Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leert u de belangrijkste RBAC-concepten (op rollen gebaseerd toegangsbeheer) voor Microsoft Foundry, waaronder bereiken, ingebouwde rollen en algemene patronen voor ondernemingstoewijzing.
Tip
RBAC-rollen zijn van toepassing wanneer u zich verifieert met behulp van Microsoft Entra ID. Als u in plaats daarvan verificatie op basis van sleutels gebruikt, verleent de sleutel volledige toegang zonder rolbeperkingen. Microsoft raadt het gebruik van Entra ID-verificatie aan voor een betere beveiliging en gedetailleerd toegangsbeheer.
Zie Authentication and Authorization voor meer informatie over verificatie en autorisatie in Microsoft Foundry.
Minimale roltoewijzingen om aan de slag te gaan
Voor nieuwe gebruikers van Azure en Microsoft Foundry, begin met deze minimale toewijzingen, zodat zowel uw user principal als projectbeheerde identiteit Foundry-functies kunnen gebruiken.
U kunt huidige toewijzingen controleren met behulp van Controleer toegang voor een gebruiker tot een enkele Azure-resource.
- Wijs de rol Azure AI-gebruiker toe aan de gebruiker-principal.
- Wijs de rol Azure AI-gebruiker op uw Foundry-resource toe aan de beheerde identiteit van uw project.
Als de gebruiker die het project heeft gemaakt, rollen kan toewijzen (bijvoorbeeld door de rol Azure Owner op abonnements- of resourcegroepbereik te hebben), worden beide toewijzingen automatisch toegevoegd.
Als u deze rollen handmatig wilt toewijzen, gebruikt u de volgende snelle stappen.
Een rol toewijzen aan uw gebruikersprincipaal
Open uw Foundry-resource in de Azure portal en ga naar Access control (IAM). Een roltoewijzing maken voor Azure AI-gebruiker, stel Lids in op Gebruiker, groep of service-principal, selecteer uw gebruikers-principal en selecteer vervolgens Review + assign.
Een rol toewijzen aan de beheerde identiteit van uw project
Open uw Foundry-project in de Azure portal en ga naar Toegangsbeheer (IAM). Een roltoewijzing maken voor Azure AI-gebruiker, stel Lids in op Beheerde identiteit, selecteer de beheerde identiteit van uw project en selecteer vervolgens Review + assign.
Terminologie voor op rollen gebaseerd toegangsbeheer in Foundry
Als u inzicht wilt krijgen in op rollen gebaseerd toegangsbeheer in Microsoft Foundry, moet u rekening houden met twee vragen voor uw onderneming.
- Welke machtigingen wil ik dat mijn team heeft bij het bouwen in Microsoft Foundry?
- Op welk niveau wil ik machtigingen aan mijn team toewijzen?
Hier volgen beschrijvingen van een aantal terminologie die in dit artikel wordt gebruikt om deze vragen te beantwoorden.
- Machtigingen: toegestane of geweigerde acties die een identiteit kan uitvoeren op een resource, zoals lezen, schrijven, verwijderen of beheren van besturingsvlak- en gegevensvlakbewerkingen.
- Scope: De set Azure resources waarop een roltoewijzing van toepassing is. Typische scopes zijn abonnement, resourcegroep, Foundry-resource of Foundry-project.
- Role: Een benoemde verzameling machtigingen waarmee wordt gedefinieerd welke acties op Azure resources binnen een bepaald bereik kunnen worden uitgevoerd.
Een identiteit krijgt een rol met specifieke machtigingen voor een geselecteerd bereik op basis van uw bedrijfsvereisten.
Houd in Microsoft Foundry rekening met twee bereiken bij het voltooien van roltoewijzingen.
- Foundry resource: Het bereik op het hoogste niveau waarmee de grens voor beheer, beveiliging en bewaking voor een Microsoft Foundry-omgeving wordt gedefinieerd.
- Foundry-project: een subbereik binnen een Foundry-resource die wordt gebruikt om werk te organiseren en toegangsbeheer af te dwingen voor Foundry-API's, hulpprogramma's en ontwikkelaarswerkstromen.
Ingebouwde rollen
Een ingebouwde rol in Foundry is een rol die is gemaakt door Microsoft die betrekking heeft op veelvoorkomende toegangsscenario's die u aan uw teamleden kunt toewijzen. Belangrijke ingebouwde rollen die in Azure worden gebruikt, omvatten Eigenaar, Inzender en Lezer. Deze rollen zijn niet specifiek voor Foundry-resourcemachtigingen.
Gebruik voor Foundry-resources aanvullende ingebouwde rollen om de principes voor toegang tot minimale bevoegdheden te volgen. De volgende tabel bevat de belangrijkste ingebouwde rollen voor Foundry en koppelingen naar de exacte roldefinities in AI + Machine Learning ingebouwde rollen.
| Rol | Beschrijving |
|---|---|
| Azure AI-gebruiker | Verleent gebruikers toegang tot Foundry-projecten, Foundry-resources en gegevensacties binnen uw Foundry-project. Als u rollen kunt toewijzen, wordt deze rol automatisch aan u toegewezen. Anders verleent uw abonnementseigenaar of een gebruiker met roltoewijzingsmachtigingen deze. Toegangsrol met minimale bevoegdheden in Foundry. |
| Azure AI Project Manager | Hiermee kunt u beheeracties uitvoeren op Foundry-projecten, bouwen en ontwikkelen met projecten en de Azure AI-gebruikersrol voorwaardelijk toewijzen aan andere gebruikersprinciplen. |
| Azure AI-accounteigenaar | Hiermee verleent u volledige toegang tot het beheren van projecten en resources en kunt u de Azure AI-gebruikersrol voorwaardelijk toewijzen aan andere gebruikersprinciplen. |
| Azure AI-eigenaar | Verleent volledige toegang tot beheerde projecten en resources en bouw en ontwikkel met projecten. Hoog bevoordeelde zelfbedieningsrol die is ontworpen voor digitale inboorlingen. |
Opmerking
Wijs geen ingebouwde rollen toe die beginnen met Cognitive Services. Deze rollen zijn ontworpen om rechtstreeks toegang te krijgen tot AI Services-resources en zijn niet van toepassing op Foundry-scenario's. Gebruik ook niet de rol Azure AI Developer voor Foundry-werk. Ondanks de naam is deze rol gericht op Azure Machine Learning- en Foundry-hubs, niet op Foundry-projectbronnen.
Machtigingen voor elke ingebouwde rol
Gebruik de volgende tabel om de machtigingen te zien die zijn toegestaan voor elke ingebouwde rol in Microsoft Foundry.
| Ingebouwde rol | Foundry-projecten maken | Foundry-accounts maken | Bouwen en ontwikkelen in een project (gegevensacties) | Roltoewijzingen voltooien | Lezertoegang tot projecten en accounts | Modellen beheren | Agents publiceren |
|---|---|---|---|---|---|---|---|
| Azure AI-gebruiker | ✔ | ✔ | |||||
| Azure AI Project Manager | ✔ | ✔ (wijs alleen Azure AI-gebruikersrol toe) | ✔ | ✔ | |||
| Azure AI-accounteigenaar | ✔ | ✔ | ✔ (wijs alleen Azure AI-gebruikersrol toe) | ✔ | ✔ | ||
| Azure AI-eigenaar | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Gebruik de volgende tabel om de machtigingen te zien die zijn toegestaan voor elk van de ingebouwde Azure-rollen (Eigenaar, Medewerker, Lezer).
| Ingebouwde rol | Foundry-projecten maken | Foundry-accounts maken | Bouwen en ontwikkelen in een project (gegevensacties) | Roltoewijzingen voltooien | Lezertoegang tot projecten en accounts | Modellen beheren | Agents publiceren |
|---|---|---|---|---|---|---|---|
| Eigenaar | ✔ | ✔ | ✔ (wijs een rol toe aan elke gebruiker) | ✔ | ✔ | ✔ | |
| Inzender | ✔ | ✔ | ✔ | ✔ | |||
| Lezer | ✔ |
Als u agents wilt publiceren, hebt u minimaal de rol Azure AI Project Manager nodig binnen het toepassingsgebied van Foundry. Zie Agent-toepassingen in Microsoft Foundry voor meer informatie.
Gebruik deze tabbladen om de verschillen tussen de ingebouwde rollen te verkennen, toegewezen op het niveau van de Foundry-resource (met uitzondering van eigenaar, die is toegewezen op abonnementsniveau)
Voorbeeld van enterprise RBAC-toewijzingen voor projecten
Hier volgt een voorbeeld van het implementeren van op rollen gebaseerd toegangsbeheer (RBAC) voor een enterprise Foundry-resource.
| Persona | Rol en bereik | Purpose |
|---|---|---|
| IT-beheerder | Eigenaar van abonnementsbereik | De IT-beheerder zorgt ervoor dat de Foundry-resource voldoet aan bedrijfsstandaarden. Wijs managers de rol Azure AI-accounteigenaar toe aan de resource, zodat ze nieuwe Foundry-accounts kunnen maken. Wijs managers de rol Azure AI Project Manager toe aan de resource om ze projecten binnen een account te laten maken. |
| Leidinggevenden | Azure AI-accounteigenaar op het Foundry-resourcebereik | Managers beheren de Foundry-resource, implementeren modellen, rekenresources controleren, verbindingen controleren en gedeelde verbindingen maken. Ze kunnen niet bouwen in projecten, maar ze kunnen de rol Azure AI-gebruiker aan zichzelf en anderen toewijzen om te beginnen met bouwen. |
| Teamleider of leadontwikkelaar | Azure AI Project Manager voor het Foundry-resourcescope | Leadontwikkelaars maken projecten voor hun team en beginnen met bouwen in deze projecten. Nadat u een project hebt gemaakt, nodigen projecteigenaren andere leden uit en wijzen ze de rol Azure AI-gebruiker toe. |
| Teamleden of ontwikkelaars | Azure AI-gebruiker in het Foundry-projectbereik en lezer in het Foundry-resourcebereik. | Ontwikkelaars bouwen agents in een project met vooraf geïmplementeerde Foundry-modellen en vooraf gebouwde verbindingen. |
Roltoewijzingen beheren
Als u rollen in Foundry wilt beheren, moet u gemachtigd zijn om rollen in Azure toe te wijzen en te verwijderen. De ingebouwde Azure Owner rol omvat die machtiging. U kunt rollen toewijzen via de Foundry-portal (beheerpagina), Azure portal-IAM of Azure CLI. U kunt rollen verwijderen met behulp van Azure portal-IAM of Azure CLI.
Beheer machtigingen in de Foundry-portal door:
- Open de beheerderspagina in Foundry en selecteer Beheerder beheren>.
- Selecteer uw projectnaam.
- Selecteer Gebruiker toevoegen om projecttoegang te beheren. Deze actie is alleen beschikbaar als u machtigingen voor roltoewijzing hebt.
- Pas hetzelfde proces toe voor toegang op Foundry-resourceniveau.
U kunt machtigingen beheren in de Azure portal onder Access Control (IAM) of met behulp van Azure CLI.
Met de volgende opdracht wordt bijvoorbeeld de Azure AI-gebruikersrol toegewezen aan joe@contoso.com voor resourcegroep this-rg in abonnement 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Aangepaste rollen maken voor projecten
Als de ingebouwde rollen niet voldoen aan uw bedrijfsvereisten, maakt u een aangepaste rol die nauwkeurige controle biedt over toegestane acties en bereiken. Hier volgt een voorbeeld van een aangepaste roldefinitie op abonnementsniveau:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Zie de volgende artikelen voor meer informatie over het maken van een aangepaste rol.
- Azure portal
- Azure CLI
- Azure PowerShell
- Schakel previewfuncties uit in Microsoft Foundry. In dit artikel vindt u meer informatie over specifieke machtigingen in Foundry over het beheer- en gegevensvlak dat u kunt gebruiken bij het bouwen van aangepaste rollen.
Notities en beperkingen
- Als u verwijderde Foundry accounts wilt weergeven en opschonen, moet de rol van Bijdrager zijn toegewezen op het niveau van de abonnementsinstelling.
- Gebruikers met de rol Inzender kunnen modellen implementeren in Foundry.
- U hebt de rol Eigenaar voor het bereik van een resource nodig om aangepaste rollen in de resource te maken.
- Als u machtigingen hebt om rollen toe te wijzen in Azure (bijvoorbeeld de rol Eigenaar die is toegewezen aan het accountbereik) aan uw gebruikersprincipaal en u een Foundry-resource implementeert vanuit de gebruikersinterface van de Azure-portal of foundry-portal, wordt de Azure AI-gebruikersrol automatisch toegewezen aan uw gebruikersprincipaal. Deze toewijzing is niet van toepassing bij het implementeren van Foundry vanuit SDK of CLI.
- Wanneer u een Foundry-resource maakt, hebt u met de ingebouwde RBAC-machtigingen (Role-Based Access Control) toegang tot de resource. Als u resources wilt gebruiken die buiten Foundry zijn gemaakt, moet u ervoor zorgen dat de resource machtigingen heeft waarmee u er toegang toe hebt. Hier volgen enkele voorbeelden:
- Als u een nieuw Azure Blob Storage-account wilt gebruiken, voegt u de beheerde identiteit van de Foundry-accountresource toe aan de rol Opslagblobgegevenslezer voor dat opslagaccount.
- Als u een nieuwe Azure AI Zoeken bron wilt gebruiken, voegt u Foundry toe aan de Azure AI Zoeken roltoewijzingen.
- Als u een model in Foundry wilt verfijnen, hebt u machtigingen voor zowel het gegevensvlak als het besturingsvlak nodig. Het implementeren van een nauwkeurig afgestemd model is een machtiging voor het besturingsvlak. Daarom is de enige ingebouwde rol met machtigingen voor zowel het gegevensvlak als het besturingsvlak de rol Azure AI-eigenaar. Als u wilt, kunt u ook de rol Azure AI-gebruiker toewijzen voor machtigingen voor gegevensvlakken en de rol Azure AI-accounteigenaar rol voor machtigingen voor besturingsvlak.
Verwante inhoud
- Maak een project.
- Controleer de toegang van een gebruiker tot één Azure-bron.
- Verificatie en autorisatie in Foundry.
- Schakel previewfuncties uit in Microsoft Foundry.
- Naslaginformatie over gehoste agentmachtigingen.
Aanhangsel
Voorbeelden van toegangsisolatie
Elke organisatie kan verschillende vereisten voor toegangsisolatie hebben, afhankelijk van de persona's van de gebruiker in hun onderneming. Toegangsscheiding verwijst naar welke gebruikers binnen uw onderneming roltoewijzingen krijgen voor een scheiding van rechten met behulp van onze ingebouwde rollen of een verenigde, zeer permissieve rol. Er zijn drie opties voor isolatie van toegang voor Foundry die u kunt selecteren voor uw organisatie, afhankelijk van uw vereisten voor toegangsisolatie.
Geen toegangsisolatie. Dit betekent dat u in uw onderneming geen vereisten hebt die machtigingen scheiden tussen een ontwikkelaar, projectmanager of beheerder. De machtigingen voor deze rollen kunnen worden toegewezen aan alle teams.
Daarom moet u...
- Geef alle gebruikers in uw onderneming de rol Azure AI-eigenaar op het resourcebereik
Gedeeltelijke toegangsisolatie. Dit betekent dat de projectmanager in uw onderneming binnen projecten moet kunnen ontwikkelen en projecten moeten kunnen maken. Maar uw beheerders mogen zich niet kunnen ontwikkelen in Foundry, maar alleen Foundry-projecten en -accounts maken.
Daarom moet u...
- Geef uw beheerder de rol van Azure AI-accounteigenaar op het niveau van de resource.
- Geef uw ontwikkelaars en projectmanagers de Azure AI Project Manager-rol op de resource
Volledige toegangsisolatie. Dit betekent dat uw beheerders, projectmanagers en ontwikkelaars duidelijke machtigingen hebben die niet overlappen voor hun verschillende functies binnen een onderneming.
Daarom moet u...
- Verdeel uw beheerder de Azure AI-accounteigenaar voor het resourcebereik
- Geef uw ontwikkelaar de rol Reader in het bereik van de Foundry-resource en Azure AI Gebruiker in het bereik van het project
- Geef uw projectmanager de rol Azure AI Project Manager op het resourcebereik.
Microsoft Entra groepen gebruiken met Foundry
Microsoft Entra ID biedt verschillende manieren om de toegang tot resources, toepassingen en taken te beheren. Met behulp van Microsoft Entra groepen kunt u toegang en machtigingen verlenen aan een groep gebruikers in plaats van aan elke afzonderlijke gebruiker. Ondernemings-IT-beheerders kunnen Microsoft Entra groepen maken in de Azure-portal om het roltoewijzingsproces voor ontwikkelaars te vereenvoudigen. Wanneer u een Microsoft Entra groep maakt, kunt u het aantal roltoewijzingen minimaliseren dat nodig is voor nieuwe ontwikkelaars die aan Foundry-projecten werken door de groep de vereiste roltoewijzing toe te wijzen aan de benodigde resource.
Voer de volgende stappen uit om Microsoft Entra ID groepen te gebruiken met Foundry:
- Maak een groep Security in Groups in de Azure-portal.
- Voeg een eigenaar en de gebruikers-principals toe in uw organisatie die gedeelde toegang nodig hebben.
- Open de doelresource en ga naar Toegangsbeheer (IAM).
- Wijs de vereiste rol toe aan Gebruiker, groep of service-principal en selecteer de nieuwe beveiligingsgroep.
- Selecteer Beoordelen en toewijzen , zodat de roltoewijzing van toepassing is op alle leden van de groep.
Veelvoorkomende voorbeelden:
- Als u agents wilt bouwen, traceringen wilt uitvoeren en kernmogelijkheden van Foundry wilt gebruiken, wijst u Azure AI User toe aan de Microsoft Entra-groep.
- Om tracerings- en bewakingsfuncties te gebruiken, wijst u in de verbindend Application Insights-resource de rol Lezer toe aan dezelfde groep.
Raadpleeg voor meer informatie over Microsoft Entra ID groepen, vereisten en beperkingen: