Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure AI Search mendukung pengendalian akses pada tingkat dokumen, memungkinkan organisasi untuk menerapkan izin terperinci pada tingkat dokumen, dari pengambilan data hingga eksekusi kueri. Kemampuan ini sangat penting untuk membangun data grounding sistem agenik AI yang aman, aplikasi Retrieval-Augmented Generation (RAG), dan solusi pencarian perusahaan yang memerlukan pemeriksaan otorisasi di tingkat dokumen.
Pendekatan untuk kontrol akses tingkat dokumen
| Pendekatan | Deskripsi |
|---|---|
| Filter keamanan | Perbandingan string. Aplikasi Anda meneruskan identitas pengguna atau grup sebagai string, yang mengisi filter pada kueri, tidak termasuk dokumen apa pun yang tidak cocok pada string. Filter keamanan adalah teknik untuk mencapai kontrol akses tingkat dokumen. Pendekatan ini tidak terikat ke API sehingga Anda dapat menggunakan versi atau paket apa pun. |
| Cakupan ACL / RBAC mirip POSIX (peninjauan) | Prinsipal keamanan Microsoft Entra yang terkait dengan token kueri dibandingkan dengan metadata izin dokumen yang dikembalikan dalam hasil pencarian, tanpa menyertakan dokumen apa pun yang tidak sesuai dengan izin. Izin Daftar Kontrol Akses (ACL) berlaku untuk direktori dan file Azure Data Lake Storage (ADLS) Gen2. Cakupan kontrol akses berbasis peran (RBAC) berlaku untuk konten ADLS Gen2 dan blob Azure. Dukungan bawaan untuk akses berbasis identitas di tingkat dokumen dalam pratinjau, tersedia di REST API dan pratinjau paket Azure SDK yang menyediakan fitur tersebut. Pastikan untuk memeriksa log perubahan paket SDK untuk bukti dukungan fitur. |
| Label sensitivitas Microsoft Purview (pratinjau) | Pengindeks mengekstrak label sensitivitas yang ditentukan di Microsoft Purview dari sumber data yang didukung (Azure Blob Storage, ADLS Gen2, SharePoint di Microsoft 365, OneLake). Label-label ini disimpan sebagai metadata dan dievaluasi pada waktu kueri untuk memberlakukan akses pengguna berdasarkan token Microsoft Entra dan penetapan kebijakan Purview. Pendekatan ini menyelaraskan otorisasi Azure AI Search dengan model Perlindungan Informasi Microsoft perusahaan Anda. |
| SharePoint pada Microsoft 365 ACLs (pratinjau) | Saat dikonfigurasi, pengindeks Azure AI Search mengekstrak izin dokumen SharePoint langsung dari di ACL Microsoft 365 selama penyerapan awal. Pemeriksaan akses menggunakan keanggotaan pengguna dan grup Microsoft Entra. Jenis grup yang didukung termasuk grup keamanan Microsoft Entra, grup Microsoft 365, dan grup keamanan dengan dukungan email. Grup SharePoint belum didukung dalam pratinjau. |
Pola pemangkasan keamanan dengan filter
Untuk skenario saat integrasi cakupan ACL/RBAC asli tidak layak, kami merekomendasikan filter string keamanan untuk memangkas hasil berdasarkan kriteria pengecualian. Pola ini mencakup komponen-komponen berikut:
- Untuk menyimpan identitas pengguna atau grup, buat bidang string dalam indeks.
- Muat indeks menggunakan dokumen sumber yang menyertakan ACL terkait.
- Sertakan ekspresi filter dalam logika kueri Anda untuk pencocokan pada string.
- Saat kueri, dapatkan identitas pemanggil.
- Berikan identitas pemanggil sebagai string filter.
- Hasil dipangkas untuk mengecualikan kecocokan yang gagal menyertakan string identitas pengguna atau grup,
Anda dapat memanfaatkan API model pendorongan atau penarikan. Karena pendekatan ini agnostik API, Anda hanya perlu memastikan bahwa indeks dan kueri memiliki string (identitas) yang valid untuk langkah filtrasi.
Pendekatan ini berguna untuk sistem dengan model akses kustom atau kerangka kerja keamanan non-Microsoft. Untuk informasi selengkapnya tentang pendekatan ini, lihat Filter keamanan untuk memangkas hasil di Azure AI Search.
Pola untuk dukungan bawaan izin cakupan yang mirip POSIX untuk ACL dan RBAC (pratinjau)
Dukungan asli didasarkan pada pengguna dan grup Microsoft Entra yang berafiliasi dengan dokumen yang ingin Anda indeks dan kueri.
Kontainer Azure Data Lake Storage (ADLS) Gen2 mendukung ACL pada kontainer dan file. Untuk ADLS Gen2, pelestarian cakupan RBAC di tingkat dokumen didukung secara asli saat Anda menggunakan pengindeks ADLS Gen2 atau sumber pengetahuan Blob (mendukung ADLS Gen2) dan API pratinjau untuk menyerap konten. Untuk blob Azure yang menggunakan pengindeks blob Azure atau sumber pengetahuan, pelestarian cakupan RBAC berada di tingkat kontainer.
Untuk konten yang diamankan ACL, sebaiknya akses grup melalui akses pengguna individual untuk kemudahan manajemen. Pola ini mencakup komponen-komponen berikut:
- Mulailah dengan dokumen atau file yang memiliki penugasan ACL.
- Aktifkan filter izin dalam indeks.
- Tambahkan filter izin ke bidang string dalam indeks.
- Muat indeks dengan dokumen sumber yang memiliki ACL terkait.
- Kueri indeks, menambahkan
x-ms-query-source-authorizationdi header permintaan.
Aplikasi klien Anda menerima izin baca ke indeks melalui peran Pembaca Data Indeks Pencarian atau Kontributor Data Indeks Pencarian . Akses pada waktu kueri ditentukan oleh metadata izin pengguna atau grup dalam konten terindeks. Kueri yang menyertakan filter izin meneruskan token pengguna atau grup seperti x-ms-query-source-authorization di header permintaan. Saat Anda menggunakan filter izin pada waktu kueri, Pencarian Azure AI memeriksa dua hal:
Pertama, ini memeriksa izin Pembaca Data Indeks Pencarian yang memungkinkan aplikasi klien Anda mengakses indeks.
Kedua, dengan adanya token tambahan pada permintaan, token tersebut memeriksa izin pengguna atau grup pada dokumen yang dikembalikan dalam hasil pencarian, mengesampingkan dokumen yang tidak cocok.
Untuk menyertakan metadata izin ke dalam indeks, Anda dapat menggunakan API model push, dengan mendorong berbagai dokumen JSON ke indeks pencarian, di mana payload menyertakan bidang string yang menyediakan ACL mirip POSIX untuk setiap dokumen. Perbedaan penting antara pendekatan ini dan pemangkasan keamanan adalah bahwa metadata filter izin dalam indeks dan kueri dikenali sebagai autentikasi ID Microsoft Entra, sedangkan solusi pemangkasan keamanan adalah perbandingan string sederhana. Selain itu, Anda dapat menggunakan Graph SDK untuk mengambil identitas.
Anda juga dapat menggunakan API model penarikan (pengindeks) jika sumber datanya adalah Azure Data Lake Storage (ADLS) Gen2 dan kode Anda memanggil API pratinjau untuk pengindeksan.
Mengambil metadata izin ACL selama proses penyerapan data (pratinjau)
Cara Anda mengambil izin ACL bervariasi tergantung pada apakah Anda mengirim payload dokumen atau menggunakan pengindeks ADLS Gen2.
Mulailah dengan API pratinjau yang menyediakan fitur:
- REST API 2025-11-01-preview
- Paket prarilis Azure SDK untuk Python
- Azure SDK untuk paket prarilis .NET
- Paket prarilis Azure SDK untuk Java
Untuk pendekatan model pendorongan:
- Pastikan skema indeks Anda juga dibuat menggunakan SDK pratinjau atau prarilis dan skema tersebut dilengkapi dengan filter izin.
- Pertimbangkan untuk menggunakan Microsoft Graph SDK untuk mendapatkan identitas grup atau pengguna.
- Gunakan Dokumen Indeks atau Azure SDK API yang setara untuk mendorong dokumen dan metadata izin terkait ke dalam indeks pencarian.
Untuk model penarikan pendekatan pengindeks ADLS Gen2 atau sumber pengetahuan Blob (ADLS Gen2):
- Verifikasi bahwa file dalam direktori diamankan menggunakan model kontrol akses ADLS Gen2.
- Gunakan Buat REST API Pengindeks atau Buat REST API Sumber Pengetahuan atau Azure SDK API yang setara untuk membuat pengindeks, indeks, dan sumber data.
Pola untuk integrasi izin ACL dasar SharePoint di Microsoft 365 (pratinjau)
Untuk konten SharePoint di Microsoft 365, Azure AI Search dapat menerapkan izin tingkat dokumen berdasarkan ACL SharePoint. Integrasi ini mempromosikan bahwa hanya pengguna atau grup dengan akses ke dokumen sumber di SharePoint yang dapat mengambilnya dalam hasil pencarian, segera setelah izin disinkronkan dalam indeks. Izin diterapkan ke indeks baik selama proses pengindeksan dokumen awal atau selama tahapan lainnya.
Dukungan SharePoint ACL tersedia dalam pratinjau melalui pengindeks SharePoint menggunakan REST API pratinjau 2025-11-01 atau SDK yang didukung. Pengindeks mengekstrak metadata izin untuk file dan item daftar serta mempertahankannya dalam indeks pencarian, yang digunakan untuk menerapkan kontrol akses saat kueri dijalankan.
Pola ini mencakup komponen-komponen berikut:
- Gunakan pengindeks SharePoint di Microsoft 365 dengan izin aplikasi untuk membaca konten situs SharePoint dan izin penuh untuk membaca ACL. Ikuti instruksi penyiapan ACL pengindeks SharePoint untuk pengaktifan dan batasan.
- Selama pengindeksan awal, entri SharePoint ACL (pengguna dan grup) disimpan sebagai metadata izin dalam indeks pencarian.
- Untuk pengindeksan ACL bertahap, tinjau mekanisme yang tersedia untuk sinkronisasi ulang SharePoint ACL yang tersedia selama pratinjau publik.
- Pada saat kueri, Azure AI Search memeriksa prinsipal Microsoft Entra dalam token pencarian terhadap metadata SharePoint ACL yang disimpan dalam indeks. Ini mengecualikan dokumen apa pun yang tidak diizinkan untuk diakses oleh pemanggil.
Selama pratinjau, hanya tipe utama berikut yang didukung di ACL SharePoint:
- Akun pengguna Microsoft Entra
- Grup keamanan Microsoft Entra
- Grup Microsoft 365
- Grup keamanan dengan dukungan email
Grup SharePoint tidak didukung dalam rilis pratinjau.
Untuk detail konfigurasi dan batasan penuh, lihat Cara mengindeks SharePoint di izin tingkat dokumen Microsoft 365 (pratinjau).
Pola untuk label sensitivitas Microsoft Purview (pratinjau)
Azure AI Search dapat menyerap dan menerapkan label sensitivitas Microsoft Purview untuk kontrol akses tingkat dokumen, memperluas kebijakan perlindungan informasi dari Microsoft Purview ke dalam aplikasi pencarian dan pengambilan Anda.
Saat penyerapan label diaktifkan, Azure AI Search mengekstrak metadata sensitivitas dari sumber data yang didukung. Ini termasuk: Azure Blob Storage, Azure Data Lake Storage Gen2 (ADLS Gen2), SharePoint di Microsoft 365, dan Microsoft OneLake. Label yang diekstrak disimpan dalam indeks bersama konten dokumen.
Pada saat kueri, Azure AI Search memeriksa label sensitivitas setiap dokumen, token Microsoft Entra pengguna, dan kebijakan Purview organisasi untuk menentukan akses. Dokumen dikembalikan hanya jika identitas pengguna dan izin berbasis label memungkinkan akses di bawah kebijakan Purview yang dikonfigurasi.
Pola ini mencakup komponen-komponen berikut:
- Konfigurasikan indeks, sumber data , dan pengindeks Anda (untuk tujuan penjadwalan) menggunakan REST API pratinjau 2025-11-01 atau SDK terkait yang mendukung penyerapan label Purview.
- Aktifkan identitas terkelola yang ditetapkan sistem ke layanan pencarian Anda. Kemudian minta administrator global penyewa atau administrator peran istimewa Anda untuk memberikan akses yang diperlukan, sehingga layanan pencarian dapat mengakses Microsoft Purview dengan aman dan mengekstrak metadata label.
- Terapkan label sensitivitas ke dokumen sebelum pengindeksan sehingga dapat dikenali dan dipertahankan selama penyerapan.
- Pada waktu kueri, lampirkan token Microsoft Entra yang valid melalui header
x-ms-query-source-authorizationke setiap permintaan kueri. Azure AI Search mengevaluasi token dan metadata label terkait untuk menerapkan kontrol akses berbasis label.
Penerapan label sensitivitas di Purview terbatas dalam skenario penyewa tunggal, dan memerlukan autentikasi RBAC, serta pada saat pratinjau publik hanya didukung melalui API REST atau SDK. Fitur pelengkapan otomatis dan API Saran tidak tersedia untuk indeks yang diaktifkan Purview saat ini.
Untuk informasi selengkapnya, lihat Menggunakan pengindeks Azure AI Search untuk menyerap label sensitivitas Microsoft Purview.
Menerapkan izin tingkat dokumen saat pemrosesan kueri
Dengan kueri berbasis token asli, Azure AI Search memvalidasi token Microsoft Entra pengguna, memangkas tataan hasil untuk menyertakan hanya dokumen yang diizinkan untuk diakses pengguna.
Anda dapat mencapai pemangkasan otomatis dengan melampirkan token Microsoft Entra pengguna ke permintaan kueri Anda. Untuk informasi selengkapnya, lihat Penegakan ACL dan RBAC pada waktu kueri di Azure AI Search.
Manfaat kontrol akses tingkat dokumen
Kontrol akses tingkat dokumen sangat penting untuk melindungi informasi sensitif dalam aplikasi berbasis AI. Ini membantu organisasi membangun sistem yang selaras dengan kebijakan akses mereka, mengurangi risiko mengekspos data yang tidak sah atau rahasia. Dengan mengintegrasikan aturan akses langsung ke alur pencarian, sistem AI dapat memberikan respons yang di-grounded dalam informasi yang aman dan sah.
Dengan membongkar penegakan izin ke Azure AI Search, pengembang dapat fokus pada pembuatan sistem pengambilan dan peringkat berkualitas tinggi. Pendekatan ini membantu mengurangi kebutuhan untuk menangani grup berlapis, menulis filter kustom, atau memangkas hasil pencarian secara manual.
Izin tingkat dokumen di Azure AI Search menyediakan kerangka kerja terstruktur untuk memberlakukan kontrol akses yang selaras dengan kebijakan organisasi. Dengan menggunakan peran ACL dan RBAC berbasis Microsoft Entra, organisasi dapat membuat sistem yang mendukung kepatuhan yang kuat dan mempromosikan kepercayaan di antara pengguna. Kemampuan bawaan ini mengurangi kebutuhan akan pengkodean kustom, menawarkan pendekatan standar untuk keamanan tingkat dokumen.
Tutorial dan sampel
Lihat lebih dekat kontrol akses tingkat dokumen di Azure AI Search dengan lebih banyak artikel dan sampel.
- Tutorial: Mengindeks metadata izin ADLS Gen2 menggunakan pengindeks
- azure-search-rest-samples/acl
- azure-search-python-samples/Quickstart-Document-Permissions-Push-API
- azure-search-python-samples/Quickstart-Document-Permissions-Pull-API
- Aplikasi demo: Menyerap dan menghormati label sensitivitas
Konten terkait
- Cara mengindeks izin tingkat dokumen menggunakan PUSH API
- Cara mengindeks izin tingkat dokumen menggunakan pengindeks ADLS Gen2
- Cara mengindeks izin tingkat dokumen menggunakan SharePoint di pengindeks Microsoft 365
- Cara mengindeks label sensitivitas menggunakan pengindeks
- Cara mengkueri menggunakan izin berbasis token Microsoft Entra