Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Inhalt gilt für:
v4.0 (GA)v3.1 (GA)
v3.0 (wird eingestellt)v2.1 (wird eingestellt)
Verwaltete Identitäten für Azure Ressourcen sind Dienstprinzipale, die eine Microsoft Entra Identität und spezifische Berechtigungen für Azure verwaltete Ressourcen erstellen:
Verwaltete Identitäten gewähren Zugriff auf jede Ressource, die Microsoft Entra Authentifizierung unterstützt, einschließlich Ihrer eigenen Anwendungen. Im Gegensatz zu Sicherheitsschlüsseln und Authentifizierungstoken vermeiden verwaltete Identitäten, dass Entwickler Anmeldeinformationen verwalten müssen.
Sie können zugriff auf eine Azure Ressource gewähren und einer verwalteten Identität eine Azure Rolle zuweisen, indem Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC) verwenden. Es gibt keine zusätzlichen Kosten, um verwaltete Identitäten in Azure zu verwenden.
Wichtig
Verwaltete Identitäten vermeiden die Notwendigkeit, Anmeldeinformationen zu verwalten, einschließlich SAS-Token (Shared Access Signature).
Verwaltete Identitäten sind eine sicherere Methode, um Den Zugriff auf Daten zu gewähren, ohne dass Anmeldeinformationen in Ihrem Code vorhanden sind.
Zugriff auf private Speicherkonten
Der Zugriff auf private Azure-Speicherkonten und die Authentifizierung unterstützen verwaltete Identitäten für Azure-Ressourcen. Wenn Sie über ein Azure Speicherkonto verfügen, das durch ein Virtual Network (VNet) oder eine Firewall geschützt ist, kann Document Intelligence nicht direkt auf Ihre Speicherkontodaten zugreifen. Sobald jedoch eine verwaltete Identität aktiviert ist, kann Document Intelligence mithilfe einer zugewiesenen verwalteten Identitätsanmeldeinformationen auf Ihr Speicherkonto zugreifen.
Hinweis
Wenn Sie beabsichtigen, Ihre Speicherdaten mit dem Dokumentintelligenz-Beispielbeschriftungstool (Document Intelligence Sample Labeling, FOTT) zu analysieren, müssen Sie das Tool hinter Ihrem VNet oder Ihrer Firewall bereitstellen.
Die
AnalyzeAPIs für "Beleg", "Visitenkarte", "Rechnung", "ID-Dokument" und "Benutzerdefiniertes Formular" können Daten aus einem einzelnen Dokument extrahieren, indem Anfragen in Form von rohem binärem Inhalt gesendet werden. In diesen Szenarien sind keine Anmeldeinformationen für die verwaltete Identität erforderlich.
Voraussetzungen
Um zu beginnen, benötigen Sie Folgendes:
Ein aktives Azure-Konto – wenn Sie nicht über ein Konto verfügen, können Sie ein kostenloses Konto erstellen.
Eine Document Intelligence oder Foundry-Ressource im Azure-Portal. Für ausführliche Schritte, sieheErstellen einer Microsoft Foundry-Ressource.
Ein Azure BLOB-Speicherkonto in derselben Region wie Ihre Document Intelligence-Ressource. Außerdem müssen Sie Container erstellen, um Ihre BLOB-Daten in Ihrem Speicherkonto zu speichern und zu organisieren.
Wenn sich Ihr Speicherkonto hinter einer Firewall befindet, müssen Sie die folgende Konfiguration aktivieren:
Wählen Sie auf der Seite "Speicherkonto" die Option "Sicherheit + Netzwerk " → "Netzwerk" im linken Menü aus.
Wählen Sie im Hauptfenster die Option "Zugriff aus ausgewählten Netzwerken zulassen" aus.
Navigieren Sie auf der Seite "Ausgewählte Netzwerke" zur Kategorie Ausnahmen, und stellen Sie sicher, dass das Kontrollkästchen
Allow Azure services on the trusted services list to access this storage accountaktiviert ist.
Ein kurzes Verständnis von Azure rollenbasierten Zugriffssteuerung (Azure RBAC) mithilfe des Azure Portals.
Verwaltete Identitätszuweisungen
Es gibt zwei Arten von verwalteter Identität: vom System zugewiesen und vom Benutzer zugewiesen. Derzeit unterstützt Document Intelligence nur vom System zugewiesene verwaltete Identität:
Eine vom System zugewiesene verwaltete Identität wird direkt in einer Dienstinstanz aktiviert. Sie ist standardmäßig nicht aktiviert. Sie müssen zu Ihrer Ressource wechseln und die Identitätseinstellung aktualisieren.
Die vom System zugewiesene verwaltete Identität ist während des gesamten Lebenszyklus an Ihre Ressource gebunden. Wenn Sie Ihre Ressource löschen, wird auch die verwaltete Identität gelöscht.
In den folgenden Schritten aktivieren wir eine vom System zugewiesene verwaltete Identität und gewähren document Intelligence eingeschränkten Zugriff auf Ihr Azure BLOB-Speicherkonto.
Aktivieren einer vom System zugewiesenen verwalteten Identität
Wichtig
Um eine vom System zugewiesene verwaltete Identität zu aktivieren, benötigen Sie Microsoft. Autorisierung/roleAssignments/writeBerechtigungen wie Owner oder Benutzerzugriffsadministrator. Sie können einen Bereich auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource.
Melden Sie sich beim portal Azure mit einem Konto an, das Ihrem Azure-Abonnement zugeordnet ist.
Navigieren Sie zur Ressourcenseite Document Intelligence im Azure-Portal.
Wählen Sie in der linken Menüleiste Identität aus der Liste Ressourcenverwaltung aus:
Schalten Sie im Hauptfenster die Registerkarte " System zugewiesener Status " auf "Ein".
Gewähren des Zugriffs auf Ihr Speicherkonto
Sie müssen Dokument Intelligenz Zugriff auf Ihr Speicherkonto gewähren, damit Blobs gelesen werden können. Nachdem der Dokumentintelligenzzugriff mit einer vom System zugewiesenen verwalteten Identität aktiviert ist, können Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC) verwenden, um Document Intelligence Zugriff auf Azure Speicher zu gewähren. Die Rolle " Storage Blob Data Reader " bietet Dokumentintelligenz (dargestellt durch die vom System zugewiesene verwaltete Identität) Lese- und Listenzugriff auf den BLOB-Container und die Daten.
Wählen Sie unter Berechtigungen die Option Azure-Rollenzuweisungen aus:
Wählen Sie auf der daraufhin geöffneten Seite Azure Rollenzuweisungen Ihr Abonnement im Dropdownmenü aus, und wählen Sie dann + Rollenzuweisung hinzufügen aus.
Hinweis
Wenn Sie im Azure-Portal keine Rolle zuweisen können, da die Option „Hinzufügen > Rollenzuweisung hinzufügen“ deaktiviert ist oder der Berechtigungsfehler „Sie verfügen nicht über die Berechtigung zum Hinzufügen einer Rollenzuweisung in diesem Bereich“ angezeigt wird, überprüfen Sie, ob Sie derzeit als Benutzer*in mit einer zugewiesenen Rolle angemeldet sind, die über Microsoft.Authorization/roleAssignments/write-Berechtigungen wie „Besitzer“ oder „Benutzerzugriffsadministrator“ im Speicherbereich für die Speicherressource verfügt.
Als Nächstes weisen Sie Ihrer Document Intelligence-Dienstressource eine Rolle " Storage Blob Data Reader " zu. Füllen Sie im
Add role assignmentPopupfenster die Felder wie folgt aus, und wählen Sie "Speichern" aus:Feld Wert Umfang Speicher Abonnement Das Abonnement, das Ihrer Speicherressource zugeordnet ist. Ressource Der Name der Speicherressource Rolle Storage Blob Data Reader ermöglicht lesezugriff auf Azure Storage BLOB-Container und -Daten. 
Nachdem Sie die Bestätigungsmeldung " Rolle hinzugefügt " erhalten haben, aktualisieren Sie die Seite, um die hinzugefügte Rollenzuweisung anzuzeigen.
Wenn die Änderung nicht sofort angezeigt wird, warten Sie, und versuchen Sie erneut, die Seite zu aktualisieren. Wenn Sie Rollenzuweisungen zuweisen oder entfernen, kann es bis zu 30 Minuten dauern, bis Änderungen wirksam werden.
Das wars! Sie haben die Schritte zum Aktivieren einer vom System zugewiesenen verwalteten Identität abgeschlossen. Mit verwalteter Identität und Azure RBAC haben Sie Dokumentintelligenz-spezifische Zugriffsrechte für Ihre Speicherressource gewährt, ohne Anmeldeinformationen wie SAS-Token verwalten zu müssen.
Andere Rollenzuweisungen für Document Intelligence Studio
Wenn Sie Document Intelligence Studio verwenden und Ihr Speicherkonto mit Netzwerkeinschränkung konfiguriert ist, z. B. Firewall oder virtuelles Netzwerk, muss eine andere Rolle, "Storage Blob Data Contributor" Ihrem Document Intelligence-Dienst zugewiesen werden. Dokument Intelligenz Studio benötigt diese Rolle, um Blobs in Ihr Speicherkonto zu schreiben, wenn Sie automatische Bezeichnungsvorgänge, Human-in-the-Loop-Vorgänge oder Projektfreigabe- bzw. Projektupgradevorgänge ausführen.
