設定文件智慧服務的受控識別

發行項
12/06/2023

此內容適用於：v4.0 （預覽）v3.1 （GA）v3.0 （GA）v2.1 （GA）

Azure 資源的受控識別是建立 Microsoft Entra 身分識別的服務主體，以及 Azure 受控資源的特定許可權：

Screenshot of managed identity flow (RBAC).

您可以使用受控識別，將支援 Microsoft Entra 驗證的任何資源存取權授與存取權，包括您自己的應用程式。與安全性金鑰和驗證令牌不同，受控識別不需要開發人員管理認證。
若要授與 Azure 資源的存取權，請使用 Azure 角色型存取控制（Azure RBAC）將 Azure 角色指派給受控識別。
在 Azure 中使用受控識別不會增加任何成本。

重要

受控識別不需要您管理認證，包括共用存取簽章（SAS）令牌。
受控識別是一種更安全的方式，可授與數據的存取權，而不需要在程式代碼中具有認證。

私人記憶體帳戶存取

私人 Azure 儲存體帳戶存取和驗證支援 Azure 資源的受控識別。如果您有受虛擬網路 (VNet) 或防火牆保護的 Azure 儲存體帳戶，文件智慧服務無法直接存取儲存體帳戶資料。不過，啟用受控識別之後，文件智慧服務可以使用指派的受控識別認證，來存取儲存體帳戶。

注意

如果您想要使用文件智慧服務範例標記工具 (FOTT) (英文) 來分析儲存體資料，您必須在 VNet 或防火牆後面部署此工具。
分析收據、名片、發票、標識符檔和自定義表單 API 可以藉由將要求張貼為原始二進位內容，從單一檔擷取數據。 在這些案例中，不需要受控識別認證。

必要條件

若要開始，您需要：

作用中的 Azure 帳戶 -- 如果您沒有帳戶，您可以建立免費帳戶。
Azure 入口網站中的文件智慧服務或 Azure AI 服務資源。如需詳細步驟，請參閱建立多服務資源。
Azure Blob 儲存體帳戶與文件智慧服務資源位於同一區域中。您也需要建立容器，以在儲存體帳戶內儲存和組織 Blob 資料。
- 如果您的記憶體帳戶位於防火牆後方， 您必須啟用下列設定：
- 在記憶體帳戶頁面上，從左側功能表中選取 [安全性 + 網络 ] → [網络 ]。
- 在主視窗中，選取 [ 允許從選取的網络存取]。
- 在選取的網路頁面上，流覽至 [例外狀況] 類別，並確定 [允許受信任服務清單中的 Azure 服務存取此記憶體帳戶] 複選框已啟用。
使用 Azure 入口網站簡短瞭解 Azure 角色型存取控制（Azure RBAC）。

受控識別指派

受控識別有兩種類型： 系統指派 和 使用者指派。目前，文件智慧服務支援系統指派的受控識別：

系統指派的受控識別 會直接在服務實例上啟用 。默認不會啟用它;您必須移至您的資源並更新身分識別設定。
系統指派的受控識別會在整個生命週期中系結至您的資源。如果刪除您的資源，則也會刪除受控識別。

在下列步驟中，我們要啟用系統指派的受控識別，並授與文件智慧服務對 Azure Blob 儲存體帳戶的有限存取權。

啟用系統指派的受控識別

重要

若要啟用系統指派的受控識別，您需要 Microsoft.Authorization/roleAssignments/write 許可權，例如擁有者或使用者存取管理員 istrator。 您可以在四個層級指定範圍：管理群組、訂用帳戶、資源群組或資源。

使用與您的 Azure 訂用帳戶相關聯的帳戶登入 Azure 入口網站。
瀏覽至 Azure 入口網站中的文件智慧服務資源頁面。
在左側滑軌中，從 [資源管理] 列表中選取 [身分識別]：
在主視窗中，將 [ 系統指派的狀態] 索引標籤切換為 [ 開啟]。

授與記憶體帳戶的存取權

您必須先將檔智慧存取權授與記憶體帳戶，才能讀取 Blob。既然您已使用系統指派的受控識別啟用文件智慧服務，您可以使用 Azure 角色型存取控制 (Azure RBAC)，讓文件智慧服務存取 Azure 儲存體。 儲存體 Blob 資料讀者角色會提供文件智慧服務 (以系統指派的受控識別表示) 讀取和列出 Blob 容器和資料的存取權。

在 [許可權] 底下，選取 [Azure 角色指派]：
在開啟的 Azure 角色指派頁面上，從下拉式功能表中選擇您的訂用帳戶，然後選取 [+ 新增角色指派]。

注意

如果您無法指派 Azure 入口網站中的角色，因為 [新增>新增角色指派] 選項已停用，或您收到許可權錯誤：「您沒有在此範圍新增角色指派的許可權」，請檢查您目前是以具有 Microsoft.Authorization/roleAssignments/write 許可權的使用者身分登入，例如擁有者或使用者存取管理員 istrator，儲存體記憶體資源的範圍。

接下來，您要將 [儲存體 Blob 資料讀者] 角色指派給文件智慧服務服務資源。在 [ 新增角色指派 ] 彈出視窗中，完成如下的字段，然後選取 [ 儲存]：

欄位	值
範圍	*Storage*
訂用帳戶	*與您的記憶體資源相關聯的訂用帳戶*。
資源	*記憶體資源的名稱*
角色	*儲存體 Blob 資料讀取器*— 允許讀取 Azure 儲存體 Blob 容器和數據。

Screenshot of add role assignments page in the Azure portal.

收到 [ 新增角色指派 ] 確認訊息之後，請重新整理頁面以查看新增的角色指派。
如果您沒有立即看到變更，請再等候並嘗試重新整理頁面。當您指派或移除角色指派時，最多可能需要 30 分鐘的時間，變更才會生效。

介紹完畢您已完成啟用系統指派受控識別的步驟。您以受控識別和 Azure RBAC，向文件智慧服務授與了儲存體資源的特定存取權限，而不需要管理 SAS 權杖等認證。

Document Intelligence Studio 的其他角色指派

如果您要使用 Document Intelligence Studio，且記憶體帳戶已設定網路限制，例如防火牆或虛擬網路，則必須將額外的角色 儲存體 Blob 數據參與者指派給您的文件智慧服務。當您執行自動標籤、OCR升級、迴圈中的 Human 或 Project 共用作業時，Document Intelligence Studio 需要此角色才能將 Blob 寫入記憶體帳戶。

下一步

使用受控識別和私人端點設定安全存取