Wyłączanie funkcji w wersji zapoznawczej w usłudze Microsoft Foundry

Ogranicz funkcje w wersji zapoznawczej w usłudze Microsoft Foundry, aby zapewnić skoncentrowanie się na ogólnie dostępnych funkcjach. W tym artykule omówiono dwa podejścia:

• Azure tagi ukrywają powierzchnie podglądowe w portalach Foundry (portalach bieżących i klasycznych).
• Niestandardowe role RBAC blokują określone operacje podglądu na poziomie API.

Używaj tagów do tłumienia na poziomie portalu i stosuj niestandardowe role RBAC, gdy konieczne jest zablokowanie określonych operacji lub uprawnień.

Wymagania wstępne

• Zasób i projekt Foundry.
• Uprawnienie do dodawania lub edytowania tagów w docelowym zakresie Azure. Na przykład Współautor lub Współtwórca tagów.
• Subskrypcja Azure z uprawnieniami do tworzenia ról niestandardowych w zakresie, w którym rola ma być przypisywana (na przykład rola Właściciel lub Rola administratora dostępu użytkowników).
• Uprawnienia do przypisywania ról w zakresie przypisywania dostępu (na przykład rola Administrator kontroli dostępu opartego na rolach lub rola Administrator dostępu użytkownika).
• Aby tworzyć role z wiersza poleceń, musisz mieć zainstalowane Azure CLI i być zalogowanym. Aby uzyskać więcej informacji, zobacz Install the Azure CLI .
• Dostęp do portalu Azure.

Stosowanie tagu

Zastosuj tag wyłączający funkcję w wersji zapoznawczej w zakresie zarządzanym przez Twoją organizację.

Ważne

Użyj dokładnego klucza tagu i wartości:

• Klucz tagu: AZML_DISABLE_PREVIEW_FEATURE
• Wartość tagu: true

Zastosuj tag w zakresie odpowiadającym potrzebom zarządzania.

• Subskrypcja dla zarządzania w całej organizacji.
• Grupa zasobów do pokrycia wszystkich zasobów w grupie.
• Zasób foundry na potrzeby szczegółowej kontroli.

Azure CLI

Zastąp znacznik <resource-id> pełnym identyfikatorem zasobu subskrypcji, grupy zasobów lub zasobu Foundry.

az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true

Aby znaleźć identyfikator zasobu dla zasobu foundry:

az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv

Azure

1. Zaloguj się do portalu Azure.
2. Przejdź do zasobu, grupy zasobów lub subskrypcji, w której chcesz pominąć funkcje w wersji zapoznawczej.
3. Wybierz Tagi.
4. Dodaj klucz i wartość tagu wyłączania podglądu:
   • Klucz: AZML_DISABLE_PREVIEW_FEATURE
   • Wartość: true
5. Wybierz Zastosuj.
6. Powtórz dla innych zakresów, zgodnie z potrzebami.

Zrzut ekranu panelu Tagów portalu Azure pokazujący tag AZML_DISABLE_PREVIEW_FEATURE ustawiony na wartość true na zasobie Foundry.

Usuwanie tagu w celu ponownego włączenia funkcji w wersji zapoznawczej

Aby przywrócić funkcje w wersji zapoznawczej, usuń AZML_DISABLE_PREVIEW_FEATURE tag.

Azure CLI

az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true

Azure

1. W portalu Azure przejdź do zasobu, grupy zasobów lub subskrypcji, w której zastosowano tag.
2. Wybierz Tagi.
3. Wybierz ikonę usuwania (kosz) obok tagu AZML_DISABLE_PREVIEW_FEATURE .
4. Wybierz Zastosuj.

Po usunięciu tagu odśwież portal Foundry lub wyloguj się i wróć. Funkcje w wersji zapoznawczej pojawią się ponownie w ciągu kilku minut.

Weryfikowanie tłumienia w obu wersjach portalu

Po zapisaniu tagu poczekaj kilka minut na propagację, a następnie zweryfikuj zachowanie w obu środowiskach.

1. Otwórz Microsoft Foundry.
2. Otwórz otagowany projekt.
3. Sprawdź, czy funkcje interfejsu użytkownika tylko w wersji zapoznawczej są ukryte.
   • W klasycznym portalu narzędzie funkcji w wersji testowej w prawym górnym rogu jest wyłączone.
   • W nowym portalu nie będą widoczne żadne etykiety wersji zapoznawczej , ponieważ funkcje w wersji zapoznawczej nie będą już widoczne.
4. Przełącz się między nowymi i klasycznymi środowiskami przy użyciu polecenia New Foundry i zweryfikuj to samo zachowanie.

Oczekiwany wynik: funkcje w wersji zapoznawczej są ukryte zarówno w nowych, jak i klasycznych środowiskach portalu Foundry.

Rozwiązywanie problemów z tłumieniem

Użyj poniższej tabeli, jeśli tłumienie nie działa zgodnie z oczekiwaniami.

Objaw	Przyczyna	Rozdzielczość
Funkcje w wersji zapoznawczej są nadal wyświetlane po zastosowaniu tagu.	Klucz lub wartość tagu jest niepoprawna.	Sprawdź, czy klucz tagu to dokładnie AZML_DISABLE_PREVIEW_FEATURE i wartość to true (z uwzględnieniem wielkości liter). Zapisz ponownie tag.
Tag jest stosowany, ale tłumione są tylko niektóre zakresy.	Tag jest aplikowany w węższym zakresie niż zamierzono.	Upewnij się, że tag jest stosowany w zamierzonym zakresie zarządzania (subskrypcja, grupa zasobów lub zasób). W razie potrzeby zastosuj ją w szerszym zakresie.
Funkcje w wersji zapoznawczej pojawią się ponownie po kilku minutach.	Sesja przeglądarki używa stanu buforowanego.	Wyloguj się i wróć lub wyczyść pamięć podręczną przeglądarki i odśwież portal Foundry.
Nie można dodać ani edytować tagu.	Twoje konto nie ma uprawnień do tagów w tym zakresie.	Sprawdź, czy masz rolę Autora lub Autora tagów w zakresie docelowym.
Funkcje w wersji zapoznawczej są nadal wyświetlane po zweryfikowaniu zakresu, tagu i uprawnień.	Możliwe opóźnienie propagacji lub usterka produktu.	Poczekaj kilka minut na propagację. Jeśli problem będzie się powtarzać, prześlij wniosek o pomoc techniczną.

Blokuj funkcje wersji zapoznawczej za pomocą niestandardowych ról RBAC

Dostęp do określonych funkcji w wersji zapoznawczej można zablokować, tworząc niestandardową rolę Azure, która wyklucza odpowiednie uprawnienia, a następnie przypisując ją użytkownikom.

Ponieważ nie można modyfikować wbudowanych ról, należy utworzyć rolę niestandardową, która wykorzystuje notDataActions, aby wykluczyć uprawnienia, które chcesz zablokować (lub notActions dla funkcji płaszczyzny sterowania, takich jak śledzenie).

Poniższa tabela zawiera podsumowanie funkcji w wersji zapoznawczej, które można zablokować, oraz typ uprawnień do wykluczenia.

Funkcja w wersji zapoznawczej	Ścieżka dostawcy zasobów	Typ uprawnień	Pole wykluczenia
Usługa agenta	Microsoft.CognitiveServices/accounts/AIServices/agents/*	Akcja danych	notDataActions
Opis zawartości	Microsoft.CognitiveServices/accounts/MultiModalIntelligence/*	Akcja danych	notDataActions
Dostosowywanie	Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* i powiązane ścieżki	Akcja danych	notDataActions
Oceny	Microsoft.CognitiveServices/accounts/AIServices/evaluations/*	Akcja danych	notDataActions
Bezpieczeństwo zawartości	Microsoft.CognitiveServices/accounts/ContentSafety/*	Akcja danych	notDataActions
Śledzenie	Microsoft.Insights/*	Akcja płaszczyzny sterowania	notActions

Stwórz rolę niestandardową, która blokuje funkcję poglądową.

W tej sekcji opisano tworzenie niestandardowej definicji roli i przypisywanie jej do użytkownika. Przykład blokuje usługę Agent Service, ale możesz zmienić dowolną akcję danych z sekcji funkcji w tym artykule.

Krok 1: Zdefiniuj rolę JSON

Utwórz plik JSON o nazwie custom-role.json z następującą zawartością. Zastąp <subscription-id> swoim identyfikatorem subskrypcji Azure i dodaj do notDataActions akcje danych, które chcesz zablokować.

{
  "properties": {
    "roleName": "Foundry custom role (preview features blocked)",
    "description": "Custom role that excludes specific Foundry preview features.",
    "assignableScopes": [
      "/subscriptions/<subscription-id>"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.CognitiveServices/*/read",
          "Microsoft.Authorization/*/read"
        ],
        "notActions": [],
        "dataActions": [
          "Microsoft.CognitiveServices/accounts/AIServices/*"
        ],
        "notDataActions": [
          "Microsoft.CognitiveServices/accounts/AIServices/agents/write",
          "Microsoft.CognitiveServices/accounts/AIServices/agents/read",
          "Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
        ]
      }
    ]
  }
}

Wskazówka

Jeśli sklonujesz istniejącą rolę lub użyjesz uprawnień z symbolami wieloznacznymi w dataActions, dodaj akcje danych dotyczące funkcji w wersji zapoznawczej do notDataActions, aby rola je wykluczyła. W przypadku śledzenia należy użyć notActions, ponieważ śledzenie korzysta z akcji płaszczyzny sterowania.

Krok 2. Tworzenie roli

Azure CLI

az role definition create --role-definition custom-role.json

Azure

1. W portalu Azure przejdź do subskrypcji lub grupy zasobów, w której chcesz utworzyć rolę niestandardową.
2. Wybierz pozycję Kontrola dostępu (IAM)>Dodaj>rolę niestandardową.
3. Na karcie Podstawy wprowadź nazwę i opis roli.
4. Na karcie JSON wybierz pozycję Edytuj i wklej zawartość JSON z kroku 1.
5. Wybierz Przejrzyj i utwórz.

Krok 3. Przypisywanie roli

Azure CLI

az role assignment create \
    --role "Foundry custom role (preview features blocked)" \
    --assignee "<user-email-or-object-id>" \
    --scope "/subscriptions/<subscription-id>"

Azure

1. W portalu Azure przejdź do zakresu, w którym chcesz przypisać rolę.
2. Wybierz pozycję Kontrola dostępu (IAM)>Dodaj>przypisanie roli.
3. W obszarze Rola wyszukaj i wybierz utworzoną rolę niestandardową.
4. W obszarze Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, wyszukaj użytkownika, a następnie wybierz pozycję Wybierz.
5. Wybierz pozycję Przejrzyj i przypisz.

Krok 4. Weryfikowanie przypisania roli

Upewnij się, że rola niestandardowa wyklucza zamierzone uprawnienia.

Azure CLI

Wyświetl listę przypisań ról dla użytkownika i sprawdź, czy pojawia się rola niestandardowa.

az role assignment list --assignee "<user-email-or-object-id>" --output table

Wyświetl definicję roli niestandardowej, aby potwierdzić, że notDataActions zawiera oczekiwane akcje danych.

az role definition list --name "Foundry custom role (preview features blocked)" --output json

Azure

1. W portalu Azure0 przejdź do zasobu, w którym przypisano rolę.
2. Wybierz pozycję Kontrola dostępu (IAM)>Sprawdź dostęp.
3. Wyszukaj użytkownika i przejrzyj swoje obowiązujące uprawnienia.
4. Sprawdź, czy zablokowane akcje danych nie są wyświetlane w obowiązujących uprawnieniach użytkownika.

Akcje dotyczące danych funkcji w wersji zapoznawczej

Każda z poniższych sekcji zawiera listę uprawnień dla funkcji w wersji zapoznawczej. Dodaj akcje danych, które chcesz zablokować do notDataActions w swojej niestandardowej definicji roli, z wyjątkiem śledzenia, które używają akcji płaszczyzny sterowania w notActions.

Usługa agenta

Dodaj następujące akcje danych do notDataActions w niestandardowej definicji roli.

• Microsoft.CognitiveServices/accounts/AIServices/agents/write
• Microsoft.CognitiveServices/accounts/AIServices/agents/read
• Microsoft.CognitiveServices/accounts/AIServices/agents/delete

Aby zablokować wszystkie operacje usługi agenta za pomocą pojedynczego wpisu, użyj symbolu wieloznacznika Microsoft.CognitiveServices/accounts/AIServices/agents/*.

Zrozumienie treści

Dodaj następujące akcje danych do notDataActions w niestandardowej definicji roli.

• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/read
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/write
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/delete
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/read
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/write
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/delete
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*

Jeśli zespół etykietuje dokumenty w narzędziu Foundry, zablokuj również akcje etykietowania danych. W edytorze ról niestandardowych portalu Azure wyszukaj labelingProjects u dostawcy zasobów Microsoft.CognitiveServices, aby znaleźć dostępne operacje, takie jak:

• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/read
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/write
• Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete

Uwaga

Sprawdź dokładne akcje danych labelingProjects w portalu Azure, ponieważ dostępne operacje mogą ulec zmianie w miarę rozwoju funkcji.

Dostrajania

Dostrajanie używa kilku ścieżek akcji danych w Microsoft.CognitiveServices/accounts/OpenAI/. Dodaj każdą ścieżkę, którą chcesz zablokować, do notDataActions w definicji swojej niestandardowej roli.

• Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*
• Microsoft.CognitiveServices/accounts/OpenAI/files/*
• Microsoft.CognitiveServices/accounts/OpenAI/uploads/*
• Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*
• Microsoft.CognitiveServices/accounts/OpenAI/evals/*
• Microsoft.CognitiveServices/accounts/OpenAI/models/*

Opcjonalnie, jeśli zespół uruchamia zadania RLHF, dodaj również:

• Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*

Ważne

Każda wyświetlana ścieżka jest oddzielnym zakresem działania danych. Symbol fine-tunes/* wieloznaczny pasuje tylko do operacji w obszarze fine-tunes/. Aby w pełni zablokować dostrajanie, uwzględnij wszystkie wymienione ścieżki.

Śledzenie

Ważne

Śledzenie używa Azure Monitor, który jest usługą płaszczyzny sterowania. Uprawnienia wymienione w tej sekcji to akcje, a nie akcje danych. Dodaj je do notActions (nie notDataActions) w definicji roli niestandardowej.

Dodaj następujące akcje do notActions w niestandardowej definicji roli.

• Microsoft.Insights/alertRules/read
• Microsoft.Insights/diagnosticSettings/read
• Microsoft.Insights/logDefinitions/read
• Microsoft.Insights/metricdefinitions/read
• Microsoft.Insights/metrics/read

Blokowanie tych akcji odczytu uniemożliwia użytkownikom wyświetlanie okienka Śledzenie w portalu Foundry. Użytkownicy, którzy potrzebują dostępu do śledzenia, muszą mieć przydzieloną oddzielną rolę, która zawiera Microsoft.Insights akcje odczytu, takie jak rola Reader w powiązanym zasobie Application Insights.

Oceny

Dodaj następujące akcje danych do notDataActions w niestandardowej definicji roli.

• Microsoft.CognitiveServices/accounts/AIServices/evaluations/write
• Microsoft.CognitiveServices/accounts/AIServices/evaluations/read
• Microsoft.CognitiveServices/accounts/AIServices/evaluations/delete

Bezpieczeństwo zawartości

Dodaj następujące akcje danych do notDataActions w niestandardowej definicji roli.

• Microsoft.CognitiveServices/accounts/ContentSafety/*

Aby zablokować tylko określone operacje bezpieczeństwa zawartości zamiast wszystkich operacji, wyszukaj ContentSafety w niestandardowym edytorze ról portalu Azure i wybierz poszczególne akcje danych, które chcesz wykluczyć.

Rozwiązywanie problemów z kontrolą dostępu opartą na rolach

Objaw	Przyczyna	Rozdzielczość
Użytkownik nadal może uzyskać dostęp do zablokowanej funkcji.	Przypisanie roli mogło jeszcze nie zostać rozpropagowane lub użytkownik ma inną rolę, która przyznaje zablokowane uprawnienie.	Poczekaj kilka minut na propagację. Sprawdź wszystkie przypisania ról dla użytkownika za pomocą polecenia az role assignment list --assignee "<user>". Usuń wszystkie role powodujące konflikt, które udzielają zablokowanych działań na danych.
Tworzenie roli niestandardowej kończy się niepowodzeniem z powodu "nieprawidłowej operacji na danych".	Ścieżka działania danych może być błędnie wpisana lub dostawca zasobów może nie być zarejestrowany.	Sprawdź ścieżkę akcji danych w edytorze ról niestandardowych portalu Azure. Upewnij się, że dostawca zasobów Microsoft.CognitiveServices jest zarejestrowany w subskrypcji.
Uprawnienia śledzenia nie są blokowane po dodaniu do elementu notDataActions.	Śledzenie wykorzystuje akcje płaszczyzny kontrolnej (Microsoft.Insights), a nie akcje danych.	Przenieś wpisy Microsoft.Insights z notDataActions do notActions w definicji roli.

Powiązana zawartość

• Kontrola dostępu oparta na rolach dla Microsoft Foundry
• Authentication i autoryzacja w Microsoft Foundry
• Tworzenie lub aktualizowanie ról niestandardowych Azure przy użyciu portalu Azure
• Tworzenie lub aktualizowanie ról niestandardowych Azure przy użyciu Azure CLI
• Przypisywanie ról Azure za pomocą portalu Azure