Управление развертыванием модели ИИ с помощью встроенных политик на портале Foundry Microsoft (классическая модель)

Применяется только к:Портал Foundry (классический). Эта статья недоступна для нового портала Foundry. Дополнительные сведения о новом портале.

Примечание

Содержание в новой документации Microsoft Foundry может открываться по ссылкам в этой статье вместо документации Foundry (классической версии), которую вы просматриваете сейчас.

Используйте Политика Azure для управления моделями ИИ, которые разработчики могут развернуть на портале Foundry. В этой статье показано, как назначить встроенную политику для управляемых средств Foundry (бессерверное развертывание API) и модели как платформы (MaaP).

Совет

Действия, описанные в этой статье, управляют развертыванием моделей MaaS и MaaP как для проекта Foundry, так и для центрального проекта.

Необходимые условия

Учетная запись Azure с активной подпиской. Если у вас нет, создайте учетную запись free Azure, которая включает бесплатную пробную подписку.
Одна из следующих ролей RBAC в Azure на уровне подписки или группы ресурсов:
- Владелец
- Участник политики ресурсов
Знакомство с Политика Azure.
Azure CLI и Bicep CLI установлены.

Включите политику

Политику можно назначить с помощью Bicep или портала Azure.

Примечание

Политика называется "[Preview]: развертывания Машинное обучение Azure должны использовать только утвержденные модели реестра", так как Foundry использует поставщика ресурсов Машинное обучение Azure для развертывания моделей.

Бицепс
портал Azure

Используйте следующий шаблон Bicep, чтобы назначить политику группе ресурсов. Этот пример позволяет использовать только gpt-35-turbo модель из azure-openai реестра.

Сохраните следующий код как main.bicep.

targetScope = 'resourceGroup'

param policyAssignmentName string = 'allowed-models-assignment'
param allowedModelPublishers array = []
param allowedAssetIds array = [
  'azureml://registries/azure-openai/models/gpt-35-turbo/versions/3'
]

// Policy Definition ID for "[Preview]: Azure Machine Learning Deployments should only use approved Registry Models"
var policyDefinitionId = '/providers/Microsoft.Authorization/policyDefinitions/12e5dd16-d201-47ff-849b-8454061c293d'

resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-04-01' = {
  name: policyAssignmentName
  properties: {
    policyDefinitionId: policyDefinitionId
    parameters: {
      allowedModelPublishers: {
        value: allowedModelPublishers
      }
      allowedAssetIds: {
        value: allowedAssetIds
      }
    }
    displayName: 'Allow specific AI models'
    description: 'This policy assignment restricts AI model deployments to the specified list.'
  }
}

Разверните файл Bicep с помощью Azure CLI.
```
az deployment group create --resource-group <your-resource-group> --template-file main.bicep
```
Замените <your-resource-group> именем группы ресурсов. При успешном выполнении команда возвращает JSON с "provisioningState": "Succeeded".

Проверьте распределение политики.

az policy assignment show --name allowed-models-assignment --resource-group <your-resource-group>

Уведомите разработчиков о том, что политика действует. Они получают сообщение об ошибке, если они пытаются развернуть модель, которая не содержится в списке разрешенных моделей.

Ссылки:

На портале Azure выберите Policy в левой части страницы. Вы также можете найти политику в строке поиска в верхней части страницы.
В левой части панели мониторинга Политика Azure выберите Authoring, Definition и найдите "[предварительная версия]: Машинное обучение Azure развертывания должны использовать только утвержденные модели реестра" на панели поиска на странице. Вы также можете напрямую перейти на страницу создания определения политики.
Выберите "Назначить ", чтобы назначить политику группе управления:
- Область. Выберите область, в которой нужно назначить политику. Область может быть группой управления, подпиской или группой ресурсов.
- определение Policy: в этом разделе уже есть значение "[предварительная версия]: развертывания Машинное обучение Azure должны использовать только утвержденные модели реестра".
- Имя назначения: введите уникальное имя назначения.
Остальные поля можно оставить в качестве значений по умолчанию или настроить их по мере необходимости для вашей организации.
Нажмите кнопку "Далее" в нижней части страницы или вкладки "Параметры " в верхней части страницы.
На вкладке "Параметры"отключите только параметры, которые требуют ввода или проверки , чтобы просмотреть все поля:
- Эффект. Задайте значение "Запретить".
  
  Примечание
  
  С помощью параметра аудита можно настроить политику для регистрации сведений на собственной панели мониторинга соответствия.
- Разрешенные издатели моделей: введите список имен издателей, вложенных в кавычки, разделенных запятыми.
- Допустимые идентификаторы активов: введите список идентификаторов активов модели, вложенных в кавычки, разделенных запятыми.
  
  Чтобы получить строки идентификатора ресурса модели и имя издателей моделей, выполните следующие действия.
  1. Перейдите в каталог моделей Foundry.
  2. Для каждой модели, которую нужно разрешить, выберите модель для просмотра сведений. В сведениях о модели скопируйте значение идентификатора модели . Например, значение может выглядеть как azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 для модели GPT-3.5-Turbo. Указанные имена также являются коллекциями в каталоге моделей. Например, издатель для модели Meta-Llama-3.1-70B-Instruct — Meta.
    
    Важно
    
    Значение идентификатора модели должно быть полным соответствием модели. Если идентификатор модели не является точным, модель не допускается.
Выберите вкладку «Проверка и создание» и убедитесь, что назначение политики правильное. Когда все готово, нажмите кнопку "Создать ", чтобы назначить политику.

Мониторинг соответствия требованиям

Чтобы отслеживать соответствие политике, выполните следующие действия.

На портале Azure выберите Policy в левой части страницы. Вы также можете найти политику в строке поиска в верхней части страницы.
В левой части панели мониторинга Политика Azure выберите Compliance. Каждое назначение политики отображается с состоянием соответствия. Чтобы просмотреть дополнительные сведения, выберите назначение политики.

Обновление назначения политики

Чтобы обновить существующее назначение политики с помощью новых моделей, выполните следующие действия.

На портале Azure выберите Policy в левой части страницы. Вы также можете найти политику в строке поиска в верхней части страницы.
В левой части панели мониторинга Политика Azure выберите Assignments и найдите существующее назначение политики. Щелкните многоточие (...) рядом с назначением и нажмите кнопку "Изменить назначение".
На вкладке "Параметры" обновите параметр разрешенных моделей с новыми идентификаторами модели.
На вкладке "Рецензирование и сохранение " нажмите кнопку "Сохранить ", чтобы обновить назначение политики.

Лучшие практики

Детализированное определение: назначение политик в соответствующей области для балансировки контроля и гибкости. Например, примените на уровне подписки для управления всеми ресурсами в подписке или примените на уровне группы ресурсов для управления ресурсами в определенной группе.
Именование политик. Используйте согласованное соглашение об именовании для назначений политик, чтобы упростить определение цели политики. Укажите такие сведения, как назначение и область применения, в названии.
Документация. Сохранение записей назначений политик и конфигураций для целей аудита. Задокументируйте все изменения, внесенные в политику с течением времени.
Регулярные проверки: периодически просматривайте назначения политик, чтобы обеспечить соответствие требованиям вашей организации.
Тестирование. Тестирование политик в непроизводной среде перед применением их к рабочим ресурсам.
Обмен данными. Убедитесь, что разработчики знают о политиках на месте и понимают последствия для их работы.

Устранение неполадок

Проблема	Решение
Политика не блокирует развертывания	Убедитесь, что область назначения политики включает целевую группу ресурсов. Убедитесь, что для эффекта задано значение "Запретить", а не "Аудит".
Идентификатор модели не распознан	Убедитесь, что идентификатор модели полностью совпадает, включая версию (например, `azureml://registries/azure-openai/models/gpt-35-turbo/versions/3`).
Назначение политики завершается ошибкой	Убедитесь, что у вас есть роль "Владелец" или "Сотрудник по политике ресурсов" в целевой области действия.
Изменения не вступают в силу немедленно	Оценка политики может занять до 30 минут. Для принудительной оценки используйте `az policy state trigger-scan`.

Обзор Политика Azure
Каталог моделей Foundry

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-30