Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При работе с агентами hosted в Microsoft Foundry важно понимать различные разрешения. Существует несколько классов разрешений, участвующих в разработке размещенных агентов, охватывающих плоскость управления Azure Resource Manager и плоскость данных Foundry:
- Разрешения, предоставленные пользователям или субъектам, работающим с ресурсами Foundry
- Разрешения, предоставленные проекту Foundry
- Разрешения, предоставленные агенту
Эта статья является компаньоном для управления доступом на основе Role для управления доступом Microsoft Foundry, которая представляет концепции управления доступом на основе ролей (RBAC) и встроенные роли, доступные в Microsoft Foundry. Прежде чем продолжить, ознакомьтесь с этой статьей. В этой статье рассматриваются операции, связанные с разработкой и развертыванием размещенного агента, разрешениями, необходимыми для выполнения этих операций, и встроенными ролями, охватывающим эти разрешения.
Сведения о комплексных задачах развертывания и жизненного цикла см. в разделе "Развертывание размещенного агента " и "Управление жизненным циклом размещенного агента". Сведения о поведении конкретного удостоверения см. в разделе " Удостоверение агента".
Important
Всегда соблюдайте принцип наименьшей привилегии при назначении разрешений. Предоставьте разрешения, необходимые только для пользователей и агентов для выполнения своих задач, а также регулярно просматривайте и обновляйте разрешения по мере необходимости.
Роли в этой статье
Azure AI Foundry разрешения охватывают два плоскости: плоскость управления Azure Resource Manager (ARM) и плоскость данных Foundry. Роли владельца и участника имеют широкие разрешения уровня управления ARM, но не включают разрешения плоскости данных. Операции плоскости данных, такие как создание агентов или взаимодействие с ними, требуют определенных ролей Azure AI Foundry, таких как Azure ИИ User, Azure Ai Project Manager или Azure ИИ владельца.
В этой статье приведены следующие встроенные роли. Дополнительные сведения об определениях пользовательских ролей см. в разделе Azure.
| Role | Назначение в развертывании размещенного агента |
|---|---|
| Owner | Полные разрешения на создание ресурсов Azure и управление ими |
| Contributor | Создание ресурсов Azure и управление ими |
| Администратор управления доступом на основе ролей | Создание назначений ролей для ресурсов Azure |
| Azure пользователь ИИ | Создание агентов, вывод модели и взаимодействие с агентами |
| Azure ИИ Project Manager | Управление проектами, создание агентов, вывод модели, взаимодействие с агентами и создание назначений ролей |
| Azure владелец учетной записи ИИ | Создание развертываний, управление проектами и обработка ресурсов на уровне учетной записи. Создайте назначения ролей только для операций уровня управления. Не удается выполнить такие операции плоскости данных, как создание или взаимодействие с агентами. |
| Azure владелец ИИ | Полный уровень управления и разрешения плоскости данных для ресурсов учетной записи, но не могут создавать назначения ролей. |
| Читатель репозитория реестра контейнеров | Извлечение образов контейнеров из реестра |
| Модуль записи репозитория реестра контейнеров | Отправка образов контейнеров в реестр |
| AcrPull | Извлечение образов контейнеров из реестра |
| AcrPush | Отправка образов контейнеров в реестр |
| Log Analytics средства чтения данных | Чтение данных телеметрии для оценки |
| Пользователь OpenAI Cognitive Services | Доступ к конечным точкам OpenAI уровня учетной записи напрямую |
| Пользователь Cognitive Services | Доступ к возможностям уровня учетной записи (речь, визуальное распознавание, язык) напрямую |
Caution
Несмотря на то, что она может звучать как соответствующая роль для разработчика, работающего с размещенными агентами, Azure разработчик ИИ встроенная роль недостаточно для сценариев размещенного агента. Эта роль относится к Машинное обучение Azure и центрам Foundry, а не к ресурсам проекта Foundry, используемым размещенными агентами, и не включает разрешения управления ресурсами, необходимые для развертывания размещенного агента.
Быстрая диагностика по симптомам
Используйте эти ссылки, чтобы перейти непосредственно к разделам, которые устраняют распространенные проблемы с разрешениями:
- Не удается создать агент: см. статью "Создание агента"
- Агент не может получить доступ к моделям: см. статью "Создание агента" и "Необязательный доступ к учетной записи"
- Deployment завершается ошибкой: см. раздел Hosted agent deployment и Реестр контейнеров Azure setup
- Agent не может извлекать образы во время выполнения: см. статью Реестр контейнеров Azure setup
- Сбой взаимодействия с агентом: см. сведения о взаимодействии агента
- Назначение ролей завершается ошибкой: см. разделы и настройка подключений. См. разделы и настройка ролей.
- Can't publish agent to Teams или M365 Copilot: См. раздел Azure Служба Bot установки
Архитектура решения размещенного агента
Завершенная настройка размещенного агента включает несколько Azure ресурсов, назначений удостоверений и подключений, работающих вместе. На следующей схеме показаны ключевые компоненты и их связи:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
На схеме выше показано, как ресурсы упорядочены иерархически и какие назначения ролей обеспечивают обмен данными между ними. В следующих разделах приведены подробные требования к конфигурации для каждого компонента.
Необходимые ресурсы Azure
Для каждого развертывания размещенного агента требуется правильно настроить эти Azure ресурсы:
-
Учетная запись Foundry
- Назначение ролей позволяет управляемому удостоверению проекта получить доступ к учетной записи для доступа к модели.
Azure AI Userявляется рекомендуемой встроенной ролью.
- Назначение ролей позволяет управляемому удостоверению проекта получить доступ к учетной записи для доступа к модели.
- Развертывание модели (в учетной записи)
-
Проект Foundry (в учетной записи)
- Проект имеет управляемое удостоверение. Проект также получает схему агента и удостоверение агента при создании первого агента.
- Назначение ролей позволяет удостоверению агента размещенного агента получить доступ к проекту для доступа к модели.
Azure AI Userявляется рекомендуемой встроенной ролью. - Назначения ролей позволяют пользователям или субъектам клиента взаимодействовать с агентами в проекте во время выполнения.
Azure AI Userявляется рекомендуемой встроенной ролью.
-
Размещенный агент (в проекте)
- Агент автоматически получает схему агента и удостоверение агента.
- Версия агента (в объекте размещенного агента)
-
An Реестр контейнеров Azure (ACR)
- Назначение ролей позволяет управляемому удостоверению проекта извлекать образы из реестра. Средство чтения репозитория контейнеров — это рекомендуемая встроенная роль.
- Назначение роли позволяет пользователю или субъекту-службе развертывать агент для отправки образов в реестр. Модуль записи репозитория контейнеров — это рекомендуемая встроенная роль.
- Компонент Application Insights
-
рабочую область Log Analytics A (связанную с компонентом Application Insights)
- Назначение ролей позволяет управляемому удостоверению проекта считывать данные телеметрии для оценки. Log Analytics средство чтения данных является рекомендуемой встроенной ролью.
-
Несколько ресурсов подключения (в проекте):
- Для Реестр контейнеров Azure создается подключение, которое проект использует для извлечения изображений.
- Для Application Insights создается подключение, которое проект использует для передачи данных телеметрии для своих агентов. Это подключение по умолчанию не использует удостоверение.
Некоторые пользователи или субъекты должны иметь разрешение на создание этих ресурсов и управление ими. В этой статье предполагается конфигурация, в которой Azure ресурсы находятся в одной группе ресурсов и предоставляют доступ на запись через эту группу ресурсов. Этот подход к группе ресурсов является распространенной конфигурацией для многих команд, но ваша конкретная настройка может отличаться. Если у вас есть другая стратегия организации ресурсов, может потребоваться разделить разрешения на группы ресурсов, которые вы используете.
Этот список не включает сетевые ресурсы. Однако пользователю или субъекту-службе, который подготавливает ресурсы Azure, также может потребоваться разрешение на создание виртуальных сетей, подсетей и частных конечных точек для защиты ресурсов.
Agent applications
Если вы используете приложения агента, список также включает:
-
Приложение агента (в проекте)
- Приложение агента автоматически получает схему агента и удостоверение агента. Повторите все назначения ролей для удостоверения агента размещенного агента с помощью удостоверения агента.
- Развертывание агента (в приложении агента)
настройка ресурсов Azure
Настройка учетной записи Foundry
Для создания учетной записи Foundry требуется разрешение Microsoft.CognitiveServices/accounts/write в области группы ресурсов.
| Built-in role | Scope | Может ли назначаемый получатель создать учетную запись Foundry? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| пользователь ИИ Azure | Resource group | ✗ No |
| Диспетчер Project ИИ Azure | Resource group | ✗ No |
| владелец учетной записи ИИ Azure | Resource group | ✔ Yes |
| владелец ИИ Azure | Resource group | ✔ Yes |
Управляемое удостоверение проекта должно получить доступ к учетной записи Foundry для выполнения вывода модели через конечную точку проекта. Доступ проекта охватывается ролью Azure AI User в области учетной записи Foundry. Это назначение роли может быть создано автоматически при создании проекта в зависимости от разрешений пользователя или субъекта-службы, создающего проект.
Дополнительные назначения ролей могут потребоваться, если код агента обращается к конечной точке OpenAI уровня учетной записи напрямую или другим возможностям уровня учетной записи, не зависимой от конечной точки проекта. Дополнительные сведения см. в разделе "Необязательный доступ к учетной записи".
Model deployment
Для создания развертывания модели требуется разрешение Microsoft.CognitiveServices/accounts/deployments/write в области учетной записи Foundry.
| Built-in role | Scope | Можно ли назначить модель в учетной записи Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| пользователь ИИ Azure | Foundry account | ✗ No |
| Диспетчер Project ИИ Azure | Foundry account | ✗ No |
| владелец учетной записи ИИ Azure | Foundry account | ✔ Yes |
| владелец ИИ Azure | Foundry account | ✔ Yes |
Project setup
Для создания проекта Foundry требуется разрешение Microsoft.CognitiveServices/accounts/projects/write в области учетной записи Foundry.
| Built-in role | Scope | Может ли назначаемый участник создать проект Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| пользователь ИИ Azure | Foundry account | ✗ No |
| Диспетчер Project ИИ Azure | Foundry account | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry account | ✔ Yes |
| владелец ИИ Azure | Foundry account | ✔ Yes |
Если создатель проекта имеет возможность назначить роль Azure AI User в области учетной записи, система автоматически создает два назначения ролей:
- Создатель проекта предоставляет роль пользователя ИИ Azure в области учетной записи Foundry.
- Управляемое удостоверение проекта предоставляется роль Azure пользователя ИИ в области учетной записи Foundry.
Для удостоверения агента по проекту требуется аналогичное назначение ролей. Дополнительные сведения см. в разделе создания агента .
настройка Реестр контейнеров Azure
Для создания Реестр контейнеров Azure требуется разрешение Microsoft.ContainerRegistry/registries/write в области группы ресурсов.
Note
Для размещенных агентов реестр контейнеров в настоящее время должен быть доступен через общедоступную конечную точку. Размещение ACR за частной сетью (частная конечная точка с отключенным доступом к общедоступной сети) в настоящее время не поддерживается. Полный список ограничений сети см. в разделе "Ограничения".
| Built-in role | Scope | Может ли назначаемый получатель создать реестр контейнеров? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| пользователь ИИ Azure | Resource group | ✗ No |
| Диспетчер Project ИИ Azure | Resource group | ✗ No |
| владелец учетной записи ИИ Azure | Resource group | ✗ No |
| владелец ИИ Azure | Resource group | ✗ No |
Управляемое удостоверение проекта должно иметь разрешения на извлечение образа из ACR. Для этой задачи подходят две встроенные роли, которые должны быть назначены в области ресурсов реестра ACR:
- Читатель репозитория контейнеров (предпочтительный, так как он моделирует извлечение как действие данных)
- AcrPull
Для создания этого назначения роли требуется разрешение Microsoft.Authorization/roleAssignments/write в области реестра ACR.
Дополнительные сведения о назначении ролей в Azure см. в статье Create Azure назначения ролей.
| Built-in role | Scope | Может ли назначаемый получатель создать назначение ролей? |
|---|---|---|
| Owner | ACR registry | ✔ Yes |
| Contributor | ACR registry | ✗ No |
| пользователь ИИ Azure | ACR registry | ✗ No |
| Диспетчер Project ИИ Azure | ACR registry | ✗ No1 |
| владелец учетной записи ИИ Azure | ACR registry | ✗ No1 |
| владелец ИИ Azure | ACR registry | ✗ No |
| Администратор на основе ролей контроль доступа | ACR registry | ✔ Yes |
1 Эти роли имеют roleAssignments/write, но ограничены только назначением роли Azure AI User, которая не охватывает разрешения ACR.
Пользователю или субъекту-службе, который отправляет образы в реестр, также требуется назначение роли. Дополнительные сведения см. в разделе развертывания размещенного агента .
Настройка Application Insights и Log Analytics
Для создания ресурса Application Insights требуется разрешение Microsoft.Insights/components/write в области группы ресурсов.
| Built-in role | Scope | Может ли назначаемый получатель создать ресурс Application Insights? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| пользователь ИИ Azure | Resource group | ✗ No |
| Диспетчер Project ИИ Azure | Resource group | ✗ No |
| владелец учетной записи ИИ Azure | Resource group | ✗ No |
| владелец ИИ Azure | Resource group | ✗ No |
Для создания рабочей области Log Analytics требуется разрешение Microsoft.OperationalInsights/workspaces/write в области группы ресурсов.
| Built-in role | Scope | Может ли назначаемый получатель создать рабочую область Log Analytics? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| пользователь ИИ Azure | Resource group | ✗ No |
| Диспетчер Project ИИ Azure | Resource group | ✗ No |
| владелец учетной записи ИИ Azure | Resource group | ✗ No |
| владелец ИИ Azure | Resource group | ✗ No |
Если вы планируете использовать функцию оценки, управляемому удостоверению проекта требуются разрешения для чтения из рабочей области Log Analytics. Этот доступ можно включить, предоставив роль Log Analytics Data Reader управляемому удостоверению проекта в области рабочей области Log Analytics.
Для создания этого назначения роли требуется разрешение Microsoft.Authorization/roleAssignments/write в области рабочей области Log Analytics.
Дополнительные сведения о назначении ролей в Azure см. в статье Create Azure назначения ролей.
| Built-in role | Scope | Может ли назначаемый получатель создать назначение ролей? |
|---|---|---|
| Owner | Рабочая область Log Analytics | ✔ Yes |
| Contributor | Рабочая область Log Analytics | ✗ No |
| пользователь ИИ Azure | Рабочая область Log Analytics | ✗ No |
| Диспетчер Project ИИ Azure | Рабочая область Log Analytics | ✗ No1 |
| владелец учетной записи ИИ Azure | Рабочая область Log Analytics | ✗ No1 |
| владелец ИИ Azure | Рабочая область Log Analytics | ✗ No |
| Администратор на основе ролей контроль доступа | Рабочая область Log Analytics | ✔ Yes |
1 Эти роли имеют roleAssignments/write, но ограничены только назначением роли Azure AI User, которая не охватывает разрешения Log Analytics.
Connections setup
Для создания подключения требуется разрешение Microsoft.CognitiveServices/accounts/projects/connections/write в области проекта Foundry.
| Built-in role | Scope | Может ли назначаемый получатель создать подключение? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| пользователь ИИ Azure | Foundry project | ✗ No |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✔ Yes |
| владелец ИИ Azure | Foundry project | ✔ Yes |
Пользователю или субъекту-службе, создав подключения, также требуются сведения о подключении для компонента Application Insights и реестра контейнеров. Сведения о подключении могут быть предоставлены пользователем или субъектом-службой, создающим эти ресурсы, или доступом на чтение по этим ресурсам.
Note
Размещенные агенты часто используют средства и подключения, предназначенные для более Azure ресурсов. Эти ресурсы могут требовать дополнительных назначений ролей для вызывающего удостоверения или удостоверения агента в целевой области ресурсов. Например, средства, обращаюющиеся к хранилищу, Поиск с использованием ИИ Azure, Key Vault или базам данных, обычно требуют собственных разрешений плоскости данных в дополнение к основным разрешениям на настройку, описанным в этой статье.
Agent applications
При использовании приложений агента необходимо создать приложение агента в проекте Foundry. Для создания приложения агента требуется разрешение Microsoft.CognitiveServices/accounts/projects/applications/write в области проекта Foundry.
| Built-in role | Scope | Может ли назначаемый получатель создать приложение агента? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| пользователь ИИ Azure | Foundry project | ✗ No |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✔ Yes |
| владелец ИИ Azure | Foundry project | ✔ Yes |
agentDeployment Объекты также являются ресурсами ARM, но они создаются в рамках процесса развертывания размещенного агента. Дополнительные сведения см. в разделе "Развертывание размещенного агента".
Agent creation
Агенты создаются с помощью операции плоскости данных. Для создания агента требуется разрешение Microsoft.CognitiveServices/accounts/AIServices/agents/write в области проекта Foundry.
| Built-in role | Scope | Может ли назначаемый участник создать агент? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| пользователь ИИ Azure | Foundry project | ✔ Yes |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✗ No |
| владелец ИИ Azure | Foundry project | ✔ Yes |
Так как удостоверение агента может быть доступно только после создания агента, некоторые назначения ролей не могут быть созданы до этого момента. Чтобы выполнить вывод модели с конечной точкой проекта, удостоверение агента требует следующих разрешений в области проекта Foundry:
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(для пользовательских определений используйтеMicrosoft.CognitiveServices/accounts/AIServices/agents/*/read) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(для пользовательских определений используйтеMicrosoft.CognitiveServices/accounts/AIServices/agents/*/write)
| Built-in role | Scope | Может ли назначенный агент выполнять вывод модели? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| пользователь ИИ Azure | Foundry project | ✔ Yes |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✗ No |
| владелец ИИ Azure | Foundry project | ✔ Yes |
Tip
Azure AI User — это встроенная роль с наименьшими привилегиями, которая может выполнять вывод модели с конечной точкой проекта. Однако он включает более широкий набор разрешений, чем строго необходимо для этой операции. Чтобы снизить привилегии, предоставленные агенту, попробуйте создать пользовательскую роль только с Microsoft.CognitiveServices/accounts/AIServices/responses/*, Microsoft.CognitiveServices/accounts/AIServices/agents/*/read и Microsoft.CognitiveServices/accounts/AIServices/agents/*/write.
Для создания этого назначения роли требуется разрешение Microsoft.Authorization/roleAssignments/write в области проекта Foundry.
Дополнительные сведения о назначении ролей в Azure см. в статье Create Azure назначения ролей.
| Built-in role | Scope | Может ли назначаемый получатель создать назначение ролей? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✗ No |
| пользователь ИИ Azure | Foundry project | ✗ No |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Да для роли Azure AI User1 |
| владелец учетной записи ИИ Azure | Foundry project | ✔ Да для роли Azure AI User1 |
| владелец ИИ Azure | Foundry project | ✗ No |
| Администратор на основе ролей контроль доступа | Foundry project | ✔ Yes |
1 оба Azure AI Project Manager и Azure AI Account Owner имеют ограничение, которое можно назначить только роль Azure AI User. Если вы планируете использовать пользовательское определение роли для агента для доступа к project, Azure AI Project Manager и Azure AI Account Owner не сможет назначить эту пользовательскую роль.
Important
Так как после создания агента требуется назначение роли, пользователь или субъект, создающий агент, также должен иметь разрешение на создание назначений ролей.
Azure ai Project Manager в области project является рекомендуемой ролью для создателей агентов, так как эта роль включает необходимые разрешения плоскости данных и возможность назначать роль Azure AI User.
Необязательный доступ к учетной записи
При использовании пакета SDK Foundry и конечной точки проекта для вывода модели прокси-серверы проекта вызывают развертывание на уровне учетной записи с помощью собственного управляемого удостоверения. Однако если код агента проходит конечную точку проекта и вызывает конечную точку OpenAI на уровне учетной записи напрямую (например, https://{account}.cognitiveservices.azure.com), удостоверение агента должно иметь одну из следующих ролей в области учетной записи:
- Пользователь OpenAI в Cognitive Services — охватывает только действия с данными OpenAI.
- Azure пользователь ИИ — охватывает все действия с данными CognitiveServices в учетной записи.
Возможности уровня учетной записи не поддерживаются конечной точкой проекта. К этим возможностям относятся речь, безопасность содержимого, Компьютерное зрение, аналитика документов, язык и переводчик. Они требуют назначения ролей в области учетной записи, если агент обращается к ним напрямую. Для этих возможностей назначьте одну из следующих ролей в области учетной записи:
- Пользователь Cognitive Services — охватывает функции распознавания речи, визуального распознавания, языка и других возможностей, отличных от OpenAI.
- Azure ИИ User — охватывает все действия с данными CognitiveServices, включая OpenAI и возможности, перечисленные ранее, с одним грантом.
Развертывание размещенного агента
Операции развертывания размещенного агента — это операции уровня управления. Пошаговые инструкции по развертыванию см. в разделе "Развертывание размещенного агента".
Отправка образа в реестр
Пользователю или субъекту-службе, развертывающего агент, требуется разрешение на отправку образа в ACR. Для этой задачи подходят две встроенные роли, которые должны быть назначены в области ресурсов реестра ACR:
- Модуль записи репозитория контейнеров (предпочтительный, так как он моделирует отправку как действие данных)
- AcrPush
Создание новой версии агента
Для создания агента требуется разрешение Microsoft.CognitiveServices/accounts/AIServices/agents/write в области проекта Foundry.
| Built-in role | Scope | Может ли назначаемый получатель создать версию агента? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| пользователь ИИ Azure | Foundry project | ✔ Yes |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✗ No |
| владелец ИИ Azure | Foundry project | ✔ Yes |
При использовании приложений агента также необходимо создать agentDeployment объект, ссылающийся на только что развернутую версию агента. Это операция плоскости управления. Для создания объекта agentDeployment требуется разрешение Microsoft.CognitiveServices/accounts/projects/applications/agentDeployments/write в области приложения агента.
| Built-in role | Scope | Может ли назначаемый получатель agentDeployment создать объект? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| пользователь ИИ Azure | Foundry account | ✗ No |
| Диспетчер Project ИИ Azure | Foundry account | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry account | ✔ Yes |
| владелец ИИ Azure | Foundry account | ✔ Yes |
Обновление агента для использования новой версии
Если вы используете конечную точку агента, выбор версии настраивается в объекте агента. Для обновления агента для использования новой версии требуется разрешение Microsoft.CognitiveServices/accounts/AIServices/agents/write в области проекта Foundry.
| Built-in role | Scope | Может ли назначаемый получатель обновить версию агента? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| пользователь ИИ Azure | Foundry project | ✔ Yes |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✗ No |
| владелец ИИ Azure | Foundry project | ✔ Yes |
Если вместо этого используется приложение агента, выбор версии настраивается в объекте приложения агента. Для обновления приложения агента для использования нового объекта agentDeployment требуется разрешение Microsoft.CognitiveServices/accounts/projects/applications/write в области приложения агента.
| Built-in role | Scope | Может ли назначаемый получатель обновить приложение агента? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| пользователь ИИ Azure | Foundry account | ✗ No |
| Диспетчер Project ИИ Azure | Foundry account | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry account | ✔ Yes |
| владелец ИИ Azure | Foundry account | ✔ Yes |
настройка Azure Служба Bot
Публикация агента в Microsoft Teams или Microsoft 365 Copilot является необязательным. При выполнении поток публикации выполняет операции уровня управления для создания ресурса Azure Служба Bot и настройки его каналов, а затем обновляет агент или приложение агента, чтобы разрешить запросы из Служба Bot.
Создание службы бота
Для создания ресурса службы бота требуется разрешение Microsoft.BotService/botServices/write в области группы ресурсов.
| Built-in role | Scope | Может ли назначаемый получатель создать службу бота? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| пользователь ИИ Azure | Resource group | ✗ No |
| Диспетчер Project ИИ Azure | Resource group | ✗ No |
| владелец учетной записи ИИ Azure | Resource group | ✗ No |
| владелец ИИ Azure | Resource group | ✗ No |
Note
Azure Служба Bot — это отдельный тип ресурса от Foundry. Azure встроенные роли ИИ не включают разрешения Microsoft.BotService/*.
Configuring channels
Для настройки каналов расширений Teams и Microsoft 365 в службе ботов требуется разрешение Microsoft.BotService/botServices/channels/write в области ресурса службы бота.
| Built-in role | Scope | Можно ли назначить каналы назначаемого пользователя? |
|---|---|---|
| Owner | Bot service | ✔ Yes |
| Contributor | Bot service | ✔ Yes |
| пользователь ИИ Azure | Bot service | ✗ No |
| Диспетчер Project ИИ Azure | Bot service | ✗ No |
| владелец учетной записи ИИ Azure | Bot service | ✗ No |
| владелец ИИ Azure | Bot service | ✗ No |
Обновление агента или приложения агента
Поток публикации задает каналы (Azure Служба Bot) в качестве режима проверки подлинности в агенте или приложении агента. Обновленный объект зависит от вашего сценария:
- Сценарий приложения агента: объект приложения агента обновляется. Это операция записи плоскости управления. Те же требования к роли применяются, как описано в приложениях агента.
- Сценарий конечной точки агента: объект агента обновляется. Это операция записи плоскости данных. Те же требования к роли применяются, как описано в статье "Создание новой версии агента".
Пошаговые инструкции по публикации в Teams или M365 Copilot см. в статье Publish agent to Microsoft 365 Copilot and Microsoft Teams.
Agent interaction
Для взаимодействия с агентом требуется разрешение вызывающего пользователя или субъекта-службы. Чтобы взаимодействовать с приложением agent, им потребуется Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action в области приложения агента.
| Built-in role | Scope | Может ли назначенный участник взаимодействовать с агентом? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| пользователь ИИ Azure | Foundry project | ✔ Yes |
| Диспетчер Project ИИ Azure | Foundry project | ✔ Yes |
| владелец учетной записи ИИ Azure | Foundry project | ✗ No |
| владелец ИИ Azure | Foundry project | ✔ Yes |
Agent observability
Просмотр данных телеметрии
Для доступа к данным телеметрии агента требуются разрешения на чтение ресурса Application Insights. Это включает просмотр трассировок, журналов и метрик с помощью портала Azure, портала Foundry, API и средств мониторинга.
Назначьте средство чтения мониторинга в области ресурсов Application Insights. Разрешения */read в этой роли получают доступ к базовым данным рабочей области Log Analytics, не требуя отдельного назначения рабочей области.
Если вы хотите работать непосредственно с рабочей областью Log Analytics, назначьте Log Analytics Читатель в области рабочей области.
| Built-in role | Scope | Может ли назначить данные телеметрии агента доступа получателей? |
|---|---|---|
| Owner | Application Insights | ✔ Yes |
| Contributor | Application Insights | ✔ Yes |
| пользователь ИИ Azure | Application Insights | ✗ Нет (см. метрики, но не трассировки) |
| Диспетчер Project ИИ Azure | Application Insights | ✗ No |
| владелец учетной записи ИИ Azure | Application Insights | ✗ Нет (см. метрики, но не трассировки) |
| владелец ИИ Azure | Application Insights | ✗ No |
| Monitoring Reader | Application Insights | ✔ Yes |
| средство чтения Log Analytics | Рабочая область Log Analytics | ✔ Да (из рабочей области напрямую) |
Отображение затрат в валюте выставления счетов
Для просмотра затрат на валюту выставления счетов на портале Foundry требуется разрешение Microsoft.Billing/billingProperty/read. Для этого разрешения требуется назначение подписки или выставления счетов на уровне учетной записи. Область группы ресурсов не охватывает это разрешение.
Это разрешение предназначено для удобства отображения портала и не требуется для функций размещенного агента. Вы можете безопасно опустить это разрешение для большинства пользователей.
| Built-in role | Scope | Может ли назначаемый участник просматривать затраты в валюте выставления счетов? |
|---|---|---|
| Owner | Subscription | ✔ Yes |
| Contributor | Subscription | ✔ Yes |
| Средство чтения управления затратами | Subscription | ✔ Yes |
| пользователь ИИ Azure | Subscription | ✗ No |
Related content
- Размещенные агенты: узнайте об архитектуре и жизненном цикле размещенного агента.
- Role на основе управления доступом для Microsoft Foundry: просмотрите встроенные роли, области и шаблоны назначений.
- Удостоверение агента. Узнайте, как отличаются удостоверения агента и управляемое удостоверение проекта.