Configuration du réseau et de l’accès pour Azure OpenAI sur vos données (classique)

S’applique uniquement au :Portail Foundry (classique). Cet article n’est pas disponible pour le nouveau portail Foundry. En savoir plus sur le nouveau portail.

Note

Les liens de cet article peuvent ouvrir du contenu dans la nouvelle documentation Microsoft Foundry au lieu de la documentation Foundry (classique) que vous affichez maintenant.

Important

Azure OpenAI On Your Data est déconseillé et approche de la mise hors service.

Microsoft a cessé d’intégrer de nouveaux modèles à Azure OpenAI sur vos données. Cette fonctionnalité prend uniquement en charge les modèles suivants :

• GPT-4o (versions 2024-05-13, 2024-08-06 et 2024-11-20)
• GPT-4o-mini (version 2024-07-18)
• GPT-4.1, GPT-4.1-mini et GPT-4.1-nano (version 2025-04-14)

Une fois les modèles GPT-4.1 mis hors service, tous les points de terminaison de l'API Azure OpenAI sur vos données ainsi que les connecteurs de source de données pris en charge cessent de fonctionner.

Nous vous recommandons de migrer les charges de travail Azure OpenAI pour vos données vers le service Foundry Agent avec Foundry IQ pour obtenir du contenu et générer des réponses fondées à partir de vos données. Pour commencer, consultez Connecter une base de connaissances Foundry IQ.

Utilisez cet article pour découvrir comment configurer la mise en réseau et l’accès lors de l’utilisation d’Azure OpenAI On Your Data avec le contrôle d’accès en fonction du rôle Microsoft Entra ID, les réseaux virtuels et les points de terminaison privés.

Architecture d’ingestion des données

Lorsque vous utilisez Azure OpenAI Sur vos données Azure pour ingérer des données à partir du stockage Blob Azure, de fichiers locaux ou d'URL dans Recherche Azure AI, le processus suivant est utilisé pour traiter les données.

• Les étapes 1 et 2 sont utilisées uniquement pour le chargement de fichiers.
• Le téléchargement d'URL(s) vers votre stockage d’objets blob n’est pas illustré dans ce schéma. Une fois les pages web téléchargées à partir d’Internet et chargées dans le stockage de blobs, les étapes à partir de la 3 sont les mêmes.
• Un indexeur, un index et une source de données dans la ressource Recherche AZURE AI sont créés à l’aide de compétences prédéfinies et de vectorisation intégrée.
• Recherche Azure AI gère l’extraction, la segmentation et la vectorisation de documents segmentés via la vectorisation intégrée. Si un intervalle de planification est spécifié, l’indexeur s’exécute en conséquence.

Pour les identités managées utilisées dans les appels de service, seules les identités managées affectées par le système sont prises en charge. Les identités managées attribuées par l'utilisateur ne sont pas supportées.

Architecture d’inférence

Lorsque vous envoyez des appels d’API pour discuter avec un modèle Azure OpenAI sur vos données, le service doit récupérer les champs d’index pendant l’inférence pour effectuer le mappage des champs. Par conséquent, même pendant l'inférence, le service nécessite que l'identité Azure OpenAI possède le rôle Search Service Contributor pour le service de recherche.

Si une dépendance d’intégration est fournie dans la demande d’inférence, Azure OpenAI vectorisera la requête réécrite, et les deux seront envoyés à Recherche Azure AI pour une recherche vectorielle.

Contrôle d’accès au niveau du document

Note

Le contrôle d’accès au niveau du document est pris en charge uniquement pour la recherche Azure AI.

Azure OpenAI sur vos données vous permet de restreindre les documents qui peuvent être utilisés dans les réponses pour différents utilisateurs avec des filtres d’Recherche Azure AI security. Lorsque vous activez l’accès au niveau du document, Recherche Azure AI supprime les résultats de la recherche en fonction de l’appartenance au groupe Microsoft Entra spécifiée dans le filtre. Vous ne pouvez activer l’accès au niveau du document que sur les index Recherche Azure AI existants. Pour activer l’accès au niveau du document :

1. Pour inscrire votre application et créer des utilisateurs et des groupes, suivez les étapes décrites dans la documentation Recherche d’IA Azure.

2. Indexez vos documents selon leurs groupes autorisés. Assurez-vous que vos nouveaux champs de sécurité ont le schéma :

   {"name": "group_ids", "type": "Collection(Edm.String)", "filterable": true }
   

   group_ids est le nom de champ par défaut. Si vous utilisez un autre nom de champ, tel que my_group_ids, vous pouvez associer le champ dans le mappage des champs d’index.

3. Vérifiez que chaque document sensible de l’index a cette valeur de champ de sécurité définie sur les groupes autorisés du document.

4. Dans le portail Microsoft Foundry, ajoutez votre source de données. Dans la section mappage des champs d’index , vous pouvez mapper zéro ou une valeur au champ groupes autorisés , tant que le schéma est compatible. Si le champ groupes autorisés n’est pas mappé, l’accès au niveau du document est désactivé.

Portail Foundry

Une fois l’index Recherche AZURE AI connecté, vos réponses dans le studio disposent d’un accès au document en fonction des autorisations Microsoft Entra de l’utilisateur connecté.

API

Lorsque vous utilisez l’API, transmettez le filter paramètre dans chaque requête d’API. Par exemple :

Important

Utilisez des clés API avec précaution. N’incluez pas la clé API directement dans votre code et ne la publiez jamais publiquement. Si vous utilisez une clé API, stockez-la en toute sécurité dans Azure Key Vault. Pour plus d’informations sur l’utilisation sécurisée de clés API dans vos applications, consultez les clés API avec Azure Key Vault.

Pour plus d’informations sur la sécurité des services IA, consultez Authentifier les demandes auprès des services Azure AI.

Pour plus d’informations sur la sécurité, consultez Authentifier les demandes.

{
    "messages": [
        {
            "role": "user",
            "content": "who is my manager?"
        }
    ],
    "data_sources": [
        {
            "type": "azure_search",
            "parameters": {
                "endpoint": "<AZURE_AI_SEARCH_ENDPOINT>",
                "key": "<AZURE_AI_SEARCH_API_KEY>",
                "index_name": "<AZURE_AI_SEARCH_INDEX>",
                "filter": "my_group_ids/any(g:search.in(g, 'group_id1, group_id2'))"
            }
        }
    ]
}

• my_group_ids est le nom de champ que vous avez sélectionné pour les groupes autorisés pendant le mappage de champs.
• group_id1, group_id2 sont des groupes attribués à l’utilisateur connecté. L’application cliente peut récupérer et mettre en cache les groupes d’utilisateurs à l’aide de l’API Microsoft Graph.

Configuration des ressources

Utilisez les sections suivantes pour configurer vos ressources afin d’optimiser l’utilisation sécurisée. Même si vous envisagez de sécuriser uniquement une partie de vos ressources, vous devez toujours suivre toutes les étapes.

Cet article décrit les paramètres réseau liés à la désactivation du réseau public pour les ressources Azure OpenAI, les ressources de recherche Azure AI et les comptes de stockage. L’utilisation de réseaux sélectionnés avec des règles IP n’est pas prise en charge, car les adresses IP des services sont dynamiques.

Créer un groupe de ressources

Créez un groupe de ressources afin de pouvoir organiser toutes les ressources pertinentes. Les ressources du groupe de ressources incluent, mais ne sont pas limitées aux éléments suivants :

• Un réseau virtuel
• Trois services clés : un Azure OpenAI, une recherche Azure AI, un compte de stockage
• Trois points de terminaison privés, chacun est lié à un service clé
• Trois interfaces réseau, chacune est associée à un point de terminaison privé
• Une passerelle de réseau virtuel pour l’accès à partir de machines clientes locales
• Une application web avec un réseau virtuel intégré
• Une zone DNS privée, de sorte que l’application web trouve l’adresse IP de votre instance Azure OpenAI

Créer un réseau virtuel

Le réseau virtuel a trois sous-réseaux.

1. Le premier sous-réseau est utilisé pour la passerelle de réseau virtuel.
2. Le deuxième sous-réseau est utilisé pour les points de terminaison privés pour les trois services clés.
3. Le troisième sous-réseau est vide et utilisé pour l’intégration de réseau virtuel sortant d’application web.

Configurer Azure OpenAI

Sous-domaine personnalisé activé

Le sous-domaine personnalisé est requis pour l’authentification basée sur Microsoft Entra ID et la zone DNS privée. Si la ressource Azure OpenAI est créée à l’aide du modèle ARM, le sous-domaine personnalisé doit être spécifié explicitement.

Activer l’identité managée

Pour permettre à vos comptes Recherche Azure AI et Storage de reconnaître votre Azure OpenAI dans Foundry Models via l’authentification Microsoft Entra ID, vous devez attribuer une identité managée à votre Azure OpenAI dans Foundry Models. Le moyen le plus simple consiste à activer l’identité managée affectée par le système sur le portail Azure.

Pour définir les identités managées via l’API de gestion, consultez la documentation de référence de l’API de gestion.

"identity": {
  "principalId": "<YOUR-PRINCIPAL-ID>",
  "tenantId": "<YOUR-TENNANT-ID>",
  "type": "SystemAssigned, UserAssigned", 
  "userAssignedIdentities": {
    "/subscriptions/<YOUR-SUBSCIRPTION-ID>/resourceGroups/my-resource-group",
    "principalId": "<YOUR-PRINCIPAL-ID>", 
    "clientId": "<YOUR-CLIENT-ID>"
  }
}

Activer le service approuvé

Pour autoriser azure AI Search à appeler votre modèle d’incorporation Azure OpenAI, alors qu’Azure OpenAI n’a pas d’accès réseau public, vous devez configurer Azure OpenAI pour contourner Recherche Azure AI en tant que service approuvé basé sur l’identité managée. Azure OpenAI identifie le trafic à partir de votre recherche Azure AI en vérifiant les revendications dans le jeton web JSON (JWT). La recherche Azure AI doit utiliser l’authentification d’identité managée affectée par le système pour appeler le point de terminaison d’intégration.

Défini networkAcls.bypass comme AzureServices à partir de l’API de gestion. Pour plus d’informations, consultez l’article réseaux virtuels.

Cette étape peut être ignorée uniquement si vous disposez d’une liaison privée partagée pour votre ressource Recherche d’IA Azure.

Désactiver l’accès au réseau public

Vous pouvez désactiver l’accès au réseau public de votre ressource Azure OpenAI dans le portail Azure.

Pour autoriser l’accès à Azure OpenAI à partir de vos machines clientes, comme à l’aide du portail Foundry, vous devez créer des connexions de points de terminaison privés connectées à votre ressource Azure OpenAI.

Configurer la recherche Azure AI

Vous pouvez utiliser le niveau tarifaire de base et supérieur pour la ressource de recherche. Il n’est pas nécessaire, mais si vous utilisez le niveau tarifaire S2, les options avancées sont disponibles.

Activer l’identité managée

Pour permettre à vos autres ressources de reconnaître azure AI Search à l’aide de l’authentification Microsoft Entra ID, vous devez attribuer une identité managée pour votre recherche Azure AI. Le moyen le plus simple consiste à activer l’identité managée affectée par le système dans le portail Azure.

Activer le contrôle d’accès en fonction du rôle

Comme Azure OpenAI utilise l’identité managée pour accéder à Recherche Azure AI, vous devez activer le contrôle d’accès en fonction du rôle dans votre recherche Azure AI. Pour ce faire sur le portail Azure, sélectionnez Les deux ou le contrôle d’accès en fonction du rôle sous l’onglet Clés du portail Azure.

Pour plus d'informations, consultez l'article RBAC Recherche Azure AI.

Désactiver l’accès au réseau public

Vous pouvez désactiver l’accès réseau public de votre ressource Recherche d’IA Azure dans le portail Azure.

Pour autoriser l’accès à votre ressource Recherche Azure AI à partir de vos ordinateurs clients, comme à l’aide du portail Foundry, vous devez créer des connexions de point de terminaison privé qui se connectent à votre ressource Recherche Azure AI.

Activer le service approuvé

Vous pouvez activer le service approuvé de votre ressource de recherche à partir du portail Azure.

Accédez à l’onglet réseau de votre ressource de recherche. Lorsque l’accès au réseau public est désactivé, sélectionnez Autoriser les services Azure dans la liste des services approuvés pour accéder à ce service de recherche.

Vous pouvez également utiliser l’API REST pour activer le service approuvé. Cet exemple utilise Azure CLI et l’outil jq .

rid=/subscriptions/<YOUR-SUBSCRIPTION-ID>/resourceGroups/<YOUR-RESOURCE-GROUP>/providers/Microsoft.Search/searchServices/<YOUR-RESOURCE-NAME>
apiVersion=2024-03-01-Preview
#store the resource properties in a variable
az rest --uri "https://management.azure.com$rid?api-version=$apiVersion" > search.json

#replace bypass with AzureServices using jq
jq '.properties.networkRuleSet.bypass = "AzureServices"' search.json > search_updated.json

#apply the updated properties to the resource
az rest --uri "https://management.azure.com$rid?api-version=$apiVersion" \
    --method PUT \
    --body @search_updated.json

Créer une liaison privée partagée

Conseil

Si vous utilisez un niveau tarifaire de base ou standard, ou s’il s’agit de votre première configuration de toutes vos ressources en toute sécurité, vous devez ignorer cette rubrique avancée.

Cette section s’applique uniquement aux ressources de recherche du niveau tarifaire S2, car elle nécessite la prise en charge des points de terminaison privés pour les indexeurs avec un ensemble de compétences.

Pour créer une liaison privée partagée à partir de votre ressource de recherche se connectant à votre ressource Azure OpenAI, consultez la documentation de recherche. Sélectionnez Type de ressource en tant que Microsoft.CognitiveServices/accounts et ID de groupe en tant que openai_account.

Avec la liaison privée partagée, l’étape 8 du diagramme de l’architecture d’ingestion de données est remplacée par le contournement du service approuvé par une liaison privée partagée.

Configurer un compte de stockage

Activer le service approuvé

Pour autoriser l’accès à votre compte de stockage à partir d’Azure OpenAI et d’Recherche Azure AI, vous devez configurer le compte de stockage pour contourner votre Azure OpenAI et Recherche Azure AI en tant que services approuvés en fonction de l’identité managée.

Dans le portail Azure, accédez à l’onglet Réseau de votre compte de stockage, choisissez « Réseaux sélectionnés », puis sélectionnez Autoriser les services Azure dans la liste des services approuvés pour accéder à ce compte de stockage , puis cliquez sur Enregistrer.

Désactiver l’accès au réseau public

Vous pouvez désactiver l’accès réseau public de votre compte de stockage dans le portail Azure.

Pour autoriser l’accès à votre compte de stockage à partir de vos machines clientes, par exemple en utilisant le Portail Foundry, vous devez créer des connexions de point de terminaison privé qui se connectent à votre stockage d’objets blob.

Attributions de rôles

Jusqu’à présent, vous avez déjà configuré chaque ressource indépendamment. Ensuite, vous devez permettre aux services de s'autoriser mutuellement.

Rôle	Cessionnaire	Ressource	Description
Search Index Data Reader	Azure OpenAI	Recherche d’IA Azure	Le service d’inférence interroge les données de l’index.
Search Service Contributor	Azure OpenAI	Recherche d’IA Azure	Le service d’inférence interroge le schéma d’index pour le mappage de champs automatiques. Le service d’ingestion de données crée un index, des sources de données, un jeu de compétences, un indexeur et interroge l’état de l’indexeur.
Storage Blob Data Contributor	Azure OpenAI	Compte de stockage	Lit à partir du conteneur d’entrée et écrit le résultat prétraité dans le conteneur de sortie.
Cognitive Services OpenAI Contributor	Recherche d’IA Azure	Azure OpenAI, Microsoft Foundry Project	Autorise la ressource Recherche Azure AI à accéder au point de terminaison d’intégration Azure OpenAI. Ce rôle doit être affecté à la fois à la ressource Azure OpenAI et au projet Microsoft Foundry.
Storage Blob Data Reader	Recherche d’IA Azure	Compte de stockage	Lit les blobs de document et les blobs en morceaux.
Reader	Projet de fonderie	Points de terminaison privés de stockage Azure (Blob et Fichier)	Lisez les index de recherche créés dans le stockage d'objets blob d'un projet Foundry.
Cognitive Services OpenAI User	Application web	Azure OpenAI	Inférence.

Dans le tableau ci-dessus, Assignee indique l'identité managée attribuée par le système de cette ressource.

L’administrateur doit avoir le Owner rôle sur ces ressources pour ajouter des attributions de rôles.

Consultez la documentation Azure RBAC pour obtenir des instructions sur la définition de ces rôles dans le portail Azure. Vous pouvez utiliser le script disponible sur GitHub pour ajouter les attributions de rôles par programmation.

Pour permettre aux développeurs d’utiliser ces ressources pour générer des applications, l’administrateur doit ajouter l’identité des développeurs avec les attributions de rôles suivantes aux ressources.

Rôle	Ressource	Description
Cognitive Services OpenAI Contributor	Azure OpenAI	Appelez l’API d’ingestion publique à partir du portail Foundry. Le rôle Contributor n'est pas suffisant, car avec uniquement le rôle Contributor, vous ne pouvez pas appeler l'API de la couche de données via l'authentification Microsoft Entra ID. L'authentification Microsoft Entra ID est requise dans la configuration sécurisée décrite dans cet article.
Contributor	Recherche d’IA Azure	Listez les API-Keys pour afficher les index à partir du portail Foundry.
Contributor	Compte de stockage	Lister les signatures d’accès partagé de compte pour charger des fichiers à partir du portail Foundry.
Contributor	Groupe de ressources ou abonnement Azure dans lequel le développeur doit déployer l’application web sur	Déployez l’application web sur l’abonnement Azure du développeur.
Role Based Access Control Administrator	Azure OpenAI	Autorisation de configurer l’attribution de rôle nécessaire sur la ressource Azure OpenAI. Permet à l’application web d’appeler Azure OpenAI.

Configurer la passerelle et le client

Pour accéder à Azure OpenAI à partir de vos machines clientes locales, l’une des approches consiste à configurer la passerelle VPN Azure et le client VPN Azure.

Suivez cette directive pour créer une passerelle de réseau virtuel pour votre réseau virtuel.

Suivez cette directive pour ajouter une configuration de point à site et activer l’authentification basée sur l’ID Microsoft Entra. Téléchargez le package de configuration du profil client VPN Azure, décompressez et importez le AzureVPN/azurevpnconfig.xml fichier dans votre client VPN Azure.

Configurez votre fichier d’ordinateur hosts local pour pointer les noms d’hôte de vos ressources vers les adresses IP privées de votre réseau virtuel. Le hosts fichier se trouve sur C:\Windows\System32\drivers\etc Windows et /etc/hosts sur Linux. Exemple:

10.0.0.5 contoso.openai.azure.com
10.0.0.6 contoso.search.windows.net
10.0.0.7 contoso.blob.core.windows.net

Portail Foundry

Vous devez pouvoir utiliser toutes les fonctionnalités du portail Foundry , y compris l’ingestion et l’inférence, à partir de vos ordinateurs clients locaux.

Application web

L’application web communique avec votre ressource Azure OpenAI. Étant donné que votre ressource Azure OpenAI a un réseau public désactivé, l’application web doit être configurée pour utiliser le point de terminaison privé dans votre réseau virtuel pour accéder à votre ressource Azure OpenAI.

L’application web doit résoudre le nom d’hôte Azure OpenAI en adresse IP privée du point de terminaison privé d’Azure OpenAI. Par conséquent, vous devez d’abord configurer la zone DNS privée pour votre réseau virtuel.

1. Créez une zone DNS privée dans votre groupe de ressources.
2. Ajoutez un enregistrement DNS. L’adresse IP est l’adresse IP privée du point de terminaison privé de votre ressource Azure OpenAI, et vous pouvez obtenir l’adresse IP à partir de l’interface réseau associée au point de terminaison privé de votre instance Azure OpenAI.
3. Liez la zone DNS privée à votre réseau virtuel afin que l’application web intégrée dans ce réseau virtuel puisse utiliser cette zone DNS privée.

Lors du déploiement de l’application web à partir du portail Foundry, sélectionnez le même emplacement avec le réseau virtuel, puis sélectionnez une référence SKU appropriée, afin qu’elle puisse prendre en charge la fonctionnalité d’intégration de réseau virtuel.

Une fois l’application web déployée, à partir de l’onglet Mise en réseau du portail Azure, configurez l’intégration du réseau virtuel du trafic sortant de l’application web, choisissez le troisième sous-réseau que vous avez réservé pour l’application web.

Utilisation de l’API

Vérifiez que vos informations d’identification de connexion ont Cognitive Services OpenAI Contributor un rôle sur votre ressource Azure OpenAI et exécutez az login d’abord.

API d’ingestion

Pour plus d’informations sur les objets de requête et de réponse utilisés par l’API d’ingestion, consultez l’article de référence de l’API d’ingestion .

API d’inférence

Pour plus d’informations sur les objets de requête et de réponse utilisés par l’API d’inférence, consultez l’article de référence de l’API d’inférence .

Utiliser Microsoft Defender pour cloud

Vous pouvez désormais intégrer Microsoft Defender pour Cloud (préversion) à vos ressources Azure pour protéger vos applications. Microsoft Defender pour Cloud protège vos applications avec protection contre les menaces pour les charges de travail IA , fournissant aux équipes des alertes de sécurité basées sur des preuves enrichies avec des signaux de renseignement sur les menaces Microsoft et permet aux équipes de renforcer leur posture de sécurité avec des recommandations intégrées en matière de meilleures pratiques de sécurité.

Utilisez ce formulaire pour demander l’accès.