Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo vengono illustrati i concetti di base del controllo degli accessi in base al ruolo per Microsoft Foundry, inclusi ambiti, ruoli predefiniti e modelli comuni di assegnazione aziendale.
Suggerimento
I ruoli RBAC (Controllo degli Accessi Basato sui Ruoli) si applicano quando si autentica con Microsoft Entra ID. Se invece si usa l'autenticazione basata su chiave, la chiave concede l'accesso completo senza restrizioni del ruolo. Microsoft consiglia di usare l'autenticazione Entra ID per migliorare la sicurezza e il controllo di accesso granulare.
Per altre informazioni sull'autenticazione e l'autorizzazione in Microsoft Foundry, vedere Authentication and Authorization.
Assegnazioni di ruolo minime per iniziare
Per i nuovi utenti di Azure e Microsoft Foundry, iniziare con queste assegnazioni minime in modo che sia l'entità principale dell'utente che l'identità gestita del progetto possano accedere alle funzionalità di Foundry.
È possibile verificare le assegnazioni correnti utilizzando Controlla l'accesso per un utente a una singola risorsa Azure.
- Assegna il ruolo Azure AI User nella risorsa Foundry al tuo user principal.
- Assegna il ruolo Azure AI User sulla risorsa Foundry all'identità gestita del progetto.
Se l'utente che ha creato il progetto può assegnare ruoli (ad esempio, avendo il ruolo Azure Owner nell'ambito della sottoscrizione o del gruppo di risorse, entrambe le assegnazioni vengono aggiunte automaticamente.
Per assegnare questi ruoli manualmente, seguire questa procedura rapida.
Assegnare un ruolo al principale utente
Nel portale di Azure, aprire la risorsa Foundry e vai a Controllo di accesso (IAM). Creare un'assegnazione di ruolo per Utente Azure AI, impostare Membri su Utente, gruppo o entità servizio, selezionare il tuo principale utente e quindi selezionare Revisiona e assegna.
Assegnare un ruolo all'identità gestita del progetto
Nel portale di Azure, aprire il progetto Foundry e passare a Controllo accesso (IAM). Creare un'assegnazione di ruolo per Utente Azure AI, impostare Membri su Identità gestita, selezionare l'identità gestita del progetto e quindi selezionare Revisiona + assegna.
Terminologia per il controllo degli accessi in base al ruolo in Foundry
Per comprendere il controllo degli accessi in base al ruolo in Microsoft Foundry, prendere in considerazione due domande per l'azienda.
- Quali autorizzazioni vuoi che il tuo team abbia quando costruisce in Microsoft Foundry?
- In quale ambito si vogliono assegnare le autorizzazioni al team?
Per rispondere a queste domande, ecco alcune descrizioni della terminologia usata in questo articolo.
- Autorizzazioni: azioni consentite o negate che un'identità può eseguire su una risorsa, ad esempio lettura, scrittura, eliminazione o gestione sia del piano di controllo che delle operazioni del piano dati.
- Scope: set di risorse Azure a cui si applica un'assegnazione di ruolo. Gli ambiti tipici includono sottoscrizione, gruppo di risorse, risorsa Foundry o progetto Foundry.
- Role: raccolta denominata di autorizzazioni che definisce quali azioni possono essere eseguite su Azure risorse in un determinato ambito.
Un'identità ottiene un ruolo con autorizzazioni specifiche in un ambito selezionato in base ai requisiti aziendali.
In Microsoft Foundry prendere in considerazione due ambiti durante il completamento delle assegnazioni di ruolo.
- risorsa Foundry: L'ambito principale che definisce i confini amministrativi, di sicurezza e di monitoraggio per un ambiente Foundry Microsoft.
- Progetto Foundry: ambito secondario all'interno di una risorsa Foundry usata per organizzare il lavoro e applicare il controllo di accesso per API, strumenti e flussi di lavoro per sviluppatori foundry.
Ruoli predefiniti
Un ruolo integrato in Foundry è un ruolo creato da Microsoft che copre scenari di accesso comuni da assegnare ai membri del team. I ruoli predefiniti principali usati in Azure includono Proprietario, Collaboratore e Lettore. Questi ruoli non sono specifici delle autorizzazioni per le risorse di Foundry.
Per le risorse Foundry, utilizzare ruoli predefiniti aggiuntivi per seguire i principi di accesso con i privilegi minimi. Nella tabella seguente sono elencati i ruoli predefiniti principali per Foundry e i collegamenti alle definizioni esatte dei ruoli in AI + Machine Learning ruoli predefiniti.
| Ruolo | Descrizione |
|---|---|
| Azure Utente di intelligenza artificiale | Concede l'accesso in lettura al progetto Foundry, alla risorsa Foundry e alle azioni sui dati per il tuo progetto Foundry. Se è possibile assegnare ruoli, questo ruolo viene assegnato automaticamente. In caso contrario, il proprietario della sottoscrizione o un utente con autorizzazioni per l'assegnazione dei ruoli concede l'accesso. Ruolo di accesso con privilegi minimi in Foundry. |
| Azure AI Project Manager | Consente di eseguire azioni di gestione sui progetti Foundry, creare e sviluppare con i progetti e assegnare in modo condizionale il ruolo utente di intelligenza artificiale Azure ad altre entità utente. |
| Proprietario dell'account di Azure AI | Concede l'accesso completo per gestire progetti e risorse e consente di assegnare in modo condizionale il ruolo di Utente Azure AI ad altre entità utente. |
| Proprietario di Azure AI | Concede l'accesso completo a progetti e risorse gestiti e crea e sviluppa con i progetti. Ruolo a gestione autonoma con privilegi elevati progettato per i nativi digitali. |
Nota
Non assegnare ruoli predefiniti che iniziano con Servizi cognitivi. Questi ruoli sono progettati per accedere direttamente alle risorse dei servizi di intelligenza artificiale e non si applicano agli scenari Foundry. Analogamente, non usare il ruolo Azure AI Developer per il lavoro di Foundry. Nonostante il nome, questo ruolo è limitato a Azure Machine Learning e agli hub Foundry, non alle risorse dei progetti Foundry.
Autorizzazioni per ogni ruolo predefinito
Usare la tabella seguente per visualizzare le autorizzazioni consentite per ogni ruolo predefinito in Microsoft Foundry.
| Ruolo integrato | Creare progetti Foundry | Creare gli account di Foundry | Costruire e sviluppare in un progetto (azioni sui dati) | Completare le assegnazioni di ruolo | Accesso con autorizzazioni di lettura a progetti e account | Gestire i modelli | Pubblicare agenti |
|---|---|---|---|---|---|---|---|
| Azure Utente di intelligenza artificiale | ✔ | ✔ | |||||
| Azure AI Project Manager | ✔ | ✔ (assegnare solo il ruolo utente Azure AI) | ✔ | ✔ | |||
| Proprietario dell'account di Azure AI | ✔ | ✔ | ✔ (assegnare solo il ruolo utente Azure AI) | ✔ | ✔ | ||
| Proprietario di Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Usare la tabella seguente per visualizzare le autorizzazioni concesse per ciascun ruolo predefinito di Azure (Proprietario, Collaboratore, Lettore).
| Ruolo integrato | Creare progetti Foundry | Creare gli account di Foundry | Costruire e sviluppare in un progetto (azioni sui dati) | Completare le assegnazioni di ruolo | Accesso con autorizzazioni di lettura a progetti e account | Gestire i modelli | Pubblicare agenti |
|---|---|---|---|---|---|---|---|
| Proprietario | ✔ | ✔ | ✔ (assegnare qualsiasi ruolo a qualsiasi utente) | ✔ | ✔ | ✔ | |
| Collaboratore | ✔ | ✔ | ✔ | ✔ | |||
| Lettore | ✔ |
Per pubblicare gli agenti, è necessario il ruolo di Azure AI Project Manager (minimo) nell'ambito di applicazione della risorsa Foundry. Per ulteriori informazioni, vedere le applicazioni Agent in Microsoft Foundry.
Usare queste schede per esplorare le differenze tra i ruoli predefiniti, assegnati a livello di risorsa Foundry (eccetto per il ruolo "Owner", assegnato a livello di sottoscrizione)
- Proprietario
- Proprietario di Azure AI
- Proprietario dell'account di Azure AI
- Azure AI Project Manager
- Azure Utente di intelligenza artificiale
Mappature RBAC di esempio per progetti aziendali
Ecco un esempio di come implementare il controllo degli accessi in base al ruolo (RBAC) per una risorsa foundry aziendale.
| Persona | Ruolo e ambito | Scopo |
|---|---|---|
| Amministratore IT | Proprietario dell'ambito di sottoscrizione | L'amministratore IT garantisce che la risorsa Foundry soddisfi gli standard aziendali. Assegnare ai manager il ruolo Account Owner di Azure AI sulle risorse per permettere loro di creare nuovi account Foundry. Assegnare ai manager il ruolo Azure AI Project Manager sulla risorsa per consentire loro di creare progetti all'interno di un account. |
| Manager | Proprietario dell'Account Azure AI nell'ambito della risorsa Foundry | I manager gestiscono la risorsa Foundry, distribuiscono modelli, controllano le risorse di calcolo, controllano le connessioni e creano connessioni condivise. Non possono costruire nei progetti, ma possono assegnare il ruolo utente Azure AI a se stessi e ad altri per iniziare a costruire. |
| Responsabile del team o sviluppatore responsabile | Azure AI Project Manager per l'ambito delle risorse Foundry | Gligli sviluppatori principali creano progetti per la loro squadra e iniziano a costruire in tali progetti. Dopo aver creato un progetto, i proprietari del progetto invitano altri membri e assegnano il ruolo Azure utente di intelligenza artificiale. |
| Membri o sviluppatori del team | Utente Azure AI nell'ambito del progetto Foundry e Lettore nell'ambito della risorsa Foundry | Gli sviluppatori compilano agenti in un progetto con modelli Foundry pre-distribuiti e connessioni predefinite. |
Gestire le assegnazioni di ruolo
Per gestire i ruoli in Foundry, è necessario disporre dell'autorizzazione per assegnare e rimuovere ruoli in Azure. Il ruolo Azure predefinito Owner include tale autorizzazione. È possibile assegnare ruoli tramite il portale foundry (pagina di amministrazione), Azure portale IAM o interfaccia della riga di comando di Azure. È possibile rimuovere i ruoli usando Azure portale IAM o interfaccia della riga di comando di Azure.
Nel portale foundry gestire le autorizzazioni in base a:
- Apri la pagina Admin in Foundry, quindi seleziona Operate>Admin.
- Selezionare il nome del progetto.
- Selezionare Aggiungi utente per gestire l'accesso al progetto. Questa azione è disponibile solo se si dispone delle autorizzazioni di assegnazione di ruolo.
- Applicare lo stesso flusso per l'accesso a livello di risorsa Foundry.
È possibile gestire le autorizzazioni nel portale Azure in Controllo di accesso (IAM) o usando interfaccia della riga di comando di Azure.
Ad esempio, il comando seguente assegna il ruolo utente di intelligenza artificiale Azure a joe@contoso.com per il gruppo di risorse this-rg nella sottoscrizione 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Creare ruoli personalizzati per i progetti
Se i ruoli predefiniti non soddisfano i requisiti aziendali, creare un ruolo personalizzato che consenta un controllo preciso su azioni e ambiti consentiti. Ecco un esempio di definizione di ruolo personalizzato a livello di sottoscrizione:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Per altre informazioni sulla creazione di un ruolo personalizzato, vedere gli articoli seguenti.
- Portal di Azure
- interfaccia della riga di comando di Azure
- Azure PowerShell
- Disabilita le funzionalità di anteprima in Microsoft Foundry. Questo articolo fornisce altri dettagli sulle autorizzazioni specifiche in Foundry per il controllo e il piano dati che è possibile usare durante la compilazione di ruoli personalizzati.
Note e limitazioni
- Per visualizzare ed eliminare gli account Foundry eliminati, è necessario avere il ruolo Collaboratore assegnato nell'ambito della sottoscrizione.
- Gli utenti con il ruolo Collaboratore possono distribuire modelli in Foundry.
- Per creare ruoli personalizzati in una risorsa, è necessario avere il ruolo di Proprietario nell'ambito della risorsa.
- Se si dispone delle autorizzazioni per assegnare un ruolo in Azure (ad esempio, il ruolo Proprietario assegnato nell'ambito dell'account) all'entità utente e si distribuisce una risorsa Foundry dall'interfaccia utente del portale di Azure o del portale Foundry, il ruolo Utente AI di Azure viene automaticamente assegnato all'entità utente. Questa assegnazione non si applica quando si distribuisce Foundry dall'SDK o dall'interfaccia della riga di comando.
- Quando si crea una risorsa Foundry, le autorizzazioni di controllo degli accessi in base al ruolo predefinite consentono di accedere alla risorsa. Per usare le risorse create all'esterno di Foundry, assicurarsi che la risorsa disponga delle autorizzazioni che consentono di accedervi. Ecco alcuni esempi:
- Per usare un nuovo account Archiviazione BLOB di Azure, aggiungere l'identità gestita della risorsa dell'account Foundry al ruolo Lettore di dati BLOB di archiviazione in tale account di archiviazione.
- Per utilizzare una nuova origine di Azure AI Search, aggiungi Foundry alle assegnazioni dei ruoli di Azure AI Search.
- Per ottimizzare un modello in Foundry, sono necessarie sia le autorizzazioni del piano dati che del piano di controllo. La distribuzione di un modello ottimizzato è un'autorizzazione del piano di controllo. Di conseguenza, l'unico ruolo predefinito con le autorizzazioni del piano dati e del piano di controllo è il ruolo Proprietario di Azure AI. In alternativa, se si preferisce, è anche possibile assegnare il ruolo Azure utente di intelligenza artificiale per le autorizzazioni del piano dati e il ruolo Azure proprietario dell'account di intelligenza artificiale per le autorizzazioni del piano di controllo.
Contenuto correlato
- Creare un progetto.
- Controlla l'accesso di un utente a una singola risorsa Azure.
- Autenticazione e autorizzazione in Foundry.
- Disabilita le funzionalità di anteprima in Microsoft Foundry.
- Informazioni di riferimento sulle autorizzazioni dell'agente ospitato.
Appendice
Esempi di isolamento dell'accesso
Ogni organizzazione può avere requisiti di isolamento dell'accesso diversi a seconda degli utenti dell'azienda. L'isolamento dell'accesso si riferisce agli utenti della tua azienda ai quali vengono assegnati ruoli per una separazione delle autorizzazioni usando i nostri ruoli predefiniti o un ruolo altamente permissivo e unificato. Sono disponibili tre opzioni di isolamento dell'accesso per Foundry che è possibile selezionare per l'organizzazione a seconda dei requisiti di isolamento dell'accesso.
Nessun isolamento di accesso. Ciò significa che nell'azienda non si hanno requisiti che separano le autorizzazioni tra uno sviluppatore, un project manager o un amministratore. Le autorizzazioni per questi ruoli possono essere assegnate tra i team.
Quindi, dovresti...
- Concedere a tutti gli utenti dell'organizzazione il ruolo Azure AI Owner nell'ambito della risorsa
Isolamento parziale dell'accesso. Ciò significa che il project manager nell'organizzazione deve essere in grado di sviluppare all'interno di progetti e creare progetti. Tuttavia, gli amministratori non devono essere in grado di sviluppare all'interno di Foundry, ma creare solo progetti e account Foundry.
Quindi, dovresti...
- Concedi al tuo amministratore il ruolo di Proprietario dell'account Azure AI nel contesto della risorsa
- Concedi ai responsabili di sviluppo e ai responsabili di progetto il ruolo Azure AI Project Manager nella risorsa.
Isolamento completo dell'accesso. Ciò significa che gli amministratori, i project manager e gli sviluppatori hanno autorizzazioni chiare assegnate che non si sovrappongono per le diverse funzioni all'interno di un'azienda.
Quindi dovresti...
- Concedi al tuo amministratore il ruolo di Proprietario dell'account Azure AI nell'ambito della risorsa.
- Concedere allo sviluppatore il ruolo Reader nell'ambito della risorsa Foundry e il ruolo Utente di Azure AI nell'ambito del progetto
- Concedere al project manager il ruolo Azure AI Project Manager nell'ambito delle risorse
Usare i gruppi di Microsoft Entra con Foundry
Microsoft Entra ID offre diversi modi per gestire l'accesso a risorse, applicazioni e attività. Usando Microsoft Entra gruppi, è possibile concedere l'accesso e le autorizzazioni a un gruppo di utenti anziché a ogni singolo utente. Gli amministratori IT aziendali possono creare gruppi di Microsoft Entra nel portale di Azure per semplificare il processo di assegnazione dei ruoli per gli sviluppatori. Quando si crea un gruppo di Microsoft Entra, è possibile ridurre al minimo il numero di assegnazioni di ruolo necessarie per i nuovi sviluppatori che lavorano sui progetti Foundry assegnando al gruppo l'assegnazione di ruolo necessaria per la risorsa necessaria.
Completare i passaggi seguenti per usare Microsoft Entra ID gruppi con Foundry:
- Creare un gruppo Security in Groups nel portale di Azure.
- Aggiungi un proprietario e i principali utente dell'organizzazione che necessitano dell'accesso condiviso.
- Aprire la risorsa di destinazione e passare a Controllo di accesso (IAM).
- Assegnare il ruolo necessario a Utente, gruppo o principale del servizio e selezionare il nuovo gruppo di sicurezza.
- Selezionare Rivedi e assegna in modo che l'assegnazione di ruolo venga applicata a tutti i membri del gruppo.
Esempi comuni:
- Per compilare agenti, eseguire tracce e usare le funzionalità principali di Foundry, assegnare Utente Azure AI al gruppo Microsoft Entra.
- Per usare le funzionalità di traccia e monitoraggio, assegnare Lettore alla risorsa di Application Insights connessa allo stesso gruppo.
Per altre informazioni su Microsoft Entra ID gruppi, prerequisiti e limitazioni, vedere: