Idoneità aziendale integrata con configurazione standard dell'agente

La configurazione dell'agente standard offre sicurezza, conformità e controllo di livello aziendale. Questa configurazione usa risorse a tenant singolo e gestite dal cliente per archiviare lo stato dell'agente e garantisce che tutti i dati rimangano all'interno del controllo.

In questa configurazione:

• Gli stati dell'agente (conversazioni, risposte) vengono archiviati nelle proprie risorse di Azure.

Uso delle proprie risorse per l'archiviazione dei dati dei clienti

Entrambe le configurazioni di configurazione standard sono progettate per offrire il controllo completo sui dati sensibili richiedendo l'uso delle proprie risorse di Azure. Le risorse Bring Your Own (BYO) necessarie includono:

• Archiviazione file BYO: tutti i file caricati dagli sviluppatori (durante la configurazione dell'agente) o dagli utenti finali (durante le interazioni) vengono archiviati direttamente nell'account di archiviazione di Azure del cliente.
• Ricerca BYO: tutti gli archivi di vettori creati dall'agente sfruttano la risorsa di Ricerca AI di Azure del cliente.
• Archiviazione thread BYO: tutti i messaggi dei clienti e la cronologia delle conversazioni verranno archiviati nel proprio account Azure Cosmos DB del cliente.

Raggruppando queste funzionalità BYO (archiviazione file, ricerca e archiviazione thread), la configurazione standard garantisce che la distribuzione sia sicura per impostazione predefinita. Tutti i dati elaborati dal servizio Foundry Agent vengono archiviati automaticamente a riposo nelle proprie risorse Azure, consentendo di soddisfare i criteri interni, i requisiti di conformità e gli standard di sicurezza aziendali.

Azure Cosmos DB per il NoSQL

L'account Azure Cosmos DB per NoSQL esistente usato nella configurazione standard deve avere un limite di velocità effettiva totale di almeno 3000 UR/sec. Sono supportate sia la velocità effettiva con provisioning che le modalità serverless.

Quando si usa la configurazione standard, viene eseguito il provisioning di tre contenitori nell'account Cosmos DB esistente e ogni contenitore richiede 1000 UR/sec.

• thread-message-store: Conversazioni dell’utente finale
• system-thread-message-store: Messaggi interni di sistema
• agent-entity-store: metadati dell'agente, incluse le istruzioni, gli strumenti, il nome e così via.

Project-Level - Isolamento dei dati

L'installazione standard applica l'isolamento dei dati a livello di progetto per impostazione predefinita. La fornitura di due contenitori di archiviazione blob verrà eseguita automaticamente nel tuo account di archiviazione, uno per i file e uno per i dati di sistema intermedi (frammenti, incorporamenti) e tre contenitori verranno forniti in Cosmos DB, uno per i sistemi utente, uno per i messaggi di sistema e uno per gli input utente correlati agli agenti creati, come istruzioni, strumenti, nome, ecc. Questo comportamento predefinito è stato scelto per ridurre la complessità della configurazione, applicando comunque limiti di dati rigorosi tra i progetti.

Host di funzionalità

Gli host di funzionalità sono sottorisorse sia nell'account che nel progetto e abilitano l'interazione con il Servizio Agente.

• Host di funzionalità dell'account: l'host di funzionalità dell’account ha un corpo della richiesta vuoto, ad eccezione del parametro capabilityHostKind="Agents".
• Host di funzionalità del progetto: specifica le risorse per l'archiviazione dello stato dell'agente, ovvero multi-tenant gestito (configurazione di base) o di proprietà del cliente (configurazione standard) e risorsa a tenant singolo. Considerare l'host di funzionalità del progetto come le impostazioni del progetto.

Limitazioni

• Aggiornamento non supportato: non è possibile aggiornare l'host delle funzionalità per un progetto o un account.

Processo di provisioning passo per passo

Manuale

1. Creare risorse dipendenti dal progetto per la configurazione standard

   • Crea una nuova risorsa (o passa l'ID di una risorsa esistente) di Cosmos DB.
   • Creare una nuova risorsa di Archiviazione di Azure (o passare l'ID di una risorsa esistente)
   • Creare una nuova risorsa di Azure AI Search (o fornire l'ID di una risorsa esistente)
   • Creare una nuova risorsa di Key Vault
   • [Facoltativo]: Creare una nuova risorsa di Application Insights
   • [Facoltativo]: inserire l'ID della risorsa Foundry esistente

2. Creare una risorsa di Fonderia Microsoft (servizi cognitivi/account di tipo AIServices)

3. Creare connessioni a livello di account

   • Creare una connessione dell'account alla risorsa di Application Insights

4. Distribuire gpt-4o o un altro modello compatibile con l'agente

5. Crea Progetto (servizi cognitivi/account/progetto)

6. Creare connessioni di progetto

   • [se specificato] Connessione del progetto alla risorsa Foundry
   • Creare la connessione del progetto all'account di archiviazione di Azure
   • Creare una connessione di progetto all'account di Ricerca intelligenza artificiale di Azure
   • Creare una connessione di progetto all'account Cosmos DB

7. Assegnare l'identità gestita dal progetto (incluso per SMI) ai ruoli seguenti:

   • Operatore Cosmos DB nell'ambito del livello di account per la risorsa dell'account Cosmos DB
   • Collaboratore account di archiviazione nell'ambito del livello di account per la risorsa dell’account di archiviazione

8. Impostare l'host di funzionalità dell’account con la sezione delle proprietà vuota.

9. Impostare l'host delle funzionalità del progetto con le proprietà Cosmos DB, Archiviazione di Azure, connessioni di AI Search

10. Assegnare l'identità gestita del progetto (sia per SMI che per UMI) ai ruoli seguenti negli ambiti delle risorse specificati:

    • Ricerca di intelligenza artificiale di Azure (può essere assegnato prima o dopo la creazione di capHost)
      • Assegna ruoli: Contributore ai dati dell'indice di ricerca, Contributore al servizio di ricerca
    • Contenitore di Archiviazione BLOB di Azure: <workspaceId>-azureml-blobstore
      • Assegnare il ruolo: Collaboratore ai dati dei BLOB di archiviazione
    • Contenitore di Archiviazione BLOB di Azure: <workspaceId>- agents-blobstore
      • Assegnare il ruolo: Proprietario dei dati dei BLOB di archiviazione
    • Cosmos DB per database NoSQL: enterprise_memory
      • Assegnare il ruolo: Collaboratore dati predefinito di Cosmos DB
      • Ambito: livello di database per coprire tutti i contenitori (nessuna assegnazione di ruolo specifica del contenitore).

11. Una volta effettuato il provisioning di tutte le risorse, a tutti gli sviluppatori che vogliono creare/modificare gli agenti nel progetto deve essere assegnato il ruolo Utente di Intelligenza artificiale di Azure nell'ambito del progetto.

Usare il modello Bicep

Utilizzare un'istanza esistente di Azure OpenAI, un account di Archiviazione di Azure, un account di Azure Cosmos DB for NoSQL e/o una risorsa di Azure AI Search fornendo l'ID della risorsa di Azure Resource Manager completo nel file del modello di agente standard.

Usare una risorsa OpenAI di Azure esistente

1. Seguire la procedura descritta nella configurazione dell'agente di base per ottenere l'ID risorsa dell'account Foundry Tools.

2. Nel file del modello di agente Standard sostituire i segnaposto seguenti:

   existingAoaiResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{serviceName}
   
   

Usare un account di archiviazione di Azure esistente per l'archiviazione file

1. Per ottenere l'ID risorsa dell'account di archiviazione, accedere all'interfaccia della riga di comando di Azure e selezionare la sottoscrizione con l'account di archiviazione:

   az login

2. Eseguire quindi il comando:

   az storage account show --resource-group <your-resource-group> --name <your-storage-account> --query "id" --output tsv

   L'output è l'elemento aiStorageAccountResourceID da usare nel modello.

3. Nel file del modello di agente Standard sostituire i segnaposto seguenti:

   aiStorageAccountResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}
   

Usare un account esistente di Azure Cosmos DB per NoSQL per l'archiviazione dei thread.

Viene creato un account Azure Cosmos DB per NoSQL per ogni account Foundry.

Per ogni progetto con un account Foundry, tre contenitori vengono distribuiti nello stesso account Cosmos DB. Ogni contenitore richiede almeno 1000 UR/sec.

Ad esempio, se due progetti vengono distribuiti nello stesso account Foundry, l'account Cosmos DB deve essere configurato con almeno 6000 UR/s (3 contenitori × 1000 UR/s × 2 progetti) per garantire una velocità effettiva sufficiente.

Sono supportate sia la velocità effettiva con provisioning che le modalità serverless.

1. Per ottenere l'ID risorsa dell'account Azure Cosmos DB, accedere all'interfaccia della riga di comando di Azure e selezionare la sottoscrizione con l'account:

   az login
   

2. Eseguire quindi il comando:

   az cosmosdb show --resource-group  <your-resource-group> --name <your-comosdb-account>  --query "id" --output tsv
   

   L'output è l'elemento cosmosDBResourceId da usare nel modello.

3. Nel file del modello di agente Standard sostituire i segnaposto seguenti:

   cosmosDBResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosDbAccountName}

Usare una risorsa di Azure AI Search esistente

1. Per ottenere l'ID risorsa di Azure AI Search, accedere all'interfaccia della riga di comando di Azure e selezionare la sottoscrizione con la risorsa di ricerca:

   az login

2. Eseguire quindi il comando:

   az search service show --resource-group <your-resource-group> --name <your-search-service> --query "id" --output tsv

3. Nel file del modello di agente Standard sostituire i segnaposto seguenti:

   aiSearchServiceResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Search/searchServices/{searchServiceName}