Azure AI サービスのデータ損失防止を構成する
お客様は、Azure AI サービスのデータ損失防止機能を使用して、自分の Azure AI サービス リソースがアクセスを許可されている送信 URL の一覧を構成できます。 これにより、お客様がデータ損失を防止するための別のレベルのコントロールが作成されます。 この記事では、Azure AI サービス リソースに対してデータ損失防止機能を有効にするために必要な手順について説明します。
前提条件
- 要求を行うには、Azure アカウントと Azure AI サービス サブスクリプションが必要になります。 既にアカウントをお持ちの場合は、次のセクションまでスキップして進んでください。 アカウントをお持ちでない場合は、数分で設定を行えるガイドをご覧ください。「マルチサービス リソースの作成」を参照してください。
- アカウントの作成後に、Azure portal からサブスクリプション キーを取得できます。
データ損失防止の有効化
データ損失防止の有効化には 2 つの部分があります。 まず、リソース プロパティ restrictOutboundNetworkAccess
を true
に設定する必要があります。 これを true に設定するときは、承認済み URL の一覧も指定する必要があります。 URL の一覧が allowedFqdnList
プロパティに追加されます。 allowedFqdnList
プロパティには、コンマ区切りの URL の配列が格納されます。
Note
allowedFqdnList
プロパティ値では最大 1000 個の URL がサポートされます。- このプロパティでは、IP アドレスと完全修飾ドメイン名 (例:
www.microsoft.com
値) の両方がサポートされます。 - 更新が有効になるまで、最大で 15 分かかる可能性があります。
Azure AI サービス リソースの詳細を表示します。
az cognitiveservices account show \ -g "myresourcegroup" -n "myaccount" \
Azure AI サービス リソースの現在のプロパティを表示します。
az rest -m get \ -u /subscriptions/{subscription ID}}/resourceGroups/{resource group}/providers/Microsoft.CognitiveServices/accounts/{account name}?api-version=2021-04-30 \
restrictOutboundNetworkAccess プロパティを構成し、許可されている FqdnList を承認済み URL で更新します。
az rest -m patch \ -u /subscriptions/{subscription ID}}/resourceGroups/{resource group}/providers/Microsoft.CognitiveServices/accounts/{account name}?api-version=2021-04-30 \ -b '{"properties": { "restrictOutboundNetworkAccess": true, "allowedFqdnList": [ "microsoft.com" ] }}'
サポートされているサービス
データ損失防止の構成は次のサービスでサポートされています。
- Azure OpenAI
- Azure AI Vision
- Content Moderator
- Custom Vision
- Face
- Document Intelligence
- Speech Service
- QnA Maker
制限事項
独自のデータに基づく Azure OpenAI - テキスト データ インジェスト機能では、データ損失防止はまだサポートされていません。 restrictOutboundNetworkAccess
が true に設定されている場合、次の API に対するすべての要求は、データ損失の可能性を防ぐために直ちに失敗します。
- /extensions/on-your-data/ingestion-jobs