managées constituent un moyen plus sûr d’accorder l’accès aux données sans avoir d’informations d’identification dans votre code.
Accès aux comptes de stockage privé
L’accès et l’authentification des comptes de stockage Azure privés prennent en charge les identités managées pour les ressources Azure. Si vous disposez d’un compte de stockage Azure protégé par un réseau virtuel (VNet) ou un pare-feu, Intelligence documentaire ne peut pas accéder directement aux données de votre compte de stockage. Toutefois, une fois qu’une identité managée est activée, Intelligence documentaire peut accéder à votre compte de stockage à l’aide des informations d’identification d’identité managée attribuées.
Remarque
Si vous envisagez d’analyser vos données de stockage à l’aide de l’outil d’étiquetage des exemples Intelligence documentaire (FOTT), vous devez déployer l’outil derrière votre réseau virtuel ou votre pare-feu.
Les API
AnalyzeReçu, Carte de visite, Facture, Document d’identité et Formulaire personnalisé peuvent extraire les données d’un simple document en publiant des requêtes sous forme de contenu binaire brut. Dans ces scénarios, aucune information d’identification d’identité managée n’est requise.
Prérequis
Pour commencer, vous avez besoin des éléments suivants :
Un compte Azure actif : si vous n’en avez pas, vous pouvez créer un compte gratuit.
Une ressource Intelligence documentaire ou Azure AI services dans le portail Azure. Pour plus d'informations sur les étapes, consultez Créer une ressource Azure AI services.
Un compte de stockage Blob Azure dans la même région que votre ressource Intelligence documentaire. Vous devez aussi créer des conteneurs pour stocker et organiser vos données d’objet blob dans votre compte de stockage.
Si votre compte de stockage se trouve derrière un pare-feu, vous devez activer la configuration suivante :
Dans la page de votre compte de stockage, dans le menu de gauche, sélectionnez Sécurité + réseau → Mise en réseau.
Dans la fenêtre principale, sélectionnez Autoriser l’accès à partir de réseaux sélectionnés.
Dans la page des réseaux sélectionnés, accédez à la catégorie Exceptions et vérifiez que la case
Allow Azure services on the trusted services list to access this storage accountest cochée.
Connaissances générales sur le contrôle d’accès en fonction du rôle Azure (Azure RBAC) à l’aide du portail Azure.
Attributions d’identités managées
Il existe deux types d’identités managées : celles qui sont affectées par le système et celles qui sont affectées par l’utilisateur. Actuellement, Intelligence documentaire prend uniquement en charge les identités managées affectées par le système :
Une identité managée affectée par le système est activée directement sur une instance de service. Elle n’est pas activée par défaut. Vous devez accéder à votre ressource et mettre à jour le paramètre d’identité.
L’identité managée affectée par le système est liée à votre ressource tout au long de son cycle de vie. Si vous supprimez votre ressource, l’identité managée est également supprimée.
Dans les étapes suivantes, nous allons activer une identité managée affectée par le système et accorder à Intelligence documentaire un accès limité à votre compte de stockage Blob Azure.
Activer une identité managée affectée par le système
Important
Pour activer une identité managée affectée par le système, vous avez besoin d’autorisations Microsoft.Authorization/roleAssignments/write, telles que Propriétaire ou Administrateur de l’accès utilisateur. Vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources ou ressource.
Connectez-vous au portail Azure à l’aide d’un compte associé à votre abonnement Azure.
Accédez à la page de votre ressource Intelligence documentaire dans le portail Azure.
Dans le rail de gauche, sélectionnez Identité dans la liste Gestion des ressources :
Dans la fenêtre principale, basculez le curseur État affecté par le système sur Activé.
Accorder l’accès à votre compte de stockage
Vous devez accorder à Intelligence documentaire l’accès à votre compte de stockage avant de pouvoir lire des objets blob. Maintenant que l’accès d’Intelligence documentaire est activé avec une identité managée affectée par le système, vous pouvez utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour accorder à Intelligence documentaire l’accès au stockage Azure. Le rôle Lecteur des données blob du stockage donne à Intelligence documentaire (représenté par l’identité managée affectée par le système) un accès en lecture et en création de listes au conteneur d’objets blob et aux données.
Sous Autorisations, sélectionnez Attributions des rôles Azure :
Dans la page Attributions de rôles d’Azure qui s’ouvre, choisissez votre abonnement dans le menu déroulant, puis sélectionnez + Ajouter une attribution de rôle.
Remarque
Si vous ne parvenez pas à affecter un rôle dans le portail Azure parce que l’option Ajouter >Ajouter une attribution de rôle est désactivée ou que vous recevez l’erreur d’autorisation « Vous ne disposez pas des autorisations nécessaires pour ajouter une attribution de rôle à cette étendue », vérifiez que vous êtes actuellement connecté en tant qu’utilisateur avec un rôle attribué qui dispose des autorisations Microsoft.Authorization/roleAssignments/write, telles que Propriétaire ou Administrateur de l’accès utilisateur, dans l’étendue Stockage de la ressource de stockage.
Ensuite, vous allez attribuer un rôle Lecteur des données Blob du stockage à votre ressource de service Intelligence documentaire. Dans la fenêtre contextuelle
Add role assignment, renseignez les champs comme suit, puis sélectionnez Enregistrer :Champ Valeur Étendue Stockage Abonnement L’abonnement associé à votre ressource de stockage. Ressource Le nom de votre ressource de stockage Rôle Lecteur des données Blob du stockage – Permet l’accès en lecture aux données et aux conteneurs blob du Stockage Azure. 
Une fois que vous avez reçu le message de confirmation Attribution de rôle ajoutée, actualisez la page pour voir l’attribution de rôle ajoutée.
Si vous ne voyez pas immédiatement la modification, patientez et essayez d’actualiser la page une nouvelle fois. Lorsque vous attribuez des rôles ou supprimez des attributions de rôle, un délai maximal de 30 minutes peut être nécessaire avant que les modifications prennent effet.
Et voilà ! Vous avez effectué les étapes nécessaires pour activer une identité managée affectée par le système. Avec l’identité managée et Azure RBAC, vous avez accordé à Intelligence documentaire des droits d’accès spécifiques à votre ressource de stockage sans avoir à gérer les informations d’identification telles que les jetons SAS.
Attributions d’autres rôles pour Studio d’intelligence documentaire
Si vous envisagez d’utiliser Studio d’intelligence documentaire et que votre compte de stockage est configuré avec des restrictions réseau comme un pare-feu ou un réseau virtuel, un autre rôle, Contributeur aux données Blob du stockage, doit être attribué à votre service Intelligence documentaire. Studio d’intelligence documentaire nécessite ce rôle pour écrire des blobs dans votre compte de stockage quand vous effectuez des opérations Étiquetage automatique, Opérateur humain dans la boucle ou Partage/mise à jour de projet.
