Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo vengono illustrati i concetti di base del controllo degli accessi in base al ruolo per Microsoft Foundry, inclusi ambiti, ruoli predefiniti e modelli comuni di assegnazione aziendale.
Suggerimento
I ruoli RBAC (controllo degli accessi basato sui ruoli) si applicano quando ci si autentica con Microsoft Entra ID. Se invece si usa l'autenticazione basata su chiave, la chiave concede l'accesso completo senza restrizioni del ruolo. Microsoft consiglia di usare l'autenticazione Entra ID per migliorare la sicurezza e il controllo di accesso granulare.
Per altre informazioni sull'autenticazione e l'autorizzazione in Microsoft Foundry, vedere Autenticazione e autorizzazione.
Assegnazioni di ruolo minime per iniziare
Per i nuovi utenti di Azure e di Microsoft Foundry, iniziate con queste assegnazioni minime, in modo che sia il principale utente sia l'identità gestita del progetto possano accedere alle funzionalità di Foundry.
È possibile verificare le assegnazioni correnti usando Controllare l'accesso per un utente a una singola risorsa di Azure.
- Assegna il ruolo Utente AI di Azure alla risorsa Foundry per il tuo principale utente.
- Assegna il ruolo Utente Azure AI nella risorsa Foundry alla identità gestita del progetto.
Se l'utente che ha creato il progetto può assegnare ruoli (ad esempio, avendo il ruolo Proprietario di Azure nell'ambito della sottoscrizione o del gruppo di risorse), entrambe le assegnazioni vengono aggiunte automaticamente.
Per assegnare questi ruoli manualmente, seguire questa procedura rapida.
Assegnare un ruolo al principale utente
Nel portale di Azure aprire la risorsa Foundry e passare a Controllo di accesso (IAM). Creare un'assegnazione di ruolo per l'utente di Intelligenza artificiale di Azure, impostare Membri su Utente, gruppo o entità servizio, selezionare l'entità utente e quindi selezionare Rivedi e assegna.
Assegnare un ruolo all'identità gestita del progetto
Nel portale di Azure aprire il progetto Foundry e passare a Controllo di accesso (IAM). Creare un'assegnazione di ruolo per l'utente di Intelligenza artificiale di Azure, impostare Membri su Identità gestita, selezionare l'identità gestita del progetto e quindi selezionare Rivedi e assegna.
Terminologia per il controllo degli accessi in base al ruolo in Foundry
Per comprendere il controllo degli accessi in base al ruolo in Microsoft Foundry, prendere in considerazione due domande per l'azienda.
- Quali autorizzazioni desidero che il mio team abbia quando costruisce in Microsoft Foundry?
- In quale ambito voglio assegnare le autorizzazioni al mio team?
Per rispondere a queste domande, ecco alcune descrizioni della terminologia usata in questo articolo.
- Autorizzazioni: azioni consentite o negate che un'identità può eseguire su una risorsa, ad esempio lettura, scrittura, eliminazione o gestione sia del piano di controllo che delle operazioni del piano dati.
- Ambito: set di risorse di Azure a cui si applica un'assegnazione di ruolo. Gli ambiti tipici includono sottoscrizione, gruppo di risorse, risorsa Foundry o progetto Foundry.
- Ruolo: raccolta denominata di autorizzazioni che definisce le azioni che possono essere eseguite sulle risorse di Azure in un determinato ambito.
Un'identità ottiene un ruolo con autorizzazioni specifiche in un ambito selezionato in base ai requisiti aziendali.
In Microsoft Foundry prendere in considerazione due ambiti durante il completamento delle assegnazioni di ruolo.
- Risorsa Foundry: ambito di primo livello che definisce il limite amministrativo, di sicurezza e monitoraggio per un ambiente Microsoft Foundry.
- Progetto Foundry: ambito secondario all'interno di una risorsa Foundry usata per organizzare il lavoro e applicare il controllo di accesso per API, strumenti e flussi di lavoro per sviluppatori foundry.
Ruoli predefiniti
Un ruolo predefinito in Foundry è un ruolo creato da Microsoft che copre scenari di accesso comuni che è possibile assegnare ai membri del team. I ruoli predefiniti principali usati in Azure includono Proprietario, Collaboratore e Lettore. Questi ruoli non sono specifici delle autorizzazioni di risorse in Foundry.
Per le risorse Foundry, usare ruoli predefiniti aggiuntivi per seguire i principi di minimo privilegio. La tabella seguente elenca i principali ruoli predefiniti per Foundry e i collegamenti alle definizioni esatte dei ruoli nei ruoli predefiniti di intelligenza artificiale e apprendimento automatico.
| Ruolo | Descrizione |
|---|---|
| Utente di Intelligenza artificiale di Azure | Concede l'accesso lettura ai progetti Foundry, alle risorse Foundry e alle azioni sui dati relativi al tuo progetto Foundry. Se è possibile assegnare ruoli, questo ruolo viene assegnato automaticamente. In caso contrario, il proprietario della sottoscrizione o un utente con autorizzazioni di assegnazione di ruolo la concede. Ruolo di accesso con privilegi minimi in Foundry. |
| Azure AI Project Manager | Consente di eseguire azioni di gestione sui progetti Foundry, progettare e sviluppare con i progetti e assegnare in modo condizionale il ruolo di utente di Azure AI ad altre entità utente. |
| Proprietario dell'account Azure AI | Concede l'accesso completo per gestire progetti e risorse e consente di assegnare in modo condizionale il ruolo utente di Intelligenza artificiale di Azure ad altre entità utente. |
| Proprietario dell'intelligenza artificiale di Azure | Concede l'accesso completo a progetti e risorse gestiti e crea e sviluppa con i progetti. Ruolo di autoservizio con privilegi elevati progettato per i nativi digitali. |
Autorizzazioni per ogni ruolo predefinito
Usare la tabella seguente per visualizzare le autorizzazioni consentite per ogni ruolo predefinito in Microsoft Foundry.
| Ruolo integrato | Creare progetti Foundry | Creare account Foundry | Compilare e sviluppare in un progetto (azioni sui dati) | Completare le assegnazioni di ruolo | Accesso con autorizzazioni di lettura a progetti e account | Gestire i modelli | Pubblicare agenti |
|---|---|---|---|---|---|---|---|
| Utente di Intelligenza artificiale di Azure | ✔ | ✔ | |||||
| Azure AI Project Manager | ✔ | ✔ (Assegnare solo il ruolo utente di Intelligenza artificiale di Azure) | ✔ | ✔ | |||
| Proprietario dell'account Azure AI | ✔ | ✔ | ✔ (Assegnare solo il ruolo utente di Intelligenza artificiale di Azure) | ✔ | ✔ | ||
| Proprietario dell'intelligenza artificiale di Azure | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Usare la tabella seguente per visualizzare le autorizzazioni consentite per ogni ruolo predefinito di Azure chiave (Proprietario, Collaboratore, Lettore).
| Ruolo integrato | Creare progetti Foundry | Creare account Foundry | Compilare e sviluppare in un progetto (azioni sui dati) | Completare le assegnazioni di ruolo | Accesso con autorizzazioni di lettura a progetti e account | Gestire i modelli | Pubblicare agenti |
|---|---|---|---|---|---|---|---|
| Proprietario | ✔ | ✔ | ✔ (assegnare qualsiasi ruolo a qualsiasi utente) | ✔ | ✔ | ✔ | |
| Collaboratore | ✔ | ✔ | ✔ | ✔ | |||
| Lettore | ✔ |
Per pubblicare gli agenti, è necessario il ruolo Azure AI Project Manager (minimo) nell'ambito della risorsa Foundry. Per ulteriori informazioni, consultare applicazioni degli agenti in Microsoft Foundry.
Per altre informazioni sui ruoli predefiniti in Azure e Foundry, vedere Ruoli predefiniti di Azure. Per altre informazioni sulla delega condizionale usata nel ruolo Proprietario dell'account di Intelligenza artificiale di Azure e Azure AI Project Manager, vedere Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.
Mappature dei controlli accessi basati sui ruoli aziendali di esempio per i progetti
Ecco un esempio di come implementare il controllo degli accessi in base al ruolo (RBAC) per una risorsa foundry aziendale.
| Persona | Ruolo e ambito | Scopo |
|---|---|---|
| Amministratore IT | Proprietario nell'ambito di sottoscrizione | L'amministratore IT garantisce che la risorsa Foundry soddisfi gli standard aziendali. Assegnare ai manager il ruolo proprietario dell'account Azure AI sulla risorsa per consentire loro di creare nuovi account Foundry. Assegnare ai manager il ruolo Azure AI Project Manager nella risorsa per consentire loro di creare progetti all'interno di un account. |
| Manager | Proprietario dell'account Azure AI nell'ambito della risorsa Foundry | I manager gestiscono la risorsa Foundry, distribuiscono modelli, controllano le risorse di calcolo, controllano le connessioni e creano connessioni condivise. Non possono costruire nei progetti, ma possono assegnare il ruolo Azure AI User a loro stessi e ad altri utenti per iniziare a creare. |
| Responsabile del team o sviluppatore responsabile | Azure AI Project Manager nell'ambito delle risorse di Foundry | Gli sviluppatori principali creano progetti per il loro team e iniziano a lavorare in tali progetti. Dopo aver creato un progetto, i proprietari del progetto invitano altri membri e assegnano il ruolo Utente di Intelligenza artificiale di Azure . |
| Membri o sviluppatori del team | Utente di Azure AI nell'ambito del progetto Foundry e Lettore nell'ambito della risorsa Foundry | Gli sviluppatori compilano agenti in un progetto con modelli Foundry pre-distribuiti e connessioni predefinite. |
Gestire le assegnazioni di ruolo
Per gestire i ruoli in Foundry, è necessario disporre dell'autorizzazione per assegnare e rimuovere ruoli in Azure. Il ruolo proprietario predefinito di Azure include tale autorizzazione. È possibile assegnare ruoli tramite il portale foundry (pagina di amministrazione), IAM del portale di Azure o l'interfaccia della riga di comando di Azure. È possibile rimuovere i ruoli usando IAM del portale di Azure o l'interfaccia della riga di comando di Azure.
Nel portale foundry gestire le autorizzazioni in base a:
- Aprire la pagina Amministrazione in Foundry, quindi selezionare Gestione>Amministrazione.
- Selezionare il nome del progetto.
- Selezionare Aggiungi utente per gestire l'accesso al progetto. Questa azione è disponibile solo se si dispone delle autorizzazioni di assegnazione di ruolo.
- Applicare la stessa procedura per l'accesso a livello di risorsa Foundry.
È possibile gestire le autorizzazioni nel portale di Azure in Controllo di accesso (IAM) o tramite l'interfaccia della riga di comando di Azure.
Ad esempio, il comando seguente assegna il ruolo utente di intelligenza artificiale di Azure a joe@contoso.com per il gruppo this-rg di risorse nella sottoscrizione 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Creare ruoli personalizzati per i progetti
Se i ruoli predefiniti non soddisfano i requisiti aziendali, creare un ruolo personalizzato che consenta un controllo preciso su azioni e ambiti consentiti. Ecco un esempio di definizione di ruolo personalizzato a livello di sottoscrizione:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Per altre informazioni sulla creazione di un ruolo personalizzato, vedere gli articoli seguenti.
- Portale di Azure
- Interfaccia della riga di comando di Azure
- Azure PowerShell
- Disabilitare le funzionalità di anteprima in Microsoft Foundry. Questo articolo fornisce altri dettagli sulle autorizzazioni specifiche in Foundry per il controllo e il piano dati che è possibile usare durante la compilazione di ruoli personalizzati.
Note e limitazioni
- Per visualizzare ed eliminare gli account Foundry eliminati, è necessario avere il ruolo Collaboratore assegnato nell'ambito della sottoscrizione.
- Gli utenti con il ruolo Collaboratore possono distribuire modelli in Foundry.
- Per creare ruoli personalizzati in una risorsa, è necessario il ruolo Proprietario nell'ambito di tale risorsa.
- Se si dispone delle autorizzazioni per assegnare un ruolo in Azure (ad esempio, il ruolo Proprietario assegnato nell'ambito dell'account) all'entità utente e si distribuisce una risorsa Foundry dal portale di Azure o dall'interfaccia utente del portale di Foundry, il ruolo utente di Intelligenza artificiale di Azure viene assegnato automaticamente all'entità utente. Questa assegnazione non si applica quando si distribuisce Foundry dall'SDK o dall'interfaccia della riga di comando.
- Quando si crea una risorsa Foundry, le autorizzazioni di controllo degli accessi in base al ruolo predefinite consentono di accedere alla risorsa. Per usare le risorse create all'esterno di Foundry, assicurarsi che la risorsa disponga delle autorizzazioni che consentono di accedervi. Ecco alcuni esempi:
- Per utilizzare un nuovo account di archiviazione blob di Azure, aggiungere l'identità gestita della risorsa dell'account Foundry al ruolo Lettore dati blob di archiviazione su tale account di archiviazione.
- Per usare una nuova origine di Ricerca AI di Azure, aggiungere Foundry alle assegnazioni di ruolo di Ricerca AI di Azure.
- Per ottimizzare un modello in Foundry, sono necessarie sia le autorizzazioni del piano dati che del piano di controllo. La distribuzione di un modello ottimizzato è un'autorizzazione del piano di controllo. Di conseguenza, l'unico ruolo predefinito con le autorizzazioni del data plane e del control plane è il ruolo Azure AI Owner. In alternativa, se si preferisce, è anche possibile assegnare il ruolo utente di Intelligenza artificiale di Azure per le autorizzazioni del piano dati e il ruolo proprietario dell'account di Intelligenza artificiale di Azure per le autorizzazioni del piano di controllo.
Contenuto correlato
- Creare un progetto.
- Controllare l'accesso per un utente a una singola risorsa di Azure.
- Autenticazione e autorizzazione in Foundry.
- Disabilitare le funzionalità di anteprima in Microsoft Foundry.
- Informazioni di riferimento sulle autorizzazioni dell'agente ospitato.
Appendice
Esempi di isolamento dell'accesso
Ogni organizzazione può avere requisiti di isolamento dell'accesso diversi a seconda degli utenti dell'azienda. L'isolamento dell'accesso definisce quali utenti della vostra organizzazione ricevono assegnazioni di ruolo per una separazione delle autorizzazioni tramite i nostri ruoli predefiniti oppure un ruolo unificato e altamente permissivo. Sono disponibili tre opzioni di isolamento dell'accesso per Foundry che è possibile selezionare per l'organizzazione a seconda dei requisiti di isolamento dell'accesso.
Nessun isolamento di accesso. Ciò significa che nell'azienda non si hanno requisiti che separano le autorizzazioni tra uno sviluppatore, un project manager o un amministratore. Le autorizzazioni per questi ruoli possono essere assegnate tra i team.
Quindi, dovresti...
- Concedere a tutti gli utenti dell'organizzazione il ruolo proprietario di Azure AI nell'ambito delle risorse
Isolamento parziale dell'accesso. Ciò significa che il project manager nell'organizzazione deve essere in grado di sviluppare all'interno di progetti e creare progetti. Tuttavia, gli amministratori non devono essere in grado di sviluppare all'interno di Foundry, ma creare solo progetti e account Foundry.
Quindi, dovresti...
- Concedi all'amministratore il Proprietario dell'Account IA di Azure nell'ambito della risorsa
- Concedere allo sviluppatore e ai project manager il ruolo di Project Manager per intelligenza artificiale di Azure nella risorsa
Isolamento completo dell'accesso. Ciò significa che gli amministratori, i project manager e gli sviluppatori hanno autorizzazioni chiare assegnate che non si sovrappongono per le diverse funzioni all'interno di un'azienda.
Quindi dovresti...
- Concedere all'amministratore il Proprietario dell'account Azure AI nell'ambito risorsa
- Concedi al sviluppatore il ruolo di Lettore nell'ambito delle risorse Foundry e il ruolo di Utente AI di Azure nell'ambito del progetto.
- Concedere al project manager il ruolo Azure AI Project Manager nell'ambito delle risorse
Usare i gruppi di Microsoft Entra con Foundry
Microsoft Entra ID offre diversi modi per gestire l'accesso a risorse, applicazioni e attività. Usando i gruppi di Microsoft Entra, è possibile concedere l'accesso e le autorizzazioni a un gruppo di utenti anziché a ogni singolo utente. Gli amministratori IT aziendali possono creare gruppi di Microsoft Entra nel portale di Azure per semplificare il processo di assegnazione dei ruoli per gli sviluppatori. Quando si crea un gruppo Microsoft Entra, è possibile ridurre al minimo il numero di assegnazioni di ruolo necessarie per i nuovi sviluppatori che lavorano sui progetti Foundry assegnando al gruppo l'assegnazione di ruolo necessaria per la risorsa necessaria.
Completare i passaggi seguenti per usare i gruppi di ID Entra Di Microsoft con Foundry:
- Creare un gruppo di sicurezza in Gruppi nel portale di Azure.
- Aggiungi un proprietario e i principali utente dell'organizzazione che hanno bisogno di accesso condiviso.
- Aprire la risorsa di destinazione e passare a Controllo di accesso (IAM).
- Assegnare il ruolo necessario a Utente, gruppo o principale del servizio e selezionare il nuovo gruppo di sicurezza.
- Selezionare Rivedi + assegna affinché l'assegnazione del ruolo venga applicata a tutti i membri del gruppo.
Esempi comuni:
- Per compilare agenti, eseguire tracce e usare le funzionalità principali di Foundry, assegnare l'utente di Intelligenza artificiale di Azure al gruppo Microsoft Entra.
- Per usare le funzionalità di traccia e monitoraggio, assegnare Lettore alla risorsa di Application Insights connessa allo stesso gruppo.
Per altre informazioni sui gruppi, i prerequisiti e le limitazioni di Microsoft Entra ID, vedere: