Azure portal での Azure AI Search のサービス管理
Azure AI 検索では、Azure portal は、自動化が必要な場合を除き、コードを記述する必要がないように、幅広い管理およびコンテンツ管理操作をサポートしています。
各検索サービスは、スタンドアロン リソースとして管理されます。 ロールの割り当てによって、ポータルで公開される操作が決まります。
ポータルと管理者のアクセス許可
ポータルへのアクセスは、ロールの割り当てを通じて行われます。 既定では、すべての検索サービスは、少なくとも 1 人のサービス管理者または所有者から始まります。 サービス管理者、共同管理者、所有者は、他の管理者と他のロール割り当てを作成するアクセス許可を持っています。 既定の検索サービスのすべてのポータル ページと操作にフル アクセスできます。
検索サービスで API キーを無効にしてロールのみを使用する場合、管理者はオブジェクトとデータへのフル アクセスのためにデータ プレーン ロールの割り当てを自分自身に付与する必要があります。 これらのロール割り当てには、Search サービス共同作成者、Search インデックス データ共同作成者、Search インデックス データ閲覧者が含まれます。
ヒント
既定では、すべての所有者または管理者がサービスの作成または削除を実行できます。 誤って削除されないように、リソースをロックすることができます。
Azure portal の概要
概要ページは、各サービスのホーム ページです。 下のスクリーンショットにおいて、赤いボックスは、特にサービスを初めて使用する場合に頻繁に使用すると思われるタスク、ツール、タイルを示しています。
| 領域 | 説明 |
|---|---|
| 1 | ページの上部にあるコマンド バーには、[データのインポート] ウィザードと [検索エクスプローラー] が含まれており、プロトタイプの作成と探索に使用されます。 |
| 2 | [主な機能] セクションには、サービス エンドポイント、サービス レベル、レプリカおよびパーティション数などのサービス プロパティが一覧表示されます。 |
| 3 | 中央のタブ付きページでは、使用状況の統計情報とサービス正常性メトリックにすばやくアクセスできます。 |
| 4 | 既存のインデックス、インデクサー、データ ソース、スキルセットにナビゲーション リンクでアクセスできます。 |
検索サービス名、サブスクリプション、リソース グループ、リージョン (場所)、または層を変更することはできません。 レベルを切り替えるには、新しいサービスを作成するか、サポート チケットを提出してレベルのアップグレードを要求する必要があります。これは Basic 以降でのみサポートされます。
初日の管理チェックリスト
新しい検索サービスでは、これらの構成タスクをお勧めします。
ロールベースのアクセスを有効にする
検索サービスは、常に API キーを使用して作成され、キーベースの認証が既定で使用されます。 ただし、Microsoft Entra ID とロールの割り当てを使用すると、プレーン テキストでのキーの格納と受け渡しが不要になるため、より安全なオプションです。
検索サービスでロールを有効にします。 ロールのみのオプションをお勧めします。
管理のために、API キーを無効にしたときに失われた機能の代わりとして、データ プレーン ロールを割り当てます。 ロール割り当てには、Search サービス共同作成者、Search インデックス データ共同作成者、Search インデックス データ閲覧者が含まれます。 3 つすべてが必要です。
ロールの割り当てが有効になるまでに 5 分から 10 分かかることがあります。 これが行われるまで、データ プレーン操作に使用されるポータル ページに次のメッセージが表示されます。
引き続き、ソリューション開発者とアプリにロールの割り当てを追加します。
マネージド ID の構成
自動インデックス作成、適用された AI、または垂直統合にインデクサーを使用する予定の場合は、マネージド ID を使用するように検索サービスを構成する必要があります。 その後、検索サービスがデータと操作にアクセスすることを認可する他の Azure サービスにロールの割り当てを追加できます。
垂直統合の場合、検索サービス ID には次のものが必要となります。
- Azure Storage のストレージ BLOB データ閲覧者
- Azure AI マルチサービス アカウントの Cognitive Services データ ユーザー
ロールの割り当てが適用されるまでに数分かかることがあります。
ネットワーク セキュリティに進む前に、すべての接続ポイントをテストしてロールの割り当てを検証することを検討してください。 データのインポート ウィザードまたはデータのインポートとベクトル化ウィザードを実行して、アクセス許可をテストします。
ネットワーク セキュリティの構成
既定では、検索サービスは、パブリック インターネット接続経由で認証済みおよび承認された要求を受け入れます。 ネットワーク セキュリティでは、ファイアウォール規則を使用するか、パブリック接続を無効にして Azure 仮想ネットワークからの要求のみを許可することで、アクセスが制限されます。
- IP アドレスによってアクセスを制限するようにネットワーク アクセスを構成します。
- Azure Private Link とプライベート仮想ネットワークを使用してプライベート エンドポイントを構成します。
「Azure AI Search でのセキュリティ」では、Azure AI 検索の着信呼び出しと送信呼び出しについて説明します。
容量の確認と課金の理解
既定では、検索サービスは、1 つのレプリカと 1 つのパーティションの最小構成で作成されます。 レプリカとパーティションを追加することで容量を追加できますが、ボリュームに必要になるまで待つことをお勧めします。 多くのお客様は、最小限の構成で運用ワークロードを実行します。
機能によっては、サービスの実行コストが増えます。
- 「Azure AI Search での課金方法」では、課金に影響を与える機能について説明します。
- (省略可能) サービス レベルでセマンティック ランカーを無効にすることで、この機能を使わないようにします。
診断ログを有効にする
診断ログを有効化して、ユーザー アクティビティを追跡します。 この手順をスキップしても、アクティビティ ログとプラットフォーム メトリックは自動的に取得されますが、インデックスとクエリの使用状況情報が必要な場合は、診断ログを有効にして、ログ記録された操作の宛先を選択する必要があります。
ポータルでシステム クエリを実行できるように、永続ストレージには Log Analytics ワークスペースをお勧めします。
内部的には、Microsoft がお客様のサービスとプラットフォームに関するテレメトリ データを収集します。 データ保有の詳細については、「メトリックの保有期間」を参照してください。
Note
データの場所とプライバシーの詳細については、セキュリティの概要に関する記事の「データの保存場所」を参照してください。
セマンティック ランカーを有効にする
セマンティック ランカーは、1 か月あたり最初の 1,000 件の要求に対して無料ですが、無料のクォータを取得するにはオプトインする必要があります。
Azure portal の左端のウィンドウで、[設定] の [セマンティック ランカー] を選択し、無料プランを選択します。 詳細については、「セマンティック ランク付けを有効にする」を参照してください。
開発者への接続情報の提供
開発者は、Azure AI 検索に接続するために次の情報が必要です。
- [概要] ページに表示されるエンドポイントまたは URL。
- キー ページの API キー、またはロールの割り当て (共同作成者をお勧めします)。
データのインポート ウィザード、データのインポートとベクタトル化、検索エクスプローラーの各ウィザードとツールについては、ポータルへのアクセスをお勧めします。 インポート ウィザードを実行するには、ユーザーが共同作成者以上である必要があるのでご注意ください。
次のステップ
サービス管理のプログラムによるサポートは、次の API とモジュールで見つけることができます。
.NET、Python、Java、JavaScript 用の Azure SDK で管理クライアント ライブラリを使用することもできます。
プレビュー管理機能を除き、すべてのモダリティと言語に機能パリティがあります。 一般的な規則としては、プレビュー管理機能は、最初に Management REST API を通じてリリースされます。