Встроенная политика развертывания модели на портале Foundry Microsoft

Политика Azure предоставляет встроенные определения политик, которые помогают управлять развертыванием моделей ИИ на портале Foundry Microsoft. Эти политики можно использовать для управления моделями, которые разработчики могут развертывать на портале Foundry.

Необходимые условия

Учетная запись Azure с активной подпиской. Если у вас нет учетной записи, создайте бесплатную учетную запись Azure. Учетная запись Azure позволяет получить доступ к порталу Foundry.
Разрешения на создание и назначение политик. Чтобы создавать и назначать политики, необходимо быть Owner или Resource Policy Contributor на уровне подписки Azure или группы ресурсов.
Знакомство с Политика Azure. Дополнительные сведения см. в статье Что такое Политика Azure?.

Назначьте политику

Azure CLI
портал Azure

Используйте Azure CLI, чтобы найти встроенное определение политики и назначить его на уровне области.

Войдите и выберите подписку, в которой вы хотите работать:
```
az login
az account set --subscription "<subscription-id>"
```
Найдите идентификатор определения политики для встроенного определения:
```
az policy definition list \
   --query "[?displayName=='Cognitive Services Deployments should only use approved Registry Models'].{name:name, id:id}" \
   --output table
```
Ожидаемый результат: строка, содержащая политику id.
Создайте файл параметров (пример):
```
{
   "effect": {
      "value": "Deny"
   },
   "allowedPublishers": {
      "value": ["OpenAI"]
   },
   "allowedAssetIds": {
      "value": [
         "azureml://registries/azure-openai/models/gpt-35-turbo/versions/3"
      ]
   }
}
```
Ожидаемый результат: JSON-файл, соответствующий утвержденным именам издателей и идентификаторам моделей.

Важно

Имена параметров в этом примере должны соответствовать выбранному вами определению политики. Если они различаются в вашей учетной записи клиента, обновите ключи JSON, чтобы они соответствовали параметрам определения политики.
Назначьте политику в области (например, область подписки):
```
az policy assignment create \
   --name "allow-only-approved-registry-models" \
   --display-name "Allow only approved registry models" \
   --scope "/subscriptions/<subscription-id>" \
   --policy "<policy-definition-id>" \
   --params @params.json
```
Ожидаемый результат: команда возвращает полезные данные JSON, которые включают назначение id.

Ссылки:

список определений политики az
az policy assignment create - Создать назначение политики Azure
Назначения политики Azure

На портале Azure выберите Policy в левой части страницы. Вы также можете найти политику в строке поиска в верхней части страницы.
В левой части панели мониторинга Политика Azure выберите Authoring>Definitions. Затем выполните поиск Cognitive Services Deployments should only use approved Registry Models.
Выберите "Назначить ", чтобы назначить политику:
- Область. Выберите область, в которой нужно назначить политику. Область может быть группой управления, подпиской или группой ресурсов.
- Определение политики: этот раздел уже имеет значение Cognitive Services Deployments should only use approved Registry Models.
- Имя назначения: введите уникальное имя назначения.
Значения по умолчанию можно сохранить для остальных полей или настроить их по мере необходимости для вашей организации.
Нажмите кнопку "Далее" в нижней части страницы или вкладки "Параметры " в верхней части страницы.
На вкладке "Параметры" снимите флажок "Показать только параметры, необходимые для ввода или проверки ", чтобы просмотреть все поля:
- Эффект. Задайте значение "Запретить".
  
  Примечание
  
  С помощью параметра аудита можно настроить политику для регистрации сведений на собственной панели мониторинга соответствия.
- Разрешенные издатели моделей: введите список имен издателей в кавычках, разделенных запятыми. Ниже приведен пример, в котором показано, где найти имя издателя:
  1. Перейдите в каталог моделей на портале Foundry.
  2. Выберите модель (например, GPT-5).
  3. На карточке модели вы найдете имя издателя, как показано на следующем снимке экрана. Например, в этом случае это OpenAI.
- Допустимые идентификаторы активов: введите список идентификаторов активов модели в кавычках, разделенных запятыми.
  
  Чтобы получить строки идентификатора ресурса модели и имена издателей моделей, выполните следующие действия.
  1. Перейдите в каталог моделей.
  2. Для каждой модели, которую нужно разрешить, выберите модель для просмотра сведений. В сведениях о модели скопируйте значение идентификатора модели . Например, значение может выглядеть как azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 для модели GPT-3.5-Turbo.
    
    Важно
    
    Значение идентификатора модели должно быть полным соответствием модели. Если идентификатор модели не совпадает точно, политика не работает должным образом.
  3. Выберите вкладку "Просмотр и создание " и убедитесь, что назначение политики правильно. Когда все готово, нажмите кнопку "Создать ", чтобы назначить политику.
  4. Уведомите разработчиков о том, что политика действует. Они получают сообщение об ошибке, если они пытаются развернуть модель, которая не указана в списке разрешенных моделей.

Мониторинг соответствия требованиям

Чтобы отслеживать соответствие политике, выполните следующие действия.

На портале Azure выберите Policy в левой части страницы. Вы также можете найти политику в строке поиска в верхней части страницы.
В левой части панели мониторинга Политика Azure выберите Compliance. Каждое назначение политики отображается с состоянием соответствия. Чтобы просмотреть дополнительные сведения, выберите назначение политики.

Обновление назначения политики

Чтобы обновить существующее назначение политики с помощью новых моделей, выполните следующие действия.

На портале Azure выберите Policy в левой части страницы. Вы также можете найти политику в строке поиска в верхней части страницы.
В левой части панели мониторинга Политика Azure выберите Assignments и найдите существующее назначение политики. Щелкните многоточие (...) рядом с назначением и нажмите кнопку "Изменить назначение".
На вкладке "Параметры" обновите идентификаторы разрешенных активов и издателей разрешенных моделей с новыми утвержденными идентификаторами и именами издателей.
На вкладке "Рецензирование и сохранение " нажмите кнопку "Сохранить ", чтобы обновить назначение политики.

Лучшие практики

Детализированное определение: назначение политик в соответствующей области для балансировки контроля и гибкости. Например, примените на уровне подписки для управления всеми ресурсами в подписке или примените на уровне группы ресурсов для управления ресурсами в определенной группе.
Именование политик. Используйте согласованное соглашение об именовании для назначений политик, чтобы упростить определение цели политики. Укажите такие сведения, как назначение и область применения, в названии.
Теги. Используйте теги для классификации политик и управления ими. Например, политики тегов по среде (dev, test, prod) или по отделу.
Документация. Сохранение записей назначений политик и конфигураций для целей аудита. Задокументируйте все изменения, внесенные в политику с течением времени.
Регулярные проверки: периодически просматривайте назначения политик, чтобы обеспечить соответствие требованиям вашей организации.
Тестирование. Тестирование политик в непроизводной среде перед применением их к рабочим ресурсам.
Обмен данными. Убедитесь, что разработчики знают о политиках на месте и понимают последствия для их работы.

Проверка эффективности политики

После назначения политики убедитесь, что она работает должным образом:

Подождите не менее 15 минут, пока назначенное задание политики вступит в силу. Новые назначения не применяются мгновенно.
Попытайтесь развернуть модель, которая не включена в список разрешенных. Если политика использует эффект "Запрет" , развертывание завершается ошибкой нарушения политики.
Убедитесь, что развертывание утвержденной модели по-прежнему выполнено успешно.
Проверьте панель мониторинга Compliance в Политика Azure, чтобы убедиться, что политика правильно оценивает ресурсы. Несоответствующие ресурсы отображаются в течение одного цикла оценки соответствия (обычно до 24 часов).

Диагностика проблем с назначением политики

Симптом	Причина	Разрешение
Ошибка при назначении политики из-за недостаточных разрешений	Ваша учетная запись не имеет роли "Владелец " или "Участник политики ресурсов " в целевой области.	Назначьте требуемую роль и повторите попытку. См. предварительные требования.
Политика не блокирует несоответствующие развертывания	Назначение политики еще не распространяется, или эффект имеет значение Audit вместо "Запретить".	Подождите не менее 15 минут, а затем повторите попытку. Убедитесь, что параметр Effect имеет значение "Запретить".
Утвержденная модель неожиданно заблокирована	Идентификатор ресурса модели или имя издателя в параметрах политики точно не соответствует модели.	Сравните значения параметров с картой модели в каталоге моделей. Идентификаторы активов и имена издателей чувствительны к регистру.
Панель мониторинга соответствия требованиям не отображает данные	Оценка соответствия еще не завершена. Политика Azure оценивает новые назначения в течение 24 часов.	Дождитесь следующего цикла оценки или активируйте проверку оценки по запросу.
Ошибка несоответствия имени параметра во время назначения	Ключи параметров JSON не соответствуют определению политики.	Выполните команду `az policy definition show --name "<definition-id>"` , чтобы получить точные имена параметров из определения. Использование `allowedPublishers` и `allowedAssetIds`.

Обзор Политика Azure
Обзор каталога моделей

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-30