Note
このドキュメントでは、 Microsoft Foundry (クラシック) ポータルを参照します。
Note
このドキュメントでは、 Microsoft Foundry (新しい) ポータルを参照します。
ヒント
ハブに重点を置いた代替 RBAC に関する記事があります。 Microsoft Foundry (ハブとプロジェクト) のロールベースのアクセス制御。
この記事では、 Foundry リソースへのアクセスを管理する方法について説明します。 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、新しいリソースの作成や既存のリソースの使用など、Azure リソースへのアクセスを管理します。 Microsoft Entra ID で、リソースへのアクセスを許可するユーザー ロールを割り当てます。 Azure には組み込みのロールが用意されており、カスタム ロールを作成できます。
この記事では、 Microsoft Foundry リソースへのアクセスを管理する方法について説明します。 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、新しいリソースの作成や既存のリソースの使用など、Azure リソースへのアクセスを管理します。 Microsoft Entra ID で、リソースへのアクセスを許可するユーザー ロールを割り当てます。 Azure には組み込みのロールが用意されており、カスタム ロールを作成できます。
組み込みの Azure AI 開発者ロールがニーズを満たしていない場合は、 カスタム ロールを作成できます。
Warning
一部のロールを適用すると、Foundry ポータルの UI 機能が他のユーザーに制限される場合があります。 たとえば、ユーザーのロールにコンピューティング インスタンスを作成するアクセス許可がない場合、作成するオプションはポータルでは使用できません。 この動作は想定されており、アクセス拒否エラーを返すアクションをユーザーが開始できないようにします。
Foundry プロジェクト役割
Foundry ポータルには、次の 2 つのレベルのアクセスがあります。
- アカウント: アカウントは、Foundry リソースのインフラストラクチャ (仮想ネットワークのセットアップ、カスタマー マネージド キー、マネージド ID、ポリシーを含む) のホームです。
- プロジェクト: プロジェクトは、ビルド エージェント、評価の実行など、開発者が Foundry を使用してビルドを開始する場所です。 Foundry リソースには、アカウントとプロジェクトの両方で既定で使用できる組み込みロールがあります。 組み込みのロールとそのアクセス許可の表を次に示します。
| Role | Description |
|---|---|
| Azure AI ユーザー | AI プロジェクトへの閲覧者アクセス、AI アカウントへの閲覧者アクセス、AI プロジェクトのデータ アクションを許可します。 ロールを割り当てることができる場合、このロールは自動的に割り当てられます。 それ以外の場合は、サブスクリプション所有者またはロールの割り当てアクセス許可を持つユーザーが付与されます。 |
| Azure AI Project Manager | Foundry プロジェクトに対して管理アクションを実行し、プロジェクトを使用してビルドおよび開発し、条件付きで Azure AI ユーザー ロールを他のユーザー プリンシパルに割り当てることができます。 |
| Azure AI アカウント所有者 | AI プロジェクトとアカウントを管理するためのフル アクセスを許可し、条件付きで Azure AI ユーザー ロールを他のユーザー プリンシパルに割り当てることができます。 |
| Azure AI 所有者 | マネージド AI プロジェクトとアカウントへのフル アクセスを許可し、プロジェクトを使用してビルドおよび開発します。 |
Note
Azure AI 所有者ロールは現在割り当てられませんが、近日中に Azure と Foundry ポータルで割り当てることができます。
Note
削除された Foundry アカウントを表示および消去するには、サブスクリプション スコープで共同作成者ロールが割り当てられている必要があります。
これらの組み込みのロールの割り当てに加えて、所有者、共同作成者、閲覧者などの Azure 特権管理者ロールがあります。 これらのロールは Foundry リソースのアクセス許可に固有ではありません。そのため、最小限の特権アクセスには、前に説明した組み込みロールを使用します。
次の表を使用して、Azure 特権管理者ロールを含む、組み込みロールごとの特権を確認します:
| 組み込みロール | Foundry プロジェクトを作成する | Foundry アカウントを作成する | プロジェクトでのビルドと開発 (データ アクション) | ロールの割り当てを完了する | プロジェクトとアカウントへの閲覧者アクセス | モデルを管理する |
|---|---|---|---|---|---|---|
| Azure AI ユーザー | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (Azure AI ユーザー ロールのみを割り当てる) | ✔ | ||
| Azure AI アカウント所有者 | ✔ | ✔ | ✔ (Azure AI ユーザー ロールのみを割り当てる) | ✔ | ✔ | |
| Azure AI 所有者 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (任意のユーザーに任意のロールを割り当てる) | ✔ | ✔ | |
| 投稿者 | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
プロジェクトの組み込みロール
Azure AI ユーザー
Azure AI ユーザー ロールは Foundry の最小特権アクセス ロールであり、必要なコントロール プレーン アクセスのみを許可します。 Azure AI ユーザー ロールのアクセス許可を次に示します:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": ["/"],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/*"],
"notDataActions": []
}
]
}
}
Note
Azure でロール割り当て (アカウント スコープで割り当てられた所有者ロールなど) をユーザー プリンシパルに割り当てるアクセス許可があり、Azure portal または Foundry ポータル UI から Foundry リソースをデプロイすると、Azure AI ユーザー ロールがユーザー プリンシパルに自動的に割り当てられます。 これは、SDK または CLI から Foundry をデプロイする場合には適用されません。 さらに、Foundry ポータルで他のチーム メンバーに割り当てることができるロールの割り当ては、Azure AI ユーザー ロールと Azure AI アカウント所有者ロールの組み合わせだけです。 アクセス分離の要件に応じて、ロールに割り当てる内容に関する推奨事項については、以下の「アクセス分離」を参照してください。
Azure AI プロジェクトマネージャー
Azure AI Project Manager ロールでは、条件付き Azure ロールの割り当て委任が使用されます。 条件付き委任では、ロールはリソース グループ内のユーザー プリンシパルに Azure AI ユーザー ロールのみを割り当てることができます。 条件付き委任を使用すると、管理者はロールの割り当てを委任して、チームが Foundry プロジェクトの構築を開始できるようになります。 詳細については、「条件を使用してAzure ロールの割り当て管理を他のユーザーに委任する」を参照してください。
Azure AI Project Manager ロールのアクセス許可を次に示します:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI アカウント所有者
Azure AI アカウント所有者ロールは、委任された Azure ロールの割り当て管理を、条件を持つ他のユーザーに利用します。 条件付き委任により、Azure AI アカウント所有者ロールは、リソース グループ内の他のユーザー プリンシパルに Azure AI ユーザー ロールのみを割り当てることができます。 条件付き委任を使用すると、企業の管理者はロールの割り当ての作業を委任して、Foundry プロジェクトでのビルドと開発を開始できます。 条件を使用したロールの割り当ての詳細については、「条件を使用 して Azure ロールの割り当て管理を他のユーザーに委任する」を参照してください。
新しい Azure AI アカウント所有者ロールのアクセス許可の完全なセットは次のとおりです:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principals.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI 所有者
Azure AI 所有者ロールは、Foundry リソースの作成やモデルのデプロイからエージェントの構築、Foundry での評価の実行まで、すべてのアクションを可能にするセルフサービスの組み込みロールを探している企業向けです。 このロールは、間もなく割り当てることができます。
新しい Azure AI 所有者ロールのアクセス許可の完全なセットは次のとおりです。
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/",
"properties": {
"roleName": "Azure AI Owner",
"description": " Grants full to manage AI project and accounts. Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
]
}
}
プロジェクトのエンタープライズ RBAC セットアップのサンプル
次の表は、エンタープライズ Foundry リソースのロールベースのアクセス制御 (RBAC) の例を示しています。
| Persona | Role | Purpose |
|---|---|---|
| IT 管理者 | サブスクリプションの所有者 | IT 管理者は、Foundry リソースがエンタープライズ標準を満たしていることを確認します。 リソースにマネージャーに対してAzure AI アカウント所有者ロールを割り当てることで、新しい Foundry アカウントを作成することができます。 マネージャーにリソースに対する Azure AI Project Manager ロールを割り当てて、アカウント内にプロジェクトを作成できるようにします。 |
| Managers | Foundry リソースの Azure AI アカウント所有者 | マネージャーは、Foundry リソースの管理、モデルのデプロイ、コンピューティング リソースの監査、接続の監査、共有接続の作成を行います。 プロジェクトでビルドすることはできませんが、Azure AI ユーザー ロールを自分や他のユーザーに割り当ててビルドを開始できます。 |
| チーム リーダーまたはリード開発者 | Foundry リソースの Azure AI プロジェクト マネージャー | リード開発者はチームのプロジェクトを作成し、それらのプロジェクトでビルドを開始します。 プロジェクトを作成した後、プロジェクト所有者は他のメンバーを招待し、 Azure AI ユーザー ロールを割り当てます。 |
| チーム メンバーまたは開発者 | Foundry プロジェクトの Azure AI ユーザー | 開発者は、プロジェクトでエージェントをビルドします。 |
Important
共同作成者ロールを持つユーザーは、Foundry でモデルをデプロイできます。
アクセス分離の例
企業内のユーザー ペルソナに応じて、組織ごとに異なるアクセス分離要件がある場合があります。 アクセスの分離とは、組み込みロールを使用したアクセス許可の分離または一元化された高度に制限されたロールに対して、どのロールの割り当てが企業のどのユーザーに付与されるかを指します。 Foundry には、アクセス分離の要件に応じて組織に対して選択できる 3 つのアクセス分離オプションがあります。 これらのロールの割り当ては、Foundry アカウントまたは Foundry プロジェクトのいずれかの異なるスコープで割り当てることができます。
- アクセスの分離はありません。 つまり、企業では、開発者、プロジェクト マネージャー、または管理者の間でアクセス許可を分離する要件はありません。これらのロールのアクセス許可は、チーム間で割り当てることができます。
そのため、あなたはそうすべきです。
- 企業内のすべてのユーザーに、アカウント レベルで 共同作成者 と Azure AI ユーザー ロールを付与する
- 部分的なアクセスの分離。 つまり、企業のプロジェクト マネージャーは、プロジェクト内で開発し、プロジェクトを作成できる必要があります。 ただし、管理者は Foundry 内で開発できず、Foundry プロジェクトとアカウントのみを作成する必要があります。
そのため、あなたはそうすべきです。
- 管理者にアカウント レベルで**Azure AI アカウント所有者**の権限を付与する
- Azure AI Project Manager ロールと 閲覧者 ロールをアカウント レベルで開発者とプロジェクト マネージャーに付与する
- 完全アクセスの隔離。 つまり、管理者、プロジェクト マネージャー、開発者には、企業内のさまざまな機能に重複しない明確なアクセス許可が割り当てられます。
このため、以下の手順を実行してください。
- 管理者にアカウント レベルで Azure AI アカウント所有者 を付与する
- アカウントで開発者に閲覧者ロールを付与し、プロジェクト レベルでAzure AI ユーザーロールを付与する。
- アカウント レベルでプロジェクト マネージャーに Azure AI Project Manager ロールを付与する
Foundry の外部で作成されたリソースにアクセスする
Foundry リソースを作成すると、組み込みのロールベースのアクセス制御 (RBAC) アクセス許可によってリソースにアクセスできるようになります。 Foundry の外部で作成されたリソースを使用するには、次の両方が当てはまることを確認します。
- そのリソースには、アクセスできるアクセス許可があります。 たとえば、新しい Azure Blob Storage アカウントを使用するには、Foundry アカウント リソースのマネージド ID を、そのストレージ アカウントのストレージ BLOB データ閲覧者ロールに追加します。 新しい Azure AI Search ソースを使用するには、Foundry を Azure AI Search ロールの割り当てに追加します。
プロジェクトのロールを使用してアクセスを管理する
Foundry アカウント リソースの所有者である場合は、ロールを追加または削除します。
Azure Foundry AI ポータルでは、次の方法でアクセス許可を管理できます。
- Foundry の ホーム ページで、 Foundry リソースを選択します。
- [ユーザー] を選択して、リソースのユーザーを追加または削除します。
アクセス許可は、 Azure portal の アクセス制御 (IAM) または Azure CLI を使用して管理できます。
たとえば、次のコマンドでは、Azure AI ユーザー ロールがサブスクリプション ID joe@contoso.com 内のリソース グループ this-rg の 00000000-0000-0000-0000-000000000000 に割り当てられます:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
プロジェクトのカスタム ロールを作成する
組み込みロールが十分でない場合は、カスタム ロールを作成します。 カスタム ロールには、Foundry リソースの読み取り、書き込み、削除のアクセス許可を含めることができます。 プロジェクト、リソース グループ、またはサブスクリプション スコープでロールを使用できるようにします。
Note
そのリソースにカスタム ロールを作成するには、そのスコープの所有者ロールが必要です。
カスタム ロールを作成するには、Foundry で Foundry の特定のシナリオや機能をブロックするアクセス許可を把握することが重要です。 以下は、よりスコープの高いユーザー ロール用に作成されたカスタム ロールの notActions または notDataActions に追加できる、シナリオまたは機能ごとのアクセス許可のコレクションです。
リソースのプロビジョニング許可
次のアクセス許可は、リソースのプロビジョニングに関連しています。 アクセス許可は、主に制御プレーンまたは操作に関するものです。
Foundry リソースを作成するためのアクセス許可
ユーザーが新しい Foundry リソースまたはプロジェクトをプロビジョニングします。 新しいチームのワークスペースを設定したり、リソース グループとサブスクリプションの設定を定義したりできます。
アクション
- */write (共同作成者権限により付与)
- Microsoft.CognitiveServices/accounts/*
- Microsoft.Resources/subscriptions/resourceGroups/write*
Foundry プロジェクトを作成するためのアクセス許可
ユーザーが新しい Foundry プロジェクトをプロビジョニングします。 アクション
- Microsoft.CognitiveServices/accounts/projects/read
- Microsoft.CognitiveServices/accounts/projects/write
- Microsoft.CognitiveServices/accounts/projects/delete
コスト管理を表示するためのアクセス許可
ユーザーが支出レポートと使用状況レポートを確認します。 モデル トレーニングと推論のコストの内訳を確認したり、予算作成の消費傾向を分析したり、財務チームのコスト データをエクスポートしたりできます。
アクション
- Microsoft.CostManagement/*/read
- Microsoft.Consumption/*/read
エージェントを Web アプリにデプロイするためのアクセス許可
ユーザーがエージェントを Web アプリケーションとして発行します。 顧客向けに Azure App Service にデプロイしたり、認証とスケーリングの設定を構成したり、エンタープライズ ID (Entra ID) と統合したりする場合があります。
アクション
- Microsoft.Web/sites/* (App Service 用)
- Microsoft.Resources/deployments/*
- Microsoft.Authorization/*/read
モデルをデプロイするためのアクセス許可 (モデル カタログ)
ユーザーはトレーニング済みまたは微調整済みのモデルを受け取り、推論に使用できるようにします。 リアルタイム エンドポイントとしてデプロイしたり、自動スケーリングとネットワークルールを設定したり、運用で使用するためのガバナンス ポリシーを適用したりできます。
アクション
- Microsoft.CognitiveServices/accounts/deployments/read
- Microsoft.CognitiveServices/accounts/deployments/write
- Microsoft.CognitiveServices/accounts/deployments/delete
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/deployments/read
接続を作成し、読み取るための権限
ユーザーは Foundry の接続を使用して Foundry を外部リソースまたは内部リソースと統合します。
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/connections/read
- Microsoft.CognitiveServices/accounts/AIServices/connections/listSecrets/action アクション
- Microsoft.CognitiveServices/accounts/connections/*
- Microsoft.CognitiveServices/accounts/projects/connections/*
消費のアクセス許可
Foundry の使用に関連するアクセス許可を次に示します。 アクセス許可は、主にデータ プレーンまたは dataActions です。
Note
これらのシナリオでは、全体で Foundry アカウント/プロジェクトに対する基本的な読み取りアクセス許可が必要です。 したがって、すべてのシナリオで必要なアクションは、必要な dataActions に加えて、このアクセス許可を持っていることを考慮してください: "Microsoft.CognitiveServices/accounts/*/read"
テレメトリ/トレースを表示するためのアクセス許可
ユーザーが Foundry リソースのシステムの正常性とパフォーマンスを監視したいと考えています。 モデルのデプロイのトラブルシューティング、待機時間、エラー率、スループットなどのメトリックの表示、Application Insights の診断データのクエリを行うログを確認する場合があります。
DataActions
- Microsoft.OperationalInsights/workspaces/search/action(マイクロソフト・オペレーショナルインサイツ/ワークスペース/サーチ/アクション)
- Microsoft.Support/*
- Microsoft.Insights/alertRules/read
- Microsoft.Insights/diagnosticSettings/read
- Microsoft.Insights/logDefinitions/read
- Microsoft.Insights/metricdefinitions/read
- Microsoft.Insights/metrics/read
アクション
- Microsoft.Insights/*/read (監視リソースへのコントロール プレーン アクセス用)
App Insights リソースのその他の組み込みロールの割り当て:
- 監視リーダー
- モニタリング協力者
監視の組み込みロールの詳細については、 Monitor の Azure 組み込みロールに関するページを参照してください。
モデルを微調整するためのアクセス許可
ユーザーは、ドメイン固有のデータの基本モデルをカスタマイズします。 トレーニング データセットをアップロードしたり、LLM で微調整の実行を開始したり、進行状況を監視したり、デプロイ用にチューニングされたモデルを取得したりする場合があります。
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/read
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/write
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/delete
エージェントをビルドするためのアクセス許可
ユーザーが Foundry にエージェントを作成します。 モデルを使用してエージェントをデプロイしたり、ツールやコネクタ (Azure AI Search、Logic Apps など) を追加したり、マルチステップ タスクのオーケストレーション ロジックを構成したりできます。
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/agents/read
- Microsoft.CognitiveServices/accounts/AIServices/agents/write
- Microsoft.CognitiveServices/accounts/AIServices/agents/delete
Foundry でのバッチ推論のアクセス許可
ユーザーは、予測のためにデプロイされたモデルに要求を送信します。 スコア付けのために REST API を呼び出し、大規模なデータセットに対してバッチ推論を実行し、精度とコンプライアンスのために出力を検証する場合があります。
DataActions:
- Microsoft.CognitiveServices/accounts/OpenAI/batch-jobs/read
- Microsoft.CognitiveServices/accounts/OpenAI/batches/read
- Microsoft.CognitiveServices/accounts/OpenAI/batches/delete
- Microsoft.CognitiveServices/accounts/OpenAI/batches/cancel/action
操作:
- Microsoft.CognitiveServices/accounts/deployments/read
- Microsoft.CognitiveServices/accounts/deployments/write
- Microsoft.CognitiveServices/accounts/deployments/completions/action
Azure AI Search を使用したアクセス許可
ユーザーは、Foundry エージェントまたはアプリの検索に基づくリトリーバルを有効にします。 インデックスを作成して管理したり、RAG (Retrieval-Augmented 生成) シナリオのドキュメントに対してクエリを実行したりする場合があります。
DataActions
- Microsoft.Search/searchServices/indexes/*
- Microsoft.Search/searchServices/query/action
アクション
- Microsoft.Search/searchServices/*/read
- Microsoft.Search/searchServices/*/write
検索リソースに対するその他の組み込みロールの割り当て:
- Search Service 共同作成者 (インデックスと設定の管理)
- インデックス データ共同作成者の検索 (インデックス データの読み取り/書き込み)
- 検索インデックスデータリーダー (クエリ用最小特権読み取り専用アクセス)
Azure AI Search の組み込みロールの詳細については、「Azure ロールを使用した接続 - Azure AI Search」を参照してください。
Foundry で Logic Apps を呼び出すアクセス許可
ユーザーは、ワークフローの自動化を Foundry に統合します。 エージェントがタスクを完了したときにロジック アプリをトリガーしたり、Logic App コネクタを介して外部 API を呼び出したり、通知やデータ移動を自動化したりする場合があります。
DataActions
- Microsoft.Logic/workflows/run/action
- Microsoft.Logic/workflows/read
アクション
- Microsoft.Logic/workflows/*/read
- Microsoft.Logic/workflows/*/write
- Microsoft.Logic/workflows/*/action
Logic Apps リソースに対する組み込みのロールの割り当て:
- ロジック アプリ共同作成者
- ロジック アプリ オペレーター
カスタム ロールの作成の詳細については、次のいずれかの記事を参照してください。
Foundry で Microsoft Entra グループを使用する
Microsoft Entra ID には、リソース、アプリケーション、タスクへのアクセスを管理するためのいくつかの方法が用意されています。 Microsoft Entra グループを使用すると、個々のユーザーではなく、ユーザーのグループにアクセスとアクセス許可を付与できます。 Microsoft Entra グループは、開発者のロール割り当てプロセスを簡略化するために、エンタープライズ IT 管理者向けの Azure portal で作成できます。 Microsoft Entra グループを作成するときに、Foundry プロジェクトで作業する新しい開発者に必要なロールの割り当ての数を最小限に抑えるには、グループに必要なロールの割り当てを必要なリソースに割り当てます。
Foundry で Entra ID グループを使用するには、次の手順を実行します。
Azure portal で [グループ] に移動します。
グループ ポータルで新しい セキュリティ グループを作成します。
Microsoft Entra グループの所有者を割り当て、組織内の個々のユーザー 原則をメンバーとしてグループに追加します。 グループを保存します。
ロールの割り当てが必要なリソースに移動します。
- 例: Foundry でエージェントを構築したり、トレースを実行したりするには、最小限の特権 "Azure AI User" ロールをユーザー プリンシパルに割り当てる必要があります。 "Azure AI ユーザー" ロールを新しい Microsoft Entra グループに割り当て、企業内のすべてのユーザーが Foundry で構築できるようにします。
- 例: Foundry でトレース機能と監視機能を使用するには、接続された Application Insights リソースに対する "閲覧者" ロールの割り当てが必要です。 社内のすべてのユーザーがトレースと監視機能を使用できるように、新しい Microsoft Entra グループに "閲覧者" ロールを割り当てます。
アクセス制御 (IAM) に移動します。
割り当てるロールを選択します。
"ユーザー、グループ、またはサービス プリンシパル" へのアクセスを割り当て、新しいセキュリティ グループを選択します。
確認して割り当てます。 ロールの割り当てが、グループに割り当てられているすべてのユーザー 原則に適用されるようになりました。
Entra ID グループ、前提条件、および制限事項の詳細については、以下を参照してください。