Integrierte Richtlinie für die Modellbereitstellung im Microsoft Foundry-Portal

Azure Policy bietet integrierte Richtliniendefinitionen, mit denen Sie die Bereitstellung von KI-Modellen im Microsoft Foundry-Portal steuern können. Mithilfe dieser Richtlinien können Sie steuern, welche Modelle Ihre Entwickler im Foundry-Portal bereitstellen können.

Voraussetzungen

Ein Azure Konto mit einem aktiven Abonnement. Wenn Sie keinen haben, erstellen Sie ein free Azure Konto. Mit Ihrem Azure Konto können Sie auf das Gießereiportal zugreifen.
Berechtigungen zum Erstellen und Zuweisen von Richtlinien. Zum Erstellen und Zuweisen von Richtlinien müssen Sie ein Owner oder Resource Policy Contributor auf Azure Abonnement- oder Ressourcengruppenebene sein.
Vertrautheit mit Azure Policy. Weitere Informationen finden Sie unter What is Azure Policy?.

Verwenden Sie Azure CLI, um die integrierte Richtliniendefinition zu finden und sie in einem Bereich zuzuweisen.

Melden Sie sich an, und wählen Sie das Abonnement aus, in dem Sie arbeiten möchten:
```
az login
az account set --subscription "<subscription-id>"
```

Suchen Sie die Richtliniendefinitions-ID für die integrierte Definition:

az policy definition list \
   --query "[?displayName=='Cognitive Services Deployments should only use approved Registry Models'].{name:name, id:id}" \
   --output table

Erwartetes Ergebnis: eine Zeile, die die Richtlinie identhält.

Erstellen einer Parameterdatei (Beispiel):
```
{
   "effect": {
      "value": "Deny"
   },
   "allowedPublishers": {
      "value": ["OpenAI"]
   },
   "allowedAssetIds": {
      "value": [
         "azureml://registries/azure-openai/models/gpt-35-turbo/versions/3"
      ]
   }
}
```
Erwartetes Ergebnis: eine JSON-Datei, die Ihren genehmigten Herausgebernamen und Modell-IDs entspricht.

Wichtig

Die Parameternamen in diesem Beispiel müssen mit der richtliniendefinition übereinstimmen, die Sie zuweisen. Wenn sie sich in Ihrem Mandanten unterscheiden, aktualisieren Sie die JSON-Schlüssel so, dass sie den Richtliniendefinitionsparametern entsprechen.

Weisen Sie die Richtlinie einem Bereich zu (Beispiel: Abonnementbereich):

az policy assignment create \
   --name "allow-only-approved-registry-models" \
   --display-name "Allow only approved registry models" \
   --scope "/subscriptions/<subscription-id>" \
   --policy "<policy-definition-id>" \
   --params @params.json

Erwartetes Ergebnis: Der Befehl gibt eine JSON-Nutzlast zurück, die die Zuordnung identhält.

Verweis:

Wählen Sie im Azure-Portal auf der linken Seite der Seite Richtlinie aus. Sie können auch in der Suchleiste oben auf der Seite nach "Richtlinie " suchen.
Wählen Sie auf der linken Seite des Azure Policy Dashboards Authoring>Definitions aus. Suchen Sie dann nach Cognitive Services Deployments should only use approved Registry Models.
Wählen Sie "Zuweisen" aus, um die Richtlinie zuzuweisen:
- Bereich: Wählen Sie den Bereich aus, in dem Sie die Richtlinie zuweisen möchten. Der Skopus kann eine Verwaltungsgruppe, ein Abonnement oder eine Ressourcengruppe sein.
- Richtliniendefinition: Dieser Abschnitt hat bereits einen Wert von Cognitive Services Deployments should only use approved Registry Models.
- Zuordnungsname: Geben Sie einen eindeutigen Namen für die Zuordnung ein.
Sie können die Standardwerte für die restlichen Felder beibehalten oder nach Bedarf für Ihre Organisation anpassen.
Wählen Sie unten auf der Seite oder auf der Registerkarte "Parameter" oben auf der Seite "Weiter" aus.
Auf der Registerkarte Parameter deaktivieren Sie "Nur Parameter anzeigen, die Eingaben oder Überprüfungen benötigen", um alle Felder anzuzeigen.
- Effekt: Auf "Verweigern" festlegen.
  
  Hinweis
  
  Mithilfe der Überwachungsoption können Sie die Richtlinie so konfigurieren, dass Informationen in Ihrem eigenen Compliance-Dashboard protokolliert werden.
- Zulässige Modelle Herausgeber: Geben Sie eine Liste von Herausgebernamen in Anführungszeichen ein, getrennt durch Kommas. Hier ist ein Beispiel, das zeigt, wo ein Herausgebername gefunden werden soll:
  1. Wechseln Sie zum Modellkatalog im Foundry-Portal.
  2. Wählen Sie ein Modell aus (z. B. GPT-5).
  3. Sie finden den Herausgebernamen auf der Modellkarte, wie im folgenden Screenshot gezeigt. In diesem Fall ist es beispielsweise OpenAI.
- Zulässige Objekt-IDs: Geben Sie eine Liste von Modellobjekt-IDs in Anführungszeichen ein, getrennt durch Kommas.
  
  Zum Abrufen der Modellobjekt-ID-Zeichenfolgen und Modellherausgebernamen führen Sie die folgenden Schritte aus:
  1. Wechseln Sie zum Modellkatalog.
  2. Wählen Sie für jedes Modell, das Sie zulassen möchten, das Modell aus, um die Details anzuzeigen. Kopieren Sie in den Modelldetails den Wert der Modell-ID . Beispielsweise könnte der Wert wie für das GPT-3.5-Turbo-Modell aussehen azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 .
    
    Wichtig
    
    Der Wert der Modellkennung muss genau mit dem Modell übereinstimmen. Wenn die Modell-ID nicht genau übereinstimmt, funktioniert die Richtlinie nicht wie beabsichtigt.
  3. Wählen Sie die Registerkarte "Überprüfen+ Erstellen " aus, und stellen Sie sicher, dass die Richtlinienzuweisung korrekt ist. Wenn Sie fertig sind, wählen Sie "Erstellen" aus, um die Richtlinie zuzuweisen.
  4. Benachrichtigen Sie Ihre Entwickler, dass die Richtlinie vorhanden ist. Sie erhalten eine Fehlermeldung, wenn sie versuchen, ein Modell bereitzustellen, das nicht in der Liste der zulässigen Modelle enthalten ist.

Überwachung der Compliance

Führen Sie die folgenden Schritte aus, um die Einhaltung der Richtlinie zu überwachen:

Wählen Sie im Azure-Portal auf der linken Seite der Seite Richtlinie aus. Sie können auch in der Suchleiste oben auf der Seite nach "Richtlinie " suchen.
Wählen Sie auf der linken Seite des Azure Policy Dashboards Compliance aus. Jede Richtlinienzuweisung wird mit dem Compliancestatus aufgeführt. Weitere Details anzeigen: Wählen Sie die Richtlinienzuweisung aus.

Richtlinienzuweisung aktualisieren

Führen Sie die folgenden Schritte aus, um eine vorhandene Richtlinienzuweisung mit neuen Modellen zu aktualisieren:

Wählen Sie im Azure-Portal auf der linken Seite der Seite Richtlinie aus. Sie können auch in der Suchleiste oben auf der Seite nach "Richtlinie " suchen.
Wählen Sie auf der linken Seite des Azure Policy Dashboards Assignments aus, und suchen Sie die vorhandene Richtlinienzuweisung. Wählen Sie die Auslassungspunkte (...) neben der Aufgabe aus, und wählen Sie "Aufgabe bearbeiten" aus.
Aktualisieren Sie die Registerkarte Parameter mit Zulässigen Objekt-IDs und Zulässigen Modell-Herausgebern mit den neuen genehmigten Modell-IDs und Herausgebernamen.
Wählen Sie auf der Registerkarte " Überprüfen + Speichern " die Option " Speichern " aus, um die Richtlinienzuweisung zu aktualisieren.

Bewährte Methoden

Granulare Umfangsfestlegung: Weisen Sie Richtlinien im entsprechenden Rahmen zu, um zwischen Kontrolle und Flexibilität abzuwägen. Wenden Sie sich beispielsweise auf Abonnementebene an, um alle Ressourcen im Abonnement zu steuern, oder wenden Sie sich auf Ressourcengruppenebene an, um Ressourcen in einer bestimmten Gruppe zu steuern.
Richtlinienbenennung: Verwenden Sie eine konsistente Benennungskonvention für Richtlinienzuweisungen, um die Identifizierung des Zwecks der Richtlinie zu vereinfachen. Geben Sie Informationen wie den Zweck und den Umfang in den Namen ein.
Tags: Verwenden Sie Tags, um Ihre Richtlinien zu kategorisieren und zu verwalten. Markieren Sie z. B. Richtlinien nach Umgebung (Dev, Test, Prod) oder nach Abteilung.
Dokumentation: Bewahren Sie Aufzeichnungen von Richtlinienzuweisungen und -konfigurationen für Überwachungszwecke auf. Dokumentieren Sie alle Änderungen, die im Laufe der Zeit an der Richtlinie vorgenommen wurden.
Regelmäßige Überprüfungen: Überprüfen Sie regelmäßig Richtlinienzuweisungen, um sicherzustellen, dass sie den Anforderungen Ihrer Organisation entsprechen.
Tests: Testen Sie Richtlinien in einer Nichtproduktionsumgebung, bevor Sie sie auf Produktionsressourcen anwenden.
Kommunikation: Stellen Sie sicher, dass Entwickler die Richtlinien kennen und die Auswirkungen für ihre Arbeit verstehen.

Überprüfen der Richtlinieneffizienz

Überprüfen Sie, nachdem Sie die Richtlinie zugewiesen haben, ob sie erwartungsgemäß funktioniert.

Warten Sie mindestens 15 Minuten, bis die Richtlinienzuweisung wirksam wird. Neue Aufgaben werden nicht sofort angewendet.
Versuchen Sie, ein Modell bereitzustellen, das nicht auf der zugelassenen Liste steht. Wenn die Richtlinie den Deny-Effekt verwendet, schlägt die Bereitstellung wegen eines Richtlinienverletzungsfehlers fehl.
Vergewissern Sie sich, dass die Bereitstellung eines genehmigten Modells weiterhin erfolgreich ist.
Überprüfen Sie das Dashboard Compliance in Azure Policy, um zu überprüfen, ob die Richtlinie Ressourcen korrekt auswertet. Nicht kompatible Ressourcen werden innerhalb eines Complianceauswertungszyklus (in der Regel bis zu 24 Stunden) angezeigt.

Beheben der Fehler bei der Richtlinienzuweisung

Symptom	Ursache	Auflösung
Fehler bei der Richtlinienzuweisung aufgrund eines Berechtigungsfehlers	Ihr Konto verfügt nicht über die Rolle "Besitzer" oder "Ressourcenrichtlinien-Beitragender" im Zielbereich.	Weisen Sie die erforderliche Rolle zu, und versuchen Sie es erneut. Siehe Voraussetzungen.
Die Richtlinie blockiert keine nicht kompatiblen Bereitstellungen.	Die Richtlinienzuweisung wurde noch nicht weitergegeben, oder der Effekt wird auf "Überwachung " anstelle von "Verweigern" festgelegt.	Warten Sie mindestens 15 Minuten, und versuchen Sie es dann erneut. Stellen Sie sicher, dass der Effect-Parameter auf Deny festgelegt ist.
Genehmigtes Modell wird unerwartet blockiert	Die Modellobjekt-ID oder der Herausgebername in den Richtlinienparametern stimmt nicht exakt mit dem Modell überein.	Vergleichen Sie die Parameterwerte mit der Modellkarte im Modellkatalog. Bei Objekt-IDs und Herausgebernamen wird die Groß-/Kleinschreibung beachtet.
Im Compliance-Dashboard werden keine Daten angezeigt.	Die Compliancebewertung wurde noch nicht abgeschlossen. Azure Policy bewertet neue Zuordnungen innerhalb von 24 Stunden.	Warten Sie auf den nächsten Auswertungszyklus, oder lösen Sie einen On-Demand-Auswertungsscan aus.
Fehler bei der Nichtübereinstimmung der Parameternamen während der Zuweisung	Die JSON-Parameterschlüssel stimmen nicht mit der Richtliniendefinition überein.	Führen Sie den Befehl aus `az policy definition show --name "<definition-id>"` , um die genauen Parameternamen aus der Definition abzurufen. Verwenden Sie `allowedPublishers` und `allowedAssetIds`.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-30