Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beim Arbeiten mit hosted Agents in Microsoft Foundry ist es wichtig, die verschiedenen berechtigungen zu verstehen. Es gibt mehrere Klassen von Berechtigungen für die Entwicklung gehosteter Agents, die die Azure Resource Manager Steuerungsebene und die Gießereidatenebene umfassen:
- Berechtigungen, die Benutzern oder Prinzipale gewährt werden, die mit Foundry-Ressourcen arbeiten
- Berechtigungen, die dem Foundry-Projekt erteilt wurden
- Berechtigungen, die dem Agent gewährt werden
Dieser Artikel ist ein Begleiter für die Role-basierte Zugriffssteuerung für Microsoft Foundry, in dem rollenbasierte Zugriffssteuerungskonzepte und die integrierten Rollen eingeführt werden, die in Microsoft Foundry verfügbar sind. Bevor Sie fortfahren, sollten Sie sich mit diesem Artikel vertraut machen. In diesem Artikel werden die Vorgänge behandelt, die an der Entwicklung und Bereitstellung gehosteter Agent beteiligt sind, die berechtigungen, die zum Ausführen dieser Vorgänge erforderlich sind und welche integrierten Rollen diese Berechtigungen abdecken.
Informationen zu End-to-End-Bereitstellungs- und Lebenszyklusaufgaben finden Sie unter Bereitstellen eines gehosteten Agents und Verwalten des Lebenszyklus des gehosteten Agents. Informationen zum identitätsspezifischen Verhalten finden Sie unter Agent-Identität.
Important
Beachten Sie beim Zuweisen von Berechtigungen immer das Prinzip der geringsten Rechte. Erteilen Sie nur den Berechtigungen, die für Benutzer und Agents erforderlich sind, um ihre Aufgaben auszuführen, und überprüfen und aktualisieren Sie die Berechtigungen bei Bedarf regelmäßig.
Rollen in diesem Artikel
Azure AI Foundry Berechtigungen umfassen zwei Ebenen: die steuerebene Azure Resource Manager (ARM) und die Gießereidatenebene. Besitzer - und Mitwirkenderrollen verfügen über umfassende Berechtigungen für die ARM-Steuerungsebene, enthalten jedoch keine Berechtigungen für die Datenebene. Datenebenenvorgänge wie das Erstellen von Agents oder die Interaktion mit ihnen erfordern bestimmte Azure AI Foundry Rollen wie Azure AI User, Azure AI Project Manager oder Azure AI Owner.
In diesem Artikel werden auf die folgenden integrierten Rollen verwiesen. Informationen zu benutzerdefinierten Rollendefinitionen finden Sie unter Azure benutzerdefinierte Rollen.
| Role | Zweck bei der Bereitstellung des gehosteten Agents |
|---|---|
| Owner | Vollständige Berechtigungen zum Erstellen und Verwalten von Azure Ressourcen |
| Contributor | Erstellen und Verwalten von Azure Ressourcen |
| Administrator für rollenbasierte Zugriffskontrolle | Erstellen von Rollenzuweisungen für Azure Ressourcen |
| Azure AI-Benutzer | Erstellen von Agents, Durchführen von Modellleitungen und Interagieren mit Agents |
| Azure AI-Projektmanager | Verwalten von Projekten, Erstellen von Agents, Durchführen von Modellleitungen, Interagieren mit Agents und Erstellen von Rollenzuweisungen |
| Azure AI-Kontobesitzer | Erstellen Sie Bereitstellungen, verwalten Sie Projekte, und behandeln Sie Ressourcen auf Kontoebene. Erstellen Sie Rollenzuweisungen nur für Steuerungsebenenvorgänge. Datenebenenvorgänge wie das Erstellen oder Interagieren mit Agents können nicht ausgeführt werden. |
| Azure AI-Besitzer | Berechtigung "Vollzugriffsebene" und "Datenebene" über Kontoressourcen, kann jedoch keine Rollenzuweisungen erstellen. |
| Containerregistrierungs-Repositoryleser | Abrufen von Containerimages aus der Registrierung |
| Containerregistrierungs-Repository Writer | Pushcontainerimages an die Registrierung |
| AcrPull | Abrufen von Containerimages aus der Registrierung |
| AcrPush | Pushcontainerimages an die Registrierung |
| Log Analytics Data Reader | Lesen von Telemetriedaten für Auswertungen |
| Cognitive Services OpenAI-Benutzer | Zugreifen auf OpenAI-Endpunkte auf Kontoebene direkt |
| Cognitive Services-Benutzer | Zugriff auf Funktionen auf Kontoebene (Spracherkennung, Vision, Sprache) direkt |
Caution
Obwohl es möglicherweise eine geeignete Rolle für einen Entwickler ist, der mit gehosteten Agents arbeitet, ist die Azure AI Developer integrierte Rolle für gehostete Agent-Szenarien nicht ausreichend. Diese Rolle ist auf Azure Machine Learning- und Foundry-Hubs ausgerichtet, nicht auf die von gehosteten Agents verwendeten Foundry-Projektressourcen, und sie enthält nicht die ressourcenverwaltungsberechtigungen, die für die Bereitstellung gehosteter Agent erforderlich sind.
Schnelle Diagnose durch Symptom
Verwenden Sie diese Links, um direkt zu Abschnitten zu springen, die allgemeine Berechtigungsprobleme beheben:
- Agent kann nicht erstellt werden: Anzeigen der Agenterstellung
- Agent kann nicht auf Modelle zugreifen: Anzeigen der Agent-Erstellung und optionaler Kontozugriff
- Deployment schlägt fehl: Siehe Hosted-Agentbereitstellung und Azure Container Registry Setup
- Agent kann zur Laufzeit keine Bilder abrufen: Siehe Azure Container Registry Setup
- Agentinteraktion schlägt fehl: Anzeigen der Agent-Interaktion
- Fehler bei der Rollenzuweisung: Siehe Erstellen dieser Rollenzuweisung erfordert Abschnitte und Das Setup von Connections
Kann agent nicht in Teams oder M365 Copilot : SieheAzure Bot Service Setup
Architektur der gehosteten Agent-Lösung
Eine abgeschlossene Einrichtung des gehosteten Agents umfasst mehrere Azure Ressourcen, Identitätszuweisungen und Verbindungen, die zusammenarbeiten. Das folgende Diagramm zeigt die wichtigsten Komponenten und deren Beziehungen:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
Das obige Diagramm zeigt, wie Ressourcen hierarchisch organisiert werden und welche Rollenzuweisungen die Kommunikation zwischen ihnen ermöglichen. Die folgenden Abschnitte enthalten detaillierte Konfigurationsanforderungen für jede Komponente.
Erforderliche Azure-Ressourcen
Für jede bereitstellung gehosteter Agent müssen diese Azure Ressourcen ordnungsgemäß konfiguriert werden:
-
Ein Foundry-Konto
- Mit einer Rollenzuweisung kann die vom Projekt verwaltete Identität auf das Konto für den Modellzugriff zugreifen.
Azure AI Userist die empfohlene integrierte Rolle.
- Mit einer Rollenzuweisung kann die vom Projekt verwaltete Identität auf das Konto für den Modellzugriff zugreifen.
- Eine Modellbereitstellung (im Konto)
-
Ein Foundry-Projekt (im Konto)
- Das Projekt verfügt über eine verwaltete Identität. Das Projekt erhält auch eine Agent-Blueprint- und Agent-Identität, wenn der erste Agent erstellt wird.
- Eine Rollenzuweisung ermöglicht es der Agentidentität des gehosteten Agents, auf das Projekt für den Modellzugriff zuzugreifen.
Azure AI Userist die empfohlene integrierte Rolle. - Rollenzuweisungen ermöglichen Es Clientbenutzern oder Prinzipale, zur Laufzeit mit Agents im Projekt zu interagieren.
Azure AI Userist die empfohlene integrierte Rolle.
-
Ein gehosteter Agent (im Projekt)
- Der Agent ruft automatisch einen Agent-Blueprint und eine Agentidentität ab.
- Eine Agentversion (im gehosteten Agentobjekt)
-
An Azure Container Registry (ACR)
- Mit einer Rollenzuweisung kann die verwaltete Identität des Projekts Bilder aus der Registrierung abrufen. Containerregistrierungs-Repositoryleser ist die empfohlene integrierte Rolle.
- Eine Rollenzuweisung ermöglicht einem Benutzer oder Dienstprinzipal, der den Agent zum Übertragen von Images in die Registrierung bereitstellt. Container Registry Repository Writer ist die empfohlene integrierte Rolle.
- Eine Application Insights-Komponente
-
A Log Analytics Arbeitsbereich (verknüpft mit der Application Insights-Komponente)
- Eine Rollenzuweisung ermöglicht es der verwalteten Identität des Projekts, Telemetrie für Auswertungen zu lesen. Log Analytics Data Reader ist die empfohlene integrierte Rolle.
-
Mehrere Verbindungsressourcen (im Projekt):
- Für die Azure Container Registry wird eine Verbindung erstellt, die das Projekt für das Ziehen von Bildern verwendet.
- Für Application Insights wird eine Verbindung erstellt, mit der das Projekt Telemetriedaten für seine Agents ausgibt. Diese Verbindung verwendet standardmäßig keine Identität.
Einige Benutzer oder Prinzipale benötigen die Berechtigung zum Erstellen und Verwalten dieser Ressourcen. In diesem Artikel wird eine Konfiguration vorausgesetzt, bei der sich die Azure Ressourcen in derselben Ressourcengruppe befinden, und zeigt an, dass Schreibzugriff auf diese Ressourcengruppe gewährt wird. Dieser Ressourcengruppenansatz ist eine häufige Konfiguration für viele Teams, ihre spezifische Einrichtung kann jedoch variieren. Wenn Sie über eine andere Ressourcenorganisationsstrategie verfügen, müssen Sie möglicherweise Berechtigungen für die von Ihnen verwendeten Ressourcengruppen aufteilen.
Diese Liste enthält keine Netzwerkressourcen. Der Benutzer oder Dienstprinzipal, der die Azure Ressourcen bereitstellt, benötigt jedoch möglicherweise auch die Berechtigung zum Erstellen und Verwalten virtueller Netzwerke, Subnetze und privater Endpunkte, um die Ressourcen zu sichern.
Agent applications
Wenn Sie Agent-Anwendungen verwenden, enthält die Liste auch Folgendes:
-
Eine Agentanwendung (im Projekt)
- Die Agentanwendung ruft automatisch einen Agent-Blueprint und eine Agentidentität ab. Wiederholen Sie alle Rollenzuweisungen für die Agentidentität des gehosteten Agents mit der Agent-Identität der Agent-Anwendung.
- Eine Agentbereitstellung (in der Agentanwendung)
Azure Ressourcensetup
Setup des Foundry-Kontos
Das Erstellen eines Foundry-Kontos erfordert die Berechtigung Microsoft.CognitiveServices/accounts/write im Bereich der Ressourcengruppe.
| Built-in role | Scope | Kann der Zuweisene ein Foundry-Konto erstellen? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure KI-Benutzer | Resource group | ✗ No |
| Azure AI-Projektmanager | Resource group | ✗ No |
| Azure KI-Kontobesitzer | Resource group | ✔ Yes |
| Azure KI-Besitzer | Resource group | ✔ Yes |
Die verwaltete Identität des Projekts benötigt Zugriff auf das Foundry-Konto, um Modelleinschluss über den Projektendpunkt durchzuführen. Der Zugriff des Projekts wird durch die Rolle Azure AI User im Bereich des Foundry-Kontos abgedeckt. Diese Rollenzuweisung kann automatisch erstellt werden, wenn das Projekt erstellt wird, abhängig von den Berechtigungen des Benutzers oder des Dienstprinzipals, der das Projekt erstellt.
Möglicherweise sind weitere Rollenzuweisungen erforderlich, wenn Ihr Agentcode direkt auf den OpenAI-Endpunkt auf Kontoebene zugreift oder andere Funktionen auf Kontoebene, die nicht vom Projektendpunkt bereitgestellt werden. Weitere Informationen finden Sie unter Optionaler Kontozugriff.
Model deployment
Zum Erstellen einer Modellbereitstellung ist die Berechtigung Microsoft.CognitiveServices/accounts/deployments/write im Bereich des Foundry-Kontos erforderlich.
| Built-in role | Scope | Kann der Zuweisende ein Modell in einem Foundry-Konto bereitstellen? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure KI-Benutzer | Foundry account | ✗ No |
| Azure AI-Projektmanager | Foundry account | ✗ No |
| Azure KI-Kontobesitzer | Foundry account | ✔ Yes |
| Azure KI-Besitzer | Foundry account | ✔ Yes |
Project setup
Das Erstellen eines Foundry-Projekts erfordert die Berechtigung Microsoft.CognitiveServices/accounts/projects/write im Bereich des Foundry-Kontos.
| Built-in role | Scope | Kann der Zuweisene ein Foundry-Projekt erstellen? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure KI-Benutzer | Foundry account | ✗ No |
| Azure AI-Projektmanager | Foundry account | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry account | ✔ Yes |
| Azure KI-Besitzer | Foundry account | ✔ Yes |
Wenn der Ersteller des Projekts die Möglichkeit hat, die rolle Azure AI User im Bereich des Kontos zuzuweisen, erstellt das System automatisch zwei Rollenzuweisungen:
- Dem Projektersteller wird die Azure KI-Benutzerrolle im Bereich des Foundry-Kontos gewährt.
- Der verwalteten Identität des Projekts wird die Azure KI-Benutzerrolle im Bereich des Foundry-Kontos gewährt.
Eine ähnliche Rollenzuweisung ist für die Agentidentität über das Projekt erforderlich. Weitere Informationen finden Sie im Abschnitt " Agent Creation ".
Azure Container Registry-Setup
Das Erstellen eines Azure Container Registry erfordert die Berechtigung Microsoft.ContainerRegistry/registries/write im Bereich der Ressourcengruppe.
Note
Für gehostete Agents muss die Containerregistrierung derzeit über ihren öffentlichen Endpunkt erreichbar sein. Das Platzieren von ACR hinter einem privaten Netzwerk (privater Endpunkt mit deaktiviertem öffentlichem Netzwerkzugriff) wird derzeit nicht unterstützt. Eine vollständige Liste der Netzwerkeinschränkungen finden Sie unter "Einschränkungen".
| Built-in role | Scope | Kann der Zuweisene eine Containerregistrierung erstellen? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure KI-Benutzer | Resource group | ✗ No |
| Azure AI-Projektmanager | Resource group | ✗ No |
| Azure KI-Kontobesitzer | Resource group | ✗ No |
| Azure KI-Besitzer | Resource group | ✗ No |
Die verwaltete Identität des Projekts benötigt Berechtigungen, um das Bild von ACR abzurufen. Für diesen Vorgang sind zwei integrierte Rollen geeignet, die dem ACR-Registrierungsressourcenbereich zugewiesen werden sollten:
- Containerregistrierungs-Repository-Reader (bevorzugt, da er den Pull als Datenaktion modelliert)
- AcrPull
Zum Erstellen dieser Rollenzuweisung ist die berechtigung Microsoft.Authorization/roleAssignments/write im Bereich der ACR-Registrierung erforderlich.
Ausführliche Informationen zum Zuweisen von Rollen in Azure finden Sie unter Create Azure rollen assignments.
| Built-in role | Scope | Kann der Zuweisene eine Rollenzuweisung erstellen? |
|---|---|---|
| Owner | ACR registry | ✔ Yes |
| Contributor | ACR registry | ✗ No |
| Azure KI-Benutzer | ACR registry | ✗ No |
| Azure AI-Projektmanager | ACR registry | ✗ No1 |
| Azure KI-Kontobesitzer | ACR registry | ✗ No1 |
| Azure KI-Besitzer | ACR registry | ✗ No |
| Rollenbasierter Access Control Administrator | ACR registry | ✔ Yes |
1 Diese Rollen verfügen über roleAssignments/write, sind jedoch darauf beschränkt, nur die rolle Azure AI User zuzuweisen, was keine ACR-Berechtigungen abdeckt.
Der Benutzer- oder Dienstprinzipal, der Bilder in die Registrierung überträgt, benötigt auch eine Rollenzuweisung. Weitere Informationen finden Sie im Abschnitt zur Bereitstellung des gehosteten Agents .
Einrichten von Application Insights und Log Analytics
Das Erstellen einer Application Insights-Ressource erfordert die Berechtigung Microsoft.Insights/components/write im Bereich der Ressourcengruppe.
| Built-in role | Scope | Kann der Zuweisene eine Application Insights-Ressource erstellen? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure KI-Benutzer | Resource group | ✗ No |
| Azure AI-Projektmanager | Resource group | ✗ No |
| Azure KI-Kontobesitzer | Resource group | ✗ No |
| Azure KI-Besitzer | Resource group | ✗ No |
Zum Erstellen eines Log Analytics Arbeitsbereichs ist die Berechtigung Microsoft.OperationalInsights/workspaces/write im Bereich der Ressourcengruppe erforderlich.
| Built-in role | Scope | Kann der Zuweisene einen Log Analytics Arbeitsbereich erstellen? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure KI-Benutzer | Resource group | ✗ No |
| Azure AI-Projektmanager | Resource group | ✗ No |
| Azure KI-Kontobesitzer | Resource group | ✗ No |
| Azure KI-Besitzer | Resource group | ✗ No |
Wenn Sie die Auswertungsfunktion verwenden möchten, benötigt die verwaltete Identität des Projekts Berechtigungen zum Lesen aus dem Log Analytics Arbeitsbereich. Sie können diesen Zugriff aktivieren, indem Sie der rolle Log Analytics Data Reader die verwaltete Identität des Projekts im Bereich des Log Analytics Arbeitsbereichs gewähren.
Das Erstellen dieser Rollenzuweisung erfordert die Berechtigung Microsoft.Authorization/roleAssignments/write im Bereich des Log Analytics Arbeitsbereichs.
Ausführliche Informationen zum Zuweisen von Rollen in Azure finden Sie unter Create Azure rollen assignments.
| Built-in role | Scope | Kann der Zuweisene eine Rollenzuweisung erstellen? |
|---|---|---|
| Owner | Log Analytics Arbeitsbereich | ✔ Yes |
| Contributor | Log Analytics Arbeitsbereich | ✗ No |
| Azure KI-Benutzer | Log Analytics Arbeitsbereich | ✗ No |
| Azure AI-Projektmanager | Log Analytics Arbeitsbereich | ✗ No1 |
| Azure KI-Kontobesitzer | Log Analytics Arbeitsbereich | ✗ No1 |
| Azure KI-Besitzer | Log Analytics Arbeitsbereich | ✗ No |
| Rollenbasierter Access Control Administrator | Log Analytics Arbeitsbereich | ✔ Yes |
1 Diese Rollen verfügen über roleAssignments/write, sind jedoch darauf beschränkt, nur die rolle Azure AI User zuzuweisen, die nicht Log Analytics Berechtigungen abdeckt.
Connections setup
Zum Erstellen einer Verbindung ist die Berechtigung Microsoft.CognitiveServices/accounts/projects/connections/write im Bereich des Foundry-Projekts erforderlich.
| Built-in role | Scope | Kann der Zuweisene eine Verbindung erstellen? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Azure KI-Benutzer | Foundry project | ✗ No |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✔ Yes |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
Der Benutzer oder Dienstprinzipal, der die Verbindungen erstellt, benötigt auch die Verbindungsinformationen für die Application Insights-Komponente und die Containerregistrierung. Die Verbindungsdetails können vom Benutzer oder Dienstprinzipal bereitgestellt werden, der diese Ressourcen erstellt hat, oder durch Lesezugriff auf diese Ressourcen.
Note
Gehostete Agents verwenden häufig Tools und Verbindungen, die auf mehr Azure Ressourcen abzielen. Diese Ressourcen erfordern möglicherweise zusätzliche Rollenzuweisungen für die aufrufende Identität oder die Agentidentität im Zielressourcenbereich. Tools, die auf Speicher, Azure KI-Suche, Key Vault oder Datenbanken zugreifen, benötigen in der Regel zusätzlich zu den in diesem Artikel dokumentierten Kerneinrichtungsberechtigungen ihre eigenen Berechtigungen auf der Datenebene.
Agent applications
Wenn Sie Agent-Anwendungen verwenden, müssen Sie eine Agentanwendung im Foundry-Projekt erstellen. Zum Erstellen einer Agentanwendung ist die berechtigung Microsoft.CognitiveServices/accounts/projects/applications/write im Bereich des Foundry-Projekts erforderlich.
| Built-in role | Scope | Kann der Zuweisene eine Agentanwendung erstellen? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Azure KI-Benutzer | Foundry project | ✗ No |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✔ Yes |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
agentDeployment Objekte sind auch ARM-Ressourcen, aber sie werden als Teil des Bereitstellungsprozesses des gehosteten Agents erstellt. Weitere Informationen finden Sie unter Bereitstellung des gehosteten Agents.
Agent creation
Agents werden über einen Datenebenenvorgang erstellt. Das Erstellen eines Agents erfordert die Berechtigung Microsoft.CognitiveServices/accounts/AIServices/agents/write im Bereich des Foundry-Projekts.
| Built-in role | Scope | Kann der Zuweisene einen Agent erstellen? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure KI-Benutzer | Foundry project | ✔ Yes |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✗ No |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
Da die Agentidentität nach dem Erstellen des Agents möglicherweise nur verfügbar ist, können einige Rollenzuweisungen erst nach diesem Zeitpunkt erstellt werden. Zum Durchführen der Modellferencierung mit dem Projektendpunkt erfordert die Agentidentität die folgenden Berechtigungen im Bereich des Foundry-Projekts:
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(verwenden Sie für benutzerdefinierte DefinitionenMicrosoft.CognitiveServices/accounts/AIServices/agents/*/read) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(verwenden Sie für benutzerdefinierte DefinitionenMicrosoft.CognitiveServices/accounts/AIServices/agents/*/write)
| Built-in role | Scope | Kann der zugewiesene Agent modellinferencing durchführen? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure KI-Benutzer | Foundry project | ✔ Yes |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✗ No |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
Tip
Azure AI User ist die integrierte Rolle mit den geringsten Rechten, die modellbasierte Ableitungen mit dem Projektendpunkt ausführen kann. Sie enthält jedoch einen breiteren Satz von Berechtigungen als unbedingt erforderlich für diesen Vorgang. Um die Berechtigungen für Ihren Agent zu verringern, sollten Sie eine benutzerdefinierte Rolle nur mit Microsoft.CognitiveServices/accounts/AIServices/responses/*, Microsoft.CognitiveServices/accounts/AIServices/agents/*/read und Microsoft.CognitiveServices/accounts/AIServices/agents/*/write erstellen.
Zum Erstellen dieser Rollenzuweisung ist die Berechtigung Microsoft.Authorization/roleAssignments/write im Bereich des Foundry-Projekts erforderlich.
Ausführliche Informationen zum Zuweisen von Rollen in Azure finden Sie unter Create Azure rollen assignments.
| Built-in role | Scope | Kann der Zuweisene eine Rollenzuweisung erstellen? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✗ No |
| Azure KI-Benutzer | Foundry project | ✗ No |
| Azure AI-Projektmanager | Foundry project | ✔ Ja für Azure AI User rolle1 |
| Azure KI-Kontobesitzer | Foundry project | ✔ Ja für Azure AI User rolle1 |
| Azure KI-Besitzer | Foundry project | ✗ No |
| Rollenbasierter Access Control Administrator | Foundry project | ✔ Yes |
1 Sowohl Azure AI Project Manager als auch Azure AI Account Owner weisen nur die Rolle Azure AI User zu. Wenn Sie beabsichtigen, eine benutzerdefinierte Rollendefinition für den Agent für den Zugriff auf die project zu verwenden, können Azure AI Project Manager und Azure AI Account Owner diese benutzerdefinierte Rolle nicht zuweisen.
Important
Da nach der Erstellung des Agents eine Rollenzuweisung erforderlich ist, benötigt der Benutzer oder Prinzipal, der den Agent erstellt, auch die Berechtigung zum Erstellen von Rollenzuweisungen.
Azure AI Project Manager im Bereich project ist die empfohlene Rollenzuweisung für Agentersteller, da diese Rolle sowohl die erforderlichen Berechtigungen für die Datenebene als auch die Möglichkeit zum Zuweisen der rolle Azure AI User enthält.
Optionaler Kontozugriff
Wenn Sie das Foundry SDK und den Projektendpunkt für modellbasierte Ableitung verwenden, leitet die Projektproxys Aufrufe an die Bereitstellung auf Kontoebene mithilfe ihrer eigenen verwalteten Identität ab. Wenn Ihr Agentcode den Projektendpunkt jedoch umgeht und den OpenAI-Endpunkt auf Kontoebene direkt aufruft (z https://{account}.cognitiveservices.azure.com. B. ), benötigt die Identität des Agents eine der folgenden Rollen im Kontobereich:
- Cognitive Services OpenAI User - deckt nur OpenAI-Datenaktionen ab.
- Azure AI User – deckt alle CognitiveServices-Datenaktionen auf dem Konto ab.
Funktionen auf Kontoebene werden nicht vom Projektendpunkt proxiziert. Zu diesen Funktionen gehören Spracherkennung, Inhaltssicherheit, Maschinelles Sehen, Dokumentintelligenz, Sprache und Übersetzer. Sie erfordern eine Rollenzuweisung im Kontobereich, wenn Ihr Agent direkt darauf zugreift. Weisen Sie für diese Funktionen eine der folgenden Rollen im Kontobereich zu:
- Cognitive Services User - behandelt Spracherkennung, Vision, Sprache und andere Nicht-OpenAI-Funktionen.
- Azure AI User – umfasst alle CognitiveServices-Datenaktionen, einschließlich OpenAI und der zuvor aufgeführten Funktionen, mit einer einzigen Genehmigung.
Bereitstellung gehosteter Agent
Gehostete Agent-Bereitstellungsvorgänge sind Steuerungsebenenvorgänge. Eine schrittweise Bereitstellungsanleitung finden Sie unter Bereitstellen eines gehosteten Agents.
Übertragen eines Bilds in die Registrierung
Der Benutzer oder Dienstprinzipal, der den Agent bereitstellt, benötigt die Berechtigung, das Image an ACR zu übertragen. Für diesen Vorgang sind zwei integrierte Rollen geeignet, die dem ACR-Registrierungsressourcenbereich zugewiesen werden sollten:
- Containerregistrierungs-Repository Writer (bevorzugt, da sie den Push als Datenaktion modelliert)
- AcrPush
Erstellen einer neuen Agentversion
Das Erstellen eines Agents erfordert die Berechtigung Microsoft.CognitiveServices/accounts/AIServices/agents/write im Bereich des Foundry-Projekts.
| Built-in role | Scope | Kann der Zuweisene eine Agentversion erstellen? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure KI-Benutzer | Foundry project | ✔ Yes |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✗ No |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
Wenn Sie Agent-Anwendungen verwenden, müssen Sie auch ein agentDeployment Objekt erstellen, das auf eine neu bereitgestellte Agentversion verweist. Dies ist ein Verwaltungsebenenbetrieb. Das Erstellen eines agentDeployment-Objekts erfordert die Berechtigung Microsoft.CognitiveServices/accounts/projects/applications/agentDeployments/write im Bereich der Agentanwendung.
| Built-in role | Scope | Kann der Zuweisene ein agentDeployment Objekt erstellen? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure KI-Benutzer | Foundry account | ✗ No |
| Azure AI-Projektmanager | Foundry account | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry account | ✔ Yes |
| Azure KI-Besitzer | Foundry account | ✔ Yes |
Aktualisieren des Agents für die Verwendung der neuen Version
Wenn Sie den Agentendpunkt verwenden, wird die Versionsauswahl für das Agentobjekt konfiguriert. Das Aktualisieren des Agents für die Verwendung der neuen Version erfordert die Berechtigung Microsoft.CognitiveServices/accounts/AIServices/agents/write im Bereich des Foundry-Projekts.
| Built-in role | Scope | Kann der Zuweisene die Agentversion aktualisieren? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure KI-Benutzer | Foundry project | ✔ Yes |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✗ No |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
Wenn Sie stattdessen die Agentanwendung verwenden, wird die Versionsauswahl für das Agentanwendungsobjekt konfiguriert. Das Aktualisieren der Agentanwendung für die Verwendung des neuen agentDeployment-Objekts erfordert die berechtigung Microsoft.CognitiveServices/accounts/projects/applications/write im Bereich der Agentanwendung.
| Built-in role | Scope | Kann der Zuweisene die Agentanwendung aktualisieren? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure KI-Benutzer | Foundry account | ✗ No |
| Azure AI-Projektmanager | Foundry account | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry account | ✔ Yes |
| Azure KI-Besitzer | Foundry account | ✔ Yes |
Azure Bot Service Setup
Die Veröffentlichung Ihres Agents auf Microsoft Teams oder Microsoft 365 Copilot ist optional. Wenn Sie dies tun, führt der Veröffentlichungsablauf Steuerungsebenenvorgänge aus, um eine Azure Bot Service Ressource zu erstellen und seine Kanäle zu konfigurieren, aktualisiert dann entweder den Agent oder die Agentanwendung, um Anforderungen von Bot Service zuzulassen.
Erstellen des Botdiensts
Zum Erstellen der Botdienstressource ist die berechtigung Microsoft.BotService/botServices/write im Bereich der Ressourcengruppe erforderlich.
| Built-in role | Scope | Kann der Zuweisene einen Botdienst erstellen? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure KI-Benutzer | Resource group | ✗ No |
| Azure AI-Projektmanager | Resource group | ✗ No |
| Azure KI-Kontobesitzer | Resource group | ✗ No |
| Azure KI-Besitzer | Resource group | ✗ No |
Note
Azure Bot Service ist ein separater Ressourcentyp von Foundry. Azure integrierte KI-Rollen enthalten nicht Microsoft.BotService/* Berechtigungen.
Configuring channels
Für die Konfiguration der Teams- und Microsoft 365-Erweiterungskanäle im Botdienst ist die Berechtigung Microsoft.BotService/botServices/channels/write im Bereich der Botdienstressource erforderlich.
| Built-in role | Scope | Können Zuweisene Kanäle konfigurieren? |
|---|---|---|
| Owner | Bot service | ✔ Yes |
| Contributor | Bot service | ✔ Yes |
| Azure KI-Benutzer | Bot service | ✗ No |
| Azure AI-Projektmanager | Bot service | ✗ No |
| Azure KI-Kontobesitzer | Bot service | ✗ No |
| Azure KI-Besitzer | Bot service | ✗ No |
Aktualisieren der Agent- oder Agentanwendung
Der Veröffentlichungsfluss legt Kanäle (Azure Bot Service) als Authentifizierungsmodus für die Agent- oder Agentanwendung fest. Das objekt, das aktualisiert wird, hängt von Ihrem Szenario ab:
- Agentanwendungsszenario: Das Agentanwendungsobjekt wird aktualisiert. Dies ist ein Steuerungsebenen-Schreibvorgang. Die gleichen Rollenanforderungen gelten wie in Agentanwendungen dokumentiert.
- Agentendpunktszenario: Das Agentobjekt wird aktualisiert. Dies ist ein Datenebenen-Schreibvorgang. Die gleichen Rollenanforderungen gelten wie in "Erstellen einer neuen Agentversion".
Eine schrittweise Anleitung zum Veröffentlichen in Teams oder M365-Copilot finden Sie unter Publish-Agents zum Microsoft 365 Copilot und Microsoft Teams.
Agent interaction
Für die Interaktion mit dem Agent muss der aufrufende Benutzer oder Dienstprinzipal über eine Berechtigung für die Datenebene verfügen. Um mit einer agent-Anwendung zu interagieren benötigen sie Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action im Bereich der Agentanwendung.
| Built-in role | Scope | Kann der Zuweisene mit dem Agent interagieren? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure KI-Benutzer | Foundry project | ✔ Yes |
| Azure AI-Projektmanager | Foundry project | ✔ Yes |
| Azure KI-Kontobesitzer | Foundry project | ✗ No |
| Azure KI-Besitzer | Foundry project | ✔ Yes |
Agent observability
Anzeigen von Telemetriedaten
Für den Zugriff auf Agent-Telemetriedaten sind Leseberechtigungen für die Application Insights-Ressource erforderlich. Dazu gehören das Anzeigen von Ablaufverfolgungen, Protokollen und Metriken über das Azure Portal, das Foundry-Portal, APIs und Überwachungstools.
Weisen Sie den Überwachungsleser im Ressourcenbereich "Application Insights" zu. Die berechtigungen */read in dieser Rolle greifen auf die zugrunde liegenden Log Analytics Arbeitsbereichsdaten zu, ohne dass eine separate Arbeitsbereichszuweisung erforderlich ist.
Wenn Sie direkt mit dem Log Analytics Arbeitsbereich arbeiten müssen, weisen Sie auch Log Analytics Reader im Arbeitsbereichsbereich zu.
| Built-in role | Scope | Können Telemetriedaten des Zugriffs-Agents zugewiesen werden? |
|---|---|---|
| Owner | Application Insights | ✔ Yes |
| Contributor | Application Insights | ✔ Yes |
| Azure KI-Benutzer | Application Insights | ✗ Nein (sieht Metriken, aber keine Ablaufverfolgungen) |
| Azure AI-Projektmanager | Application Insights | ✗ No |
| Azure KI-Kontobesitzer | Application Insights | ✗ Nein (sieht Metriken, aber keine Ablaufverfolgungen) |
| Azure KI-Besitzer | Application Insights | ✗ No |
| Monitoring Reader | Application Insights | ✔ Yes |
| Log Analytics-Leser | Log Analytics Arbeitsbereich | ✔ Ja (aus dem Arbeitsbereich direkt) |
Kostenanzeige in Abrechnungswährung
Das Anzeigen von Kosten in Abrechnungswährung im Foundry-Portal erfordert die Berechtigung Microsoft.Billing/billingProperty/read. Für diese Berechtigung ist eine Abonnement- oder Abrechnungskontozuweisung erforderlich. Der Ressourcengruppenbereich deckt diese Berechtigung nicht ab.
Diese Berechtigung dient der Benutzerfreundlichkeit des Portals und ist nicht für gehostete Agent-Funktionen erforderlich. Sie können diese Berechtigung für die meisten Benutzer sicher weglassen.
| Built-in role | Scope | Können Zuweisungskosten in Abrechnungswährung angezeigt werden? |
|---|---|---|
| Owner | Subscription | ✔ Yes |
| Contributor | Subscription | ✔ Yes |
| Kostenmanagementleser | Subscription | ✔ Yes |
| Azure KI-Benutzer | Subscription | ✗ No |
Related content
- Gehostete Agents: Lernen Sie die Architektur und den Lebenszyklus des gehosteten Agents kennen.
- Role-basierte Zugriffssteuerung für Microsoft Foundry: Überprüfen sie integrierte Rollen, Bereiche und Zuordnungsmuster.
- Agentidentität: Verstehen, wie sich die vom Agent verwaltete Identität und die vom Projekt verwaltete Identität unterscheiden.