Document Intelligence のマネージド ID

このコンテンツの適用対象: v4.0 (プレビュー)v3.1 (GA)v3.0 (GA)v2.1 (GA)

Azure リソースのマネージド ID は、Microsoft Entra ID と、Azure 管理対象リソースに対する特定のアクセス許可を作成するサービス プリンシパルです:

• マネージド ID を使用すると、独自のアプリケーションを含む、Microsoft Entra 認証をサポートする任意のリソースへのアクセス権を付与できます。 セキュリティ キーや認証トークンとは異なり、マネージド ID があれば、開発者が資格情報を管理する必要がありません。

• Azure リソースにアクセス権を付与するには、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、マネージド ID に Azure ロールを割り当てます。

• Azure でマネージド ID を使用するために追加コストはかかりません。

重要

• マネージド ID があれば、Shared Access Signature (SAS) トークン を含め、開発者が資格情報を管理する必要はありません。

• マネージド ID は、コードに資格情報を含めることなくデータへのアクセス権を与えることができるため、安全性が向上します。

プライベート ストレージ アカウント アクセス

プライベート Azure ストレージ アカウントのアクセスと認証では、Azure リソース用マネージド ID がサポートされます。 Virtual Network (VNet) またはファイアウォールによって保護されている Azure ストレージ アカウントがある場合、Document Intelligence はストレージ アカウント データに直接アクセスできません。 ただし、マネージド ID が有効になると、Document Intelligence は、割り当てられたマネージド ID 資格情報を使用してストレージ アカウントにアクセスできます。

Note

• Document Intelligence サンプル ラベル付けツール (FOTT) を使用してストレージ データを分析する場合は、VNet またはファイアウォールの背後にツールをデプロイする必要があります。

• Analyze Receipt、Business Card、Invoice、ID Document、および Custom Form の API では、要求を生のバイナリ コンテンツとして送信することによって、1 つのドキュメントからデータを抽出できます。 これらのシナリオでは、マネージド ID 資格情報の要件はありません。

前提条件

開始するには、以下が必要です。

• アクティブな Azure アカウント—お持ちでない場合は、無料でアカウントを作成できます。

• Azure portal の Document Intelligence または Azure AI サービス リソース。 詳細な手順については、「マルチサービス リソースを作成する」を参照してください。

• Document Intelligence リソースと同じリージョンにある Azure BLOB ストレージ アカウント。 また、ストレージ アカウント内に BLOB データを格納して整理するためのコンテナーを作成する必要があります。

  • ストレージ アカウントがファイアウォールの内側にある場合、次の構成を有効にする必要があります。
    
    

  • ストレージ アカウント ページで、 [セキュリティ + ネットワーク] → [ネットワーク] を選択します。

  • メイン ウィンドウで、 [選択したネットワークからのアクセスを許可する] を選択します。

  • [選択されたネットワーク] ページで、[例外] カテゴリに移動し、[信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] チェックボックスがオンになっていることを確認します。

    

• Azure portal で使用する Azure ロールベースのアクセス制御 (Azure RBAC) の概要の理解。

マネージド ID の割り当て

マネージド ID には、システム割り当てとユーザー割り当ての 2 種類があります。 現在、Document Intelligence はシステム割り当てマネージド ID のみをサポートしています。

• システム割り当てマネージド ID は、サービス インスタンス上で直接有効化されます。 既定では有効になっていないため、リソースにアクセスして、ID 設定を更新する必要があります。

• システム割り当てマネージド ID は、ライフサイクル全体を通してリソースに関連付けされます。 リソースを削除すると、マネージド ID も削除されます。

以下の手順では、システム割り当てマネージド ID を有効にし、Document Intelligence に Azure Blob Storage アカウントへの制限付きアクセスを許可します。

システム割り当てマネージド ID を有効にする

重要

システム割り当てマネージド ID を有効にするには、Microsoft.Authorization/roleAssignments/write アクセス許可 (所有者やユーザー アクセス管理者など) が必要です。 4 つのレベル (管理グループ、サブスクリプション、リソース グループ、リソース) でスコープを指定できます。

1. ご利用の Azure サブスクリプションに関連付けられているアカウントを使用して、Azure portal にサインインします。

2. Azure portal で Document Intelligence リソース ページに移動します。

3. 左側のレールで、 [リソース管理] リストから [ID] を選択します。

   

4. メイン ウィンドウで、 [System assigned Status](システム割り当てステータス) タブを [オン] に切り替えます。

ストレージ アカウントへのアクセスを許可する

Document Intelligence には、BLOB の読み取りを行うことができるよう、あらかじめストレージ アカウントへのアクセスを許可しておく必要があります。 Document Intelligence のシステム割り当てマネージド ID を有効にしたら、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure Storage へのアクセス権を Document Intelligence に与えることができます。 Storage Blob Data Reader ロールは、blob コンテナーとデータへの読み取りおよびリスト アクセスを Document Intelligence に提供します (システム割り当て済みマネージド ID によって表されます)。

1. [アクセス許可] で、 [Azure ロールの割り当て] を選択します。

   

2. 開いた [Azure ロールの割り当て] ページで、ドロップダウン メニューからサブスクリプションを選択し、[+ ロールの割り当ての追加] を選択します。

   

   Note

   [追加] > [ロールの割り当ての追加] オプションが無効になっているか、アクセス許可エラー [you do not have permissions to add role assignment at this scope](このスコープでロールの割り当てを追加するためのアクセス許可がありません) が発生したために、Azure portal でロールを割り当てることができない場合、現在、ストレージ リソースのストレージ スコープで、Microsoft.Authorization/roleAssignments/write アクセス許可を持つロール (所有者やユーザー アクセス管理者など) が割り当てられたユーザーとしてサインインしていることを確認してください。

3. 次に、Document Intelligence サービス リソースにストレージ BLOB データ閲覧者ロールを割り当てます。 [ロールの割り当ての追加] ポップアップ ウィンドウで、以下のようにフィールドに入力して、 [保存] を選択します。

   フィールド	値
   スコープ	Storage
   サブスクリプション	ストレージ リソース に関連付けられているサブスクリプション。
   リソース	ストレージ リソースの名前
   ロール	ストレージ BLOB データ閲覧者—Azure Storage Blob コンテナーおよびデータに対する読み取りアクセスを許可します。

   

4. [ロールの割り当てが追加されました] 確認メッセージが表示されたら、ページを更新して追加されたロールの割り当てを確認します。

   

5. 変更がすぐに表示されない場合は、もう一度ページを更新してみてください。 ロールを割り当てたり、ロールの割り当てを削除したりした場合、変更が適用されるまでに最大 30 分かかることがあります。

   

これで完了です。 システム割り当てマネージド ID を有効にする手順を完了しました。 SAS トークンなどの資格情報を管理することなく、マネージド ID と Azure RBAC を使用して、ストレージ リソースに対する特定のアクセス権を Document Intelligence に付与しました。

Document Intelligence Studio 用の追加ロールの割り当て

Document Intelligence Studio を使用する際、ストレージ アカウントにファイアウォールや仮想ネットワークなどのネットワーク制限が構成されている場合は、ご利用のドキュメント インテリジェンス サービスに、追加のロールとして ストレージ BLOB データ共同作成者を割り当てる必要があります。 Document Intelligence Studio では、自動ラベル、OCR アップグレード、Human In The Loop、プロジェクト共有の各操作を実行する際、ストレージ アカウントに BLOB を書き込むには、このロールが必要です。

次のステップ

マネージド ID とプライベート エンドポイントを使用してセキュリティで保護されたアクセスを構成する