Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба "Поиск ИИ Azure" поддерживает управление доступом на уровне документа, что позволяет организациям применять точные разрешения на уровне документа от приема данных через выполнение запроса. Эта возможность необходима для создания безопасных систем агента ИИ, базирования данных, приложений RAG и корпоративных решений поиска, требующих проверки авторизации на уровне документа.
Подходы к управлению доступом на уровне документа
| Подход | Описание |
|---|---|
| Фильтры системы безопасности | Сравнение строк. Ваше приложение передает идентификатор пользователя или группы в виде строки, которая используется для заполнения фильтра в запросе, исключая все документы, не совпадающие со строкой. Фильтры безопасности — это способ достижения контроля доступа на уровне документа. Этот подход не привязан к API, поэтому вы можете использовать любую версию или пакет. |
| Области POSIX-подобных ACL / RBAC (предварительная версия) | Субъект безопасности Microsoft Entra, стоящий за маркером запроса, сопоставляется с метаданными разрешений документов, которые возвращаются в результатах поиска, исключая документы, не соответствующие разрешениям. Списки управления доступом (ACL) применяются к каталогам и файлам Azure Data Lake Storage (ADLS) 2-го поколения. Области управления доступом на основе ролей (RBAC) применяются к содержимому ADLS 2-го поколения и к BLOB-объектам Azure. Встроенная поддержка доступа на основе удостоверений на уровне документа доступна в предварительной версии, доступна в REST API и предварительной версии пакетов Azure SDK, которые предоставляют эту функцию. Обязательно проверьте журнал изменений пакета SDK для подтверждения поддержки функций. |
| Метки конфиденциальности Microsoft Purview (предварительная версия) | Индексатор извлекает метки конфиденциальности, определенные в Microsoft Purview, из поддерживаемых источников данных (Хранилище BLOB-объектов Azure, ADLS поколения 2, SharePoint в Microsoft 365, OneLake). Эти метки хранятся как метаданные и оцениваются во время запроса для обеспечения доступа пользователей на основе токенов Microsoft Entra и назначений политик Purview. Этот подход согласует авторизацию службы поиска Azure AI с моделью Microsoft Information Protection вашего предприятия. |
| SharePoint в ACL Microsoft 365 (предварительная версия) | При настройке индексаторы поиска с Azure AI извлекают разрешения документов SharePoint непосредственно из ACLs Microsoft 365 во время первоначального приема. Проверки доступа используют членство пользователей и групп Microsoft Entra. Поддерживаемые типы групп включают группы безопасности Microsoft Entra, группы Microsoft 365 и группы безопасности с поддержкой почты. Группы SharePoint пока не поддерживаются в предварительной версии. |
Шаблон для регулирования безопасности с фильтрами
В тех случаях, когда невозможно использовать встроенные области ACL/RBAC, рекомендуется применять фильтры строк безопасности для оптимизации результатов на основе критериев исключения. Шаблон включает следующие компоненты:
- Чтобы сохранить удостоверения пользователя или группы, создайте строковое поле в индексе.
- Загрузите индекс с помощью исходных документов, включающих связанные списки управления доступом.
- Включите выражение фильтра в логику запроса для сопоставления в строке.
- Во время запроса получите удостоверение вызывающего абонента.
- Передайте идентификатор вызывающего в строку фильтра.
- Результаты обрезаются, чтобы исключить все совпадения, которые не включают строку идентификатора пользователя или группы.
API модели push или pull можно использовать. Так как этот подход не зависит от API, необходимо убедиться, что индекс и запрос имеют допустимые строки (удостоверения) для шага фильтрации.
Этот подход полезен для систем с пользовательскими моделями доступа или платформами безопасности, отличными от Майкрософт. Дополнительные сведения об этом подходе см. в разделе «Фильтры безопасности для ограничения результатов в Поиск с использованием ИИ Azure».
Шаблон для поддержки на уровне системы разрешений, похожих на POSIX ACL, и разрешений на уровне области для RBAC (просмотр)
Нативная поддержка основана на пользователях и группах Microsoft Entra, связанных с документами, которые необходимо индексировать и запрашивать.
Контейнеры Azure Data Lake Storage (ADLS) 2-го поколения поддерживают списки управления доступом к контейнерам и файлам. Для ADLS Gen2 сохранение области RBAC на уровне документа изначально поддерживается при использовании индексатора ADLS Gen2 или источника знаний BLOB (поддерживает ADLS Gen2) и предварительного API для приема содержимого. Для объектов Blob Azure, использующих индексатор Azure blob или источник знаний, сохранение области действия RBAC находится на уровне контейнера.
Для защищенного ACL содержимого рекомендуется отдавать предпочтение групповому доступу вместо доступа для отдельных пользователей для упрощения управления. Шаблон включает следующие компоненты:
- Начните с документов или файлов с назначениями ACL.
- Включите фильтры разрешений в индексе.
- Добавьте фильтр разрешений в строковое поле в индексе.
- Загрузите индекс с исходными документами, у которых есть связанные списки управления доступом.
- Запросите индекс, добавив
x-ms-query-source-authorizationв заголовок запроса.
Клиентское приложение получает разрешения на чтение индекса с помощью роли читателя данных индекса поиска или участника индекса поиска . Доступ в момент выполнения запроса определяется метаданными разрешений пользователя или группы для индексированного содержимого. Запросы, включающие фильтр разрешений, передают маркер пользователя или группы, как x-ms-query-source-authorization в заголовке запроса. При использовании фильтров разрешений во время запроса поиск Azure AI проверяет наличие двух вещей:
Во-первых, он проверяет разрешение средства чтения данных индекса поиска , позволяющее клиентскому приложению получить доступ к индексу.
Во-вторых, учитывая дополнительный токен в запросе, система проверяет разрешения пользователя или группы на документы, которые возвращаются в результатах поиска, исключая те, что не соответствуют.
Чтобы добавить метаданные разрешений в индекс, можно использовать API push-модели, отправляя документы JSON в поисковый индекс, где полезная нагрузка включает строковое поле, предоставляющее POSIX-подобные ACL для каждого документа. Важное различие между этим подходом и триммингом безопасности заключается в том, что метаданные фильтра разрешений в индексе и запросе распознаются как аутентификация с использованием идентификатора Microsoft Entra ID, в то время как обходное решение безопасности — это простое сравнение строк. Кроме того, вы можете использовать Graph SDK для получения идентификаторов.
Вы также можете использовать API модели извлечения (индексатора), если источник данных — Azure Data Lake Storage (ADLS) 2-го поколения , а код вызывает API предварительной версии для индексирования.
Получение метаданных разрешений ACL во время процесса приема данных (предварительная версия)
Процесс получения разрешений ACL зависит от того, отправляете ли вы payload документов или используете индексатор ADLS 2-го поколения.
Начните с API предварительной версии, предоставляющей эту функцию:
- REST API 2025-11-01-preview
- Пакет предварительной версии пакета Azure SDK для Python
- Пакет предварительной версии Azure SDK для .NET
- Пакет предварительной версии пакета Azure SDK для Java
Для подхода push-модели:
- Убедитесь, что схема индекса также создается с помощью предварительного пакета SDK и что в ней предусмотрены фильтры разрешений.
- Рассмотрите возможность использования SDK Microsoft Graph для получения удостоверений групп или пользователей.
- Чтобы отправить документы и связанные с ними метаданные разрешений в индекс поиска, используйте Индексирование документов или эквивалентный API пакета SDK платформы Azure.
Для пользовательской модели индексатора ADLS Gen2 или источника знаний BLOB (ADLS Gen2):
- Убедитесь, что файлы в каталоге защищены с помощью модели управления доступом ADLS 2-го поколения.
- Используйте REST API создания индексатора или REST API создания источника знаний или эквивалентного API пакета SDK Azure для создания индексатора, индекса и источника данных.
Шаблон для SharePoint в Microsoft 365 для базовых разрешений ACL (версия для предварительного просмотра)
Для контента SharePoint в Microsoft 365 Поиск с использованием ИИ Azure может применять разрешения на уровне документа на основе списков управления доступом SharePoint. Эта интеграция способствует тому, что только пользователи или группы с доступом к исходному документу в SharePoint могут получить его в результатах поиска, как только разрешения синхронизируются в индексе. Разрешения применяются к индексу либо во время начального этапа индексирования документов.
Поддержка ACL SharePoint доступна в версии для предварительного просмотра через индексатор SharePoint с использованием REST API 2025-11-01-preview или поддерживаемого пакета SDK. Индексатор извлекает метаданные разрешения файла и элемента списка и сохраняет его в индексе поиска, где он используется для принудительного управления доступом во время запроса.
Шаблон включает следующие компоненты:
- Используйте индексатор SharePoint в Microsoft 365 с разрешениями приложения для чтения содержимого сайта SharePoint и полных разрешений для чтения списков управления доступом. Следуйте инструкциям по настройке ACL индексатора SharePoint для включения и ограничений.
- Во время начального индексирования записи ACL SharePoint (пользователи и группы) хранятся в качестве метаданных разрешений в индексе поиска.
- Для добавочного индексирования списков управления доступом просмотрите параметры синхронизации ACL SharePoint , доступные во время общедоступной предварительной версии.
- Во время запроса поиск Azure AI проверяет субъект Microsoft Entra в маркере запроса на метаданные ACL SharePoint, хранящиеся в индексе. Он исключает любые документы, к которым вызывающее лицо не имеет доступа.
Во время предварительной версии поддерживаются только следующие типы субъектов в списках управления доступом SharePoint:
- Учетные записи пользователей Microsoft Entra
- Группы безопасности Microsoft Entra
- Группы Microsoft 365
- Группы безопасности, включающие поддержку электронной почты
Группы SharePoint не поддерживаются в предварительной версии.
Сведения о конфигурации и полные ограничения см. в статье "Как индексировать SharePoint в разрешениях на уровне документа Microsoft 365 (предварительная версия)".
Шаблон меток конфиденциальности Microsoft Purview (предварительная версия)
Поиск Azure AI может интегрировать и применять метки конфиденциальности Microsoft Purview для управления доступом на уровне документа, расширяя политики защиты информации Microsoft Purview в ваших приложениях поиска и поиска данных.
Если включена интеграция меток, поиск ИИ Azure извлекает метаданные чувствительности из поддерживаемых источников данных. К ним относятся хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения (ADLS 2-го поколения), SharePoint в Microsoft 365 и Microsoft OneLake. Извлеченные метки хранятся в индексе вместе с содержимым документа.
Во время запроса Поиск с использованием ИИ Azure проверяет метку конфиденциальности каждого документа, токен Microsoft Entra пользователя и политики Purview организации, чтобы определить доступ. Документы возвращаются только в том случае, если идентификация пользователя и разрешения на основе меток позволяют доступ в соответствии с настроенными политиками Purview.
Шаблон включает следующие компоненты:
- Настройте индекс, источник данных и индексатор (для планирования) с помощью REST API 2025-11-01-preview или соответствующего пакета SDK, поддерживающего прием меток Purview.
- Включите управляемое удостоверение, назначаемое системой для службы поиска. Затем попросите глобального администратора клиента или администратора привилегированных ролей предоставить необходимый доступ, поэтому служба поиска может безопасно получить доступ к Microsoft Purview и извлечь метаданные меток.
- Примените метки конфиденциальности к документам перед индексированием, чтобы их можно было распознать и сохранить во время приема.
- В момент выполнения запроса приложите допустимый токен Microsoft Entra через заголовок
x-ms-query-source-authorizationдля каждого запроса. Поиск ИИ Azure оценивает токен и связанные с ним метаданные ярлыков для осуществления управления доступом на основе ярлыков.
Применение меток конфиденциальности Purview ограничено одноарендными сценариями, требует проверки подлинности RBAC, а во время общедоступной предварительной версии поддерживается только через REST API или SDK. Сейчас API автозавершения и предложения недоступны для индексов с поддержкой Purview.
Дополнительные сведения см. в статье Использование индексаторов поиска ИИ Azure для приема меток конфиденциальности Microsoft Purview.
Принудительное применение разрешений на уровне документа во время запроса
При выполнении запросов на основе собственных маркеров служба "Поиск ИИ Azure" проверяет маркер Microsoft Entra пользователя, обрезая результирующие наборы, чтобы включить только документы, к которым пользователь может получить доступ.
Вы можете включить автоматическую обрезку, прикрепив токен Microsoft Entra пользователя к вашему запросу. Дополнительные сведения см. в статье ACL во время запроса и принудительное применение RBAC в поиске ИИ Azure.
Преимущества управления доступом на уровне документа
Управление доступом на уровне документа крайне важно для защиты конфиденциальной информации в приложениях на основе искусственного интеллекта. Она помогает организациям создавать системы, соответствующие их политикам доступа, уменьшая риск предоставления несанкционированных или конфиденциальных данных. Интегрируя правила доступа непосредственно в конвейер поиска, системы ИИ могут предоставлять ответы, созданные в безопасной и авторизованной информации.
Перенеся реализацию разрешений в Поиск ИИ Azure, разработчики могут сосредоточиться на создании высококачественных систем извлечения и ранжирования. Этот подход помогает сократить потребность в обработке вложенных групп, записи пользовательских фильтров или ручной обрезки результатов поиска.
Разрешения на уровне документа в службе "Поиск ИИ Azure" предоставляют структурированную платформу для применения элементов управления доступом, которые соответствуют политикам организации. Используя списки управления доступом на основе Microsoft Entra и роли RBAC, организации могут создавать системы, поддерживающие строгое соблюдение нормативных требований и повышение доверия среди пользователей. Эти встроенные возможности снижают потребность в пользовательском коде, предлагая стандартный подход к безопасности на уровне документов.
Руководства и примеры
Ознакомьтесь с дополнительными статьями и примерами управления доступом на уровне документа в службе "Поиск ИИ Azure".
- Руководство. Индексирование метаданных разрешений ADLS 2-го поколения с помощью индексатора
- azure-search-rest-samples/acl
- azure-search-python-samples/Quickstart-Document-Permissions-Push-API
- azure-search-python-samples/Quickstart-Document-Permissions-Pull-API
- Демонстрационная версия приложения: прием и соблюдение меток конфиденциальности
Связанный контент
- Индексирование разрешений на уровне документа с помощью API push-уведомлений
- Индексирование разрешений на уровне документа с помощью индексатора ADLS 2-го поколения
- Как индексировать разрешения на уровне документа с помощью индексатора SharePoint в Microsoft 365
- Индексирование меток чувствительности с помощью индексаторов
- Как выполнять запросы с использованием разрешений на основе токенов Microsoft Entra