Document Intelligence のマネージド ID
このコンテンツは、
v4.0 (プレビュー)v3.1 (GA)v3.0 (GA)v2.1 (GA) に適用されます
Azure リソースのマネージド ID は、Microsoft Entra ID と、Azure 管理対象リソースに対する特定のアクセス許可を作成するサービス プリンシパルです:
マネージド ID は、独自のアプリケーションを含む、Microsoft Entra 認証をサポートする任意のリソースへのアクセス権を付与します。 セキュリティ キーや認証トークンとは異なり、マネージド ID があれば、開発者が資格情報を管理する必要がありません。
Azure リソースにアクセス権を付与して、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、マネージド ID に Azure ロールを割り当てることができます。 Azure でマネージド ID を使用するために追加コストはかかりません。
重要
マネージド ID があれば、Shared Access Signature (SAS) トークン を含め、開発者が資格情報を管理する必要はありません。
マネージド ID は、コードに資格情報を含めることなくデータへのアクセス権を与えることができるため、安全性が向上します。
プライベート ストレージ アカウント アクセス
プライベート Azure ストレージ アカウントのアクセスと認証では、Azure リソース用マネージド ID がサポートされます。 Azure ストレージ アカウントが仮想ネットワーク (VNet) またはファイアウォールによって保護されている場合は、Document Intelligence からそのストレージ アカウント データに直接アクセスできません。 ただし、マネージド ID が有効になると、Document Intelligence は、割り当てられたマネージド ID 資格情報を使用してストレージ アカウントにアクセスできます。
Note
Document Intelligence サンプル ラベル付けツール (FOTT) を使用してストレージ データを分析する場合は、VNet またはファイアウォールの背後にツールをデプロイする必要があります。
AnalyzeReceipt、Business Card、Invoice、ID document、および Custom Form の API では、要求を生のバイナリ コンテンツとして送信することによって、1 つのドキュメントからデータを抽出できます。 これらのシナリオでは、マネージド ID 資格情報の要件はありません。
前提条件
開始するには、以下が必要です。
アクティブな Azure アカウント—お持ちでない場合は、無料でアカウントを作成できます。
Azure portal の Document Intelligence または Azure AI サービス リソース。 詳細な手順については、「マルチサービス リソースを作成する」を参照してください。
Document Intelligence リソースと同じリージョンにある Azure BLOB ストレージ アカウント。 また、ストレージ アカウント内に BLOB データを格納して整理するためのコンテナーを作成する必要があります。
ストレージ アカウントがファイアウォールの内側にある場合、次の構成を有効にする必要があります。
ストレージ アカウント ページで、 [セキュリティ + ネットワーク] → [ネットワーク] を選択します。
![[セキュリティとネットワーク] タブのスクリーンショット。](media/managed-identities/security-and-networking-node.png?view=doc-intel-2.1.0)
メイン ウィンドウで、 [選択したネットワークからのアクセスを許可する] を選択します。
![[選択されたネットワーク] ラジオ ボタンが選択された状態のスクリーンショット。](media/managed-identities/firewalls-and-virtual-networks.png?view=doc-intel-2.1.0)
選択したネットワーク ページで、[例外] カテゴリに移動し、[
Allow Azure services on the trusted services list to access this storage account] チェックボックスが有効になっていることを確認します。
Azure portal で使用する Azure ロールベースのアクセス制御 (Azure RBAC) の概要の理解。
マネージド ID の割り当て
マネージド ID には、システム割り当てとユーザー割り当ての 2 種類があります。 現在、Document Intelligence はシステム割り当てマネージド ID のみをサポートしています。
システム割り当てマネージド ID は、サービス インスタンス上で直接有効化されます。 既定では有効になっていないため、リソースにアクセスして、ID 設定を更新する必要があります。
システム割り当てマネージド ID は、ライフサイクル全体を通してリソースに関連付けされます。 リソースを削除すると、マネージド ID も削除されます。
以下の手順では、システム割り当てマネージド ID を有効にし、Document Intelligence に Azure Blob Storage アカウントへの制限付きアクセスを許可します。
システム割り当てマネージド ID を有効にする
重要
システム割り当てマネージド ID を有効にするには、Microsoft.Authorization/roleAssignments/write アクセス許可 (所有者やユーザー アクセス管理者など) が必要です。 4 つのレベル (管理グループ、サブスクリプション、リソース グループ、リソース) でスコープを指定できます。
ご利用の Azure サブスクリプションに関連付けられているアカウントを使用して、Azure portal にサインインします。
Azure portal で Document Intelligence リソース ページに移動します。
左側のレールで、 [リソース管理] リストから [ID] を選択します。
![Azure portal の [リソース管理] の [ID] タブのスクリーンショット。](media/managed-identities/resource-management-identity-tab.png?view=doc-intel-2.1.0)
メイン ウィンドウで、 [System assigned Status](システム割り当てステータス) タブを [オン] に切り替えます。
ストレージ アカウントへのアクセスを許可する
Document Intelligence には、BLOB の読み取りを行うことができるよう、あらかじめストレージ アカウントへのアクセスを許可しておく必要があります。 これで Document Intelligence のシステム割り当てマネージド ID が有効になり、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure Storage へのアクセス権を Document Intelligence に与えることができます。 Storage Blob Data Reader ロールは、blob コンテナーとデータへの読み取りおよびリスト アクセスを Document Intelligence に提供します (システム割り当て済みマネージド ID によって表されます)。
[アクセス許可] で、 [Azure ロールの割り当て] を選択します。
開いた [Azure ロールの割り当て] ページで、ドロップダウン メニューからサブスクリプションを選択し、[+ ロールの割り当ての追加] を選択します。
![Azure portal の [Azure ロールの割り当て] ページのスクリーンショット。](media/managed-identities/azure-role-assignments-page-portal.png?view=doc-intel-2.1.0)
Note
[追加] > [ロールの割り当ての追加] オプションが無効になっているか、アクセス許可エラー [you do not have permissions to add role assignment at this scope](このスコープでロールの割り当てを追加するためのアクセス許可がありません) が発生したために、Azure portal でロールを割り当てることができない場合、現在、ストレージ リソースのストレージ スコープで、Microsoft.Authorization/roleAssignments/write アクセス許可を持つロール (所有者やユーザー アクセス管理者など) が割り当てられたユーザーとしてサインインしていることを確認してください。
次に、Document Intelligence サービス リソースにストレージ BLOB データ閲覧者ロールを割り当てます。 [
Add role assignment] ポップアップ ウィンドウで、以下のようにフィールドに入力して、[保存] を選択します。フィールド 値 スコープ Storage サブスクリプション ストレージ リソース に関連付けられているサブスクリプション。 リソース ストレージ リソースの名前 ロール ストレージ BLOB データ閲覧者—Azure Storage Blob コンテナーおよびデータに対する読み取りアクセスを許可します。 ![Azure portal の [ロールの割り当ての追加] ページのスクリーンショット。](media/managed-identities/add-role-assignment-window.png?view=doc-intel-2.1.0)
[ロールの割り当てが追加されました] 確認メッセージが表示されたら、ページを更新して追加されたロールの割り当てを確認します。
![[ロールの割り当てが追加されました] 確認ポップアップ メッセージのスクリーンショット。](media/managed-identities/add-role-assignment-confirmation.png?view=doc-intel-2.1.0)
変更がすぐに表示されない場合は、もう一度ページを更新してみてください。 ロールを割り当てたり、ロールの割り当てを削除したりした場合、変更が適用されるまでに最大 30 分かかることがあります。
![[Azure ロールの割り当て] ウィンドウのスクリーンショット。](media/managed-identities/assigned-roles-window.png?view=doc-intel-2.1.0)
これで完了です。 システム割り当てマネージド ID を有効にする手順を完了しました。 SAS トークンなどの資格情報を管理することなく、マネージド ID と Azure RBAC を使用して、ストレージ リソースに対する特定のアクセス権を Document Intelligence に付与しました。
Document Intelligence Studio 用のその他のロールの割り当て
Document Intelligence Studio を使用する際、ストレージ アカウントにファイアウォールや仮想ネットワークなどのネットワーク制限が構成されている場合は、ご利用のドキュメント インテリジェンス サービスに、その他のロールとして ストレージ BLOB データ共同作成者を割り当てる必要があります。 Document Intelligence Studio では、自動ラベル、Human In The Loop、プロジェクト共有/アップグレードの各操作を実行する際、ストレージ アカウントに BLOB を書き込むには、このロールが必要です。
