Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beschränken Sie die Vorschaufeatures in Microsoft Foundry, um Produktionsumgebungen auf allgemein verfügbare Funktionen zu konzentrieren. In diesem Artikel werden zwei Ansätze behandelt:
- Azure Tags verbergen Vorschauoberflächen im Foundry-Portal (aktuelles und klassisches Portal).
- Benutzerdefinierte RBAC-Rollen blockieren bestimmte Vorschauvorgänge auf API-Ebene.
Verwenden Sie Tags für die Unterdrückung auf Portalebene, und verwenden Sie benutzerdefinierte RBAC-Rollen, wenn Sie bestimmte Vorgänge oder Berechtigungen blockieren müssen.
Voraussetzungen
- Eine Foundry-Ressource und ein Projekt.
- Berechtigung zum Hinzufügen oder Bearbeiten von Tags im Zielbereich in Azure. Beispiel: Mitwirkender oder Tagmitwirkender.
- Ein Azure-Abonnement mit Berechtigungen zum Erstellen benutzerdefinierter Rollen im Bereich, in dem die Rolle zugewiesen werden soll (z. B. die Rolle "Besitzer" oder die Rolle "Benutzerzugriffsadministrator").
- Berechtigungen zum Zuweisen von Rollen im Bereich, in dem Sie Zugriff zuweisen (z. B. die Rollenbasierte Access Control Administratorrolle oder die Rolle des Benutzerzugriffsadministrators).
- Azure CLI installiert und angemeldet, wenn Sie Rollen über die Befehlszeile erstellen. Weitere Informationen finden Sie unter Install the Azure CLI.
- Zugriff auf Azure Portal.
Anwenden des Tags
Wenden Sie das Tag zur Deaktivierung der Vorschaufunktion auf den von Ihrer Organisation verwalteten Bereich an.
Wichtig
Verwenden Sie den genauen Tagschlüssel und -wert:
- Tag-Schlüssel:
AZML_DISABLE_PREVIEW_FEATURE - Tagwert:
true
Wenden Sie die Kennzeichnung auf den Bereich an, der Ihren Governance-Anforderungen entspricht.
- Abonnement für organisationsweite Governance.
- Ressourcengruppe , um alle Ressourcen in einer Gruppe abzudecken.
- Gießereiressource für fein abgestimmte Kontrolle.
Ersetzen Sie <resource-id> durch die vollständige Ressourcen-ID Ihres Abonnements, der Ressourcengruppe oder der Foundry-Ressource.
az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true
So suchen Sie die Ressourcen-ID für eine Foundry-Ressource:
az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv
Entfernen des Tags zum erneuten Aktivieren von Vorschaufeatures
Um Vorschaufeatures wiederherzustellen, entfernen Sie das AZML_DISABLE_PREVIEW_FEATURE Tag.
az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true
Nachdem Sie das Tag entfernt haben, aktualisieren Sie das Foundry-Portal oder melden Sie sich ab und wieder an. Vorschau-Features erscheinen nach wenigen Minuten erneut.
Überprüfen Sie die Unterdrückung in beiden Portalerfahrungen
Lassen Sie nach dem Speichern des Tags ein paar Minuten für die Verteilung zu und verifizieren Sie dann das Verhalten in beiden Anwendungsfällen.
- Öffnen Sie Microsoft Foundry.
- Öffnen Sie Das markierte Projekt.
- Überprüfen Sie, dass Vorschau-UI-Funktionen ausgeblendet sind.
- Im klassischen Portal ist das Tool "Vorschaufeatures" oben rechts deaktiviert.
- Im neuen Portal werden keine VORSCHAU-Bezeichnungen angezeigt; da die Features in der Vorschau nicht mehr sichtbar sein werden.
- Wechseln Sie mithilfe von New Foundry zwischen neuen und klassischen Oberflächen, und überprüfen Sie dasselbe Verhalten.
Erwartetes Ergebnis: Vorschaufeatures werden sowohl in neuen als auch in klassischen Foundry-Portalumgebungen ausgeblendet.
Behandeln von Unterdrückungsproblemen
Verwenden Sie die folgende Tabelle, wenn sich die Unterdrückung nicht wie erwartet verhält.
| Symptom | Ursache | Auflösung |
|---|---|---|
| Vorschaufeatures werden nach dem Anwenden des Tags weiterhin angezeigt. | Tagschlüssel oder -wert ist falsch. | Überprüfen Sie, ob der Tagschlüssel genau AZML_DISABLE_PREVIEW_FEATURE ist und der Wert true (Groß-/Kleinschreibung beachtet). Speichern Sie das Tag erneut. |
| Die Kennzeichnung wird angewendet, aber nur einige Bereiche werden eingeschränkt. | Das Etikett wird in einem engeren Bereich als beabsichtigt angewendet. | Vergewissern Sie sich, dass das Tag auf den vorgesehenen Governancebereich angewendet wird (Abonnement, Ressourcengruppe oder Ressource). Wenden Sie sie bei Bedarf auf einen breiteren Bereich an. |
| Vorschaufeatures werden nach ein paar Minuten wieder angezeigt. | Die Browsersitzung verwendet einen zwischengespeicherten Zustand. | Melden Sie sich ab und wieder an, oder löschen Sie den Browsercache, und aktualisieren Sie das Foundry-Portal. |
| Es ist nicht möglich, das Tag hinzuzufügen oder zu bearbeiten. | Ihr Konto besitzt keine Tagberechtigungen in diesem Umfang. | Stellen Sie sicher, dass Sie über die Rolle Mitwirkender oder Tag-Mitwirkender im Zielbereich verfügen. |
| Vorschaufunktionen werden auch nach Überprüfung des Umfangs, der Tags und der Berechtigungen weiterhin angezeigt. | Mögliche Verteilungsverzögerung oder Produktfehler. | Warten Sie einige Minuten auf die Verteilung. Wenn das Problem weiterhin besteht, stellen Sie eine Supportanfrage ein. |
Blockieren von Vorschaufunktionen mit benutzerdefinierten RBAC-Rollen
Sie können den Zugriff auf bestimmte Vorschaufeatures blockieren, indem Sie eine benutzerdefinierte Azure Rolle erstellen, die die entsprechenden Berechtigungen ausschließt, und diese Rolle dann Benutzern zuweisen.
Da Sie integrierte Rollen nicht ändern können, erstellen Sie eine benutzerdefinierte Rolle, die notDataActions (oder notActions für Kontrollebene-Features wie Ablaufverfolgung) verwendet, um die Berechtigungen auszuschließen, die Sie blockieren möchten.
In der folgenden Tabelle sind die Vorschaufeatures zusammengefasst, die Sie blockieren können, und den Typ der auszuschließenden Berechtigungen.
| Vorschaufunktion | Ressourcenanbieterpfad | Berechtigungstyp | Ausschlussfeld |
|---|---|---|---|
| Agentdienst | Microsoft.CognitiveServices/accounts/AIServices/agents/* |
Datenaktion | notDataActions |
| Inhaltsverständnis | Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* |
Datenaktion | notDataActions |
| Feinabstimmung |
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* und zugehörige Pfade |
Datenaktion | notDataActions |
| Bewertungen | Microsoft.CognitiveServices/accounts/AIServices/evaluations/* |
Datenaktion | notDataActions |
| Inhaltssicherheit | Microsoft.CognitiveServices/accounts/ContentSafety/* |
Datenaktion | notDataActions |
| Ablaufverfolgung | Microsoft.Insights/* |
Aktion der Steuerungsebene | notActions |
Erstellen einer benutzerdefinierten Rolle, die ein Vorschaufeature blockiert
In diesem Abschnitt wird das Erstellen einer benutzerdefinierten Rollendefinition und das Zuweisen einer Rollendefinition zu einem Benutzer erläutert. Im Beispiel wird der Agentdienst blockiert, Sie können jedoch alle Datenaktionen aus den Featureabschnitten in diesem Artikel ersetzen.
Schritt 1: Definieren der Rollen-JSON
Erstellen Sie eine JSON-Datei custom-role.json mit dem folgenden Inhalt. Ersetzen Sie <subscription-id> durch Ihre Azure-Abonnement-ID und fügen Sie die Datenaktionen hinzu, die Sie blockieren möchten, zu notDataActions.
{
"properties": {
"roleName": "Foundry custom role (preview features blocked)",
"description": "Custom role that excludes specific Foundry preview features.",
"assignableScopes": [
"/subscriptions/<subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/agents/write",
"Microsoft.CognitiveServices/accounts/AIServices/agents/read",
"Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
]
}
]
}
}
Tipp
Wenn Sie eine vorhandene Rolle klonen oder Wildcardberechtigungen dataActionsverwenden, fügen Sie die Vorschaufunktionsdatenaktionen hinzu notDataActions , damit sie von der Rolle ausgeschlossen werden. Verwenden Sie stattdessen notActions für die Ablaufverfolgung, da die Ablaufverfolgung Steuerungsebenenaktionen verwendet.
Schritt 2: Erstellen der Rolle
az role definition create --role-definition custom-role.json
Schritt 3: Zuweisen der Rolle
az role assignment create \
--role "Foundry custom role (preview features blocked)" \
--assignee "<user-email-or-object-id>" \
--scope "/subscriptions/<subscription-id>"
Schritt 4: Überprüfen der Rollenzuweisung
Vergewissern Sie sich, dass die benutzerdefinierte Rolle die erwarteten Berechtigungen ausschließt.
Die Rollenzuweisungen des Benutzers auflisten und überprüfen, ob die benutzerdefinierte Rolle angezeigt wird.
az role assignment list --assignee "<user-email-or-object-id>" --output table
Um die benutzerdefinierte Rollendefinition anzuzeigen und zu bestätigen, dass notDataActions die erwarteten Datenaktionen enthält:
az role definition list --name "Foundry custom role (preview features blocked)" --output json
Vorschau von Featuredatenaktionen
In jedem der folgenden Abschnitte sind die Berechtigungen für ein Vorschaufeature aufgeführt. Fügen Sie die Datenaktionen, die Sie blockieren möchten, in notDataActions Ihrer benutzerdefinierten Rollendefinition hinzu, mit Ausnahme der Ablaufverfolgung, die Control-Plane-Aktionen in notActions verwendet.
Agentdienst
Fügen Sie diese Datenaktionen zu Ihrer benutzerdefinierten Rollendefinition hinzu notDataActions :
Microsoft.CognitiveServices/accounts/AIServices/agents/writeMicrosoft.CognitiveServices/accounts/AIServices/agents/readMicrosoft.CognitiveServices/accounts/AIServices/agents/delete
Um alle Vorgänge des Agentendienstes mit einem einzigen Eintrag zu blockieren, verwenden Sie das Platzhalterzeichen Microsoft.CognitiveServices/accounts/AIServices/agents/*.
Inhaltsverständnis
Fügen Sie diese Datenaktionen zu Ihrer benutzerdefinierten Rollendefinition hinzu notDataActions :
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*
Wenn Ihr Team Dokumente in Foundry beschriftet, sollten Sie auch die Beschriftungsdatenaktionen blockieren. Suchen Sie im benutzerdefinierten Rollen-Editor des Azure-Portals unter dem Ressourcenanbieter Microsoft.CognitiveServices nach labelingProjects, um die verfügbaren Vorgänge zu finden, z. B.:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete
Hinweis
Überprüfen Sie die genauen labelingProjects Datenaktionen im Azure Portal, da sich die verfügbaren Vorgänge ändern können, wenn sich das Feature weiterentwickelt.
Feinabstimmung
Feinabstimmung verwendet mehrere Datenaktionspfade unter Microsoft.CognitiveServices/accounts/OpenAI/. Fügen Sie jeden Pfad, den Sie blockieren möchten, zu notDataActions in Ihrer benutzerdefinierten Rollendefinition hinzu.
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*Microsoft.CognitiveServices/accounts/OpenAI/files/*Microsoft.CognitiveServices/accounts/OpenAI/uploads/*Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*Microsoft.CognitiveServices/accounts/OpenAI/evals/*Microsoft.CognitiveServices/accounts/OpenAI/models/*
Wenn Ihr Team RLHF-Aufträge ausführt, fügen Sie optional Folgendes hinzu:
Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*
Wichtig
Jeder aufgelistete Pfad ist ein separater Datenaktionsbereich. Der fine-tunes/* Wildcard entspricht nur Vorgängen unter fine-tunes/. Um die Feinabstimmung vollständig zu blockieren, schließen Sie alle aufgelisteten Pfade ein.
Ablaufverfolgung
Wichtig
Die Ablaufverfolgung verwendet Azure Monitor, bei dem es sich um einen Steuerebenendienst handelt. Die in diesem Abschnitt aufgeführten Berechtigungen sind Aktionen und keine Datenaktionen. Fügen Sie sie zu notActions (nicht zu notDataActions) in Ihrer benutzerdefinierten Rollendefinition hinzu.
Fügen Sie diese Aktionen zu notActions in Ihrer benutzerdefinierten Rollendefinition hinzu.
Microsoft.Insights/alertRules/readMicrosoft.Insights/diagnosticSettings/readMicrosoft.Insights/logDefinitions/readMicrosoft.Insights/metricdefinitions/readMicrosoft.Insights/metrics/read
Das Blockieren dieser Leseaktionen verhindert, dass Benutzer den Tracing-Bereich im Foundry-Portal sehen können. Benutzer, die Zugriff auf die Ablaufverfolgung benötigen, brauchen eine separate Rolle, die die Microsoft.Insights Leseaktionen umfasst, wie etwa eine Leserrolle für die verbundene Application Insights-Ressource.
Bewertungen
Fügen Sie diese Datenaktionen zu Ihrer benutzerdefinierten Rollendefinition hinzu notDataActions :
Microsoft.CognitiveServices/accounts/AIServices/evaluations/writeMicrosoft.CognitiveServices/accounts/AIServices/evaluations/readMicrosoft.CognitiveServices/accounts/AIServices/evaluations/delete
Inhaltssicherheit
Fügen Sie diese Datenaktionen zu Ihrer benutzerdefinierten Rollendefinition hinzu notDataActions :
Microsoft.CognitiveServices/accounts/ContentSafety/*
Um nur bestimmte Inhaltssicherheitsvorgänge anstelle aller Vorgänge zu blockieren, suchen Sie im benutzerdefinierten Rollen-Editor des Azure Portals nach ContentSafety, und wählen Sie die einzelnen Datenaktionen aus, die Sie ausschließen möchten.
RBAC-Probleme beheben
| Symptom | Ursache | Auflösung |
|---|---|---|
| Der Benutzer kann weiterhin auf ein blockiertes Feature zugreifen. | Die Rollenzuweisung wurde möglicherweise noch nicht weitergegeben, oder der Benutzer verfügt über eine andere Rolle, die die blockierte Berechtigung gewährt. | Warten Sie einige Minuten auf die Verteilung. Überprüfen Sie alle Rollenzuweisungen für den Benutzer mit az role assignment list --assignee "<user>". Entfernen Sie alle in Konflikt stehenden Rollen, die blockierte Datenaktionen gewähren. |
| Fehler bei der Erstellung benutzerdefinierter Rollen durch "ungültige Datenoperation". | Möglicherweise ist der Datenaktionspfad falsch geschrieben, oder der Ressourcenanbieter ist möglicherweise nicht registriert. | Überprüfen Sie den Datenaktionspfad im benutzerdefinierten Rollen-Editor des Azure Portals. Stellen Sie sicher, dass der Microsoft.CognitiveServices-Ressourcenanbieter in Ihrem Abonnement registriert ist. |
Ablaufverfolgungsberechtigungen werden nach dem Hinzufügen zu notDataActions nicht blockiert. |
Die Ablaufverfolgung verwendet Aktionen der Steuerungsebene (Microsoft.Insights), nicht Datenaktionen. |
Verschieben Sie die Einträge Microsoft.Insights aus notDataActions in notActions in der Rollendefinition. |
Verwandte Inhalte
- Role-basierte Zugriffssteuerung für Microsoft Foundry
- Authentication und Autorisierung in Microsoft Foundry
- Erstellen oder Aktualisieren Azure benutzerdefinierten Rollen mithilfe des Azure Portals
- Erstellen oder Aktualisieren Azure benutzerdefinierten Rollen mithilfe von Azure CLI
- Assignieren Azure Rollen mithilfe des Azure Portals