Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Dieses Feature befindet sich derzeit in der öffentlichen Vorschau. Diese Vorschau wird ohne Vereinbarung auf Serviceebene bereitgestellt und wird für Produktionsworkloads nicht empfohlen. Bestimmte Features werden möglicherweise nicht unterstützt oder weisen eingeschränkte Funktionen auf. Weitere Informationen finden Sie unter Supplementale Nutzungsbedingungen für Microsoft Azure Previews.
Zum Zeitpunkt der Abfrage kann Azure KI-Suche Richtlinien für Vertraulichkeitsbezeichnungen erzwingen, die in Microsoft Purview definiert sind. Diese Richtlinien umfassen die Auswertung von EXTRACT Nutzungsrechten , die jedem Dokument zugeordnet sind, und sicherstellen, dass Benutzer nur Dokumente abrufen können, auf die sie zugreifen dürfen.
Diese Funktion erweitert die Zugriffssteuerung auf Dokumentebene, um mit den Informationsschutz- und Complianceanforderungen Ihrer Organisation, die in Microsoft Purview verwaltet werden, übereinzustimmen.
Wenn die Indizierung von Purview-Sensitivitätsbezeichnungen aktiviert ist, überprüft Azure KI-Suche während der Abfragezeit die Bezeichnungsmetadaten jedes Dokuments. Es wendet Zugriffsfilter basierend auf Purview-Richtlinien an, um nur Ergebnisse zurückzugeben, auf die der anfordernde Benutzer zugreifen darf.
In diesem Artikel wird erklärt, wie die Durchsetzung von Vertraulichkeitskennzeichnungen zur Abfragezeit funktioniert und wie man sichere Suchabfragen stellt.
Voraussetzungen
Schließen Sie alle Schritte unter Benutzen Sie Azure KI-Suche Indexer, um Microsoft Purview Vertraulichkeitskennzeichnungen einzubinden ab.
Sowohl der Azure KI-Suche-Dienst als auch der Benutzer, der die Abfrage ausgibt, muss sich im gleichen Microsoft Entra Mandanten befinden.
REST API Version 2025-11-01-preview oder ein entsprechendes Vorschau-SDK-Paket zum Abfragen des Indexes.
Authentifizieren von Abfragen mithilfe von Azure rollenbasierten Zugriffssteuerung (RBAC) und nicht mit API-Schlüsseln. Wenn Purview-Vertraulichkeitsbezeichnungen aktiviert sind, ist der API-Schlüsselzugriff auf den Indexschemaabruf beschränkt.
Einschränkungen
Gastkonten und mandantenübergreifende Abfragen werden nicht unterstützt.
AutoVervollständigen- und Vorschlags-APIs werden für purview-fähige Indizes nicht unterstützt.
Wenn die Bezeichnungsauswertung fehlschlägt (beispielsweise sind Purview-APIs vorübergehend nicht verfügbar), gibt der Dienst 5xx zurück und gibt kein partielles oder ungefiltertes Resultset zurück.
Das System wertet Bezeichnungen nur so aus, wie sie zum Zeitpunkt der letzten Ausführung des Indexers vorhanden sind. Aktuelle Bezeichnungsänderungen werden möglicherweise erst nach der nächsten geplanten Neuindizierung angezeigt.
So funktioniert die Erzwingung von Vertraulichkeitsbezeichnungen zur Abfragezeit
Wenn Sie einen Index abfragen, der Microsoft Purview Vertraulichkeitsbezeichnungen enthält, überprüft Azure KI-Suche die zugehörigen Purview-Richtlinien, bevor Ergebnisse zurückgegeben werden. Auf diese Weise gibt die Abfrage nur Dokumente zurück, auf die das Benutzertoken zugreifen darf.
1. Eingabe von Benutzeridentitäts- und Anwendungsrollen
Zur Abfragezeit überprüft Azure KI-Suche beide:
- Die RBAC-Rolle der aufrufenden Anwendung, die im
Authorization-Header angegeben wird. - Die Benutzeridentität über einen Token, der in der
x-ms-query-source-authorizationKopfzeile bereitgestellt wird.
Beide sind erforderlich, um die bezeichnungsbasierte Sichtbarkeit zu autorisieren.
| Eingabetyp | Beschreibung | Beispielquelle |
|---|---|---|
| Anwendungsrolle | Bestimmt, ob die aufrufende App über die Berechtigung zum Ausführen von Abfragen für den Index verfügt. | Authorization: Bearer <app-token> |
| Benutzeridentität | Bestimmt, auf welche Vertraulichkeitsbezeichnungen der Endbenutzer zugreifen darf. | x-ms-query-source-authorization: <user-token> |
2. Bewertung von Sensitivitätskennzeichnungen
Wenn eine Abfrageanforderung empfangen wird, wertet Azure KI-Suche Folgendes aus:
- Das Feld
sensitivityLabelin jedem indizierten Dokument (extrahiert aus Microsoft Purview während der Datenaufnahme). - Die effektiven Purview-Berechtigungen des Benutzers, wie durch Microsoft Entra ID und Purview-Beschriftungsrichtlinie definiert.
Wenn der Benutzer nicht für die Vertraulichkeitsbezeichnung eines Dokuments mit EXTRACT Berechtigungen autorisiert ist, wird dieses Dokument von den Abfrageergebnissen ausgeschlossen.
Hinweis
Intern erstellt der Dienst dynamische Zugriffsfilter ähnlich der RBAC-Erzwingung.
Diese Filter sind nicht vom Benutzer sichtbar und können nicht in der Abfragenutzlast geändert werden.
3. Sichere Ergebnisfilterung
Azure KI-Suche wendet den Sicherheitsfilter nach allen benutzerdefinierten Filtern und Bewertungsschritten an.
Ein Dokument ist nur dann im endgültigen Resultset enthalten, wenn:
- Die aufrufende Anwendung verfügt über eine gültige Rollenzuweisung (über RBAC) und
- Das dargestellte
x-ms-query-source-authorizationBenutzeridentitätstoken ist gültig und erlaubt, Inhalte mit der Vertraulichkeitsbezeichnung des Dokuments anzuzeigen.
Wenn eine der Bedingungen fehlschlägt, wird das Dokument aus den Ergebnissen weggelassen.
Abrufen eines Benutzerzugriffstokens
Um Azure KI-Suche mithilfe des Benutzerkontexts abzufragen, müssen Sie ein Zugriffstoken abrufen, das den angemeldeten Benutzer darstellt. Der verwendete Ansatz hängt davon ab, ob Sie lokal mit Ihrem eigenen Token testen, ob Sie Zugriff auf das Quelldokument haben oder den Anwendungsfluss implementieren, der das Endbenutzertoken übergibt.
Für Testszenarien
Für lokale Tests können Sie ein Benutzerzugriffstoken mithilfe von Azure CLI abrufen:
$token = az account get-access-token `
--resource https://search.azure.com `
--query accessToken `
--output tsv
Dieser Ansatz verwendet Ihre aktuelle Azure CLI-Anmeldesitzung, sodass Sie den Kontext über Dokumente verwenden können, denen Sie EXTRACT-Berechtigungen über Vertraulichkeitskennzeichnungen zugewiesen haben. Diese Methode ist nur für Entwicklungs- und Validierungsszenarien vorgesehen.
Tokenerwerb für OBO-Szenarien
Anwendungen, die den On-Behalf-of (OBO) Flow implementieren, müssen Token über Microsoft Entra ID unter Verwendung einer unterstützten Authentifizierungsbibliothek beziehen, wie z. B. die Microsoft Authentication Library (MSAL) (MSAL).
In OBO-Szenarien muss das Token für die downstream-API angefordert werden, die die Anwendung aufruft. Wenn Sie beispielsweise Azure KI-Suche aufrufen, ist der Ressourcen-URI https://search.azure.com/.default.
Der .default-Bereich fragt alle delegierten Berechtigungen an, die für die Anwendung für die angegebene Ressource vorab genehmigt wurden.
Vertraulichkeitsbezeichnungsberechtigungen, einschließlich EXTRACT, werden nicht als OAuth-Bereiche dargestellt. Diese Berechtigungen werden zur Laufzeit vom nachgeschalteten Dienst ausgewertet, z. B. Azure KI-Suche, basierend auf der Benutzeridentität im Token und der angewendeten Vertraulichkeitsbezeichnungsrichtlinie.
Abfragebeispiel
Hier ist ein Beispiel für eine Abfrageanforderung mit Microsoft Purview-Vertraulichkeitsbezeichnungserzwingung.
Das Anwendungstoken wird als Bearertoken im Authorization Header übergeben. Das Benutzertoken wird ohne das x-ms-query-source-authorization Präfix als unformatierten Tokenwert im Bearer Header übergeben.
POST {{endpoint}}/indexes/sensitivity-docs/docs/search?api-version=2025-11-01-preview
Authorization: Bearer {{app-query-token}}
x-ms-query-source-authorization: {{user-query-token}}
Content-Type: application/json
{
"search": "*",
"select": "title,summary,sensitivityLabel",
"orderby": "title asc"
}
Verarbeitung von Vertraulichkeitsbezeichnungen in Azure KI Suche
Wenn Azure KI-Suche Dokumentinhalte mit Vertraulichkeitsbezeichnungen aus Quellen wie SharePoint, Azure Blob und anderen indiziert, werden sowohl der Inhalt als auch die Bezeichnungsmetadaten gespeichert. Die Abfrage gibt den indizierten Inhalt zusammen mit der GUID zurück, die die auf das Dokument angewendete Vertraulichkeitskennzeichnung identifiziert, und zwar nur dann, wenn der Benutzende über die Definition der Vertraulichkeitskennzeichnung EXTRACT-Zugriff auf die Daten dieses Dokuments hat. Diese GUID identifiziert die Bezeichnung eindeutig, enthält aber keine lesbaren Eigenschaften wie den Bezeichnungsnamen oder die zugehörigen Berechtigungen.
Beachten Sie, dass die GUID allein für Szenarien, die die Benutzeroberfläche enthalten, nicht ausreicht, da Vertraulichkeitsbezeichnungen häufig andere Richtliniensteuerelemente enthalten, die von Microsoft Purview Information Protection erzwungen werden, z. B.: Druckberechtigungen oder Screenshot- und Bildschirmaufnahmeeinschränkungen. Diese Funktionen werden von Azure KI-Suche nicht angezeigt.
Um Bezeichnungsnamen anzuzeigen und/oder benutzeroberflächenspezifische Einschränkungen zu erzwingen, muss Ihre Anwendung den Microsoft Purview Information Protection Endpunkt aufrufen, um vollständige Bezeichnungsmetadaten und zugehörige Berechtigungen abzurufen.
Sie können die von Azure KI-Suche zurückgegebene GUID verwenden, um die Bezeichnungseigenschaften aufzulösen und die APIs Purview-Bezeichnungen aufzurufen, um den Bezeichnungsnamen, die Beschreibung und die Richtlinieneinstellungen abzurufen.
End-to-End-Testeinrichtung
Um Ihnen bei der Validierung Ihrer Vertraulichkeitskennzeichnung in Azure KI-Suche zu helfen, finden Sie hier eine Referenz für eine End-to-End-Einrichtung.
Dieses Repository veranschaulicht:
- So konfigurieren Sie die Vertraulichkeitskennzeichnungen für die Synchronisierung und die Anerkennung in Azure KI-Suche
- Testen von Szenarien zum Einbinden und Durchsetzen der Abfragezeit für Dokumente mit vertraulichen Kennzeichnungen
- So extrahieren Sie die Bezeichnung und stellen sie als Element der in Ihren RAG-Anwendungen oder Agents verwendeten Zitate zur Verfügung.