Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете основные понятия управления доступом на основе ролей (RBAC) для Microsoft Foundry, включая области, встроенные роли и распространенные шаблоны назначения предприятия.
Совет
Роли RBAC применяются при проверке подлинности с помощью Microsoft Entra ID. Если вместо этого используется проверка подлинности на основе ключей, ключ предоставляет полный доступ без ограничений ролей. Microsoft рекомендует использовать проверку подлинности Entra ID для улучшения безопасности и детального управления доступом.
Дополнительные сведения о проверке подлинности и авторизации в Microsoft Foundry см. в разделе Authentication and Authorization.
Минимальные назначения ролей для начала работы
Для новых пользователей платформ Azure и Microsoft Foundry начните с этих минимальных назначений, чтобы и учётная запись пользователя, и управляемое удостоверение проекта могли получить доступ к функциям Foundry.
Текущие назначения можно проверить с помощью проверки доступа пользователя к отдельному ресурсу Azure.
Назначьте роль "Пользователь Foundry" в ресурсе Foundryсубъекту-пользователю.
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Назначьте роль Foundry User для управляемого удостоверения проекта на ресурсе Foundry.
Если пользователь, создавший проект, может назначать роли (например, имея роль Azure Owner в области подписки или группы ресурсов), оба назначения добавляются автоматически.
Чтобы назначить эти роли вручную, выполните следующие быстрые действия.
Назначение роли субъекту-пользователю
На портале Azure откройте ресурс Foundry и перейдите к элементу управления Контроль доступа (IAM). Создайте назначение роли для пользователя Foundry, задайте для Участники значение Пользователь, группа или субъект-служба, выберите своего пользователя, а затем выберите Проверить и назначить.
Назначьте роль управляемому удостоверению проекта
На портале Azure откройте проект Foundry и перейдите к разделу Управление доступом (IAM). Создайте назначение роли для пользователя Foundry, установите в поле Участники значение Управляемое удостоверение, выберите управляемое удостоверение вашего проекта, а затем выберите Проверить и назначить.
Терминология для управления доступом на основе ролей в Foundry
Чтобы понять управление доступом на основе ролей в Microsoft Foundry, рассмотрите два вопроса для вашего предприятия.
- Какие разрешения у моей команды должны быть при создании в Microsoft Foundry?
- В какой области я хочу назначить разрешения моей команде?
Чтобы ответить на эти вопросы, ниже приведены описания некоторых терминологий, используемых в этой статье.
- Разрешения: разрешенные или отклоненные действия, которые удостоверение может выполнять над ресурсом, например чтение, запись, удаление или управление операциями плоскости управления и плоскости данных.
- Scope: набор ресурсов Azure, к которым применяется назначение роли. Типичные области включают подписку, группу ресурсов, ресурс Foundry или проект Foundry.
- Role: именованная коллекция разрешений, которая определяет, какие действия можно выполнять на Azure ресурсах в заданной области.
Удостоверение получает роль с определенными разрешениями в выбранной области на основании требований вашего предприятия.
В Microsoft Foundry рассмотрите две области при выполнении назначений ролей.
- ресурс Foundry: область верхнего уровня, которая определяет границу администрирования, безопасности и мониторинга для среды Microsoft Foundry.
- Проект Foundry: подобласть в ресурсе Foundry, которая используется для упорядочивания работы и обеспечения управления доступом к API, инструментам и рабочим процессам разработчиков.
Встроенные роли
Встроенная роль в Foundry — это роль, созданная Microsoft, которая охватывает распространенные сценарии доступа, чтобы назначить их участникам команды. Основные встроенные роли, используемые в Azure, включают владельца (Owner), участника (Contributor) и читателя (Reader). Эти роли не связаны с разрешениями ресурсов Foundry.
Для ресурсов Foundry используйте дополнительные встроенные роли для выполнения принципов доступа с минимальными привилегиями. В следующей таблице перечислены ключевые встраиваемые роли для Foundry и ссылки на точные определения ролей в встраиваемых ролях для AI + Машинное обучение.
| Роль | Описание |
|---|---|
| Пользователь Foundry | Предоставляет читателю доступ к проекту Foundry, ресурсу Foundry и действиям с данными в вашем проекте Foundry. Если вы можете назначить роли, эта роль назначается вам автоматически. В противном случае владелец подписки или пользователь с разрешениями назначения ролей предоставляет его. Роль минимального доступа к привилегиям в Foundry. |
| Менеджер проектов Foundry | Позволяет выполнять действия по управлению проектами Foundry, создавать и разрабатывать с помощью проектов, а также условно назначать роль "Пользователь Foundry" другим субъектам-пользователям. |
| Владелец учетной записи Foundry | Предоставляет полный доступ к управлению проектами и ресурсами, а также позволяет условно назначать роли "Пользователь Foundry", ACR и мониторинг для других субъектов-пользователей. |
| Владелец Foundry | Предоставляет полный доступ к управлению проектами и ресурсами и созданию и разработке с помощью проектов. Позволяет условно назначать роли пользователя Foundry, ACR и мониторинга. Высоко привилегированная роль с функциями самообслуживания, предназначенная для цифровых аборигенов. |
Примечание
Не назначайте встроенные роли, начинающиеся с Cognitive Services. Эти роли предназначены для доступа к ресурсам служб ИИ напрямую и не применяются к сценариям Foundry. Аналогично, не используйте роль Azure AI Developer для работы Foundry. Несмотря на название, эта роль распространяется только на рабочие области Машинное обучение Azure и центры Foundry, а не на проекты Foundry или размещённые в Foundry агенты. Для доступа к проекту Foundry используйте имя пользователя Foundry или владельца Foundry .
Разрешения для каждой встроенной роли
Используйте следующую таблицу, чтобы просмотреть разрешения, разрешенные для каждой встроенной роли в Microsoft Foundry.
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершить назначение ролей | Доступ читателя к проектам и учетным записям | Управление моделями | Публикация агентов |
|---|---|---|---|---|---|---|---|
| Пользователь Foundry | ✘ | ✘ | ✔ | ✘ | ✔ | ✘ | ✘ |
| Менеджер проектов Foundry | ✘ | ✘ | ✔ | ✔ (только назначьте роль пользователя Foundry) | ✔ | ✘ | ✔ |
| Владелец учетной записи Foundry | ✔ | ✔ | ✘ | ✔ (назначение ролей Foundry User, ACR и мониторинга) | ✔ | ✔ | ✘ |
| Владелец Foundry | ✔ | ✔ | ✔ | ✔ (назначение ролей Foundry User, ACR и мониторинга) | ✔ | ✔ | ✔ |
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Используйте следующую таблицу, чтобы увидеть предоставленные разрешения для каждой из основных встроенных ролей Azure (Владелец, Участник, Читатель).
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершить назначение ролей | Доступ читателя к проектам и учетным записям | Управление моделями | Публикация агентов |
|---|---|---|---|---|---|---|---|
| Владелец | ✔ | ✔ | ✘ | ✔ (назначение любой роли любому пользователю) | ✔ | ✔ | ✔ |
| Вклад | ✔ | ✔ | ✘ | ✘ | ✔ | ✔ | ✘ |
| Читатель | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ |
Чтобы публиковать агентов, вам нужна роль Foundry Project Manager как минимум для ресурса Foundry. Дополнительные сведения см. в разделе Agent applications в Microsoft Foundry.
Используйте эти вкладки для изучения различий между встроенными ролями, назначенными на уровне ресурса Foundry (за исключением владельца, который назначается на уровне подписки).
- Владелец
- Владелец Foundry
- Владелец учетной записи Foundry
- Менеджер проектов Foundry
- Пользователь Foundry
Примеры сопоставлений корпоративных RBAC для проектов
Ниже приведен пример реализации управления доступом на основе ролей (RBAC) для корпоративного ресурса Foundry.
| Персона | Роль и область | Цель |
|---|---|---|
| ИТ-администратор | Владелец уровня подписки | ИТ-администратор гарантирует, что ресурс Foundry соответствует корпоративным стандартам. Назначьте менеджерам роль владельца учетной записи Foundry в ресурсе, чтобы позволить им создавать новые учетные записи Foundry. Назначьте менеджерам роль Foundry Project Manager на ресурсе, чтобы позволить им создавать проекты в учетной записи. |
| Менеджеры | Владелец учетной записи Foundry для области ресурсов Foundry | Руководители управляют ресурсами Foundry, развертывают модели, проверяют вычислительные ресурсы, контролируют подключения и создают общие подключения. Они не могут работать в проектах, но могут назначить себе и другим роль Foundry User, чтобы начать работу. |
| Руководитель команды или ведущий разработчик | Foundry Project Manager в рамках области ресурсов Foundry | Ведущие разработчики создают проекты для своей команды и начинают работать над ними. После создания проекта владельцы проектов приглашают других участников и назначают роль "Пользователь Foundry ". |
| Участники группы или разработчики | Foundry User для области проекта Foundry и Читатель для области ресурса Foundry | Разработчики создают агентов в проекте с предварительно развернутыми моделями Foundry и предварительно настроенными подключениями. |
Управление назначениями ролей
Для управления ролями в Foundry необходимо иметь разрешение на назначение и удаление ролей в Azure. Встроенная роль Azure Owner включает это разрешение. Роли можно назначать с помощью портала Foundry (страница администрирования), Azure портала IAM или Azure CLI. Роли можно удалить с помощью Azure портала IAM или Azure CLI.
На портале Foundry управляйте разрешениями:
- Откройте страницу "Администратор" в Foundry, а затем выберите "Управление администратором>".
- Выберите имя проекта.
- Выберите "Добавить пользователя " для управления доступом к проекту. Это действие доступно только в том случае, если у вас есть разрешения на назначение ролей.
- Примените тот же процесс для доступа на уровне ресурсов Foundry.
Разрешения можно управлять на портале Azure в разделе контроль доступа (IAM) или с помощью Azure CLI.
Например, следующая команда назначает роль joe@contoso.com "Пользователь Foundry" для группы this-rg ресурсов в подписке 00000000-0000-0000-0000-000000000000:
az role assignment create --role "53ca6127-db72-4b80-b1b0-d745d6d5456d" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Примечание
Так как роли Foundry RBAC были недавно переименованы, используйте идентификатор определения роли (GUID) вместо имени роли в коде, чтобы избежать проблем во время развертывания переименования:
-
Пользователь Foundry:
53ca6127-db72-4b80-b1b0-d745d6d5456d -
Владелец Foundry:
c883944f-8b7b-4483-af10-35834be79c4a -
Владелец учетной записи Foundry:
e47c6f54-e4a2-4754-9501-8e0985b135e1 -
Менеджер проектов Foundry:
eadc314b-1a2d-4efa-be10-5d325db5065e
Создание настраиваемых ролей для проектов
Если встроенные роли не соответствуют вашим корпоративным требованиям, создайте пользовательскую роль, которая позволяет точно контролировать разрешенные действия и области. Ниже приведен пример определения настраиваемой роли на уровне подписки:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Дополнительные сведения о создании настраиваемой роли см. в следующих статьях.
- портал Azure
- Azure CLI;
- Azure PowerShell
- Отключите функции предварительного просмотра в Microsoft Foundry. В этой статье содержатся дополнительные сведения о конкретных разрешениях в Foundry в области управления и плоскости данных, которые можно использовать при создании пользовательских ролей.
Заметки и ограничения
Чтобы просматривать и очищать удаленные учетные записи Foundry, необходимо назначить роль Контрибьютора на уровне подписки.
Пользователи с ролью Контрибьютора могут развертывать модели в Foundry.
Вам нужна роль владельца в области действия ресурса, чтобы создавать пользовательские роли в этом ресурсе.
Если у вас есть разрешения на назначение роли в Azure (например, роль владельца, назначенная в области учетной записи) субъекту-пользователю, и вы развертываете ресурс Foundry на портале Azure или пользовательском интерфейсе портала Foundry, роль пользователя Foundry автоматически назначается субъекту-пользователю. Это назначение не применяется при развертывании Foundry из пакета SDK или CLI.
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
При создании ресурса Foundry встроенные разрешения управления доступом на основе ролей (RBAC) предоставляют доступ к ресурсу. Чтобы использовать ресурсы, созданные за пределами Foundry, убедитесь, что ресурс имеет разрешения, которые позволяют получить к нему доступ. Ниже приведены некоторые примеры.
- Чтобы использовать новую учетную запись хранилища BLOB в Azure, добавьте управляемое удостоверение ресурса учетной записи Foundry в роль «Чтение данных хранилища BLOB» в этой учетной записи.
- Чтобы воспользоваться новым источником Поиск с использованием ИИ Azure, добавьте Foundry в список назначений ролей Поиск с использованием ИИ Azure.
Для точной настройки модели в Foundry требуются разрешения на уровень данных и уровень управления. Развертывание точно настроенной модели — это разрешение уровня управления. Таким образом, единственной встроенной ролью с разрешениями как уровня данных, так и уровня управления является роль Foundry Owner. Или, если вы предпочитаете, вы также можете назначить роль "Пользователь Foundry" для разрешений плоскости данных и роль владельца учетной записи Foundry для разрешений уровня управления.
Разрешения типа развертывания
В следующих разделах описывается область разрешений для определенных типов развертывания. Используйте их вместе со встроенными таблицами ролей в разрешениях для каждой встроенной роли при планировании назначений ролей для определенной рабочей нагрузки.
Операции уровня управления управляемыми вычислительными ресурсами
Развертывания управляемых вычислений (предварительная версия) регулируются собственным набором операций поставщика ресурсов Azure в рамках поставщика Microsoft.CognitiveServices. Эти операции управляют тем, кто может создавать, читать, обновлять и удалять управляемое вычислительное развертывание, а также считывать доступную емкость акселератора и использование квот для учетной записи Foundry.
В этом разделе перечислены пять обязательных операций плоскости управления, встроенные роли, дающие право на их выполнение, а также описано, чем сопоставление ролей с разрешениями отличается в стандартных развертываниях (с оплатой за токен и PTU).
Примечание
Операции в этом разделе относятся к плоскости управления — созданию, настройке и удалению развертываний. Чтобы вызвать развертывание во время вывода, назначьте роль "Пользователь Foundry " в области учетной записи Foundry (или используйте ключ API учетной записи). См. сведения о проверке подлинности и авторизации в Foundry.
Обязательные операции
Для полного управления развертываниями управляемых вычислений в учетной записи Foundry требуются пять операций:
| Операция | Описание |
|---|---|
Microsoft.CognitiveServices/accounts/managedComputeDeployments/read |
Просмотр или перечисление развертываний управляемых вычислительных ресурсов в учетной записи Foundry. |
Microsoft.CognitiveServices/accounts/managedComputeDeployments/write |
Создание или обновление управляемого развертывания вычислений. |
Microsoft.CognitiveServices/accounts/managedComputeDeployments/delete |
Удалить управляемое развертывание вычислительных ресурсов. |
Microsoft.CognitiveServices/locations/managedComputeCapacities/read |
Список доступных возможностей акселератора по регионам. |
Microsoft.CognitiveServices/locations/usages/read |
Использование ускорителя чтения и расход квот. |
Important
Операция корневого уровня Microsoft.CognitiveServices/capacities/readне существует. Пользовательские роли, предоставляющие доступ на чтение сведений о емкости, должны использовать операцию locations/managedComputeCapacities/read, ограниченную расположением (или managedComputeCapacities/read, если область действия задана на уровне корня поставщика). Такой подстановочный знак, как Microsoft.CognitiveServices/locations/*/read, соответствует locations/usages/read, но не соответствует locations/managedComputeCapacities/read. Явно укажите операцию при создании пользовательской роли.
Сопоставление ролей и разрешений
В следующей таблице показано, какие встроенные роли дают право на выполнение каждой из пяти операций плоскости управления для управляемых вычислительных ресурсов.
| Роль | managedComputeDeployments/read |
managedComputeDeployments/write |
managedComputeDeployments/delete |
managedComputeCapacities/read |
usages/read |
|---|---|---|---|---|---|
| Участник служб когнитивных сервисов | ✔ | ✔ | ✔ | ✔ | ✔ |
| Пользователь служб Cognitive Services | ✔ | ✘ | ✘ | ✔ | ✔ |
| Владелец Foundry | ✔ | ✔ | ✔ | ✔ | ✔ |
| Владелец учетной записи Foundry | ✔ | ✔ | ✔ | ✔ | ✔ |
| Менеджер проектов Foundry | ✔ | ✘ | ✘ | ✔ | ✔ |
| Пользователь Foundry | ✔ | ✘ | ✘ | ✔ | ✔ |
Встроенные роли Azure Owner и Contributor предоставляют разрешение на выполнение всех пяти операций благодаря разрешению с подстановочным знаком на уровне подписки или группы ресурсов.
Сравнение: стандартные развертывания и управляемые вычислительные развертывания
Область разрешений уровня управления для управляемых вычислительных развертываний отражает поверхность для стандартных развертываний (оплаты за токен и PTU); имена операций различаются только по сегменту типа ресурса (deployments vs managedComputeDeploymentsи modelCapacities vs managedComputeCapacities).
В следующей таблице показано, как покрытие CRUD каждой роли сравнивается между двумя семействами развертываний:
| Роль | Стандартные развертывания CRUD | Управляемые вычислительные развертывания CRUD | Расхождение |
|---|---|---|---|
| Участник служб когнитивных сервисов | Полный | Полный | Тот же |
| Пользователь Когнитивных сервисов | Только для чтения | Только для чтения | Тот же |
| Владелец Foundry | Полный | Полный | Тот же |
| Владелец учетной записи Foundry | Полный | Полный | Тот же |
| Руководитель литейного проекта | Чтение и емкость + использование | Чтение и емкость + использование | Тот же |
| Пользователь Foundry | Чтение и емкость + использование | Чтение и емкость + использование | Тот же |
Примечание
Если вы создаёте настраиваемую роль, которая использует подстановочный знак locations/*/read для предоставления прав на чтение ресурсов емкости для стандартных развертываний, этот подстановочный знак не распространяется на managedComputeCapacities/read. Добавьте Microsoft.CognitiveServices/locations/managedComputeCapacities/read в пользовательскую роль явно, чтобы предоставить доступ на чтение данных о емкости в плоскости управления управляемыми вычислительными ресурсами.
Рекомендуемые назначения ролей
Используйте следующие начальные точки при назначении доступа для этих операций с управляемыми вычислительными ресурсами:
- Развертывание управляемых вычислительных ресурсов и управление ими: назначьте Cognitive Services Contributor на уровне учетной записи Foundry.
- Средство просмотра с доступом только для чтения для развертываний и квот: назначьте Cognitive Services User или Foundry User на уровне учетной записи Foundry.
- Управлять проектом Foundry, но не развертывать модели: назначьте Foundry Project Manager на уровне учетной записи Foundry. Менеджеры проектов могут просматривать развертывания и квоты, но не могут создавать или удалять их.
- Вызывать управляемое развертывание вычислительных ресурсов с помощью Microsoft Entra ID во время инференса: назначьте роль Foundry User в области учетной записи Foundry в дополнение к любой роли плоскости управления, которую имеет пользователь (или вообще без роли плоскости управления для пользователей, которым нужен только инференс).
Полный рабочий процесс развертывания см. в статье "Развертывание моделей с открытым исходным кодом с помощью управляемых вычислений".
Связанное содержимое
- Создайте проект.
- Проверка доступа пользователя к отдельному ресурсу в Azure.
- Проверка подлинности и авторизация в Foundry.
- Отключите функции предварительного просмотра в Microsoft Foundry.
- Справочник по разрешениям агента в облаке.
Приложение
Примеры изоляции доступа
Каждая организация может иметь разные требования к изоляции доступа в зависимости от пользователей в своей организации. Изоляция доступа ссылается на то, какие пользователи в вашей организации получают назначения ролей для разделения разрешений с помощью встроенных ролей или унифицированной, высокоразрешительной роли. Существует три варианта изоляции доступа для Foundry, которые можно выбрать для вашей организации в зависимости от требований к изоляции доступа.
Изоляция доступа отсутствует. Это означает, что у вас нет каких-либо требований, разделяющих разрешения между разработчиком, менеджером проектов или администратором. Разрешения для этих ролей можно назначать между командами.
Таким образом, вы должны...
Предоставьте всем пользователям вашей организации роль владельца Foundry в области ресурсов
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Изоляция частичного доступа. Это означает, что руководитель проектов в вашей организации должен иметь возможность разрабатывать проекты, а также создавать проекты. Но администраторы не должны иметь возможности разрабатываться в Foundry, создавать только проекты и учетные записи Foundry.
Таким образом, вы должны...
- Назначьте администратору роль владельца учетной записи Foundry на уровне ресурса
- Назначьте разработчикам и менеджерам проектов роль Foundry Project Manager для ресурса
Полная изоляция доступа. Это означает, что администраторы, руководители проектов и разработчики имеют ясно выделенные разрешения, которые не пересекаются между различными функциями в предприятии.
Поэтому вы должны...
- Назначьте своему администратору роль владельца учетной записи Foundry на уровне ресурса
- Назначьте разработчику роль Reader для ресурса Foundry и роль Foundry User для проекта
- Назначьте руководителю проекта роль Foundry Project Manager на уровне ресурса
Использование групп Microsoft Entra с Foundry
Microsoft Entra ID предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. Используя группы Microsoft Entra, вы можете предоставлять доступ и разрешения группе пользователей вместо каждого отдельного пользователя. ИТ-администраторы предприятия могут создавать группы Microsoft Entra на портале Azure, чтобы упростить процесс назначения ролей разработчикам. При создании группы Microsoft Entra можно свести к минимуму количество назначений ролей, необходимых для новых разработчиков, работающих над проектами Foundry, назначив группе требуемое назначение ролей в необходимом ресурсе.
Выполните следующие действия, чтобы использовать группы Microsoft Entra ID с Foundry:
- Создайте группу Security в Groups на портале Azure.
- Добавьте владельца и участников-пользователей в организации, которым требуется общий доступ.
- Откройте целевой ресурс и перейдите к элементу управления доступом (IAM).
- Назначьте требуемую роль пользователю, группе или субъекту-службе и выберите новую группу безопасности.
- Выберите "Проверить и назначить ", чтобы назначение роли применялось ко всем членам группы.
Распространенные примеры:
- Чтобы создавать агенты, выполнять трассировки и использовать основные возможности Foundry, назначьте Foundry User группе Microsoft Entra.
- Чтобы использовать функции трассировки и мониторинга, назначьте роль Reader для подключенного ресурса Application Insights в той же группе.
Дополнительные сведения о группах Microsoft Entra ID, предварительных требованиях и ограничениях см. в следующей статье:
- Узнайте о группах, членстве в группах и доступе в Microsoft Entra.
- Как управлять группами в Microsoft Entra.