この記事では、 Azure AI Foundry リソースへのアクセス (承認) を管理する方法について説明します。 Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure リソースへのアクセスを管理するために使用されます (新しいリソースの作成や既存のリソースの使用など)。 Microsoft Entra ID のユーザーには、リソースへのアクセス権を付与する特定のロールが割り当てられます。 Azure には、組み込みロールと、カスタム ロールを作成する機能の両方が用意されています。
Azure AI Foundry では、 Foundry プロジェクト と ハブ ベースのプロジェクトの 2 種類のプロジェクトがサポートされています。 これら 2 つのプロジェクトの種類の違いの詳細については、「プロジェクト の種類」を参照してください。 この記事の上部にあるセレクターを使用して、2 つのプロジェクトの種類を切り替えます。
警告
一部のロールを適用すると、他のユーザーが Azure AI Foundry ポータルを使用するときに UI 機能が制限される場合があります。 たとえば、ユーザーのロールにコンピューティング インスタンスを作成する機能がない場合、コンピューティング インスタンスを作成するオプションをスタジオで使用できません。 この動作は想定されており、アクセス拒否エラーが返される操作をユーザーが実行できないようにしています。
Azure AI Foundry プロジェクト ロール
Azure AI Foundry ポータルには、次の 2 つのレベルのアクセスがあります。
- アカウント: アカウントは、Azure AI Foundry リソースのインフラストラクチャ (仮想ネットワークのセットアップ、カスタマー マネージド キー、マネージド ID、ポリシーを含む) のホームです。
- プロジェクト: プロジェクトはアカウントのサブセットであり、エージェントをビルドして展開できます。 プロジェクト アクセスを使用すると、アカウントのインフラストラクチャのセットアップを利用しながら、AI をエンドツーエンドで開発できます。
Azure AI Foundry リソースには、アカウントとプロジェクトの両方で既定で使用できる組み込みロールがあります。 組み込みのロールとそのアクセス許可の表を次に示します。
| 役割 | 説明 |
|---|---|
| Azure AI ユーザー | このロールは、AI プロジェクトへの閲覧者アクセス、AI アカウントへの閲覧者アクセス、および AI プロジェクトのデータ アクションを付与します。 ロールを割り当てることができる場合、このロールはユーザーに自動的に割り当てられます。 そうでない場合は、サブスクリプション所有者またはロールの割り当て特権を持つユーザーがこのロールを付与する必要があります。 |
| Azure AI Project Manager | このロールを使用すると、Azure AI Foundry プロジェクトに対して管理アクションを実行したり、プロジェクトを使用してビルドおよび開発したり、Azure AI ユーザー ロールの条件付き割り当てを他のユーザー原則に付与したりできます。 |
| Azure AI アカウント所有者 | このロールは、AI プロジェクトとアカウントを管理するためのフル アクセス権を付与し、Azure AI ユーザー ロールの条件付き割り当てを他のユーザー プリンシパルに付与します。 |
Azure AI Project Manager と Azure AI アカウント所有者の主な違いは、次の機能です。
- Azure AI アカウント所有者のみが実行できる新しい Foundry アカウント リソースを作成します。
- AI Foundry プロジェクトを使用してビルドと開発を開始します。
2 つ目の違いは、データ アクションが Microsoft.CognitiveServices/* であるロールの定義に表示されることです。 このデータ アクションを使用すると、ユーザーはプロジェクト内のデータの読み取り、書き込み、または削除のアクションを完了できます。 Azure AI Project Manager は、このアクションを実行できますが、Azure AI アカウント所有者は実行できません。 AI プロジェクトのデータ アクションが与えられるのは、Azure AI ユーザーと Azure AI Project Manager のみです。 Azure AI Project Manager を Azure AI ユーザー より上位の存在と考えることができます。
これらの組み込みのロールの割り当てに加えて、所有者、共同作成者、閲覧者などの Azure 特権管理者ロールがあります。 これらのロールは Azure AI Foundry リソースのアクセス許可に固有ではありません。そのため、最小限の特権アクセスには上記の組み込みロールを使用することを検討してください。
次の表を使用して、Azure 特権管理者ロールを含む、新しい組み込みロールごとに付与される特権を理解します。
| 組み込みロール | Foundry プロジェクトを作成する | Foundry アカウントを作成する | プロジェクトでのビルドと開発 (データ アクション) | ロールの割り当てを完了する | プロジェクトとアカウントへの閲覧者アクセス |
|---|---|---|---|---|---|
| Azure AI ユーザー | ✔ | ✔ | |||
| Azure AI Project Manager | ✔ | ✔ | ✔ (Azure AI ユーザー ロールのみを割り当てる) | ✔ | |
| Azure AI アカウント所有者 | ✔ | ✔ | ✔ (Azure AI ユーザー ロールのみを割り当てる) | ✔ | |
| 所有者 | ✔ | ✔ | ✔ (任意のユーザーに任意のロールを割り当てる) | ✔ | |
| 投稿者 | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
プロジェクトの既定のロール
Azure AI ユーザー
新しい Azure AI ユーザー ロールのアクセス許可の完全なセットは次のとおりです。
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
]
}
}
Azure AI プロジェクトマネージャー
Azure AI Project Manager ロールは、委任された Azure ロールの割り当て管理を、条件を持つ他のユーザーに利用します。 条件付き委任のため、Azure AI Project Manager ロールは、リソース グループ内の他のユーザー プリンシパルに Azure AI ユーザー ロールのみを割り当てることができます。 条件付き委任を使用すると、企業の管理者はロールの割り当ての作業を委任して、AI Foundry プロジェクトを使用したビルドと開発を開始できます。 条件を使用したロールの割り当ての詳細については、「条件を使用 して Azure ロールの割り当て管理を他のユーザーに委任する」を参照してください。
新しい Azure AI Project Manager ロールのアクセス許可の完全なセットは次のとおりです。
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Azure AI Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI アカウント所有者
Azure AI アカウント所有者ロールは、委任された Azure ロールの割り当て管理を、条件を持つ他のユーザーに利用します。 条件付き委任により、Azure AI アカウント所有者ロールは、リソース グループ内の他のユーザー プリンシパルに Azure AI ユーザー ロールのみを割り当てることができます。 条件付き委任を使用すると、企業の管理者はロールの割り当ての作業を委任して、AI Foundry プロジェクトを使用したビルドと開発を開始できます。 条件を使用したロールの割り当ての詳細については、「条件を使用 して Azure ロールの割り当て管理を他のユーザーに委任する」を参照してください。
新しい "Azure AI アカウント所有者" ロールのアクセス許可の完全なセットは次のとおりです。
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principles.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
エンタープライズ RBAC セットアップのサンプル
次の表は、企業の Azure AI Foundry リソースのロールベースのアクセス制御を設定する方法の例です。
| ペルソナ | 役割 | 目的 |
|---|---|---|
| IT 管理者 | サブスクリプションの所有者 | IT 管理者は、ハブが企業の標準に合わせて設定されていることを確認できます。 新しい Foundry アカウントをマネージャーに作成させたい場合、リソースに Azure AI アカウント所有者 ロールをマネージャーに割り当てることができます。 管理者は、リソースに対する Azure AI Project Manager ロールを割り当てて、アカウント内でのプロジェクトの作成を許可できます。 |
| マネージャー | Foundry リソースの Azure AI アカウント所有者 | マネージャーは、ハブの管理、コンピューティング リソースの監査、接続の監査、共有接続の作成を行うことができます。 プロジェクト内でビルドを開始することはできませんが、Azure AI ユーザー ロールを自分や他のユーザーに割り当ててビルドを開始することはできます。 |
| チーム リーダー/リード開発者 | Foundry リソースの Azure AI プロジェクト マネージャー | リード開発者は、チームのプロジェクトを作成し、プロジェクトでのビルドを開始できます。 プロジェクトの作成後、プロジェクト所有者は他のメンバーを招待し、Azure AI ユーザー ロールを割り当てることができます。 |
| チーム メンバー/開発者 | Foundry リソース上の Azure AI ユーザー | 開発者は、プロジェクト内で AI モデルを構築してデプロイし、エージェントを構築できます。 |
AI Foundry の外部で作成されたリソースへのアクセス
Foundry リソースを作成すると、組み込みのロールベースのアクセス制御アクセス許可によって、リソースを使用するためのアクセス権が付与されます。 ただし、ユーザーに代わって作成されたもの以外のリソースを使用する場合は、次の両方を確認する必要があります。
- 使用しようとしているリソースには、アクセス許可が設定されています。
- Foundry アカウント リソースがそれにアクセスすることが許可されています。
たとえば、新しい BLOB ストレージを使用する場合は、Foundry アカウント リソースのマネージド ID が BLOB の Blob Storage 閲覧者ロールに追加されていることを確認する必要があります。 新しい Azure AI 検索ソースを使おうとしている場合は、必要に応じて Azure AI 検索のロールの割り当てにハブを追加します。
ロールでアクセスを管理する
Foundry アカウント リソースの所有者である場合は、Azure AI Foundry のロールを追加および削除できます。 Azure AI Foundry のホーム ページで、Foundry リソースを選択します。 次に、[ユーザー] を選び、ハブのユーザーを追加および削除します。 アクセス許可は、 Azure portal の アクセス制御 (IAM) または Azure CLI を使用して管理することもできます。
たとえば、次のコマンドを実行すると、サブスクリプション内のリソース グループ joe@contoso.comのthis-rgに Azure AI ユーザー ロールが割り当てられ、ID が 00000000-0000-0000-0000-000000000000 になります。
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
カスタム ロールを作成する
組み込みロールが十分ではない場合は、カスタム ロールを作成できます。 カスタム ロールには、その Azure AI Foundry 内のリソースの読み取り、書き込み、削除、コンピューティングのアクセス許可を与えることができます。 ロールは、特定のプロジェクト レベル、特定のリソース グループ レベル、または特定のサブスクリプション レベルで使用できるようにすることができます。
注
そのリソース内のカスタム ロールを作成するには、そのレベルでのリソースの所有者でなければなりません。
カスタム ロールを作成する手順については、次のいずれかの記事に従ってください。
一般的なカスタム ロールの作成方法の詳細については、「Azure カスタム ロール」の記事を参照してください。
次のステップ
Azure AI Foundry のハブとプロジェクト
Azure AI Foundry ポータルには、ハブとプロジェクトという 2 つのアクセス レベルがあります。 ハブはインフラストラクチャ (仮想ネットワークのセットアップ、カスタマー マネージド キー、マネージド ID、ポリシーなど) のホームであり、ここで Azure AI サービスを構成します。 ハブ アクセスを使うと、インフラストラクチャの変更、新しいハブの作成、プロジェクトの作成を行うことができます。 プロジェクトは、AI システムを構築およびデプロイできるワークスペースとして機能するハブのサブセットです。 プロジェクト内では、フローの開発、モデルのデプロイ、プロジェクト資産の管理を行うことができます。 プロジェクト アクセスを使うと、ハブでのインフラストラクチャ セットアップを利用しながら、AI をエンドツーエンドで開発できます。
ハブとプロジェクトの関係の主な利点の 1 つは、開発者がハブのセキュリティの設定を継承する独自のプロジェクトを作成できることです。 また、プロジェクトの共同作成者であり、新しいプロジェクトを作成できない開発者がいる場合もあります。
ハブの既定のロール
Azure AI Foundry ハブには、既定で使用できる組み込みロールがあります。
ハブの組み込みロールとそのアクセス許可を次の表に示します。
| 役割 | 説明 |
|---|---|
| オーナー | 新しいハブを管理および作成し、アクセス許可を割り当てる機能を含む、ハブに対するフル アクセス権。 このロールはハブ作成者に自動的に割り当てられます |
| 投稿者 | ユーザーは、新しいハブを作成する機能を含め、ハブに対するフル アクセス権を持っていますが、既存のリソースに対するハブのアクセス許可を管理することはできません。 |
| Azure AI 管理者 (プレビュー) | このロールは、ハブのシステム割り当てマネージド ID に自動的に割り当てられます。 Azure AI 管理者ロールには、マネージド ID がそのタスクを実行するために必要な最小限のアクセス許可が与えられます。 詳細については、「Azure AI 管理者ロール (プレビュー)」を参照してください。 |
| Azure AI 開発者 | 新しいハブの作成とハブのアクセス許可の管理を除くすべてのアクションを実行します。 たとえば、ユーザーはプロジェクト、コンピューティング、接続を作成できます。 ユーザーは自分のプロジェクト内でアクセス許可を割り当てることができます。 ユーザーは、Azure OpenAI、Azure AI 検索、Azure AI サービスなどの既存の Azure AI リソースとやり取りできます。 |
| Azure AI の Inference Deployment Operator | リソース グループ内でリソースのデプロイの作成に必要なすべてのアクションを実行します。 |
| 閲覧者 | ハブに対する読み取り専用アクセス。 このロールは、ハブ内のすべてのプロジェクト メンバーに自動的に割り当てられます。 |
共同作成者と Azure AI 開発者の主な違いは、新しいハブを作成する権限です。 (クォータ、コスト、または単に所有するハブ数の管理という理由で) ユーザーに新しいハブを作成させたくない場合は、Azure AI 開発者ロールを割り当てます。
ハブを作成できるのは、所有者と共同作成者のロールのみです。 現時点では、カスタム ロールでは、ハブを作成するためのアクセス許可は付与されません。
Azure AI 管理者ロール (プレビュー)
2024 年 11 月 19 日より前は、ハブ用に作成されたシステム割り当てマネージド ID に、ハブとプロジェクトを含むリソース グループの 共同作成者 ロールが自動的に割り当てられました。 この日より後に作成されたハブでは、システム割り当てマネージド ID が Azure AI 管理者ロールに割り当てられます。 このロールの対象範囲はさらに狭く、マネージド ID がそのタスクを実行するために必要な最小限のアクセス許可に絞られます。
Azure AI 管理者ロールは、現在パブリック プレビュー段階です。
重要
この記事で "(プレビュー)" と付記されている項目は、現在、パブリック プレビュー段階です。 このプレビューはサービス レベル アグリーメントなしで提供されており、運用環境ではお勧めしません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳細については、「 Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure AI 管理者ロールには、次のアクセス許可が付与されます。
{
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.ContainerRegistry/registries/*",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/generateLiveToken/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/scheduledqueryrules/*",
"Microsoft.Insights/topology/read",
"Microsoft.Insights/transactions/read",
"Microsoft.Insights/webtests/*",
"Microsoft.KeyVault/*",
"Microsoft.MachineLearningServices/workspaces/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Search/searchServices/write",
"Microsoft.Search/searchServices/read",
"Microsoft.Search/searchServices/delete",
"Microsoft.Search/searchServices/indexes/*",
"Microsoft.DataFactory/factories/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
ヒント
2024 年 11 月 19 日より前に作成されたハブを、Azure AI 管理者ロールを使用するように変換することをお勧めします。 Azure AI 管理者ロールは、以前使用されていた共同作成者ロールよりも対象範囲がさらに狭く、最小特権のプリンシパルに従っています。
2024 年 11 月 19 日より前に作成されたハブは、次のいずれかの方法を使って、新しい Azure AI 管理者ロールを使用するように変換できます。
Azure REST API: ワークスペースの Azure REST API への
PATCH要求を使用します。 要求の本文を使用すると{"properties":{"allowRoleAssignmeentOnRG":true}}が設定されるはずです。 次の例は、curlを使用するPATCH要求を示しています。<your-subscription>、<resource-group-name>、<workspace-name>、<YOUR-ACCESS-TOKEN>をシナリオでの値に置き換えます。 REST API の使用に関する詳細については、Azure REST API ドキュメントを参照してください。curl -X PATCH https://management.azure.com/subscriptions/<your-subscription>/resourcegroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>?api-version=2024-04-01-preview -H "Authorization:Bearer <YOUR-ACCESS-TOKEN>"Azure CLI:
az ml workspace updateコマンドを--allow-roleassignment-on-rg trueパラメーターと併せて使用します。 次の例では、myworkspaceという名前のワークスペースを更新します。 このコマンドには、Azure Machine Learning CLI 拡張機能バージョン 2.27.0 以降が必要です。az ml workspace update --name myworkspace --allow-roleassignment-on-rg trueAzure Python SDK: Workspace オブジェクトの
allow_roleassignment_on_rgプロパティをTrueに設定してから、更新操作を実行します。 次の例では、myworkspaceという名前のワークスペースを更新します。 この操作には、Azure Machine Learning SDK バージョン 1.17.0 以降が必要です。ws = ml_client.workspaces.get(name="myworkspace") ws.allow_roleassignment_on_rg = True ws = ml_client.workspaces.begin_update(workspace=ws).result()
Azure AI 管理者ロールで問題が発生した場合は、トラブルシューティングの手順として、共同作成者ロールに戻すことができます。 詳細については、「共同作成者ロールに戻す」を参照してください。
Azure AI 開発者ロール
新しい "Azure AI 開発者" ロールのアクセス許可の完全なセットは次のとおりです。
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
組み込みの Azure AI 開発者ロールがニーズを満たしていない場合は、カスタム ロールを作成できます。
プロジェクトの既定のロール
Azure AI Foundry ポータルのプロジェクトには、既定で使用できる組み込みロールがあります。
プロジェクトの組み込みロールとそのアクセス許可を次の表に示します。
| 役割 | 説明 |
|---|---|
| オーナー | プロジェクト ユーザーにアクセス許可を割り当てる機能を含む、プロジェクトに対するフル アクセス権。 |
| 投稿者 | ユーザーは、プロジェクトに対してフル アクセス権を持っていますが、プロジェクト ユーザーにアクセス許可を割り当てることはできません。 |
| Azure AI 管理者 (プレビュー) | このロールは、ハブのシステム割り当てマネージド ID に自動的に割り当てられます。 Azure AI 管理者ロールには、マネージド ID がそのタスクを実行するために必要な最小限のアクセス許可が与えられます。 詳細については、「Azure AI 管理者ロール (プレビュー)」を参照してください。 |
| Azure AI 開発者 | ユーザーはデプロイの作成など、ほとんどのアクションを実行できますが、プロジェクト ユーザーにアクセス許可を割り当てることはできません。 |
| Azure AI の Inference Deployment Operator | リソース グループ内でリソースのデプロイの作成に必要なすべてのアクションを実行します。 |
| 閲覧者 | プロジェクトに対する読み取り専用アクセス権。 |
ユーザーにプロジェクトへのアクセス権が付与されると (たとえば、Azure AI Foundry ポータルのアクセス許可管理を通じて)、さらに 2 つのロールがユーザーに自動的に割り当てられます。 最初のロールはハブに対する閲覧者です。 2 番目のロールは Inference Deployment Operator ロールです。これにより、ユーザーはプロジェクトが存在するリソース グループにデプロイを作成できます。 このロールは、"Microsoft.Authorization/*/read" と "Microsoft.Resources/deployments/*" の 2 つのアクセス許可で構成されます。
エンド ツー エンドの AI の開発とデプロイを完了するために、ユーザーが必要とするのは、これら 2 つの自動割り当てロールと、プロジェクトの共同作成者または Azure AI 開発者ロールだけです。
プロジェクトを作成するために必要な最小限のアクセス許可は、ハブに対して Microsoft.MachineLearningServices/workspaces/hubs/join の許可アクションがあるロールです。 Azure AI Developer の組み込みロールには、このアクセス許可があります。
依存関係サービスの Azure RBAC アクセス許可
ハブには、他の Azure サービスへの依存関係があります。 ハブを作成する際に、これらのサービスに必要なアクセス許可を以下の表に示します。 ハブを作成するユーザーには、これらのアクセス許可が必要です。 ハブからプロジェクトを作成するユーザーは、これらを必要としません。
| 権限 | 目的 |
|---|---|
Microsoft.Storage/storageAccounts/write |
指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
Microsoft.KeyVault/vaults/write |
新しい Key Vault を作成するか、既存の Key Vault のプロパティを更新します。 プロパティによっては、より多くのアクセス許可が必要な場合があります。 |
Microsoft.CognitiveServices/accounts/write |
API アカウントを記述します。 |
Microsoft.MachineLearningServices/workspaces/write |
新しいワークスペースを作成するか、既存のワークスペースのプロパティを更新します。 |
エンタープライズ RBAC セットアップのサンプル
企業向け Azure AI Foundry 用のロールベースのアクセス制御を設定する方法の例を次の表に示します。
| ペルソナ | 役割 | 目的 |
|---|---|---|
| IT 管理者 | ハブの所有者 | IT 管理者は、ハブが企業の標準に合わせて設定されていることを確認できます。 マネージャーが新しいハブを作成することを許可する場合は、リソースに対する共同作成者ロールをマネージャーに割り当てることができます。 または、リソースに対する Azure AI 開発者ロールをマネージャーに割り当てて、新しいハブの作成を許可しないようにすることもできます。 |
| マネージャー | ハブに対する共同作成者または Azure AI 開発者 | マネージャーは、ハブの管理、コンピューティング リソースの監査、接続の監査、共有接続の作成を行うことができます。 |
| チーム リーダー/リード開発者 | ハブに対する Azure AI 開発者 | リード開発者は、チームのプロジェクトを作成し、ハブ レベルで共有リソース (コンピューティングや接続など) を作成できます。 プロジェクトの作成後、プロジェクト所有者は他のメンバーを招待できます。 |
| チーム メンバー/開発者 | プロジェクトに対する共同作成者または Azure AI 開発者 | 開発者は、プロジェクト内で AI モデルを構築してデプロイし、コンピューティングや接続などの開発を可能にする資産を作成できます。 |
ハブの外部で作成されたリソースに対するアクセス権
ハブを作成すると、組み込みのロールベースのアクセス制御アクセス許可によって、リソースを使うためのアクセス権が付与されます。 ただし、ユーザーに代わって作成されたもの以外のリソースを使用する場合は、次の両方を確認する必要があります。
- 使用しようとしているリソースには、アクセス許可が設定されています。
- ハブはそれに対するアクセスが許可されています。
たとえば、新しい BLOB ストレージを使おうとしている場合は、その BLOB の Blob Storage 閲覧者ロールにハブのマネージド ID が追加されていることを確認する必要があります。 新しい Azure AI 検索ソースを使おうとしている場合は、必要に応じて Azure AI 検索のロールの割り当てにハブを追加します。
ロールでアクセスを管理する
ハブの所有者である場合は、Azure AI Foundry 用のロールを追加および削除できます。 Azure AI Foundry の [ホーム] ページに移動し、ハブを選択します。 次に、[ユーザー] を選び、ハブのユーザーを追加および削除します。 Azure portal のアクセス制御 (IAM) または Azure CLI を通じてアクセス許可を管理することもできます。 たとえば、ID が joe@contoso.com のサブスクリプション内のリソース グループ "this-rg" の "00000000-0000-0000-0000-000000000000" に Azure AI 開発者ロールを割り当てるには、次の Azure CLI コマンドを使用できます。
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
カスタム ロールを作成する
組み込みロールが十分ではない場合は、カスタム ロールを作成できます。 カスタム ロールには、その Azure AI Foundry 内のリソースの読み取り、書き込み、削除、コンピューティングのアクセス許可を与えることができます。 ロールは、特定のプロジェクト レベル、特定のリソース グループ レベル、または特定のサブスクリプション レベルで使用できるようにすることができます。
注
そのリソース内のカスタム ロールを作成するには、そのレベルでのリソースの所有者でなければなりません。
次の JSON の例では、サブスクリプション レベルでカスタム Azure AI Foundry 開発者ロールを定義しています。
{
"properties": {
"roleName": "Azure AI Foundry Developer",
"description": "Custom role for Azure AI Foundry. At subscription level",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/endpoints/write",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.KeyVault/vaults/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.CognitiveServices/*/read"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action"
],
"notDataActions": []
}
]
}
}
カスタム ロールを作成する手順については、次のいずれかの記事に従ってください。
一般的なカスタム ロールの作成方法の詳細については、「Azure カスタム ロール」の記事を参照してください。
Azure AI Foundry ポータルでのロールの割り当て
Azure AI Foundry から直接ユーザーを追加し、ハブまたはプロジェクトのレベルでロールを割り当てることができます。 管理センターのハブまたはプロジェクトのセクションで、[ユーザー] を選択してから、[新しいユーザー] を選択してユーザーを追加します。
注
組み込みロールの選択に制限されています。 カスタム ロールを割り当てる必要がある場合は、Azure portal、Azure CLI、または Azure PowerShell を使用する必要があります。
![[新しいユーザー] ボタンが強調表示されている Azure AI Foundry ハブの概要のスクリーンショット。](../media/concepts/hub-overview-add-user.png#lightbox)
その後、ユーザー情報を入力し、組み込みのロールを選択するように求められます。
![ロールが Azure AI Developer に設定されている [ユーザーの追加] プロンプトのスクリーンショット。](../media/concepts/add-resource-users.png#lightbox)
シナリオ: カスタマー マネージド キーを使用する
カスタマー マネージド キー (CMK) を使うようにハブを構成する場合は、Azure キー コンテナーを使ってキーを格納します。 ワークスペースの作成に使用されるユーザーまたはサービス プリンシパルには、キー コンテナーへの所有者または共同作成者アクセス権が必要です。
Azure AI Foundry ハブがユーザー割り当てマネージド ID を使用して構成されている場合、ID に次のロールが付与されている必要があります。 これらのロールにより、マネージド ID は、カスタマー マネージド キーを使用するときに使用される Azure Storage、Azure Cosmos DB、および Azure Search リソースを作成できます。
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
キー コンテナー内では、ユーザーまたはサービス プリンシパルに、キー コンテナー アクセス ポリシーを使ってキーに対する作成、取得、削除、消去のアクセス権を付与する必要があります。 詳細については、「Azure Key Vault セキュリティ」を参照してください。
シナリオ: Microsoft Entra ID 認証を使用する接続
Microsoft Entra ID 認証を使用する接続を作成する場合は、開発者がリソースにアクセスできるようにロールを割り当てる必要があります。
| リソース接続 | 役割 | 説明 |
|---|---|---|
| Azure AI Search | 投稿者 | Azure AI Foundry からインデックスを一覧表示するための API キーを一覧表示します。 |
| Azure AI Search | 検索インデックス データ共同作成者 | インデックス作成シナリオに必要 |
| Azure AI サービス / Azure OpenAI | Cognitive Services OpenAI 共同作成者 | Azure AI Foundry からパブリック インジェスト API を呼び出します。 |
| Azure AI サービス / Azure OpenAI | Cognitive Services ユーザー | Azure AI Foundry から API キーを一覧表示します。 |
| Azure AI サービス / Azure OpenAI | Cognitive Services 寄稿者 | コントロール プレーンへの呼び出しを許可します。 |
| Azure Blob Storage (アジュール・ブロブ・ストレージ) | ストレージ ブロブ データ コントリビューター | BLOB ストレージに対するデータの読み取りと書き込みに必要です。 |
| Azure Data Lake Storage Gen 2 | ストレージ ブロブ データ コントリビューター | データ レイクに対するデータの読み取りと書き込みに必要です。 |
| Microsoft OneLake | 投稿者 | Microsoft OneLake へのアクセス権を他のユーザーに付与するには、 Microsoft Fabric ワークスペースへのアクセス権をユーザーに付与する必要があります。 |
重要
Azure Storage (Azure Data Lake Storage Gen 2 を含む) で Promptflow を使用している場合は、 ストレージ ファイル データ特権共同作成者 ロールも割り当てる必要があります。
チャット プレイグラウンドで Microsoft Entra ID 認証接続を使用する場合、必要なリソースへのアクセスをサービスで相互に認可する必要があります。 構成を実行する管理者は、ロールの割り当てを追加するために、これらのリソースに対する [所有者] ロールを持っている必要があります。 各リソースで必要なロールの割り当てを次の表に示します。 割り当て先列は、一覧に示されているリソースのシステム割り当てマネージド ID を指します。 「リソース」列は、割り当て先がアクセスする必要があるリソースを指します。 たとえば、Azure OpenAI にはシステム割り当てマネージド ID があり、これには Azure AI 検索リソースの検索インデックス データ閲覧者ロールを割り当てる必要があります。
| 役割 | 担当者 | リソース | 説明 |
|---|---|---|---|
| 検索インデックス データ閲覧者 | Azure AI サービス / Azure OpenAI | Azure AI Search | 推論サービスにより、インデックスからデータのクエリが実行されます。 推論シナリオにのみ使用されます。 |
| 検索インデックス データ共同作成者 | Azure AI サービス / Azure OpenAI | Azure AI Search | インデックス内のコンテンツに対する読み取り/書き込みアクセス権限。 インデックスのドキュメント コレクションのインポート、更新、またはクエリを実行します。 インジェストと推論のシナリオにのみ使用されます。 |
| 検索サービス寄稿者 | Azure AI サービス / Azure OpenAI | Azure AI Search | オブジェクト定義 (インデックス、別名、同意語マップ、インデクサー、データソース、スキルセット) に対する読み取り/書き込みアクセス権限。 推論サービスにより、インデックス スキーマに対して自動フィールド マッピングのクエリが実行されます。 データ インジェスト サービスは、インデックス、データ ソース、スキル セット、インデクサーを作成し、インデクサーの状態についてクエリを実行します。 |
| Cognitive Services OpenAI 共同作成者 | Azure AI Search | Azure AI サービス / Azure OpenAI | カスタム スキル |
| Cognitive Services OpenAI ユーザー | チャット モデル用の Azure OpenAI リソース | 埋め込みモデル用の Azure OpenAI リソース | 2 つの Azure OpenAI リソースを使用して通信する場合にのみ必要です。 |
| ストレージ ブロブ データ コントリビューター | Azure AI Search | Azure Storage アカウント | BLOB を読み取り、ナレッジ ストアに書き込みます。 |
| ストレージ ブロブ データ コントリビューター | Azure AI サービス / Azure OpenAI | Azure Storage アカウント | 入力コンテナーから読み取り、前処理結果を出力コンテナーに書き込みます。 |
注
Cognitive Services OpenAI ユーザー ロールは、チャット モデル用と埋め込みモデル用の 2 つの Azure OpenAI リソースを使用している場合にのみ必要です。 これに該当する場合は、信頼されたサービスを有効にし、かつ必ず埋め込みモデルの Azure OpenAI リソースの接続で Microsoft Entra ID を有効にします。
シナリオ: 既存の Azure OpenAI リソース
既存の Azure OpenAI リソースへの接続を作成するときは、ユーザーがリソースにアクセスできるようにロールをユーザーに割り当てる必要もあります。 実行する必要があるタスクに応じて、Cognitive Services OpenAI ユーザーまたは Cognitive Services OpenAI 共同作成者ロールのいずれかを割り当てる必要があります。 これらのロールとそれらが有効にするタスクの情報については、Azure OpenAI ロールに関するページを参照してください。
シナリオ: Azure Container Registry を使用する
Azure Container Registry インスタンスには、Azure AI Foundry ハブとのオプションの依存関係があります。 次の表に、認証方法と Azure Container Registry の公衆ネットワーク アクセスの構成に応じた、Azure Container Registry へのハブに対する認証のサポート マトリックスを示します。
| 認証方法 | 無効になっている 公衆ネットワーク アクセス |
Azure Container Registry 公衆ネットワーク アクセスが有効 |
|---|---|---|
| 管理者ユーザー | ✓ | ✓ |
| Azure AI Foundry ハブのシステム割り当てマネージド ID | ✓ | ✓ |
| ACRPull ロールが ID に割り当てられている Azure AI Foundry ハブのユーザー割り当てマネージド ID |
✓ |
システム割り当てマネージド ID は、ハブの作成時に正しいロールに自動的に割り当てられます。 ユーザー割り当てマネージド ID を使用している場合は、その ID に対して ACRPull ロールを割り当てる必要があります。
シナリオ: ログに Azure Application Insights を使う
Azure Application Insights は、Azure AI Foundry ハブとのオプションの依存関係があります。 次の表に、ハブの作成時に Application Insights を使う場合に必要なアクセス許可を示します。 ハブを作成するユーザーには、これらのアクセス許可が必要です。 ハブからプロジェクトを作成するユーザーには、これらのアクセス許可は必要ありません。
| 権限 | 目的 |
|---|---|
Microsoft.Insights/Components/Write |
Application Insights コンポーネントの構成を書き込みます。 |
Microsoft.OperationalInsights/workspaces/write |
新しいワークスペースを作成するか、既存のワークスペースの顧客 ID を指定して既存のワークスペースにリンクします。 |
シナリオ: プロビジョニング スループット ユニットの調達者
次の例では、プロビジョニング済みスループット ユニット (PTU) を調達できるカスタム ロールを定義します。
{
"properties": {
"roleName": "PTU procurer",
"description": "Custom role to purchase PTU",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.CognitiveServices/locations/commitmentTiers/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
シナリオ: Azure OpenAI Assistants API
次の例では、Azure OpenAI Assistants を使用して開発者のロールを定義します。
{
"id": "",
"properties": {
"roleName": "Azure OpenAI Assistants API Developer",
"description": "Custom role to work with Azure OpenAI Assistants API",
"assignableScopes": [
"<your-scope>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/steps/read"
],
"notDataActions": []
}
]
}
}
トラブルシューティング
エラー: プリンシパルが API/Operation にアクセスできない
症状
Azure AI Foundry ポータルのチャットプレイグラウンドを使用すると、"プリンシパルは API/操作にアクセスできません" というエラー メッセージが表示されます。 このエラーには、"Apim-request-id" も含まれる場合があります。
原因
Azure OpenAI または Azure AI Search への要求を認証するために使用されるユーザーまたはサービス プリンシパルには、リソースへのアクセスに必要なアクセス許可がありません。
解決策
ユーザーまたはサービス プリンシパルに次のロールを割り当てます。 割り当てるロールは、使用しているサービスと、ユーザーまたはサービス プリンシパルに必要なアクセス レベルによって異なります。
| アクセスされるサービス | 役割 | 説明 |
|---|---|---|
| Azure OpenAI | Cognitive Services OpenAI 共同作成者 | Azure AI Foundry からパブリック インジェスト API を呼び出します。 |
| Azure OpenAI | Cognitive Services ユーザー | Azure AI Foundry から API キーを一覧表示します。 |
| Azure AI Search | 検索インデックス データ共同作成者 | インデックス作成シナリオに必要。 |
| Azure AI Search | 検索インデックス データ閲覧者 | 推論サービスにより、インデックスからデータのクエリが実行されます。 推論シナリオにのみ使用されます。 |
共同作成者ロールに戻す
新しいハブを作成し、マネージド ID に対する Azure AI 管理者の新しい既定のロール割り当てでエラーが発生した場合は、次の手順に従ってハブを共同作成者ロールに変更します。
重要
問題が発生しない限り、ハブを共同作成者ロールに戻すことはお勧めしません。 元に戻すことで、発生している問題が解決した場合は、さらに調査を進めることができるように、元に戻すことで解決した問題に関する情報を含めたサポート インシデントを開いてください。
新しいハブの "既定" として共同作成者ロールに戻す場合は、Azure サブスクリプションの詳細を含むサポート リクエストを開き、新しいハブのシステム割り当てマネージド ID の既定値として共同作成者ロールを使用するようにサブスクリプションを変更することを要求します。
ハブのマネージド ID に対するロールの割り当てを削除します。 このロールの割り当てのスコープは、ハブを含むリソース グループであるため、リソース グループからロールを削除する必要があります。
ヒント
ハブのシステム割り当てマネージド ID は、ハブ名と同じです。
Azure portal で、ハブが含まれているリソース グループに移動します。 [アクセス制御 (IAM)] を選択してから、[ロールの割り当て] を選択します。 ロールの割り当ての一覧で、マネージド ID のロールの割り当てを見つけます。 それを選択し、[削除] を選択します。
ロールの割り当ての削除については、「ロールの 割り当ての削除」を参照してください。
リソース グループに、共同作成者ロールの新しいロールの割り当てを作成します。 このロールの割り当てを追加するときに、ハブのマネージド ID を割り当て先として選択します。 システム割り当てマネージド ID の名前は、ハブ名と同じです。
- Azure portal で、ハブが含まれているリソース グループに移動します。 [アクセス制御 (IAM)] を選択したら、[ロール割り当ての追加] を選択します。
- [ロール] タブで、[共同作成者] を選択します。
- [ メンバー ] タブで 、[ マネージド ID] を選択し、[ メンバーの選択] を選択し、[ マネージド ID] ドロップダウンを Azure AI ハブに設定します。 [選択] フィールドにハブの名前を入力します。 一覧からハブを選択し、[選択] を選択します。
- [レビューと割り当て] タブで、[レビューと割り当て] を選択します。