Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание
Поиск с использованием ИИ Azure доступна через портал Azure, REST API и Azure SDKs. Он также лежит в основе Foundry IQ — управляемого слоя знаний, который преобразует корпоративный контент в многократно используемые базы знаний с учетом разрешений доступа для агентов на портале Microsoft Foundry.
Important
Эти возможности и функциональность доступны в REST API версии 2026-05-01-preview. Предварительная версия 2026-05-01-preview лицензируется вам в рамках вашей подписки Azure и подпадает под условия, применимые к "Предварительным версиям", изложенные в Microsoft Product Terms, Microsoft Products and Services Data Protection Addendum ("DPA") и Supplemental Terms of Use for Microsoft Azure Previews.
Предварительная версия 2026-05-01 поддерживает подключения к другим службы Майкрософт и сторонним службам. Использование этих служб регулируется соответствующими условиями и может привести к обработке или хранению данных за пределами периметра соответствия требованиям Azure, а также к передаче данных в периметр соответствия требованиям Azure.
Предварительная версия 2026-05-01-preview не может изменять разрешения доступа, установленные за пределами предварительной версии 2026-05-01-preview. Если вы используете версию 2026-05-01-preview с контентом, доступ к которому ограничен доступом или разрешениями, возникает задержка, прежде чем 2026-05-01-preview распознает изменения в этих ограничениях доступа или разрешений.
Вы несете ответственность за контроль того, выходят ли ваши данные за пределы требований соответствия нормативным требованиям и географических границ вашей организации, а также за связанные с этим последствия, и за то, чтобы были предусмотрены соответствующие разрешения, ограничения и согласования.
Вы несете ответственность за тщательное изучение и тестирование приложений, которые вы создаете в контексте конкретных вариантов использования и принятия всех соответствующих решений и настроек. Эта ответственность включает внедрение ваших собственных мер по снижению рисков в области ответственного ИИ, таких как метаподсказки, фильтры контента или другие системы безопасности, а также обеспечение того, чтобы ваши приложения соответствовали надлежащим стандартам качества, надежности, безопасности и доверия. Дополнительные сведения см. в примечании о прозрачности Поиск с использованием ИИ Azure.
Во время запроса Поиск с использованием ИИ Azure может применять политики меток конфиденциальности, определенные в Microsoft Purview. Эти политики включают оценку EXTRACT прав на использование, связанных с каждым документом, обеспечивая, что пользователи могут получать доступ только к тем документам, к которым у них есть разрешение.
Эта возможность расширяет управление доступом на уровне документов, чтобы соответствовать требованиям вашей организации по защите информации и соблюдению норм, управляемых в Microsoft Purview.
Если индексирование меток конфиденциальности Purview включено, Поиск с использованием ИИ Azure проверяет метаданные меток каждого документа в момент выполнения запроса. Он применяет фильтры доступа на основе политик Purview для возврата только результатов, к которым пользователь запрашивает доступ.
В этой статье объясняется, как работает применение меток конфиденциальности в момент запроса и как осуществлять безопасные поисковые запросы.
Tip
Если вы получаете доступ к помеченному содержимому через базу знаний (операцию retrieve или конечную точку MCP), а не обращаетесь к Поиск с использованием ИИ Azure напрямую, сведения об эквивалентных полях ответа см. в разделе Проверка метаданных меток конфиденциальности в ответах retrieve. Расширенное чтение и журнал аудита Microsoft Purview, описанные в этой статье, применимы к обоим путям.
Необходимые условия
Выполните все действия в использовании индексаторов Поиск с использованием ИИ Azure для загрузки меток конфиденциальности Microsoft Purview.
Убедитесь, что для службы Поиск с использованием ИИ Azure включено управляемое удостоверение, назначаемое системой (а не управляемое удостоверение, назначаемое пользователем) и что ей назначены роли
Content.SuperUserиUnifiedPolicy.Tenant.Read. Применение правил во время выполнения запроса зависит от метаданных меток классификации, которые индексатор может извлечь только в том случае, если системно назначаемая идентичность настроена правильно. См. шаг 1 в статье о настройке индексатора.Служба Поиск с использованием ИИ Azure и пользователь, выдавающий запрос, должны находиться в одном клиенте Microsoft Entra.
REST API версии 2025-11-01-preview или эквивалентный пакет SDK предварительной версии для запроса индекса. Возможность чтения с повышенными правами и ведение журнала аудита Purview требуют 2026-05-01-preview или более поздней версии.
Аутентификация запросов с помощью ролевого управления доступом Azure (RBAC), а не API-ключей. Если метки конфиденциальности Purview включены, доступ к ключу API ограничивается получением схемы индекса.
Ограничения
Гостевые учетные записи и межтенантные запросы не поддерживаются.
Автозавершение и подсказка API не поддерживаются для индексов, поддерживающих Purview.
Если оценка меток завершается ошибкой, служба возвращает определенный код ошибки HTTP, а не частичный или нефильтрованный результирующий набор. Полный список кодов ошибок и причин см. в разделе "Устранение ошибок запроса".
Система оценивает метки только по мере их существования во время последнего запуска индексатора. Последние изменения в метках могут не отражаться до следующей запланированной переиндексации.
Как осуществляется применение меток конфиденциальности в момент выполнения запроса
При запросе индекса, включающего метки конфиденциальности Microsoft Purview, Поиск с использованием ИИ Azure проверяет связанные политики Purview перед возвратом результатов. Таким образом, запрос возвращает только документы, к которым разрешен доступ токен пользователя.
Ввод данных идентификации пользователей и ролей приложений
Во время запроса Поиск с использованием ИИ Azure проверяет оба:
- Роль RBAC вызывающего приложения, указанная в заголовке
Authorization. Минимально требуемая роль —Search Index Data Reader. Дополнительные сведения см. в руководстве Поиск с использованием ИИ Azure RBAC. - Идентификация пользователя с помощью токена, предоставленного в заголовке
x-ms-query-source-authorization.
Оба требуются для управления видимостью, настраиваемой на основе меток.
| Тип входных данных | Описание | Пример источника |
|---|---|---|
| Роль приложения | Определяет, имеет ли вызывающее приложение разрешение на выполнение запросов в индексе. | Authorization: Bearer <app-token> |
| Удостоверение пользователя | Определяет, к каким меткам конфиденциальности конечный пользователь может получить доступ. | x-ms-query-source-authorization: <user-token> |
2. Оценка меток чувствительности
При получении запроса Поиск с использованием ИИ Azure вычисляет:
- Поле
sensitivityLabelв каждом индексованном документе (извлеченном из Microsoft Purview во время приема). - Действующие разрешения Purview пользователя, определенные политикой меток Microsoft Entra ID и Purview.
Если пользователь не авторизован для метки конфиденциальности документа с EXTRACT разрешениями, этот документ исключается из результатов запроса.
Примечание
Внутри службы создаются фильтры динамического доступа, аналогичные принудительному применению RBAC.
Эти фильтры не видимы пользователю и не могут быть изменены в полезных данных запроса.
3. Защита фильтрации результатов
Поиск с использованием ИИ Azure применяет фильтр безопасности после всех пользовательских фильтров и шагов оценки.
Документ включается в окончательный результирующий набор только в том случае, если:
- Вызывающее приложение имеет действующее назначение ролей (с помощью RBAC) и
- Маркер удостоверения пользователя
x-ms-query-source-authorizationявляется действительным и имеет разрешение для просмотра содержимого с грифом конфиденциальности документа.
Если одно из условий не выполняется, документ исключается из результатов.
Получение маркера доступа пользователя
Чтобы запросить Поиск с использованием ИИ Azure с помощью контекста пользователя, необходимо получить маркер доступа, представляющий пользователя, вошедшего в систему. Используемый подход зависит от того, выполняется ли локальное тестирование с помощью собственного маркера, если у вас есть доступ к исходному документу или реализация потока приложения, требующего передачи маркера конечного пользователя.
Для сценариев тестирования
Для локального тестирования можно получить маркер доступа пользователя с помощью Azure CLI:
$token = az account get-access-token `
--resource https://search.azure.com `
--query accessToken `
--output tsv
Этот подход использует текущий сеанс входа Azure CLI, что позволяет вам работать с документами, для которых у вас есть EXTRACT разрешения, назначенные с помощью меток конфиденциальности. Этот метод предназначен только для сценариев разработки и проверки.
Получение токена для сценариев On-Behalf-Of (OBO)
Приложения, реализующие поток On-Behalf-Of (OBO), должны получать токены через Microsoft Entra ID с помощью поддерживаемой библиотеки аутентификации, такой как Microsoft Authentication Library (MSAL).
В сценариях OBO запросите маркер для нижестоящего API, вызываемого приложением. Например, при вызове Поиск с использованием ИИ Azure используется URI ресурса https://search.azure.com/.default.
Область .default запрашивает все делегированные разрешения, на которые приложение заранее получило согласие для указанного ресурса.
Разрешения метки конфиденциальности, в том числе EXTRACT, не представлены в виде области действия OAuth. Нижележащая служба, например Поиск с использованием ИИ Azure, оценивает эти разрешения во время исполнения на основе удостоверения пользователя в токене и применяемой политики меток конфиденциальности.
Пример запроса
Вот пример запроса, в котором используется принудительное применение меток конфиденциальности Microsoft Purview.
Передайте токен приложения в качестве токена Bearer в заголовке Authorization. Передайте токен пользователя в заголовке x-ms-query-source-authorization как необработанное значение токена, без префикса Bearer.
POST {{endpoint}}/indexes/sensitivity-docs/docs/search?api-version=2025-11-01-preview
Authorization: Bearer {{app-query-token}}
x-ms-query-source-authorization: {{user-query-token}}
Content-Type: application/json
{
"search": "*",
"select": "title,summary,sensitivityLabel",
"orderby": "title asc"
}
Расширенный доступ на чтение для административных расследований (предварительная версия)
Повышенный уровень чтения позволяет авторизованному разработчику возвращать помеченные документы, которые вызывающий пользователь обычно не видит, при создании записи журнала аудита Microsoft Purview для каждого документа, возвращаемого запросом. Используйте его для проверок соответствия требованиям, обнаружения электронных данных, реагирования на инциденты и других административных расследований, в которых требуется аудит записи доступа.
Расширенное чтение доступно для индексов с поддержкой Purview в REST API версии 2026-05-01-preview и более поздних.
Как работает чтение с повышенными привилегиями
Вызывающее приложение задает заголовок
x-ms-enable-elevated-read: trueв запросе поиска.Поиск с использованием ИИ Azure пропускает проверку доступа к каждому документу на основе меток и возвращает найденные документы независимо от разрешений запрашивающего пользователя
EXTRACTдля каждой метки.Для каждого документа в ответе Поиск с использованием ИИ Azure отправляется одна запись в журнал аудита Microsoft Purview от имени запрашивающего клиента. Один поисковый запрос, возвращающий N документов, создает N записей аудита.
Записи аудита асинхронно загружаются в Purview после получения ответа на поисковый запрос.
Обязательное назначение ролей
Пользователь-разработчик, выполняющий вызов, должен иметь роль Search Index Data Contributor на уровне службы поиска или индекса.
Средство чтения данных индекса поиска недостаточно. Чтение с повышенными привилегиями завершается сбоем 403 Forbidden, если роль не назначена. Дополнительные сведения о ролях Поиск с использованием ИИ Azure см. в разделе Подключение к Поиск с использованием ИИ Azure с помощью ролей.
Если для заголовка x-ms-enable-elevated-read задано trueзначение, x-ms-query-source-authorization заголовок не может использоваться.
Пример чтения с повышенными привилегиями
POST {{endpoint}}/indexes/sensitivity-docs/docs/search?api-version=2026-05-01-preview
Authorization: Bearer {{contributor-token}}
x-ms-enable-elevated-read: true
Content-Type: application/json
{
"search": "*",
"select": "title,summary,sensitivityLabel",
"orderby": "title asc"
}
Поля аудита, отправленные в Microsoft Purview
Каждая запись аудита следует схеме Office 365 API действий управления и включает следующие поля.
| Категория | Поле | Описание |
|---|---|---|
| Стандартная схема | CreationTime |
Метка времени UTC для запроса на чтение с повышенными привилегиями. |
| Стандартная схема | Operation |
Имя операции, определяющее действие чтения с повышенными привилегиями. |
| Стандартная схема | OrganizationId |
Идентификатор клиента Microsoft Entra службы поиска. |
| Стандартная схема | RecordType |
Тип записи действий управления Office 365 для Поиск с использованием ИИ Azure. |
| Стандартная схема | UserType |
Тип пользователя, выдавшего запрос. |
| Стандартная схема | UserId |
Уникальный идентификатор (PUID) запрашивающего пользователя. |
| Стандартная схема | UserPrincipalName |
Основное имя пользователя (UPN) запрашивающего пользователя. |
| Стандартная схема | ClientIP |
IP-адрес вызывающего приложения. |
| Поиск с использованием ИИ Azure | UserObjectId |
Идентификатор объекта Microsoft Entra пользователя, выполняющего запрос. |
| Поиск с использованием ИИ Azure | DocumentDataSourceType |
Тип источника для доступного документа, например azureblob, , sharepointonelakeили searchIndex. |
| Поиск с использованием ИИ Azure | DocumentDataSourceId |
Идентификатор документа, к которому получен доступ, зависящий от источника, например URL BLOB-объекта или идентификатор элемента SharePoint. |
| Поиск с использованием ИИ Azure | SensitivityLabelName |
Отображаемое имя метки конфиденциальности, применяемой к доступу к документу. |
плавная деградация
Если Поиск с использованием ИИ Azure не удается подключиться к Microsoft Purview при обработке запроса, например при временном сбое в работе Purview, Поиск с использованием ИИ Azure пропускает проверку меток для этого запроса. Поведение зависит от того, включает ли запрос маркер удостоверения пользователя:
Повышенные запросы на чтение (
x-ms-enable-elevated-read: true): Запрос завершается ошибкой5xx. Поиск с использованием ИИ Azure не возвращает помеченные документы, пока не сможет создавать журналы аудита.Стандартные запросы с принудительным применением меток (с
x-ms-query-source-authorization): запрос завершается ошибкой5xx. Поиск с использованием ИИ Azure не возвращает частичные или нефильтрованные результаты, если не удается оценить политики меток.Запросы без
x-ms-query-source-authorization, выполняемые приложением, имеющим как минимум роль Search Index Data Reader: запрос выполняется успешно и возвращает только документы, у которых нет метки конфиденциальности. Помеченные документы опущены из ответа.
Этот деградированный режим обработки предназначен только для процессов, не ориентированных на пользователя, которые явно допускают использование результатов без меток. Не полагайтесь на него при реализации поиска для конечных пользователей.
Полный список кодов ошибок, возвращаемых при оценке меток конфиденциальности во время запроса, см. в разделе "Устранение ошибок запроса".
Поиск журналов аудита с повышенными привилегиями в Microsoft Purview
Поиск с использованием ИИ Azure отправляет записи аудита в журнал аудита Microsoft Purview вызывающего клиента. Чтобы исследовать повышенную активность чтения:
В Портал Microsoft Purview выберите Solutions>Audit.
Выберите Audit Search, а затем отфильтруйте по диапазону дат, пользователю или типу записи Поиск с использованием ИИ Azure.
Откройте запись для просмотра стандартных полей схемы и настраиваемых полей Поиск с использованием ИИ Azure, включая
SensitivityLabelName,DocumentDataSourceTypeиDocumentDataSourceId.
Пошаговые инструкции по выполнению поиска в журнале аудита, поведении хранения и необходимых ролях Purview см. в статье Поиск в журнале аудита на портале Microsoft Purview.
Обработка меток конфиденциальности в Поиск с использованием ИИ Azure
Если Поиск с использованием ИИ Azure индексирует содержимое документа с метками конфиденциальности из таких источников, как SharePoint, Azure Blob и другие, то он сохраняет как содержимое, так и метаданные меток. Поисковый запрос возвращает индексированное содержимое вместе с GUID, который определяет метку конфиденциальности, примененную к документу, только если у пользователя есть доступ к данным EXTRACT для этого документа, назначенного с помощью определения метки конфиденциальности. Этот GUID однозначно идентифицирует метку, но не включает свойства, доступные для чтения, такие как имя метки или связанные разрешения.
Обратите внимание, что один только идентификатор GUID недостаточен для сценариев с пользовательским интерфейсом, так как метки конфиденциальности часто содержат другие параметры управления политикой, применяемые Защита информации Microsoft Purview, такие как разрешения на печать или ограничения на создание снимков экрана и захват экрана. В Поиск с использованием ИИ Azure эти возможности не предоставляются.
Чтобы отобразить имена меток и (или) применить ограничения для пользовательского интерфейса, приложение должно вызвать конечную точку Защита информации Microsoft Purview для получения полных метаданных меток и связанных разрешений.
Guid, возвращаемый Поиск с использованием ИИ Azure, можно использовать для разрешения свойств метки и вызова API-интерфейсов меток Purview Labels для получения имени метки, описания и параметров политики.
Устранение ошибок запросов
При сбое оценки метки конфиденциальности во время запроса Поиск с использованием ИИ Azure возвращает определенный код ошибки HTTP, определяющий причину. Служба никогда не возвращает частичный или нефильтрованный результирующий набор. Если политики меток не удаётся оценить, запрос завершается ошибкой вместо того, чтобы открывать доступ к немаркированному или несанкционированному содержимому.
400 Недопустимый запрос
Ошибка 400 указывает на проблему с конфигурацией индекса или заголовками запроса. Исправьте конфигурацию перед повтором.
| Condition | Что проверить |
|---|---|
Индекс определяет новое поле метки конфиденциальности permissionFilter: sensitivityLabel и одно или несколько устаревших полей. |
Используйте только один стиль конфигурации. Удалите новое поле метки конфиденциальности или все устаревшие поля фильтра разрешений из схемы индекса. См. настройку индекса. |
Индекс определяет несколько устаревших permissionFilter: sensitivityLabel полей. |
Индекс поддерживает ровно одно устаревшее поле фильтра разрешений для меток конфиденциальности. Удалите повторяющиеся поля из схемы индекса. |
| Индекс настроен для фильтрации в Purview, но поле метки конфиденциальности не определено. | Добавьте необходимое поле метки конфиденциальности в схему индекса. См. настройку индекса. |
| Адрес электронной почты делегированного пользователя недействителен, или пользователь не находится в том же клиенте Microsoft Entra, что и служба Поиск с использованием ИИ Azure. | Убедитесь, что токен в x-ms-query-source-authorization принадлежит пользователю в том же арендаторе, что и служба поиска. Запросы между клиентами не поддерживаются. |
Microsoft Purview отклонил запрос, так как x-ms-query-source-authorization заголовок отсутствует, неправильно сформирован или клиент не подключен к Защита информации Microsoft Purview. |
Убедитесь, что заголовок x-ms-query-source-authorization присутствует и содержит допустимый делегированный маркер пользователя. Убедитесь, что клиент подключен к Защита информации Microsoft Purview. |
401 — не авторизовано
Ошибка 401 указывает на проблему с токеном авторизации или разрешениями приложения Purview.
| Condition | Что проверить |
|---|---|
Маркер Authorization: Bearer не содержит утверждения tenant ID либо является маркером только приложения без делегированного пользовательского контекста. |
Используйте делегированный маркер, содержащий утверждение идентификатора клиента. Токены только для приложений не поддерживаются для запросов с принудительным применением меток. |
Заголовок Authorization отсутствует или не использует схему Bearer . |
Authorization: Bearer <token> Добавьте заголовок в запрос. |
| Делегированный маркер недопустим или истек, согласие администратора для необходимых областей Purview отсутствует или клиент блокирует обмен маркерами для Purview. | Повторно получите токен. Если ошибка сохраняется, убедитесь, что администратор предоставил согласие администратора для необходимых разрешений API Microsoft Purview для вызывающего приложения в Microsoft Entra ID. |
| Запрос к конечной точке токена выполнен успешно, но токен доступа не был возвращён. | Проверьте конфигурацию разрешений приложения в Microsoft Entra ID. Убедитесь, что у приложения есть необходимые делегированные разрешения Purview и что получено согласие администратора. |
| Вызывающий пользователь не предоставил согласие на необходимые разрешения API Purview или не имеет доступа к Защита информации Microsoft Purview в клиенте. | Убедитесь, что у пользователя назначены необходимые разрешения Purview. Чтобы проверить доступ пользователя, обратитесь к администратору Microsoft Purview или Microsoft Entra. |
502 — Недопустимый шлюз
Ошибка 502 указывает на сбой подключения между Поиск с использованием ИИ Azure и Microsoft Purview. Эти ошибки обычно являются временными.
| Condition | Что проверить |
|---|---|
| Сбой сети или подключения возникает, когда Поиск с использованием ИИ Azure связался с Microsoft Purview. | Повторите запрос. Если ошибка сохраняется, проверьте Состояние>служб в Центр администрирования Microsoft 365, чтобы убедиться, что для Защита информации Microsoft Purview не зарегистрировано активных инцидентов. |
| Во время обмена данными Purview произошла непредвиденная ошибка. | Повторите запрос. Если ошибка сохраняется, обратитесь к служба поддержки Майкрософт. Если ответ содержит идентификатор корреляции, укажите его при отправке запроса на поддержку. |
Ошибка 504: время ожидания шлюза истекло
Ошибка 504 указывает, что Microsoft Purview не ответили в течение допустимого времени.
| Condition | Что проверить |
|---|---|
| Microsoft Purview не ответил в течение допустимого времени. | Повторите запрос— эта ошибка часто является временной. Если проблема сохраняется, проверьте Состояние>Состояние служб в центре администрирования Microsoft 365, чтобы убедиться, что в Защита информации Microsoft Purview отсутствуют активные инциденты. |
Сквозная настройка тестирования
Чтобы проверить правильность конфигурации меток конфиденциальности в Поиск с использованием ИИ Azure, ознакомьтесь с эталонным примером сквозной настройки.
В этом репозитории показано, как:
- Настройка синхронизации и учета меток конфиденциальности в Поиск с использованием ИИ Azure
- Тестирование сценариев приема и применения запросов для документов с метками конфиденциальности
- Извлеките название метки и включите его в состав ссылок на источники, используемых в ваших RAG-приложениях или агентах.