Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel lernen Sie wichtige rollenbasierte Zugriffssteuerungskonzepte (RBAC) für Microsoft Foundry kennen, einschließlich Bereiche, integrierte Rollen und allgemeine Unternehmenszuweisungsmuster.
Tipp
RBAC-Rollen gelten, wenn Sie sich mit Microsoft Entra ID authentifizieren. Wenn Sie stattdessen die schlüsselbasierte Authentifizierung verwenden, gewährt der Schlüssel uneingeschränkten Zugriff ohne Rolleneinschränkungen. Microsoft empfiehlt die Verwendung Entra ID Authentifizierung für verbesserte Sicherheit und granulare Zugriffssteuerung.
Weitere Informationen zur Authentifizierung und Autorisierung in Microsoft Foundry finden Sie unter Authentication and Authorization.
Mindestrollenzuweisungen für die ersten Schritte
Um neuen Benutzern den Zugang zu Azure und Microsoft Foundry zu ermöglichen, beginnen Sie mit diesen Mindestzuweisungen, damit sowohl Ihre Benutzerprinzipal als auch die vom Projekt verwaltete Identität auf Foundry-Funktionen zugreifen können.
Sie können aktuelle Zuordnungen mithilfe von Überprüfung des Zugriffs für einen Benutzer auf eine einzelne Azure Ressource überprüfen.
- Weisen Sie die Rolle Azure AI User Ihrer Foundry-Ressource Ihrem Benutzerprinzipal zu.
- Weisen Sie die Rolle Azure KI-Benutzer an Ihrer Foundry-Ressource der verwalteten Identität Ihres Projekts zu.
Wenn der Benutzer, der das Projekt erstellt hat, Rollen zuweisen kann (z. B. durch die Azure Owner Rolle im Abonnement- oder Ressourcengruppenbereich), werden beide Zuordnungen automatisch hinzugefügt.
Wenn Sie diese Rollen manuell zuweisen möchten, führen Sie die folgenden schnellen Schritte aus.
Zuweisen einer Rolle zu Ihrem Benutzerprinzipal
Öffnen Sie im portal Azure Ihre Foundry-Ressource, und wechseln Sie zu Access control (IAM). Erstellen sie eine Rollenzuweisung für Azure AI User, legen Sie Members auf Benutzer, Gruppen oder Dienstprinzipal fest, wählen Sie Ihren Benutzerprinzipal aus, und wählen Sie dann Review + assign aus.
Zuweisen einer Rolle der verwalteten Identität Ihres Projekts
Öffnen Sie im Azure-Portal Ihr Foundry-Projekt, und wechseln Sie zu Access control (IAM). Erstellen sie eine Rollenzuweisung für Azure AI User, legen Sie Members auf Managed Identity fest, wählen Sie die verwaltete Identität Ihres Projekts und dann Review + assign aus.
Terminologie für rollenbasierte Zugriffssteuerung in Foundry
Um die rollenbasierte Zugriffssteuerung in Microsoft Foundry zu verstehen, sollten Sie zwei Fragen für Ihr Unternehmen in Betracht ziehen.
- Welche Berechtigungen soll mein Team beim Erstellen in Microsoft Foundry haben?
- Zu welchem Bereich möchte ich meinem Team Berechtigungen zuweisen?
Um diese Fragen zu beantworten, finden Sie hier Beschreibungen einiger Terminologie, die in diesem Artikel verwendet werden.
- Berechtigungen: Zulässige oder verweigerte Aktionen, die eine Identität für eine Ressource ausführen kann, z. B. Lesen, Schreiben, Löschen oder Verwalten von Steuerungsebenen- und Datenebenenvorgängen.
- Scope: Die Gruppe der Azure Ressourcen, für die eine Rollenzuweisung gilt. Typische Bereiche sind Abonnement, Ressourcengruppe, Foundry-Ressource oder Foundry-Projekt.
- Role: Eine benannte Sammlung von Berechtigungen, die definiert, welche Aktionen für Azure Ressourcen in einem bestimmten Bereich ausgeführt werden können.
Eine Identität erhält eine Rolle mit bestimmten Berechtigungen in einem ausgewählten Bereich basierend auf Ihren Unternehmensanforderungen.
Berücksichtigen Sie in Microsoft Foundry zwei Umfänge bei der Durchführung von Rollenzuweisungen.
- Foundry-Ressource: Der Bereich der obersten Ebene, der die Administrativen, Sicherheits- und Überwachungsgrenzen für eine Microsoft Foundry-Umgebung definiert.
- Gießereiprojekt: Ein Unterbereich innerhalb einer Foundry-Ressource, der zum Organisieren von Arbeiten und zum Erzwingen der Zugriffssteuerung für Foundry-APIs, -Tools und -Entwicklerworkflows verwendet wird.
Integrierte Rollen
Eine built-in-Rolle in Foundry ist eine Rolle, die von Microsoft erstellt wird, die allgemeine Zugriffsszenarien abdeckt, die Sie Ihren Teammitgliedern zuweisen können. Wichtige integrierte Rollen, die in Azure verwendet werden, umfassen Besitzer, Mitwirkender und Leser. Diese Rollen sind nicht spezifisch für Foundry-Ressourcenberechtigungen.
Verwenden Sie für Foundry-Ressourcen zusätzliche integrierte Rollen, um den Grundsatz des minimalen Zugriffs zu erfüllen. In der folgenden Tabelle sind wichtige integrierte Rollen für Foundry und Links zu den genauen Rollendefinitionen in AI + Machine Learning integrierten Rollen aufgeführt.
| Rolle | Beschreibung |
|---|---|
| Azure AI User | Gewährt Lesezugriff auf Foundry-Projekt, Foundry-Ressource und Datenaktionen für Ihr Foundry-Projekt. Wenn Sie Rollen zuweisen können, wird ihnen diese Rolle automatisch zugewiesen. Andernfalls erteilt Ihr Abonnementbesitzer oder ein Benutzer mit Rollenzuweisungsberechtigungen diese Berechtigung. Rolle "Zugriffsrolle mit geringsten Privilegien" in Foundry. |
| Azure AI Project Manager | Hiermit können Sie Verwaltungsaktionen für Foundry-Projekte ausführen, projekte erstellen und entwickeln und die Azure KI-Benutzerrolle bedingt anderen Benutzerprinzipalen zuweisen. |
| Azure AI-Kontobesitzer | Gewährt vollen Zugriff auf die Verwaltung von Projekten und Ressourcen und ermöglicht auch die bedingte Zuweisung der Azure KI-Benutzerrolle an andere Benutzerprinzipale. |
| Azure AI Owner | Gewährt vollen Zugriff auf verwaltete Projekte und Ressourcen und ermöglicht das Bauen und Entwickeln mit Projekten. Stark privilegierte Selbstverwaltungsrolle, die für digitale Natives entwickelt wurde. |
Hinweis
Weisen Sie keine integrierten Rollen zu, die mit Cognitive Services beginnen. Diese Rollen sind für den direkten Zugriff auf AI Services-Ressourcen konzipiert und gelten nicht für Foundry-Szenarien. Ebenso verwenden Sie nicht die Rolle Azure AI Developer für Foundry-Arbeiten. Trotz des Namens ist diese Rolle auf Azure Machine Learning- und Foundry-Hubs beschränkt und zwar nicht auf Foundry-Projektressourcen.
Berechtigungen für jede integrierte Rolle
Verwenden Sie die folgende Tabelle, um die berechtigungen anzuzeigen, die für jede integrierte Rolle in Microsoft Foundry zulässig sind.
| Integrierte Rolle | Erstellen von Foundry-Projekten | Erstellen von Foundry-Konten | Erstellen und Entwickeln eines Projekts (Datenaktionen) | Vollständige Rollenzuweisungen | Lesezugriff auf Projekte und Konten | Verwalten von Modellen | Veröffentlichen von Agenten |
|---|---|---|---|---|---|---|---|
| Azure AI User | ✔ | ✔ | |||||
| Azure AI Project Manager | ✔ | ✔ (nur die Azure AI-Benutzerrolle zuweisen) | ✔ | ✔ | |||
| Azure AI-Kontobesitzer | ✔ | ✔ | ✔ (nur die Azure AI-Benutzerrolle zuweisen) | ✔ | ✔ | ||
| Azure AI Owner | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Verwenden Sie die folgende Tabelle, um die für jede der Azure-integrierten Rollen (Besitzer, Mitwirkender, Leser) zulässigen Berechtigungen anzuzeigen.
| Integrierte Rolle | Erstellen von Foundry-Projekten | Erstellen von Foundry-Konten | Erstellen und Entwickeln eines Projekts (Datenaktionen) | Vollständige Rollenzuweisungen | Lesezugriff auf Projekte und Konten | Verwalten von Modellen | Veröffentlichen von Agenten |
|---|---|---|---|---|---|---|---|
| Besitzer | ✔ | ✔ | ✔ (Jedem Benutzer eine beliebige Rolle zuweisen) | ✔ | ✔ | ✔ | |
| Beitrag | ✔ | ✔ | ✔ | ✔ | |||
| Leser | ✔ |
Zum Veröffentlichen von Agents benötigen Sie mindestens die Azure AI Project Manager Rolle im Foundry-Ressourcenbereich. Weitere Informationen finden Sie unter Agent-Anwendungen in Microsoft Foundry.
Verwenden Sie diese Registerkarten, um die Unterschiede zwischen den vordefinierten Rollen zu erkunden, die auf der Foundry-Ressourcenebene zugewiesen sind (mit Ausnahme des Owners, der auf der Abonnementebene zugewiesen ist).
Beispiele für die Zuordnungen von Enterprise RBAC zu Projekten
Hier ist ein Beispiel für die Implementierung der rollenbasierten Zugriffssteuerung (RBAC) für eine Enterprise Foundry-Ressource.
| Persona | Rolle und Bereich | Zweck |
|---|---|---|
| IT-Administrator | Eigentümer im Abonnementkontext | Der IT-Administrator stellt sicher, dass die Foundry-Ressource Enterprise-Standards erfüllt. Weisen Sie Managern die Rolle Azure AI Account Owner auf der Ressource zu, damit sie neue Foundry-Accounts erstellen können. Weisen Sie Managern die Azure KI-Project-Manager Rolle für die Ressource zu, damit sie Projekte in einem Konto erstellen können. |
| Manager | Azure AI-Kontobesitzer im Ressourcenbereich "Foundry" | Manager verwalten die Foundry-Ressource, stellen Modelle bereit, prüfen Rechenressourcen, prüfen Verbindungen und erstellen freigegebene Verbindungen. Sie können nicht an Projekten arbeiten, aber sie können die Azure AI-Benutzerrolle für sich selbst und andere zuweisen, um mit der Entwicklung zu beginnen. |
| Teamleiter oder Leadentwickler | Azure-AI-Projektmanager im Ressourcenbereich "Foundry" | Leitende Entwickler legen Projekte für ihr Team an und beginnen mit der Entwicklung in diesen Projekten. Nachdem Sie ein Projekt erstellt haben, laden die Projektbesitzer andere Mitglieder ein und weisen ihnen die Rolle Azure AI User zu. |
| Teammitglieder oder Entwickler | Azure AI-Benutzer im Foundry-Projektbereich und Leser im Foundry-Ressourcenbereich | Entwickler erstellen Agents in einem Projekt mit vorinstallierten Foundry-Modellen und vordefinierten Verbindungen. |
Verwalten von Rollenzuweisungen
Um Rollen in Foundry zu verwalten, müssen Sie über die Berechtigung zum Zuweisen und Entfernen von Rollen in Azure verfügen. Die integrierte Azure Owner Rolle enthält diese Berechtigung. Sie können Rollen über das Findry-Portal (Administratorseite), Azure Portal IAM oder Azure CLI zuweisen. Sie können Rollen mithilfe von Azure Portal IAM oder Azure CLI entfernen.
Verwalten Sie im Gießereiportal Die Berechtigungen wie folgt:
- Öffnen Sie die Admin-Seite in Foundry und wählen Sie dann Betreiben> bei Admin aus.
- Wählen Sie ihren Projektnamen aus.
- Wählen Sie "Benutzer hinzufügen" aus, um den Projektzugriff zu verwalten. Diese Aktion ist nur verfügbar, wenn Sie über Rollenzuweisungsberechtigungen verfügen.
- Wenden Sie denselben Vorgang für den Zugriff auf die Ressourcenebene von Foundry an.
Sie können Berechtigungen im Azure-Portal unter Access Control (IAM) oder mithilfe von Azure CLI verwalten.
Mit dem folgenden Befehl wird beispielsweise die Azure KI-Benutzerrolle joe@contoso.com für Ressourcengruppe this-rg im Abonnement 00000000-0000-0000-0000-000000000000 zugewiesen:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Erstellen benutzerdefinierter Rollen für Projekte
Wenn die integrierten Rollen ihre Unternehmensanforderungen nicht erfüllen, erstellen Sie eine benutzerdefinierte Rolle, die eine präzise Kontrolle über zulässige Aktionen und Bereiche ermöglicht. Hier ist ein Beispiel für eine benutzerdefinierte Rollendefinition auf Abonnementebene:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Weitere Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie in den folgenden Artikeln.
- Azure Portal
- Azure CLI
- Azure PowerShell
- Disable Preview-Features in Microsoft Foundry. Dieser Artikel enthält weitere Details zu spezifischen Berechtigungen in Foundry über steuerungs- und Datenebene hinweg, die Sie beim Erstellen benutzerdefinierter Rollen verwenden können.
Hinweise und Einschränkungen
- Um gelöschte Foundry-Konten anzuzeigen und zu löschen, müssen Sie die Rolle "Mitwirkender" im Abonnementbereich zugewiesen haben.
- Benutzer mit der Rolle "Mitwirkender" können Modelle in Foundry bereitstellen.
- Sie benötigen die Rolle "Besitzer" im Bereich einer Ressource, um benutzerdefinierte Rollen in der Ressource zu erstellen.
- Wenn Sie Berechtigungen zum Zuweisen von Rollen in Azure haben (z. B. die im Kontobereich zugewiesene Rolle „Besitzer“) und eine Foundry-Ressource über das Azure-Portal oder die Benutzeroberfläche des Foundry-Portals bereitstellen, wird Ihrem Benutzerkonto automatisch die Azure-KI-Benutzerrolle zugewiesen. Diese Zuweisung gilt nicht bei der Bereitstellung von Foundry aus SDK oder CLI.
- Wenn Sie eine Foundry-Ressource erstellen, gewähren Ihnen die integrierten rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) Zugriff auf die Ressource. Um Ressourcen zu verwenden, die außerhalb von Foundry erstellt wurden, stellen Sie sicher, dass die Ressource über Berechtigungen verfügt, mit denen Sie darauf zugreifen können. Hier sind einige Beispiele:
- Um ein neues Azure Blob Storage-Konto zu verwenden, fügen Sie die verwaltete Identität des Foundry-Kontos der Rolle „Storage Blob Data Reader“ für das Speicherkonto hinzu.
- Wenn Sie eine neue Azure KI-Suche Quelle verwenden möchten, fügen Sie "Foundry" zu den Azure KI-Suche Rollenzuweisungen hinzu.
- Um ein Modell in Foundry zu optimieren, benötigen Sie Sowohl Datenebenen- als auch Steuerungsebenenberechtigungen. Das Bereitstellen eines fein abgestimmten Modells ist eine Berechtigung für die Steuerungsebene. Daher ist die einzige integrierte Rolle mit Berechtigungen für Datenebenen und Steuerungsebene die Rolle Azure AI Owner. Wenn Sie es vorziehen, können Sie auch die Rolle Azure AI User für Berechtigungen für die Datenebene und die Rolle Azure AI-Kontobesitzer für Berechtigungen der Steuerungsebene zuweisen.
Verwandte Inhalte
- Erstellen Sie ein Projekt.
- Überprüfung des Zugriffs für einen Benutzer auf eine einzelne Azure Ressource.
- Authentifizierung und Autorisierung in Gießerei.
- Disable Preview-Features in Microsoft Foundry.
- Referenz zu gehosteten Agentberechtigungen.
Anhang
Beispiele für Zugriffsisolation
Je nach Benutzerpersonas in ihrem Unternehmen kann jede Organisation unterschiedliche Zugriffsisolationsanforderungen haben. Die Zugriffsisolation bezieht sich darauf, welche Benutzer in Ihrem Unternehmen über die Rollenzuweisungen für eine Trennung von Berechtigungen mithilfe unserer integrierten Rollen oder einer einheitlichen, stark eingeschränkten Rolle verfügen. Es gibt drei Zugriffsisolationsoptionen für Foundry, die Sie je nach Ihren Zugriffsisolationsanforderungen für Ihre Organisation auswählen können.
Keine Zugriffsisolation. Dies bedeutet, dass Sie in Ihrem Unternehmen keine Anforderungen haben, die Berechtigungen zwischen Entwicklern, Projektmanagern oder Administratoren trennen. Die Berechtigungen für diese Rollen können teamsübergreifend zugewiesen werden.
Daher sollten Sie...
- Allen Benutzern in Ihrem Unternehmen die Rolle Azure AI Owner für den Ressourcenbereich gewähren
Partielle Zugriffsisolation. Dies bedeutet, dass der Projektmanager in Ihrem Unternehmen in der Lage sein sollte, innerhalb von Projekten zu entwickeln und Projekte zu erstellen. Ihre Administratoren sollten jedoch nicht in der Lage sein, innerhalb von Foundry zu entwickeln, sondern nur Foundry-Projekte und -Konten zu erstellen.
Daher sollten Sie...
- Gewähren Sie Ihrem Administrator Azure AI-Kontobesitzer im Ressourcenbereich
- Gewähren Sie Ihren Entwicklern und Projektmanagern die Rolle des Azure AI Project Manager für die Ressource.
Vollständige Zugriffsisolation. Dies bedeutet, dass Ihren Administratoren, Projektmanagern und Entwicklern klare Berechtigungen zugewiesen sind, die sich nicht für ihre verschiedenen Funktionen innerhalb eines Unternehmens überlappen.
Daher sollten Sie...
- Gewähren Sie Ihrem Administrator die Rolle des Azure AI-Kontobesitzers im Rahmen von Ressourcen.
- Gewähren Sie Ihrem Entwickler die Rolle Reader im Ressourcenbereich der Foundry und die Rolle Azure AI User im Bereich des Projekts.
- Gewähren Sie Ihrem Project Manager die Rolle Azure AI Project Manager für den Ressourcenbereich
Verwenden von Microsoft Entra Gruppen mit Foundry
Microsoft Entra ID bietet verschiedene Möglichkeiten zum Verwalten des Zugriffs auf Ressourcen, Anwendungen und Aufgaben. Mithilfe von Microsoft Entra Gruppen können Sie einer Gruppe von Benutzern statt jedem einzelnen Benutzer Zugriff und Berechtigungen erteilen. IT-Administratoren von Unternehmen können Microsoft Entra Gruppen im Azure-Portal erstellen, um den Rollenzuweisungsprozess für Entwickler zu vereinfachen. Wenn Sie eine Microsoft Entra Gruppe erstellen, können Sie die Anzahl der Rollenzuweisungen minimieren, die für neue Entwickler erforderlich sind, die an Foundry-Projekten arbeiten, indem Sie der Gruppe die erforderliche Rollenzuweisung für die erforderliche Ressource zuweisen.
Führen Sie die folgenden Schritte aus, um Microsoft Entra ID Gruppen mit Foundry zu verwenden:
- Erstellen Sie eine SecurityGruppe in Groups im Azure-Portal.
- Fügen Sie einen Besitzer und die Benutzerkonten in Ihrer Organisation hinzu, die einen gemeinsamen Zugriff benötigen.
- Öffnen Sie die Zielressource, und wechseln Sie zu Access Control (IAM).
- Weisen Sie dem Benutzer, der Gruppe oder dem Dienstprinzipal die erforderliche Rolle zu, und wählen Sie die neue Sicherheitsgruppe aus.
- Wählen Sie "Überprüfen" und "Zuweisen" aus, damit die Rollenzuweisung für alle Mitglieder der Gruppe gilt.
Häufige Beispiele:
- Um Agenten zu erstellen, führen Sie Traces aus, und verwenden Sie zentrale Foundry-Funktionen, weisen Sie Azure AI User der Gruppe Microsoft Entra zu.
- Um Ablaufverfolgungs- und Überwachungsfunktionen zu verwenden, weisen Sie Reader der verbundenen Application Insights-Ressource der gleichen Gruppe zu.
Weitere Informationen zu Microsoft Entra ID Gruppen, Voraussetzungen und Einschränkungen finden Sie unter: