Implementazione di Microsoft Foundry nell'organizzazione

Annotazioni

Questo articolo fa riferimento al portale di Microsoft Foundry (versione classica).

🔄 Passa alla nuova documentazione di Microsoft Foundry se si usa il nuovo portale.

Questa guida illustra le decisioni chiave per l'implementazione di Microsoft Foundry, tra cui la configurazione dell'ambiente, l'isolamento dei dati, l'integrazione con altri servizi di Azure, la gestione della capacità e il monitoraggio. Usare questa guida come punto di partenza e adattarla alle proprie esigenze. Per informazioni dettagliate sull'implementazione, vedere gli articoli collegati per altre indicazioni.

Prerequisiti

Prima di iniziare la pianificazione dell'implementazione, verificare di avere:

• Una sottoscrizione di Azure di destinazione e una strategia di gruppo di risorse per ambienti di sviluppo, test e produzione.
• Gruppi di ID Microsoft Entra (o gruppi di identità equivalenti) definiti per amministratori, project manager e utenti del progetto.
• Piano di area iniziale basato sul modello e sulla disponibilità delle funzionalità. Per informazioni dettagliate, vedere Disponibilità delle funzionalità tra aree cloud.
• Accordo sui requisiti di sicurezza per la rete, la crittografia e l'isolamento dei dati nell'organizzazione.

Elenco di controllo per l'implementazione di base

Usare questo elenco di controllo prima della prima implementazione di produzione:

1. Definire i limiti dell'ambiente tra sviluppo, test e produzione.
2. Assegnare la proprietà per ogni risorsa foundry e ambito del progetto.
3. Definire le assegnazioni di controllo degli accessi in base al ruolo per amministratori, project manager e utenti del progetto.
4. Definire l'approccio di rete per ogni ambiente (accesso pubblico, endpoint privato o ibrido).
5. Decidere se le chiavi gestite dal cliente sono richieste dai criteri.
6. Definire la proprietà dei costi e del monitoraggio per ogni gruppo aziendale.
7. Identificare le connessioni condivise necessarie e le connessioni con ambito progetto.

Organizzazione di esempio

Contoso è un'azienda globale che esplora l'adozione di GenAI in cinque gruppi aziendali, ognuno con esigenze distinte e maturità tecnica.

Per accelerare l'adozione mantenendo la supervisione, Contoso Enterprise IT mira a abilitare un modello con risorse condivise comuni, tra cui la rete e la gestione centralizzata dei dati, consentendo al contempo l'accesso self-service a Foundry per ogni team all'interno di un ambiente regolamentato e sicuro per gestire i casi d'uso.

Considerazioni sull'implementazione

La risorsa Foundry definisce l'ambito per la configurazione, la protezione e il monitoraggio dell'ambiente del team. È disponibile nel portale foundry e tramite le API di Azure. I progetti sono come cartelle per organizzare il lavoro all'interno di questo contesto di risorse. I progetti controllano anche l'accesso e le autorizzazioni per le API e gli strumenti per sviluppatori Foundry.

Per garantire coerenza, scalabilità e governance tra i team, prendere in considerazione le procedure di configurazione dell'ambiente seguenti durante l'implementazione di Foundry:

• Stabilire ambienti distinti per sviluppo, test e produzione. Usare gruppi di risorse o sottoscrizioni separati e risorse Foundry per isolare i flussi di lavoro, gestire l'accesso e supportare la sperimentazione con le versioni controllate.

• Creare una risorsa Foundry separata per ogni gruppo aziendale. Allineare le distribuzioni con limiti logici, ad esempio domini dati o funzioni aziendali, per garantire autonomia, governance e rilevamento dei costi.

• Associare progetti ai casi d'uso. I progetti Foundry sono progettati per rappresentare casi d'uso specifici. Sono contenitori per organizzare componenti come agenti o file per un'applicazione. Anche se ereditano le impostazioni di sicurezza dalla risorsa padre, possono anche implementare controlli di accesso, integrazione dei dati e altri controlli di governance.

Protezione dell'ambiente Foundry

Foundry è basato sulla piattaforma Azure, quindi è possibile personalizzare i controlli di sicurezza per soddisfare le esigenze dell'organizzazione. Le aree di configurazione principali includono:

• Identità: usare Microsoft Entra ID per gestire l'accesso utente e servizio. Foundry supporta le identità gestite per consentire l'autenticazione sicura senza password ad altri servizi di Azure. È possibile assegnare identità gestite a livello di risorsa Foundry e facoltativamente a livello di progetto per un controllo con granularità fine.  Altre informazioni sulle identità gestite.

• Rete: distribuire Foundry in una rete virtuale per isolare il traffico e controllare l'accesso usando i gruppi di sicurezza di rete.  Altre informazioni sulla sicurezza di rete.

  Per gli scenari di connettività privata, usare endpoint privati e convalidare lo stato di approvazione dns e endpoint. Per informazioni dettagliate sull'implementazione e limitazioni, vedere Come configurare un collegamento privato per Foundry.

  Importante

  L'isolamento della rete end-to-end non è completamente supportato nella nuova esperienza del portale Foundry. Per le distribuzioni isolate dalla rete, usare le linee guida per l'esperienza classica, l'SDK o l'interfaccia della riga di comando in Come configurare un collegamento privato per Foundry.

• Chiavi gestite dal cliente: Azure supporta la chiave gestita dal cliente per crittografare i dati inattivi. Foundry supporta facoltativamente cmk per i clienti con esigenze di conformità rigorose.  Maggiori informazioni su CMK.

• Autenticazione e autorizzazione: Foundry supporta sia l'accesso basato su chiave API per l'integrazione semplice che Azure RBAC per un controllo con granularità fine. Le chiavi API possono semplificare la configurazione, ma non forniscono la stessa granularità basata sul ruolo di Microsoft Entra ID con controllo degli accessi in base al ruolo. Azure applica una netta separazione tra il piano di controllo (gestione delle risorse) e il piano dati (modello e accesso ai dati). Iniziare con i ruoli predefiniti e definire ruoli personalizzati in base alle esigenze. Altre informazioni sull'autenticazione.

• Modelli: Usare i modelli ARM o Bicep per automatizzare le distribuzioni sicure. Esplorare i modelli di esempio.

• Risorsa di archiviazione: è possibile scegliere di usare le funzionalità di archiviazione predefinite in Foundry o usare le proprie risorse di archiviazione. Per il servizio agent, i thread e i messaggi possono essere archiviati facoltativamente nelle risorse gestite dall'utente.

Esempio: Approccio alla sicurezza di Contoso

Contoso protegge le distribuzioni di Foundry usando la rete privata e un hub centrale gestito dall'IT aziendale. Ogni gruppo aziendale si connette tramite una rete virtuale spoke. Usano il controllo degli accessi in base al ruolo integrato per suddividere l'accesso.

• Gli amministratori gestiscono distribuzioni, connessioni e risorse condivise
• Project Manager supervisiona progetti specifici
• Gli utenti interagiscono con gli strumenti GenAI

Per la maggior parte dei casi d'uso, Contoso si basa sulla crittografia gestita da Microsoft per impostazione predefinita e non usa chiavi Customer-Managed.

Pianificare l'accesso utente

Una gestione efficace degli accessi è fondamentale per una configurazione sicura e scalabile di Foundry.

• Definire i ruoli e le responsabilità di accesso necessari

  • Identificare i gruppi di utenti che richiedono l'accesso a vari aspetti dell'ambiente Foundry.
  • Assegnare ruoli RBAC di Azure predefiniti o personalizzati sulla base delle responsabilità, ad esempio:
    • Proprietario dell'account: gestire configurazioni di primo livello, ad esempio connessioni di sicurezza e risorse condivise.
    • Project Manager: creare e gestire progetti Foundry e i relativi collaboratori.
    • Utenti progetto: contribuire ai progetti esistenti.

  Usare questo mapping iniziale da ruolo a ambito per la pianificazione dell'implementazione:

  Persona	Ruolo di avvio	Ambito consigliato
  Amministratori	Proprietario o proprietario dell'account azure per intelligenza artificiale	Sottoscrizione o risorsa Foundry
  Project Manager	Azure AI Manager di Progetto	Risorsa della fonderia
  Utenti del progetto	Utente di Intelligenza artificiale di Azure	Progetto Foundry

  Modificare le assegnazioni in base ai requisiti con privilegi minimi e ai criteri aziendali.

• Determinare l'ambito di accesso

  • Scegliere l'ambito appropriato per le assegnazioni di accesso:
    • Livello di sottoscrizione: accesso più ampio, in genere adatto per team IT o piattaforme centrali o organizzazioni più piccole.
    • Livello gruppo di risorse: utile per raggruppare le risorse correlate con criteri di accesso condiviso. Ad esempio, una funzione di Azure che segue lo stesso ciclo di vita dell'applicazione dell'ambiente Foundry.
    • Livello di risorsa o progetto: ideale per un controllo con granularità fine, soprattutto quando si gestiscono dati sensibili o si abilitano self-service.

• Allineare la strategia di gestione delle identità

  • Per le origini dati e gli strumenti integrati con Foundry, determinare se gli utenti devono eseguire l'autenticazione tramite:
    • Identità gestite o chiave API: adatta per i servizi automatizzati e l'accesso condiviso tra gli utenti.
    • Identità utente: scelta consigliata quando è necessaria la responsabilità o il controllo a livello di utente.
  • Usare i gruppi di ID Entra di Microsoft per semplificare la gestione degli accessi e garantire la coerenza tra gli ambienti.

  Per l'onboarding con privilegi minimi, iniziare con il ruolo Utente di intelligenza artificiale di Azure per sviluppatori e identità gestite del progetto, quindi aggiungere ruoli elevati solo se necessario. Per informazioni dettagliate, vedere Controllo degli accessi in base al ruolo in Foundry.

Stabilire la connettività con altri servizi di Azure

Foundry supporta le connessioni, che sono configurazioni riutilizzabili che consentono l'accesso ai componenti dell'applicazione nei servizi di Azure e non di Azure. Queste connessioni fungono anche da broker di identità, consentendo a Foundry di eseguire l'autenticazione a sistemi esterni usando identità gestite o entità servizio per conto degli utenti del progetto.

Creare connessioni a livello di risorsa Foundry per servizi condivisi come Azure Storage o Key Vault. Definire l'ambito delle connessioni a un progetto specifico per integrazioni sensibili o specifiche del progetto. Questa flessibilità consente ai team di bilanciare il riutilizzo e l'isolamento in base alle proprie esigenze. Altre informazioni sulle connessioni in Foundry.

Configurare l'autenticazione della connessione per l'uso di token di accesso condiviso, ad esempio identità gestite o chiavi API di Microsoft Entra ID, per la gestione semplificata e l'onboarding o i token utente tramite pass-through Entra ID, che offrono un maggiore controllo durante l'accesso alle origini dati sensibili.

Esempio: Strategia di connettività di Contoso

• Contoso crea una risorsa Foundry per ogni gruppo aziendale, assicurando che i progetti con esigenze di dati simili condividano le stesse risorse connesse.
• Per impostazione predefinita, le risorse connesse usano token di autenticazione condivisa e vengono condivise in tutti i progetti.
• I progetti che usano carichi di lavoro di dati sensibili si connettono a origini dati con connessioni con ambito progetto e autenticazione pass-through Microsoft Entra ID.

Gestione

Una governance efficace in Foundry garantisce operazioni sicure, conformi e convenienti tra gruppi aziendali.

• Controllo di accesso basato su modello con Criteri di Azure Criteri di Azure applica regole su tutte le risorse di Azure. In Foundry usare i criteri per limitare i modelli o le famiglie di modelli a cui possono accedere gruppi aziendali specifici. Esempio: il gruppo Finance & Risk di Contoso è limitato dall'uso di modelli di anteprima o non conformi applicando un criterio a livello di sottoscrizione del gruppo aziendale.
• Gestione costi per gruppo aziendale Distribuendo Foundry per gruppo aziendale, Contoso può tenere traccia e gestire i costi in modo indipendente. Usare il calcolatore prezzi di Azure per le stime di pre-distribuzione e Gestione costi Microsoft per il rilevamento effettivo effettivo e della tendenza. Considerare i costi di Foundry come parte del costo totale della soluzione.
• Rilevamento dell'utilizzo con Monitoraggio di Azure Monitoraggio di Azure fornisce metriche e dashboard per tenere traccia dei modelli di utilizzo, delle prestazioni e dell'integrità delle risorse foundry.
• Registrazione dettagliata con Log Analytics di Azure Log Analytics di Azure consente un'ispezione approfondita dei log per informazioni dettagliate operative. Ad esempio, l'utilizzo delle richieste di log, l'utilizzo dei token e la latenza per supportare il controllo e l'ottimizzazione.

Convalidare le decisioni di implementazione

Dopo aver definito il piano di implementazione, convalidare i risultati seguenti:

• Identità e accesso: le assegnazioni di ruolo sono mappate a utenti e ambiti approvati.
• Rete: il percorso di connettività e il modello di isolamento sono documentati per ogni ambiente.
• Verifica della rete: lo stato della connessione dell'endpoint privato è Approvato e DNS risolve gli endpoint Foundry in indirizzi IP privati dall'interno della rete virtuale.
• Protezione dei dati: l'approccio alla crittografia (chiavi gestite da Microsoft o chiavi gestite dal cliente) è documentato e approvato.
• Operazioni: i proprietari di costi e monitoraggio vengono assegnati per ogni gruppo aziendale.
• Verifica delle operazioni: le visualizzazioni dei costi e i dashboard sono definiti in Gestione costi Microsoft e il monitoraggio è connesso ad Application Insights per ogni progetto di produzione.
• Operazioni del modello: la strategia di distribuzione (standard o con provisioning) è documentata in base al caso d'uso.
• Idoneità per l'area: i modelli e i servizi necessari vengono confermati nelle aree di destinazione prima dell'implementazione.

Configurare e ottimizzare le distribuzioni di modelli

Quando distribuiscono modelli in Fonderia, i team possono scegliere tra i tipi di distribuzione standard e con provisioning. Le distribuzioni standard sono ideali per lo sviluppo e la sperimentazione, offrendo flessibilità e facilità di configurazione. Le distribuzioni con provisioning sono consigliate per scenari di produzione in cui sono necessari prestazioni prevedibili, controllo dei costi e associazione della versione del modello.

Per supportare scenari tra aree e consentire l'accesso alle distribuzioni di modelli esistenti, Foundry consente le connessioni alle distribuzioni di modelli ospitate in altre istanze di Foundry o Di Azure OpenAI. Usando le connessioni, i team possono centralizzare le distribuzioni per la sperimentazione, consentendo comunque l'accesso da progetti distribuiti. Per i carichi di lavoro di produzione, si può scegliere di affidare ai casi d'uso la gestione delle proprie distribuzioni per garantire un maggiore controllo sul ciclo di vita del modello, sul controllo delle versioni e sulle strategie di rollback.

Per evitare l'uso eccessivo e garantire un'allocazione equa delle risorse, è possibile applicare i limiti dei token al minuto (TPM) a livello di distribuzione. I limiti di TPM consentono di controllare il consumo, proteggersi da picchi accidentali e allineare l'utilizzo ai budget o alle quote del progetto. Valutare la possibilità di impostare limiti conservativi per le distribuzioni condivise e soglie più elevate per i servizi di produzione critici.

Accedere alle funzionalità estese con l'hub di intelligenza artificiale di Azure

Anche se una risorsa Foundry da sola consente di accedere alla maggior parte delle funzionalità foundry, le funzionalità di selezione sono attualmente disponibili solo in combinazione con una risorsa dell'hub di Intelligenza artificiale di Azure basata su Azure Machine Learning. Queste funzionalità sono inferiori nello stack di sviluppo di intelligenza artificiale e si concentrano sulla personalizzazione del modello.

Le risorse hub richiedono tipi di progetto personalizzati a cui è anche possibile accedere usando Azure Machine Learning Studio, SDK o l'interfaccia della riga di comando. Per pianificare la distribuzione, vedere questa tabella e scegliere un tipo di risorsa per una panoramica delle funzionalità supportate.

Distribuisci una risorsa hub affiancata alla tua risorsa Foundry. La risorsa hub dipende dalla risorsa Foundry per fornire l'accesso a strumenti e modelli selezionati.

Ulteriori informazioni

• Proteggere l'ambiente Foundry

  • Autenticazione e RBAC: controllo degli accessi in base al ruolo in Foundry
  • Rete: usare una rete virtuale con Foundry
  • Identità e identità gestita: configurare l'identità gestita in Foundry
  • Chiavi gestite dal cliente (CMK): chiavi gestite dal cliente in Foundry
  • Infrastruttura di esempio: repository di modelli con modelli di infrastruttura di esempio
  • Recuperare o eliminare le risorse Fonderia eliminate

• Stabilire la connettività con altri servizi di Azure

  • Panoramica delle connessioni: Aggiungere una nuova connessione in Foundry

• Gestione

  • Controllo di accesso del modello con Criteri di Azure: Controllare la distribuzione del modello con criteri predefiniti
  • Gestione costi: pianificare e gestire i costi per Foundry
  • Monitoraggio di Azure per il rilevamento dell'utilizzo: monitorare le applicazioni di intelligenza artificiale generative